SP
Alexey Lukatsky
А государство установило такую обязанность для госов, лицензиатов (в рамках дицензионной деятельности), БКИ и парочки других случаев
Я привел цитату из ПКЗ .. это не только про госы?
Size: a a a
2020 July 14
SP
Или вы хотите сказать, что, например, персданные коммерческим организациям можно несертифицированной криптографией защищать?
AL
Sergey Pariev
Или вы хотите сказать, что, например, персданные коммерческим организациям можно несертифицированной криптографией защищать?
Конечно! Именно и хочу сказать. Именно так работают ВСЕ банки в ДБО, так работают госуслуги, так работают все
MR
Крупный производитель корпоративного ПО SAP исправил в своих продуктах опасную уязвимость, затрагивающую большую часть его клиентов. По словам специалистов компании Onapsis, уязвимость CVE-2020-6287, получившая название RECON, делает организации уязвимыми к простой кибератаке. Исследователи Onapsis обнаружили проблему в мае нынешнего года и в установленном порядке уведомили о ней производителя.
Уязвимость в SAP позволяет похищать конфиденциальные данные компаний
Уязвимость в SAP позволяет похищать конфиденциальные данные компаний
да там катастрофа целая, а не приложения
SP
Alexey Lukatsky
Конечно! Именно и хочу сказать. Именно так работают ВСЕ банки в ДБО, так работают госуслуги, так работают все
вы сейчас про частное лицо или про оператора персданных говорите?
AI
378 приказ ФСБ?
SP
обязанность защищать возникает у оператора по законодательству
SP
378 приказ ФСБ?
угу )
AL
Sergey Pariev
вы сейчас про частное лицо или про оператора персданных говорите?
Про операторов, конечно
AL
Sergey Pariev
обязанность защищать возникает у оператора по законодательству
Да. Только это законодательство не говорит, что мне нужно именно сертифицированными решениями защищать
AL
378 приказ ФСБ?
Напишите официальный запрос в ФСБ и посмотрите на их официальный ответ. А будет там "ФЗ-152 требований по обязательному использованию сертифицированные СКЗИ не устанавливает"
SP
Alexey Lukatsky
Напишите официальный запрос в ФСБ и посмотрите на их официальный ответ. А будет там "ФЗ-152 требований по обязательному использованию сертифицированные СКЗИ не устанавливает"
ФЗ-152 конечно не устанавливает .. ФЗ устанавливает обязанности оператора защищать персданные (а это тип конфиденциальных данных) .. обязательность использования проистекает из ПКЗ-2005 и других приказов и ПП
AL
Sergey Pariev
ФЗ-152 конечно не устанавливает .. ФЗ устанавливает обязанности оператора защищать персданные (а это тип конфиденциальных данных) .. обязательность использования проистекает из ПКЗ-2005 и других приказов и ПП
ПКЗ2005 как ведомственный приказ не может ничего обязывать, что не установлено законом
AL
он может только уточнять то, что написано в ФЗ. УТОЧНЯТЬ, но не расширять
SP
Alexey Lukatsky
он может только уточнять то, что написано в ФЗ. УТОЧНЯТЬ, но не расширять
так он и уточняет как именно применять СКЗИ
AL
Sergey Pariev
так он и уточняет как именно применять СКЗИ
С какого перепугу? Вот если бы в законе было написано "применять шифрование", он бы мог уточнять про шифрование. А в законе написано про конфиденциальность, которую можно обеспечить десятком разных способов, среди которых СКЗИ только один из
AI
Alexey Lukatsky
С какого перепугу? Вот если бы в законе было написано "применять шифрование", он бы мог уточнять про шифрование. А в законе написано про конфиденциальность, которую можно обеспечить десятком разных способов, среди которых СКЗИ только один из
Хорошо, а 378 приказ ФСБ России?
AL
Что 378-й приказ? Он говорит примерно следующее - если вы используете сертифицированные СКЗИ, то они должны удовлетворять требованиям, установленным приказом. Примерно как в п.12 21-го приказа ФСТЭК
SP
Alexey Lukatsky
С какого перепугу? Вот если бы в законе было написано "применять шифрование", он бы мог уточнять про шифрование. А в законе написано про конфиденциальность, которую можно обеспечить десятком разных способов, среди которых СКЗИ только один из
Алексей, это всё равно, что сказать, что в ФЗ нет слов о применении МЭ, поэтому их не надо применять. ФЗ регулирует отношения сторон и их обязанности, детали применения тех или иных мер устанавливают подзаконные акты, в том числе ведомственные приказы в соответствии с законодательством РФ.
AL
ФЗ говорит о том, что меры защиты определяет регулятор. А вот форма оценки соответствия этих мер определяется другим законодательством, а именно ФЗ-184