Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

В России хотят создать мегарегулятора информационной безопасности, взяв пример с США

18/11/2017

В рамках реализации программы «Цифровая экономика» предлагается определить единый госорган, ответственный за требования к средствам информационной безопасности.

Реклама

Партнеры

Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1 2 3 4 5 ... 170 След.
Ответить
RSS
Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Вопрос номер раз:
Можно ли в одну ИСПДн включать разные программы, которых объединяет только тематика: бух+кадры (1с, кдс...)? и соответсвенно ее классифицировать как К3
При этом во вторую ИСПДн включить все что по К1 (состояние здоровья)

Вопрос номер два:
разные ИСПДн разных классов в одной сети не надо ли разделять по подсетям? или можно держать вместе? а если ИСПД разные но одного класса?
Ответ номер раз: ИСПДн=базы+технологии(программы)+железо. Баз и технологий может быть несколько при условии: Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
Остается определить что есть цель.
Ответ номер два: разделение по подсетям делается для разграничения доступа и от класса не зависит.
ИМХО.
1. Как назовете цель - так и получите.
2. Если ИСПДн состоит из подсистем - то класс по максимальному классу.
Цитата
Дмитрий Левиев пишет:
2. Если ИСПДн состоит из подсистем - то класс по максимальному классу.
Достаточно классифицировать как 2 ИСПДн и разделить МЭ.
Сегментировать не обязательно, но крайне желательно.
Изменено: Trotsky - 08.08.2011 19:56:45
Если каждую прожку-базку выделять в отдельную ИСПДн то получается примерно 15 штук и для каждой своя матрица доступа, своя модель угроз, классификация для каждой прожки своя, и тп и тд.
Но по пользователям, содержащимся данным в базах, прожки можно разделить на две группы - по сотрудникам организации и по пациентам организации.
Цель - потратить поменьше калорий при подготовке документации :D

я еще разок спрошу про контролируемую зону (КЗ):
имеется поликлиника, соответственно посетители ходят везде, КЗ логично сделать кабинет с компом, а вот если провода локальной сети идут по коридору который уже вне КЗ то что делать то? ничего в этом страшного? или все здание объявить КЗ?
охраны/камер нету
Rimsky, раньше было просто. Конечно провода в коридоре вне КЗ, но если в МУ прописано, что угроза несанкционированного подключения неактуальна(дорого, легко обнаружить) или закрывается путем ежедневного визуального осмотра, то все нормально. Теперь МУ для вас будет писать наверное Минздрав и согласовывать с ФСБ и ФСТЭК. Что там будет :?:
Спасибо!
от минздрава есть только метод.рекомендации по составлению ЧМУ(частной модели угроз)
из них я добросовестно повыкидывал абзацы про ПЭМИН, несанкционированные подключения и прочие дорогие в реализации штуки
верну обратно и напишу что это неактуально ввиду несоответствия цены защиты и самих защищаемых данных

Еще вопрос про аттестацию - классы К1/К2 надо обязательно аттестовать.
Как это происходит? кто этим занимается? сама подневольная организация или сторонняя с лицензией? какие документы для этого нужны?
Изменено: Rimsky - 09.08.2011 09:07:13
Вот у меня вопрос глупый вопрос и я решился его задать: ))
Вот список документов ФСБ:
- Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (положение пкз-2005) (приложение
к приказу ФСБ России от 9 февраля 2005 г. № 66)
- Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, утвержденной приказом ФАПСИ от 13.06.2001 №152.
- Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных. ФСБ России от 21.02.2008 №148/6/6-622
- Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, утвержденными ФСБ России от 21.02.2008 №149/54-144.

Все документы действующие на сегодняшний момент ?
И второй вопрос: Каких еще документов ФСБ по работе с ПДн(да и вообще с конфиденциалкой) в этом списке не хватает?
Цитата
Rimsky пишет:
положение пкз-2005
оно древнее как шерсть мамонта
к списку я бы добавил
Код
"Порядок проведения классификации информационных систем персональных данных. Утвержден приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. № 55/86/20"

Актуальность доков можно отслеживать на consultant.ru, ищещь документ и смотришь исдох он или нет, если документ недействителен - будет ссылка на замену.
С дсп не прокатит.
Если для тебя актуально пкз-2005 то с высокой долей вероятности можно спросить у вышестоящей организации.
Цитата
Rimsky пишет:
Как это происходит? кто этим занимается? сама подневольная организация или сторонняя с лицензией? какие документы для этого нужны?
почитайте "Положение по аттестации объектов информатизации по требованиям безопасности информации"
(утв. Гостехкомиссией РФ 25.11.1994)
Мой вопросик:

что такое автономная ИС? локальная ИС? распределенная ИС? по какому признаку они распределяются на типы? автономная ИС 1 типа?

конкретные вопросы: имеется сервер с БД на SQL, пользователи работают на своих местах с локальными клиентами, которые коннектятся к этому серверу, это какой тип ИС?

если на сервере поднят сервер терминалов и пользователи по RDP заходят удаленкой на этот сервер и работают с БД как-бы локально - это какой тип ИС?
Цитата
Rimsky пишет:
от минздрава есть только метод.рекомендации по составлению ЧМУ
По новому закону будут не рекомендации, а сама МУ.
Павел, Rimsky, Не факт, что действующие документы регуляторов соответствуют новой редакции 152ФЗ. Закон ведь не отменяет подзаконные акты, ждем выхода новых, в которых старые подзаконники будут отменены. Хотя в ФСБшных изменения будут минимальные, только в части замены класса на уровни защищенности.
Цитата
Ирина Петрова пишет:
почитайте "Положение по аттестации объектов информатизации по требованиям безопасности информации"
не думал что это положение еще работает, однако ж. Спасибо, понял что не мне это делать.
Аттестацией занимается сторонняя коммерческая организация или какая-то конкретная госструктура?
Цитата
Rimsky пишет:
Аттестацией занимается сторонняя коммерческая организация или какая-то конкретная госструктура?
Коммерческие аккредитованные центры - список на сайте ФСТЭКа
Цитата
Сергей С. пишет:
По новому закону будут не рекомендации, а сама МУ.
когда его ждать то? и до его выхода надо таки что-то сделать

Цитата
Сергей С. пишет:
Хотя в ФСБшных изменения будут минимальные, только в части замены класса на уровни защищенности.
и то легче, хорошо бы К1 -> 2А чтоли :) а то защита от ПЭМИН - уж очень сурово
точно какие-то эльфы Валинора придумывают, ставить помехи в лечебном учреждении,а кто-нибудь стыковал излучения от такой защиты и теже нормы излучения по санпину?

[off] а мой предыдущий вопросик никто не заметил? пожалуйста хоть носом ткните почитать [/off]
Изменено: Rimsky - 09.08.2011 09:50:35
Цитата
Rimsky пишет:
а мой предыдущий вопросик никто не заметил? пожалуйста хоть носом ткните почитать
просто все в замешательстве. Вроде как описание есть в п.9 Приказа 55/86/20. Но как трактовать на практике - все сомневаются, лично у нас в организации как начинаем обсуждать что считать распределенной, так чуть до драки не доходит - у всех разные мнения... :)
Цитата
Ирина Петрова пишет:
лично у нас в организации как начинаем обсуждать что считать распределенной, так чуть до драки не доходит - у всех разные мнения
тогда мировой способ - коктейл бурый медведь, кто увидит уход бурого медведя - тот победил :)
насколько я забыл - распределенная ИС - базы хранятся в разных местах (на табуреточном уровне), автономная - не подключенная ни к каким сетям кроме 220В. Ну это по логике, хотя логика и ИБ вещи неколлинеарные :)
А тут истчо типЫ какие-то.
Цитата
Rimsky пишет:
пожалуйста хоть носом ткните почитать
трехглавый приказ
Цитата
Сергей С. пишет:
пожалуйста хоть носом ткните почитать трехглавый приказ
там нету распределения по типам ИС :cry:
где написано что системный администратор и администратор безопасности - разные люди и нельзя их совмещать?
Страницы: 1 2 3 4 5 ... 170 След.
Ответить
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку