Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Новая версия SIEM-системы КОМРАД: теперь с поддержкой масштабирования и без ограничений на производительность

22/11/2018

Группа компаний «Эшелон» представляет обновленную систему управления событиями информационной безопасности КОМРАД. Новая версия SIEM-системы поддерживает возможность масштабирования и включает ряд новых возможностей.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: Пред. 1 2 3 4 5 ... 10 След.
Ответить
RSS
Образцы(шаблоны) основных документов, регламентирующих обработку ПД.
я делала вот енти
Документы, регламентирующие обработку персональных данных
1) Акт классификации информационной системы персональных данных (ИСПДн).
2) Модель угроз безопасности ПДн при их обработке в ИСПДн (для специальных систем).
3) Определение границ контролируемой зоны ИСПДн.
4) Технический паспорт ИСПДн.
5) Регламент разграничения прав доступа.
6) Разрешительная система доступа.
7) Руководство администратора ИСПДн.
8) Руководство пользователя ИСПДн.
9) Перечень применяемых средств защиты информации (СЗИ).
10) Положение по организации и проведению работ по обеспечению безопасности ПДн при их обработке в ИСПДн.
11) Положение об организации режима безопасности помещений, где осуществляется работа с ПДн.
12) Положение о порядке хранения и уничтожения носителей ПДн.
13) Формы учета для организации обработки ПДн (шаблоны, бланки).
14) Перечень сведений конфиденциального характера.
15) Приказ о назначении администратора безопасности ИСПДн, структурного подразделения или должностного лица, ответственного за обеспечение безопасности ПДн.
16) Копия «Уведомления об обработке ПДн», выписка из реестра операторов ПДн.
Изменено: Алла - 20.11.2009 10:11:02
Цитата
Алла пишет:
прикол в том, что передо мной стоит здача составить усредненный комплект документов как минимум для 40 организаций!!! упс!
если организации одного профиля и взаимно подчинены то проблем нет.(теоретически)
на практике не получается сделать комплект документов даже внутри холдинга - разное законодательство для разных юрлиц.
Алла, если Вы делали модель угроз ПДн, помогите пожалуйста с формой таблицы. что там все таки должно быть (наименование угрозы, вероятности, опасности, меры противодействия или еще и объект воздействия, деструктивное действие и др)?
Цитата
Натка пишет:
Алла, если Вы делали модель угроз ПДн, помогите пожалуйста с формой таблицы. что там все таки должно быть (наименование угрозы, вероятности, опасности, меры противодействия или еще и объект воздействия, деструктивное действие и др)?

> Источник угрозы, способ реализации угрозы, уязвимость, объект воздействия, деструктивное действие, Y1 (исходная защищенность),Y2 (Вероятность угрозы), Y коэф. реализуемости угрозы, коэф. реал. (вербально),
опасность угрозы и актуальность ..это в случае типовой модели угроз
для частной я добавлял меры противодействия (организационные и технические соответственно)

это модель ФСТЭка хотя и так помоему ссылок массу давали на различные варианты работ.

что непонЯтно спрашивайте опыт имеется моя работа была одобрена fstec.
Цитата
Натка пишет:
Алла, если Вы делали модель угроз ПДн, помогите пожалуйста с формой таблицы. что там все таки должно быть (наименование угрозы, вероятности, опасности, меры противодействия или еще и объект воздействия, деструктивное действие и др)?
Вот здесь немного описания по модели угроз - http://ispdn.ru/forum/index.php?PAGE_NAME=message&FID=1&TID=268&MID=3364&phrase_id=34023#message3364
И тогда, все будет так, как должно было бы быть..., даже если будет наоборот...
http://admin.smolensk.ru/www.fstec.ru/person.htm
тут примеры Ната выбирайте нужный :)
не забывайте тока что существуют две группы угроз по техническим каналам и от НСД :)две таблички
то что я написал выше это для НСД

в случае утечки ПДн по тех каналам:
уберите объект воздействия, деструктивное действие
Alekzander,
я изначально описана технические каналы утечки информации, источники угроз и уязвимости ИСПДн (по опроснику, как советует Методика определения актуальных угроз) и нашла исходную защищенность,
а затем сформировала перечень угроз {наименование угрозы; вер-ть угрозы;коэф.реализуемости угрозы;опасность; актуальность}
этого будет недостаточно? (разрабатывается частная модель)

(в одной организации сказали, что меры противодействия описали в политике ИБ, и у них частную модель согласовали)
На сайте http://admin.smolensk.ru/www.fstec.ru/person.htm уже была
Цитата
Alekzander пишет:
для частной я добавлял меры противодействия (организационные и технические соответственно)
если их все-таки обязательно надо писать в частной модели, то вопросы:
1) это меры, которые уже реализованы или которые предлагаем предпринять?
2) можно их писать только для актуальных, а для неактуальных угроз не рассматривать?
Цитата
Гость пишет:
если их все-таки обязательно надо писать в частной модели, то вопросы:
1) это меры, которые уже реализованы или которые предлагаем предпринять?
2) можно их писать только для актуальных, а для неактуальных угроз не рассматривать?
Это вообще возможные меры, которые позволяют закрыть канал утечки. Я бы предложил Вам их вписывать, проще будет самим ориентироваться, а затем обосновывать регуляторам. Кстати, уверен, что когда все эти меры пропишите, окажется, что многие решения у Вас уже используются давно.
И тогда, все будет так, как должно было бы быть..., даже если будет наоборот...
Вот типовые документы документы которые мы готовим

Документы Заказчика:
- Акт классификации ИСПДн
- Акт классификации ОИ
- Должностные инструкции Инженера по информационной безопасности
- Должностные инструкции Начальника отдела по информационной безопасности
- Матрица доступа
- Перечень защищаемых ресурсов
- Приказ об обеспечении безопасности ПДн
- Приказ об обработке ПДн
- Приказ о контролируемой зоне
- Приказ о назначении администратора защиты
- Приказ о назначении комиссии
- Приказ о назначении ответственного за защиту ПДн лица
- Приказ о назначении ответственных за эксплуатацию ИСПДн и СЗИ
- Приказ о назначении ответственных за эксплуатацию СКЗИ
- Приказ о перечне ПДн
- Приказ о списке лиц допущенных в помещение
- Приказ о списке лиц допущенных к ПДн
- Сведения по уровню подготовки кадров
- Список программного обеспечения
- Схема информационных потоков

Общие документы:
- Техническое задание на разработку СЗ ИСПДн
- Программа и методика
- Акты установки СЗИ

Документы Исполнителя:
- Аналитическое обоснование
- Аттестат соответствия
- Заключение аттестационных испытаний
- Модель угроз ИСПДн
- Предписание на эксплуатацию АС
- Предписание на эксплуатацию ВТСС
- Протокол аттестационных испытаний
- Протокол контроля защищённости информации
- Протокол оценки защищённости информации
- Схемы расположения ОТСС, ВТСС, линий и коммуникаций...
Цитата
Тигра пишет:
И еще - http://www.garant.ru/hotlaw/tatarstan/209356/
Похоже указанный документ сделали ДСП. По крайней мере с открытого доступа его сняли.
Для НаТКи (этого будет недостаточно? (разрабатывается частная модель)

1) по поводу содержания таблиц я уже свое мнение высказал. ФСТэку понравилось в конечном итоге

2) для частной модели угроз конечно же следует указать меры противодействия (и тут Анатолий М меня поддержал. Вы их будете учитывать при определении экспертным путем опасности (поскольку при определении опасности учитываются меры защиты)ну и вам самим будет проще поскольку сама модель будет отражать реальную картину и не в какие политики лезть не придется.

надеюсь что помог...
Кэш гугла рулит - http://74.125.77.132/search?q=cache:CFcKhAW3dL0J:www.garant.ru/hotlaw/tatarstan/209356/+%22%D0%9E+%D1%82%D0%B8%D0%BF%D0%­BE%D0%B2%D1%8B%D1%85+%D0%B4%D0%BE%D0%BA%D1%83%D0%BC%D0%B5%D0­%BD%D1%82%D0%B0%D1%85+%D0%BF%D0%BE+%D0%B7%D0%B0%D1%89%D0%B8%­D1%82%D0%B5+%D0%BF%D0%B5%D1%80%D1%81%D0%BE%D0%BD%D0%B0%D0%BB­%D1%8C%D0%BD%D1%8B%D1%85+%D0%B4%D0%B0%D0%BD%D0%BD%D1%8B%D1%8­5+%D0%B2+%D0%BE%D0%B1%D1%80%D0%B0%D0%B7%D0%BE%D0%B2%D0%B0%D1­%82%D0%B5%D0%BB%D1%8C%D0%BD%D1%8B%D1%85+%D1%83%D1%87%D1%80%D­0%B5%D0%B6%D0%B4%D0%B5%D0%BD%D0%B8%D1%8F%D1%85+%D0%A0%D0%B5%­D1%81%D0%BF%D1%83%D0%B1%D0%BB%D0%B8%D0%BA%D0%B8+%D0%A2%D0%B0­%D1%82%D0%B0%D1%80%D1%81%D1%82%D0%B0%D0%BD%22&cd=3&hl=ru&ct=­clnk&gl=ru
Звонили в Новосибирский фстэк (нашего ФО), они сказали что модель угроз не надо с ними согласовывать...
Натка я вам дал лишь совет как лучше сделать...а так думайте сами
я так понимаю мне вас сложно будет переубедить)и вы всеравно по своему сделаете)
Цитата
Натка пишет:
Звонили в Новосибирский фстэк (нашего ФО), они сказали что модель угроз не надо с ними согласовывать...
Обязательности согласовывать модель с регуляторами нет, НО..., если Вы сможете это сделать, получите большой бонус, в случае их проверки.
И тогда, все будет так, как должно было бы быть..., даже если будет наоборот...
Цитата
Анатолий М пишет:
Обязательности согласовывать модель с регуляторами нет, НО..., если Вы сможете это сделать, получите большой бонус, в случае их проверки.

Только небольшой минус: это займет еще месяца 1,5 т.к. таких любителей бонусов много, а людей делающих эксперную оценку нет.
Цитата
Алексей пишет:
Только небольшой минус: это займет еще месяца 1,5 т.к. таких любителей бонусов много, а людей делающих эксперную оценку нет.
Ну если будет желание получить этот бонус и сроки не остановят :)
И тогда, все будет так, как должно было бы быть..., даже если будет наоборот...
что модель сделаю по-своему, это конечно! потому что установленного шаблона нет.. спасибо всем за советы. добавляю меры, источники угроз, объект, деструктивное действие...
еще вопрос: если ИСПДн специальная, то перечень угроз формируется по ГОСТу (факторы, возд-щие на инфу), или в первую очередю по базовой модели?
Страницы: Пред. 1 2 3 4 5 ... 10 След.
Ответить
Читают тему (гостей: 2, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку