Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Особенности аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции (работ, услуг), поставляемой по гособоронзаказу.

12/08/2019 

08 мая 2019 г. утверждены новые Правила аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции работ, услуг), поставляемой по государственному оборонному заказу (постановление Правительства Российской Федерации от 30 апреля 2019 г. № 548).

Новые Правила аккредитации кардинально меняют сложившуюся систему не только аккредитации, но и сертификации СМК предприятий, работающих в области государственного оборонного заказа.

Реклама





Партнеры





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: Пред. 1 2 3 След.
RSS
[ Закрыто ] Снова о ПЭМИН, Стандарты
медицинские данные есть, так что ниже К1 ставить - большой риск...
Вам лицензиат делал? Шумелки ведь так просто ставить нельзя (в смысле там надо мерять чего-то) или сами? У нас тоже медицина.
Изменено: Oleg - 01.02.2011 11:38:33
кстати, после проведение специсследования, постановки шумелки угроза пемин становится неактуальной ?
Шумелки и свистелки разные бывают и перекрывают различные угрозы.
Вообще, насколько мне известно, несоответсвие рабочего места (и установленного на нем СВТ) государственным нормативным требованиям (элекромагнитная совместимость, эргономика и пр.) есть нарушение трудового законодательства. Так что этот пункт обязателен для ИСПДн всех классов.
Цитата
Гость пишет:
кстати, после проведение специсследования, постановки шумелки угроза пемин становится неактуальной ?
Это станет ясно только после объектового исследования. А потом - периодического контроля. Дооооолго потом еще будете денюжку за защиту от абсолютно мифической угрозы платить :)
Изменено: Simon - 02.02.2011 09:24:18
Цитата
Oleg пишет:
По идее производитель должен эти ГОСТы соблюдать? Разве наклеек РСТ недостаточно? ТСО например на мониторах?
У нас в стране нет обязательных ГОСТов. По закону "О техническом регулироавании". Производитель или сборщик может их соблюдать, повышая тем самым конкурентоспособность, или не соблюдать, понижая тем самым свои расходы.

Цитата
Oleg пишет:
Самим не поднять, это сделано, чтобы кормить лицензиатов
Причем тут лицензиаты? Или вы на них просто перманентно злы?
Цитата
Simon пишет:
Гость пишет:
кстати, после проведение специсследования, постановки шумелки угроза пемин становится неактуальной ?
Это станет ясно только после объектового исследования. А потом - периодического контроля. Дооооолго потом еще будете денюжку за защиту от абсолютно мифической угрозы платить
Нам к сожалению без этого никак....
Если не ошибаюсь где-то прописано, что в лечебных учреждениях запрещается устанавливать СЗИ пространственного зашумления. Не дай бог пациент с каким-нибудь аппаратом (на батарейках, который поддерживает его жизнедеятельность) войдет в зону действия СЗИ от ПЭМИН, например у окошка регистратуры где как правило установлены компьютеры (которые так необходимо защитить от данного ТКУИ), и крякнет по причине отказа того самого аппарата...
Цитата
Гость пишет:
кстати, после проведение специсследования, постановки шумелки угроза пемин становится неактуальной ?

Актуальная угроза всегда останется актуальной, пока ваши данные имеют ценность и существует вероятность их уничтожения, кражи и т.п. :) Вы просто перекрываете возможные пути для угрозы. Например наличие охраны и сейфов в банках не останавливает грабителей, а существенно снижает риск от кражи, но ни в коем случае не делает угрозу хищения неактуальной :)
Цитата
Ирина пишет:
58й приказ говорит нам следующее: "3.3. В информационных системах 2 класса для обработки информации используются средства вычислительной техники, удовлетворяющие требованиям национальных стандартов по электромагнитной совместимости, по безопасности и эргономическим требованиям к средствам отображения информации, по санитарным нормам, предъявляемым к видеодисплейным терминалам средств вычислительной техники."

Что-то загрузилась на эту тему... Может кто-то может подсказать, какие конкретно стандарты есть действующие? И как на практике определять, соответствует ли стандартам техника?

Выгружайтесь :) Если бы ваша техника не соответствовала данным стандартам, то её было бы запрещено продавать в магазинах :) В паспорте на мониторы и т.д. всё написано (ТСО, значки Ростандарта и т.д.). Другое дело, если у вас компьютеры 80-х годов, для очистки совести вызовите специалистов из Роспотребнадзора :) Еслиболее-менее современная аппаратура - забудьте об этом пункте.
Цитата
Ирина пишет:
медицинские данные есть, так что ниже К1 ставить - большой риск...

У вас ПДн членов правительства что-ли обрабатываются и опасаетесь Джеймса Бонда? :) Опомнитесь :) Какие ещё средства защиты от ПЭМИН? Вы анализировали возможность такой угрозы? Почему вы сделали вывод что она актуальная? Вы представляете сколько усилий и средств стоит снятие информации за счёт ПЭМИН? И какую именно информацию?
Определяете места обработки, режим обработки, контролируемую зону, возможность установки средств негласного снятия информации, соотносите ценность вашей инфомации с возможными затратами по её хищению за счёт ПЭМИН и т.д. Вывод однозначный - угроза НЕактуальная. Никаких генераторов не надо.
Если бы ваша техника не соответствовала данным стандартам, то её было бы запрещено продавать в магазинах smile:) В паспорте на мониторы и т.д. всё написано (ТСО, значки Ростандарта и т.д.)
Вот это Вы меня сейчас пораааадовали, Игорь! :) Такой исход меня больше всего устраивает :)
Актуальность-неактуальность очень *WOW* тема и сложнодоказуемая... =) А вот К1 там строго и без вариантов 8)
Да вобщем-то вопрос ПЭМИНа возникает уже на К2.
Цитата
Ирина пишет:
Актуальность-неактуальность очень *WOW* тема и сложнодоказуемая
Вот то-то и оно, что существование канала утечки по ПЭМИН сложнодоказуемо. Соберите комиссию, подпишите модель угроз, в которой обоснуйте неактуальность утечки по ПЭМИН (крайне малую вероятность реализации угрозы нарушения конфиденциальность именно через этот канал) тем, что затраты на ее реализацию намоного превышают возможную прибыть предполагаемого нарушителя. Для специальных ИСПДн класс как раз и определяется на основании модели угроз.
Изменено: Simon - 02.02.2011 14:10:58
Цитата
Ирина пишет:
Актуальность-неактуальность очень *WOW* тема и сложнодоказуемая... =) А вот К1 там строго и без вариантов
Да вобщем-то вопрос ПЭМИНа возникает уже на К2.

Я думаю никто в здравом уме не будет требовать от ваc доказательства неактуальности угрозы ПЭМИН :) Какова вероятность, что ваша БД на жестком диске "утечет" посредством электромагнитных волн по воздуху или сетям электропитания? :) Излучение ЖК монитора и системного блока фиксируется спецаппаратурой на расстоянии не более нескольких метров (проверял сам), да и что там снимать - скан экрана? Кому он нужен?
Аттестуйте по какому угодно классу, но это не означает что надо защищать любые мнимые угрозы. Обязательной защите подлежат только АКТУАЛЬНЫЕ угрозы.
А каким боком ПЭМИН к К2 относится если нет в 58-м приказе таких рекомендаций? :) Ещё раз обращаю внимание - в 58-м приказе даются РЕКОМЕНДАЦИИ по защите, а не требования. Так можно дойти до обязательного ношения персоналом шапочек из фольги, чтобы мысли не излучали :)
Пересмортел я документы связанные с ПЭМИН и пришел к следующему выводу:

До определения актуальности и рассчета вероятности и опасности нужно определить является ли ПЭМИН потенциально возможной. Ддя этого нужо определить есть ли в системе технические каналы утечки. Как это сделать ?

ответ я нашел в методике определения актуальных угроз:
"Технические каналы утечки информации определяются в соответсвии с руководящими документами ФСТЭК". А это ничто иное как методики измерений ПЭМИН.

Вывод: "по всем правилам", чтобы определить есть ли ПЭМИН или нет нужно делать измерения, и исходя из результатов рассматривать ПЭМИН или нет. И потом уже принимать решение об актуальности.

К томуже в базовой модели (полной) есть интересная таблица:
"Характеристика технических каналов утечки за счет ПЭМИН."
В этой таблице указаны расстояния на которых возможен перехват ПЭМИН (по их мнению):
дак вот напротив собственно ПЭМИН стоит расстояние до 1000 метров с помощью стационарной, потративной носимой, портативной возимой и автономно автоматической аппаратуры.

Зачем эта таблица непонятно, видимо логика такая: можешь измерения не делать, но будь добр на расстояние не менее километра никого к ИСПДН не подпускай" )) Вот такие пироги.


Еще вдобавок я наткнулся еще на один печальный абзац:

В базовой модели угроз (в полной версии, а не в выписке, что на сайте ФСТЭК):
"Угрозы безопасности ПДн, связанные с с перехватом ПЭМИН с использованием специальных электронных устройств перехвата информации, подключенных к каналам связи или техническим средстам обработки ("аппаратурные закладки") определяются в соответствии с нормативными документами Федеральной службы безопасности РФ в установленном порядке."

А это уже ничто иное как методики специальной проверки на закладные устройства. Это что же "по всем правилам" и спецпроверку нужно делать для ИСПДн ??


Вообщем полная версия базовой модели как оказалась скрывает много неожиданных моментов.
Сергей, а где Вы полную версию модели угроз нарыли? поделитесь источником ;)
Цитата
Ирина пишет:
Сергей, а где Вы полную версию модели угроз нарыли? поделитесь источником
Я думаю Сергей имел в виду Базовую модель угроз ФСТЭК. У него так и написано в посте. Она есть на сайте ФСТЭК. И по ней нужно составлять Частные модели по линии ФСТЭК.
Ну как и все... запросил официально у ФСТЭКа.

И советую всем с ней ознакомиться... В выписку (та, что на сайте) много ключевых моментов не попало (наверно забыли выписать )))
Цитата
Я думаю Сергей имел в виду Базовую модель угроз ФСТЭК. У него так и написано в посте. Она есть на сайте ФСТЭК. И по ней нужно составлять Частные модели по линии ФСТЭК.
На сайте так называемая "выписка". Её-то я уже почитывала, и неоднократно. А тут выясняется, что полная версия интересней :D
Страницы: Пред. 1 2 3 След.
Читают тему (гостей: 2, пользователей: 0, из них скрытых: 0)