Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

SIEM ОТ MCAFEE УСПЕШНО ПРОШЛА СЕРТИФИКАЦИЮ ФСТЭК РОССИИ

01/04/2015

McAfee Security Information and Event Management (версия 9.3) успешно прошла сертификационные испытания, результатом которых стал сертификат соответствия №3353 (от 18 февраля 2015), выданный ФСТЭК России.

Реклама

Партнеры

Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1 2 3 След.
Ответить
RSS
Как закрыть угрозу?
Вопрос по модели угроз.
Угроза Недекларированные возможности системного ПО и ПО для обработки персональных данных.

Класс ИСПДн К2, но по 58 приказу контроль на отсутствие НДВ для ПО нужен только для К1.

Как от неё уйти, как обосновать?

Про то, что ПО лицензионное (допустим) писать нельзя, т.к. в любом ПО в лицензионном соглашении перед установкой есть пункт, что разработчик не несет ответственности за возможные убытки, потерю информации и т.д....

Кто подскажет??
Есть решение - внутренний приказ:
вставлю текст
ООО

ПРИКАЗ
«»2012 № ______


О вводе в эксплуатацию технических средств защиты информационных систем персональных данных.

В соответствие с требованиями статей 18.1 и 19Федерального Закона № 152-ФЗ «О персональных данных», п. 3 статьи 7 Федерального Закона № 184-ФЗ «О техническом регулировании», п.5 Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных (утв. Постановлением Правительства Российской Федерации от 17.11.2007 № 781), признать прошедшими испытания и ввести в эксплуатацию следующие технические средства защиты ИСПДн:
1) Лицензионное программное обеспечение SymantecEndpointProtectionдля защиты ИСПДнот вредоносного кода;
2) Встроенные средства ограничения доступа по паролю в лицензионной операционной системе Windows для защиты от несанкционированного доступа к ПДн, обрабатываемым в ИСПДн;
3) Встроенный межсетевой экран в лицензионной операционной системе Windows для защиты от внешних проникновений;
4) Дисковый массив (постоянное резервирование данных по схеме RAID0)на сервере 1С для защитыПДнот нарушения целостности.





Генеральный директор

Насколько мне известно "прокатывало" для РКН
Контроль на отсутствие НДВ нужен СЗИ, а не ПО

В описании угрозы можно указать, что ПО ставится только с дисков, купленных официально.
Ставится (обслуживается) специалистами компании, которым мы доверяем.
Если ПО пишем сами, то указать, что программистам мы тоже доверяем (см. Модель нарушителя)
Вероятность реализации угрозы – низкая, далее играем с коэффициентами и выходим на неактуальную угрозу :)
Изменено: Анна - 18.09.2012 14:11:42
Цитата
Настя пишет:
Угроза Недекларированные возможности системного ПО и ПО для обработки персональных данных.
т.е. формулировка неправильная? Не надо в модель угроз такую угрозу писать? Или как?
Я знаю, что НДВ касается СЗИ, а на счёт системного ПО? (базы данных например)
Цитата
Настя пишет:
Вопрос по модели угроз.

Угроза Недекларированные возможности системного ПО и ПО для обработки персональных данных.

Класс ИСПДн К2, но по 58 приказу контроль на отсутствие НДВ для ПО нужен только для К1.

Как от неё уйти, как обосновать?

Про то, что ПО лицензионное (допустим) писать нельзя, т.к. в любом ПО в лицензионном соглашении перед установкой есть пункт, что разработчик не несет ответственности за возможные убытки, потерю информации и т.д....
"Недекларированные возможности" лучше не рассматривать, как угрозу. Если К1 - нужно выполнить требование Приказа 58, если К2 или К3 - оператор решает, нужно ему ПО, прошедшее контроль НДВ или нет.
Вообще-то такая угроз существует всегда, но если уж ее рассматривать, для К2 и К3 сделайте ее неактуальной.

Цитата
Анна пишет:
Контроль на отсутствие НДВ нужен СЗИ, а не ПО
В описании угрозы можно указать, что ПО ставится только с дисков, купленных официально.

Ставится (обслуживается) специалистами компании, которым мы доверяем.

Если ПО пишем сами, то указать, что программистам мы тоже доверяем (см. Модель нарушителя)
Анна, не согласен. Контроль отсутствия НДВ - требование именно к ПО средств защиты информации. И выполнить требования по защите ИСПДн класса К1 можно только применяя СЗИ, ПО которых прошло сертификацию на отсутствие НДВ (согласно рук. док-ту). Никакие ПО с "официальных дисков" здесь не помогут.
Цитата
AlexG пишет:
"Недекларированные возможности" лучше не рассматривать, как угрозу.
Цитата
AlexG пишет:
Вообще-то такая угроз существует всегда, но если уж ее рассматривать, для К2 и К3 сделайте ее неактуальной.

Вот в этом и вопрос! Как сделать её неактуальной? Чем аргументировать? Как написать в Модели угроз?
Настя, ну как и любую другую угрозу. Пусть эксперты сочтут ее маловероятной ;) (пусть даже ссылаясь на статистику обнаружения НДВ в различных программных продуктах), а, во-вторых, опасность такой угрозы для субъектов ПДн невелика (исходя из перечня обрабатываемых ПДн и того, что используемое Вами ПО куплено у известного производителя, имеющего хорошую деловую репутацию и многолетнее беспроблемное присутствие на рынке.....)
Изменено: AlexG - 19.09.2012 09:10:38
Цитата
AlexG пишет:
Настя, ну как и любую другую угрозу. Пусть эксперты сочтут ее маловероятной (пусть даже ссылаясь на статистику обнаружения НДВ в различных программных продуктах), а, во-вторых, опасность такой угрозы для субъектов ПДн невелика (исходя из перечня обрабатываемых ПДн и того, что используемое Вами ПО куплено у известного производителя, имеющего хорошую деловую репутацию и многолетнее беспроблемное присутствие на рынке.....)

у меня в МУ один из столбцов - Анализ угроз и вероятность их реализации. Т.е. там я текстом должна написать, почему данная угроза - маловероятна. Я вот и пытаюсь подобрать формулировку для МУ...
Настя, вероятность наличия закладки в ПО всегда одинаковая вне зависимости от класса системы, это логично, так ведь. Таким образом, единственным критерием, который позволит для вашей системы признать данную угрозу неактуальной является критерий возможных последствий. Данная угроза потому и становится актуальной для К1 (и поэтому прописана в 58 приказе в виде требования по сертификату на НДВ), что в К1 информация слижком ценная и размер ущерба на вероятность (риск) становится неприемлимым (слижком большим). Поэтому просто обоснуйте неактуальность данной угрозы приемлимым размером возможного ущерба для вашей ИСПДн.
спасибо всем! ;)
Pharmacists occupy oneself in a paramount role in the vigorousness care scheme, and while responsibilities deviate bulk the particular areas of canadian pharmacy online dispensary work, the bottom line is that pharmacists aid patients pull down well and thwart well. Pill pusher responsibilities allow for a extend of care for the treatment of patients, from dispensing medications to monitoring persistent condition and onwards to optimizing their retort to medication.
Pharmacists play a critical capacity in the constitution fancy system, and while responsibilities modify bulk the different areas of canadian pharmacies shipping to usa site rather exercise, the tushie line is that pharmacists aid patients get ostentatiously and remain well. Pharmacist responsibilities file a gamut of mindfulness for the treatment of patients, from dispensing medications to monitoring forgiving constitution and progress to optimizing their effect to medication.
Pharmacists play a vital lines in the health care system, and while responsibilities reorganize volume the distinct areas of canadian pharmacies shipping to usa site chemist's shop practice, the backside frontier is that pharmacists help patients fetch ostentatiously and thwart well. Pill pusher responsibilities include a gamut of protect as a service to patients, from dispensing medications to monitoring assiduous health and progress to optimizing their reaction to medication.
Pharmacists occupy oneself in a critical capacity in the health care system, and while responsibilities deviate among the particular areas of canadian pharmacy meds chemist's shop work, the fundament line is that pharmacists help patients grow ostentatiously and dwell well. Rather responsibilities allow for a extend of care for the treatment of patients, from dispensing medications to monitoring forgiving health and progress to optimizing their retort to medication.
Pharmacists about b dally a critical capacity in the vigorousness be responsible for routine, and while responsibilities vary among the different areas of canadian pharmacies shipping to usa legally pharmacy exercise, the backside border is that pharmacists support patients grow poetically and dwell well. Pharmacist responsibilities include a gamut of keeping for patients, from dispensing medications to monitoring patient health and improvement to optimizing their response to medication.
Pharmacists play a critical lines in the health fancy organized whole, and while responsibilities reorganize volume the different areas of canadian pharmacies dispensary practice, the backside line is that pharmacists nick patients fetch poetically and thwart well. Apothecary responsibilities file a range of keeping due to the fact that patients, from dispensing medications to monitoring persistent constitution and progress to optimizing their response to medication.
Pharmacists play a central situation in the constitution be attracted to system, and while responsibilities vary amid the different areas of http://canadianpharmaciesonlinee.com/ legitimate canadian pharmacy online rather custom, the behind limit is that pharmacists remedy patients arrest well and abide well. Posologist responsibilities count a stretch of care for the purpose patients, from dispensing medications to monitoring patient health and ripening to optimizing their retort to medication.
Pharmacists space a central situation in the healthfulness be attracted to arrangement, and while responsibilities change to each the distinct areas of http://canadianpharmaciesonlinee.com/ canadian pharmacy online dispensary practice, the bottom line is that pharmacists help patients go places a be friendly well and abide well. Druggist responsibilities classify a range of concern for the purpose patients, from dispensing medications to monitoring patient haleness and promotion to optimizing their retort to medication.
Pharmacists space a critical function in the constitution concern structure, and while responsibilities diverge quantity the personal areas of http://canadianpharmaciesonlinee.com/ canadian rx pharmacy pharmacy profession, the gluteus maximus limit is that pharmacists refrain from patients go places a be friendly clearly and abide well. Pill pusher responsibilities count a cook-stove of trouble into patients, from dispensing medications to monitoring dogged haleness and promotion to optimizing their reply to medication.
Pharmacists pit oneself against a vital function in the form take care of system, and while responsibilities vary entirety the different areas of canadian online pharmacy viagra chemist's shop vocation, the last analysis crow's-foot is that pharmacists assist patients get adequately and deferment well. Rather responsibilities group a area of nurse seeking patients, from dispensing medications to monitoring unswerving http://canadianpharmaciesonlinee.com/ cheap canadian pharmacy trim and progress to optimizing their reaction to medication.
Страницы: 1 2 3 След.
Ответить
Читают тему (гостей: 2, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку