おそらくコミュニティのすべての専門家は、ロシアNo. 17およびNo. 21のFSTECの命令について既に話し、骨を洗い、規制当局のすべての革新を棚に置いた。 そのため、このトピックに関するウェビナーを計画する際に、150〜200人の参加者の従来の数に頼りました。
現実は私たちの期待を大きく上回りました。 600人以上の登録参加者は、このトピックに関する情報がまだ十分ではないことを示す客観的な指標であり、パートナーと顧客は新しい規定の追加の明確化が必要です。
プレゼンテーション自体には、超啓示は含まれていませんでした。 同じ体系的な「棚上げ」と、特定の議論の余地がある条項に対する私たちの立場。 しかし、質疑応答セッションは私にとって本当のテストであり、プレゼンテーション自体よりも長く続きました。 さまざまな保護対策の簡単な解釈から、ライセンス情報保護活動の複雑さを理解しようとする試みまで、非常に異なる方向の50を超える質問を受け取りました。
ウェビナーに参加できなかった人のために、ウェビナーのプレゼンテーションと録画がサイトで利用できます。
ここでは、3つの最もよく寄せられる質問について説明しますが、ウェビナー中に詳細な回答をする時間はありませんでした。
1. PDオペレーターはTZKIのライセンスが必要ですか?
2012年5月30日付けロシアFSTECの情報メッセージNo. 240/22/2222「機密情報の技術的保護のためにFSTECのライセンスを取得する必要性の問題」により、組織の活動が実装から利益を得ることを目的としていない場合、TZKIのライセンスなしで作業する可能性があります仕事または機密情報の技術的保護の提供。
ただし、この機会を実現するための詳細やその他の条件は、非常に曖昧な定式化でメッセージに詳述されています。
ロシアのFSTECのこの立場によれば、個人データを保護する活動が補助的であり、自分のニーズに応じて実施される場合、PDオペレーターのTZKIのライセンスは必須ではありません。
残念ながら、2013年1月の新しいFSTECロシアのWebサイトの立ち上げ後、このドキュメントはそこに見つからなかったため、法律情報システム( http://www.garant.ru/products/ipo/prime/doc/など)で探してください。 70104166 / )。
2.既存のISPDn(注文番号58の要件が満たされている)は、21の注文の要件に準拠する必要がありますか?
一般規則に従って、規範的行為は、発効後かつその効力が喪失する前に行われた関係に適用されます。 したがって、注文番号21の効果は、個人データ情報システムで新しく作成された保護システムに適用されます。
以前に作成されたISPD保護システムが近代化された場合には、別の注記が状況に値します。 この場合、保護システムの新しいバージョンを合法化するには、新しい注文の規範に従う必要があります。 しかし、近代化の深さは何によっても規制されていないため、各オペレーターはこの状況を有利に解釈し、新しい要件への移行を延期する可能性があります。
多くの場合、以前のクラスK1がUZ2、UZ3、またはUZ4に変わる可能性があるため、既存のISPDを近代化を待たずに新しい基準に従って分類すると便利な場合があります。
3.「セキュアなプログラミング方法」とは何か、これらの方法を使用して作成される製品を理解する方法はありますか?
もちろん、ソフトウェア開発に関与するすべての企業は、製品のセキュリティレベルを高め、脆弱性の数を減らすために設計された「セキュアプログラミング方法」が何を意味するかについて独自のビジョンを持っています。
業界で最も有名なモデルの1つは、開発中のセキュリティ、既定の設定を使用する場合のセキュリティ、展開中のセキュリティ、データ交換中のセキュリティなど、いくつかの重要な原則に基づくマイクロソフトの安全な開発ライフサイクルです。 そのため、「セキュリティコード」は、このモデルに従ってすべての開発を実行します。
このテーマに関する別の興味深いドキュメントは、システム開発ライフサイクルにおけるNIST Special Publication 800-64のセキュリティに関する考慮事項です。これは、プログラミングだけでなく、はるかに広い領域をカバーしています。 NISTは、情報システムのセキュリティ要件への準拠を保証する5段階のモデルを提供します。情報システムは、既製で構築され、顧客の製品の要求に応じて開発されます。
安全なプログラミングの方法に従って作成された製品のリストはありません。 開発者の宣言に集中できますが、これらの方法に従うことは、製品にエラーや脆弱性がないことを意味するものではありません。 しかし、これらのメソッドを使用しない開発者よりも大幅に少ないことが保証されています。
セキュリティコードのマーケティングディレクター、Stepanenko Andrey