Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

SIEM ОТ MCAFEE УСПЕШНО ПРОШЛА СЕРТИФИКАЦИЮ ФСТЭК РОССИИ

01/04/2015

McAfee Security Information and Event Management (версия 9.3) успешно прошла сертификационные испытания, результатом которых стал сертификат соответствия №3353 (от 18 февраля 2015), выданный ФСТЭК России.

Реклама

Партнеры

Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: Пред. 1 2 3 4 5 ... 7 След.
Ответить
RSS
Технологические процессы в Тех. паспорте ИСПДн, вопрос
Я против понятия "технологический процесс обработки ПДн" - это какое-то искуственное непонятное образование. Другое дело бизнес-процесс или лечебный процесс в вашем случае, который состоит из этапов. А в рамках каждого этапа (или отдельных этапов) осуществляется обработка ПДн. Вот это и надо описывать.
Я в медицине ни бум-бум, но на вскидку:
Лечебный процесс:
1. Прием пациента
1.1. Плановый - сбор ПДн: занесение в ИСПДн ФИО, адрес, полис, диагноз и т.д
1.2. Экстренный (по скорой)
1.2.1. В сознании - ФИО, адрес, предварительный диагноз ...
1.2.2. Без сознания - что известно, предварительный диагноз...
2. Лечение - уточнение ПДн: то, что не было собрано раньше, диагноз ...
3. Выписка - извлечение из ИСПДн данных для эпикриза, отчет в ФОМС...

В стандартах банков так и рекомендуют: общее описание (список) бизнес процессов - выделение бизнес-процессов, в рамках которых обрабатываются ПДн, и их описание - ИСПДн в которой идет обработка + выделить обработку без автоматизации.
Цитата
Сергей С. пишет:
Я против понятия "технологический процесс обработки ПДн" - это какое-то искуственное непонятное образование. Другое дело бизнес-процесс или лечебный процесс в вашем случае, который состоит из этапов. А в рамках каждого этапа (или отдельных этапов) осуществляется обработка ПДн. Вот это и надо описывать.

Я в медицине ни бум-бум, но на вскидку:

Лечебный процесс:

1. Прием пациента

1.1. Плановый - сбор ПДн: занесение в ИСПДн ФИО, адрес, полис, диагноз и т.д

1.2. Экстренный (по скорой)

1.2.1. В сознании - ФИО, адрес, предварительный диагноз ...

1.2.2. Без сознания - что известно, предварительный диагноз...

2. Лечение - уточнение ПДн: то, что не было собрано раньше, диагноз ...

3. Выписка - извлечение из ИСПДн данных для эпикриза, отчет в ФОМС...



В стандартах банков так и рекомендуют: общее описание (список) бизнес процессов - выделение бизнес-процессов, в рамках которых обрабатываются ПДн, и их описание - ИСПДн в которой идет обработка + выделить обработку без автоматизации.

Большое спасибо
а ещё такой вопрос - И всё же ! Корректно ли будет список этих процессов отобразить в тех. паспорте ИСПДн? Или лучше его поместить в другой документ ? Если да то в какой по вашему мнению?
Так и обозвать: Перечень процессов, в рамках которых обрабатываются ПДн (указать как лечебный, так и управление персоналом, эти процессы реализуются разными ИСПДн). А в техпаспорте можно просто указать - предназначена для обработки ПДн в рамках лечебного технологического процесса (ТП Управление персоналом)
А я не согласен с вашим мнением, так как мы описываем процесс с точки зрения инфомрационной безопаснсоти. И нам важно знать чем обрабатываются и как ПДн. Т е какое железо какие, программы, какие протоколы передачи, какие каналы передачи. Бизнес процесс будете описывать в бизнесс плане
Цитата
Евгений пишет:
щё такой вопрос - И всё же ! Корректно ли будет список этих процессов отобразить в тех. паспорте ИСПДн? Или лучше его поместить в другой документ ? Если да то в какой по вашему мнению?
Где хотите, там и размещайте. Лично я считаю, что чем больше документов-тем меньше их работоспособность. Необходимости в отдельном документе в данном случае точно нет, лучше поместить это в модель угроз или описание ИСПДн.
А описание ИСПДн и тех.паспорт ИСПДн разве не одно и тоже? Я постоянно натыкаюсь в интернете на эти документы и сделал вывод что они одинаковы) различие лишь в названии - Описание ИСПДН, в другом случае Технический паспорт ИСПДН
Цитата
Евгений пишет:
А описание ИСПДн и тех.паспорт ИСПДн разве не одно и тоже? Я постоянно натыкаюсь в интернете на эти документы и сделал вывод что они одинаковы) различие лишь в названии - Описание ИСПДН, в другом случае Технический паспорт ИСПДН
Описание ИСПДн придумали в 781-ПП и каждый выкручивается, как хочет. У меня описание ИСПДн укладывается в модель угроз+тех. задание, т.к. там тех. процессы, схемы и описание взаимодействия СЗИ. Если Вы считаете, что тех. паспорта будет достаточно - это Ваше право, к сожалению "описание ИСПДн" никто нигде не стал расшифровывать.
Это ваше дело как вы документ назавете, главное суть/содержание документа, о чом этот документ. А в техническом паспорте и в описании эта суть совпадает.
Цитата
Trotsky пишет:



Цитата


Евгений пишет:
А описание ИСПДн и тех.паспорт ИСПДн разве не одно и тоже? Я постоянно натыкаюсь в интернете на эти документы и сделал вывод что они одинаковы) различие лишь в названии - Описание ИСПДН, в другом случае Технический паспорт ИСПДН
Описание ИСПДн придумали в 781-ПП и каждый выкручивается, как хочет. У меня описание ИСПДн укладывается в модель угроз+тех. задание, т.к. там тех. процессы, схемы и описание взаимодействия СЗИ. Если Вы считаете, что тех. паспорта будет достаточно - это Ваше право, к сожалению "описание ИСПДн" никто нигде не стал расшифровывать.
Описание ИСПДн, расшифрованно, к примеру, в методических рекомендациях миндздрава (одобренные ФСТЭК).
Цитата
Trotsky пишет:
[QUOTE]Евгений пишет:

А описание ИСПДн и тех.паспорт ИСПДн разве не одно и тоже? Я постоянно натыкаюсь в интернете на эти документы и сделал вывод что они одинаковы) различие лишь в названии - Описание ИСПДН, в другом случае Технический паспорт ИСПДН

Цитата
Описание ИСПДн придумали в 781-ПП и каждый выкручивается, как хочет. У меня описание ИСПДн укладывается в модель угроз+тех. задание, т.к. там тех. процессы, схемы и описание взаимодействия СЗИ. Если Вы считаете, что тех. паспорта будет достаточно - это Ваше право, к сожалению "описание ИСПДн" никто нигде не стал расшифровывать.

У меня в тех. задании:
1.Обоснование разработки
2.Исходные данные объекта информатизации
3.Классификация ИСПДн
4.Нормативные документы
5.Требования к СЗПДн в соответствии с нормативными документами
6.Перечень предлагаемых к использованию сертифицированных средств защиты


А в модели угроз:
1.Общие положения
2.Классификация угроз безопасности
3.Характеристики ИСПДн
4.Угрозы утечки информации по техническим каналам
5.Угрозы несанкционированного доступа к информации в ИСПДн
6.Определение актуальных угроз безопасности персональных данных в ИСПДн
Изменено: Евгений - 14.03.2012 11:30:16
Классификацию ИСПДн зря включили в тех задание, вы ведь уже до ТЗ должны были классифицировать вашу ИСПДн и составить соответсвующий АКТ классификации, т е класс укажите в пункте 2 вашего содержания. Один момент, если у вас специальная ИСПДн, то акт классификации делать необходимо после разработки модели угроз. Что касается модели угроз у вас в ней нет модели нарушителя. Чтобы составить модель угроз должным образом, изучите два документа: Методика определения актуальности угроз безопасности ПДн, обрабатываемых в ИСПДн; Базовая модель угроз безопаснсоти ПДн, обрабатываемых в ИСПДн.
P S название доков может не совсем правильно дал), по памяти писал.
Цитата
андрей елышев пишет:
Классификацию ИСПДн зря включили в тех задание, вы ведь уже до ТЗ должны были классифицировать вашу ИСПДн и составить соответсвующий АКТ классификации, т е класс укажите в пункте 2 вашего содержания. Один момент, если у вас специальная ИСПДн, то акт классификации делать необходимо после разработки модели угроз. Что касается модели угроз у вас в ней нет модели нарушителя. Чтобы составить модель угроз должным образом, изучите два документа: Методика определения актуальности угроз безопасности ПДн, обрабатываемых в ИСПДн; Базовая модель угроз безопаснсоти ПДн, обрабатываемых в ИСПДн.

P S название доков может не совсем правильно дал), по памяти писал.

ИСПДн специальная. и Частная модель нарушителя есть.
Вот её содержание:
1.Общие положения
2.Классификация нарушителей
3.Возможности нарушителей
4.Определение вероятного нарушителя ИСПДн
Хорошо тогда), просто обычно не разделяют эти документы), но это непринципиально.
Из полученных от вас ответов я делаю вывод, что Технологические процессы обработки ПДн включать в тех.паспорт не нужно, а только перечень ОТСС, ВТСС, структурную (топологическую) схему с указанием информационных связей между устройствами и перечень средств защиты информации, установленных на ИСПДн. Так я понимаю ? :)
Цитата
Евгений пишет:
У меня в тех. задании: 1.Обоснование разработки 2.Исходные данные объекта информатизации 3.Классификация ИСПДн 4.Нормативные документы 5.Требования к СЗПДн в соответствии с нормативными документами 6.Перечень предлагаемых к использованию сертифицированных средств защиты

А в модели угроз: 1.Общие положения 2.Классификация угроз безопасности 3.Характеристики ИСПДн 4.Угрозы утечки информации по техническим каналам 5.Угрозы несанкционированного доступа к информации в ИСПДн 6.Определение актуальных угроз безопасности персональных данных в ИСПДн
У меня в дополнение, схема сети в МУ, схема внедрения СЗИ в инфраструктуру в ТЗ, описание тех. процессов в МУ, описание СЗПДн в ТЗ(для небольших систем без проектирования). В итоге получаем сносное описание ИСПДн=)
Изменено: Trotsky - 14.03.2012 11:53:43
Цитата
Евгений пишет:
Из полученных от вас ответов я делаю вывод, что Технологические процессы обработки ПДн включать в тех.паспорт не нужно, а только перечень ОТСС, ВТСС, структурную (топологическую) схему с указанием информационных связей между устройствами и перечень средств защиты информации, установленных на ИСПДн. Так я понимаю ?
Вообщем так): с точки зрения защиты, описание технологического процесса обработки ПДн в ИСПДн должно быть, нет конкретного требования где именно это описание должно быть, но его удобно сделать в Тех. паспорт или же можно составить отдельный документ. Лучше в Тех. паспорт, так как всё таки он характеризует/описывает вашу ИСПДн, лучше с одним документом разбираться, а не собирать головоломку из кучи доков).
И еще раз описание тенологического процесса не так просто описать D, к примеру в технологическом процессе обработки сказано что ПДн передаются через радиоканал с помощью технологии wifi, используя стандарт 802.X i, этот канал реализуется с помощтб такого то роутера. Специалист прочитав эту фразу сразу делает определенные выводы, например wifi технология на стандарте 802.х I ( непомню точно DD) имеет уязвимость так как используется нестойкий алгоритм шифрования WEP-----> делаю вывод что канал не защищенный.
т.е. в этом документе кроме того как описать технологические процессы обработки ПДн нужно ещё и указать как что и куда передаётся ?
Вот шаблон техпаспорта, а здесь и здесь процессов. Некоторые вещи весьма *WOW* , но как рыба сойдет
Цитата
Евгений пишет:
т.е. в этом документе кроме того как описать технологические процессы обработки ПДн нужно ещё и указать как что и куда передаётся ?
Так в этом и есть суть описания тех. процесса.
Что обрабатывается?
Где(кем) обрабатывается?
Посредством чего обрабатывается?
Вот примерно на эти 3 вопроса нужно отвечать для каждого блока описания тех процесса.
Страницы: Пред. 1 2 3 4 5 ... 7 След.
Ответить
Читают тему (гостей: 2, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку