Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

GDPR: Новые правила обработки персональных данных в EU

15/06/2018

Все слышали о General Data Protection Regulation (GDPR) (Regulation (EU) 2016/679), который вступил в силу 25 мая 2018 года. Штрафы большие и придётся соответствовать. Как и любой официальный документ, он написан сухо и может трактоваться по-разному.

Реклама

Партнеры

Лаборатория кибербезопасности







Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1
Ответить
RSS
Технический паспорт ИСПДн
Вопрос такой, для каждой ИСПДн необходимо рисовать технический паспорт, а в паспорте необходимо перечислить ОТСС и ВТСС (согласно СТР-К), а фактически ВТСС нужно если есть защита от ПЭМИН, есть ли смысл перечисления ВТСС в техпаспорте на ИСПДн 3 класса (по этому классу требований к защите от ПЭМИН нет)????

По идее надо, как подсказывает внутренний голос, но хочется узнать как на самом деле
Изменено: Владимир - 21.10.2009 04:19:54
Мы всегда указываем.
С учетом того, что по жизни при аттестации ИСПДн будет активно использоваться СТР-К, перечислите - Вам же потом проще будет :0))))
поясните, пожалуйста, насчет: "фактически ВТСС нужно если есть защита от ПЭМИН"

мне казалось, что независимо от ПЭМИН там должны фигурировать системы кондиционирования, охранной/пожарной сигнализации и т.д.?
Цитата
Владимир пишет:
Вопрос такой, для каждой ИСПДн необходимо рисовать технический паспорт, а в паспорте необходимо перечислить ОТСС и ВТСС (согласно СТР-К), а фактически ВТСС нужно если есть защита от ПЭМИН, есть ли смысл перечисления ВТСС в техпаспорте на ИСПДн 3 класса (по этому классу требований к защите от ПЭМИН нет)????

По идее надо, как подсказывает внутренний голос, но хочется узнать как на самом деле

Где конкретно указано, что в ИСПДн К1/К2 по любому надо защищать от ПЭМИН? Оператор сам ставит себе требования по обеспечению бехопасности и сам их выполняет.

Да, Вы правы если угроза ПЭМИН есть, то ВТСС - это обоснование этого канала и информация для дальнейших работ по разработки СЗПД. Если нет такой угрозы то и городить огород не вижу смысла.

Хотя если ВТСС будут указаны, то это плюс Вам в том, что оценили обстановку и сделали правильные выводы.

Сам ВТСС рисую по инерции. Конечно бесполезно, но пока не напрягает, все равно описание ИСПДн делаю.
Цитата
Данил Срогович пишет:
Где конкретно указано, что в ИСПДн К1/К2 по любому надо защищать от ПЭМИН?

Пункт 4.5 нормативного документа ФСТЭК "Основные мероприятия по организции и техническому обеспечению безопасности ПДн, обрабатываемых в ИСПДн" звучит так: "В ИСПДн 1 и 2 классов должны быть реализованы мероприятия по защите ПДн от утечки за счет побочных электромагнитных излучений и наводок"

Ключевое слово - "должны"
Изменено: Иоанн - 12.11.2009 22:55:45
А Вы постройте модель угроз, обоснуйте неактуальность ПЭМИН и не описывайте.
Цитата
Роман пишет:
А Вы постройте модель угроз, обоснуйте неактуальность ПЭМИН и не описывайте.

Тоже придерживаюсь данной точки зрения.

Пункт 4.5 видимо обязывает закрывать ПЭМИН в случае актуальных угроз. Если это не так, то зачем модель угроз и их актуализация?
Цитата
Роман пишет:
А Вы постройте модель угроз, обоснуйте неактуальность ПЭМИН и не описывайте.
Данил Срогович пишет:
Цитата
Роман пишет:
А Вы постройте модель угроз, обоснуйте неактуальность ПЭМИН и не описывайте.

Тоже придерживаюсь данной точки зрения.

Пункт 4.5 видимо обязывает закрывать ПЭМИН в случае актуальных угроз. Если это не так, то зачем модель угроз и их актуализация?[/QUOTE]]

Господа! Вы выдаете желаемое за действиетльное. В указанном документе ЯВНОЕ УКАЗАНИЕ НА НЕОБХОДИМОСТЬ защиты от ПЭМИН. Не зависимо от каких-либо моделей угроз. Написано "...должны быть реализованы". Причем тут модель угроз?

ЗЫ. Я прекрасно понимаю всю глупость этого требования, но "что написано пером - не вырубишь топором".
Изменено: Simon - 13.11.2009 12:26:58
ПЭМИН для К3 не актуально - требований нет, при условии отсутствия СКЗИ.
По идее лично моё мнение. Если написано в "Основные мероприятия по организции и техническому обеспечению безопасности ПДн, обрабатываемых в ИСПДн" то и делать нужно так же чтобы не было недопонимания со стороны контролирующего органа. Опять же если ты опишешь ВТСС для К3 то ничего страшного я думаю не случится. Модель угроз не причем потому что это требование для К1 и К2 для ПЭМИН хотя можно конечно поспорить =).
Не надо делать необоснованную защиту.
Бункеры строить тоже не надо.
Здравствуйте!
Вопрос к обсуждаемой теме.
К примеру есть учреждение зравоохранения, для которого требования 152-ФЗ актуальны на 1 января 2010 года. Разработано техническо задание по проведению работ по обеспечению безопасности ИСПДн. Есть несколько отделов, а их большнее количество, в частности "Электронная медицина", "Хирургия", которые соответствуют специальному 1 классу защищенности. В соответствии с требованиями этого класса, должны быть проведены мероприятия по аттестации данных помещений органами ФСТЭК, либо уполномоченными лицензированными на данный вид услуг организациями. Аттестация такого рода понимает под собой, то что вы описывали выше, начиная от решетки на окнах, и заканчивая опечатываниям всех комплектуюших компьютера. Насколько я знаю такие требования применяются только к органам работающим с данными под грифом секретности, т.е. гос. тайной. И проверка такого рода стоит немалых денежных средств. Если я правильно понимаю аттестация (сертификация) по требованиям безопасности информации, прописанный в порядке действий по защите информационной системы персональных данных, для уровня К1 должен в любом случае выполняться???..Или точнее, что нужно понимать под данной аттестацией?
Аттестация согласно программы-методики.
проверяется требование СТР-К и модели угроз (согласно приказа трех)
Как же быть с серверным помещением, когда сервер бухгалтерии "пристроился" среди остальной кучи серверов, активного сетевого оборудования и прочей электроники, особенно если парк этой техники переодически меняется? Речь про ИСПДн 3 класса.
Страницы: 1
Ответить
Читают тему (гостей: 3, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку