Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

В России хотят создать мегарегулятора информационной безопасности, взяв пример с США

18/11/2017

В рамках реализации программы «Цифровая экономика» предлагается определить единый госорган, ответственный за требования к средствам информационной безопасности.

Реклама

Партнеры

Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: Пред. 1 2 3 4 5 ... 14 След.
Ответить
RSS
П-1119 по ПДн, Постановление от 1 ноября 2012 г. №1119 Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных
Какая-то неудобная картинка у вас.
Вот намного понятнее:
http://sborisov.blogspot.ru/2012/09/2.html

Цитата
Гость пишет:
какого уровня защищености ПДн необходима: если в организации, есть ИСПДн в которых обрабатываются ПДн сотрудников (кадры и финансы) менее 1000 человек?
Какие ПДн? Если не биометрия, не специальные, не общедоступные, а, так сказать, Иные, то если актуальна Угроза-1 - 1 УЗ, Угроза-2 - 3 УЗ, Угроза-3 - 4 УЗ (см.табличку)

Цитата
Владимир пишет:
адежда на то, что отпадет необходимость применения сертифицированных СЗИ покинула нас)))

почему? как вы определили, что угрозы НДВ для вас актуальны?
так написано же что с 4 УЗ необходимо применение СЗИ прошедших оценку соответствие
то что "ждёмс", это понятно, я ещё с марта в режиме ожидания... что-то постановления поздновато выходят, я раньше ожидал) сейчас как "3Х комбо" долбанут под новый год...все доки придётся переделывать..со страхом думаю...
Цитата
Настя пишет:

Цитата
Владимир пишет:
адежда на то, что отпадет необходимость применения сертифицированных СЗИ покинула нас)))


почему? как вы определили, что угрозы НДВ для вас актуальны?

В Постановлении написано, что применение сертифицированных средств необходимо начиная с 4 уровня, а не, как предполагалось в проекте, со второго.
Только меня одного смущает или я не вижу, а где написано требование что оператор должен классифицировать ИСПДн? Посмотрел закон, нет упоминания про это, ПП1119 тоже нет упоминания. На основании чего тогда строить защиту? :):):)
Цитата
Tolian пишет:
Только меня одного смущает или я не вижу, а где написано требование что оператор должен классифицировать ИСПДн? Посмотрел закон, нет упоминания про это, ПП1119 тоже нет упоминания. На основании чего тогда строить защиту? :):):)
На основании модели угроз ))) Также определенные требования перечислены в 152ФЗ и соответственно УЗ в ПП1119.
Стоп, какая модель угроз? ничего не путаете? модель угроз это документ, требований о наличии которого отсутствуют, соответственно это к делу не относится. В ФЗ 152 говорится об угрозах но не о каком документе не говорится, это понятия принципиально разные.
Цитата
Tolian пишет:
Стоп, какая модель угроз? ничего не путаете? модель угроз это документ, требований о наличии которого отсутствуют, соответственно это к делу не относится. В ФЗ 152 говорится об угрозах но не о каком документе не говорится, это понятия принципиально разные.
Хорошо :) А как Вы планируете определять угрозы? Когда придет к Вам дядя из РКН и спросит: "А какие угрозы безопасности Пдн у Вас определены?" что Вы ему покажете?
Цитата
Владимир пишет:
Хорошо :) А как Вы планируете определять угрозы? Когда придет к Вам дядя из РКН и спросит: "А какие угрозы безопасности Пдн у Вас определены?" что Вы ему покажете?
Пока я этого не знаю, проверка ФСТЭКа только не давно прошла, на защиту по ПД они не смотрят, а смотрят на защиту гос.тайны.

Определить можно сейчас как угодно, написать документ за подписью одного из руководителей, Актуальные угрозы безопасности и написать пару слов. Для проверяющих, требование выполнено, а правильность как проверить, требований то нет.
Один из выходов для разработки документа приглашать лицензиата ФСТЭК и ФСБ (как мы сделали, сам документ чушь редкостная, но выхода нет )
Цитата
Tolian пишет:
Пока я этого не знаю, проверка ФСТЭКа только не давно прошла, на защиту по ПД они не смотрят, а смотрят на защиту гос.тайны.

Определить можно сейчас как угодно, написать документ за подписью одного из руководителей, Актуальные угрозы безопасности и написать пару слов. Для проверяющих, требование выполнено, а правильность как проверить, требований то нет.
Один из выходов для разработки документа приглашать лицензиата ФСТЭК и ФСБ (как мы сделали, сам документ чушь редкостная, но выхода нет )
1. Насчет ФСТЭК не согласен! У нас была проверка, смотрели и персональные данные, и достаточно тщательно.
2. По поводу документа "Актуальные угрозы". Существует методика определения актуальных угроз. Если документ выполнен по этой методике, то придираться к названию никто не будет. Но если Вы выполнили документ по методике, определили актуальные угрозы, почему не назвать документ Модель угроз? :-)
3. И, наконец, третий пункт. Изначально вопрос был: "На основании чего строить защиту?". Так вот вы сами и ответили на основании Актуальных угроз, как Вы их не назовите! А если защита строится не для реальной защиты, а для формальной, насколько я понимаю речь идет о гос. органе, то и актуальные угрозы могут быть "чушью редкостной", главное, чтобы были приняты меры для обеспечения невозможности реализации определенных угроз.
Раньше было требование о проведена классификация п.8 ПП781, теперь данного требования нет.
Не ту кнопку нажал п.6 ПП871
Блин, п.6 ПП781
Цитата
Tolian пишет:
Раньше было требование о проведена классификация п.8 ПП781, теперь данного требования нет.
Если честно не пойму вопроса! Было требование о проведении классификации, теперь нет! Теперь есть уровни защищенности! каждому уровню присваиваются требования. Выполнение требований = соблюдению ПП. Вопрос, кстати, остается *WOW* , т.к. отменили п.781, но, насколько я знаю, не отменили Трехсторонний приказ, определяющий классификацию, т.к. приказ также должен быть отменен равнозначным НПА. Есть мнение, что товарищи регуляторы изменят его, а не отменят.
Владимир пишет:
Цитата
Если честно не пойму вопроса! Было требование о проведении классификации, теперь нет! Теперь есть уровни защищенности! каждому уровню присваиваются требования.
Требования о том что ИСПДн должен присваиваться уровень защищенности где т.е. проведения классификации?
Цитата
Tolian пишет:
Владимир пишет:
Цитата
Если честно не пойму вопроса! Было требование о проведении классификации, теперь нет! Теперь есть уровни защищенности! каждому уровню присваиваются требования.
Требования о том что ИСПДн должен присваиваться уровень защищенности где т.е. проведения классификации?
Проведение классификации, как таковое с определением именно класса отсутствует. ПП 781 отменили, значит в обязательные требования на настоящий момент не могут вменить проведение классификации.
Теперь классификациии нет: проводим оценку угроз и устанавливаем соответствующий уровень (можно сказать степень) защищенности для их нейтрализации. Для обеспечения этого уровня необходимо выполнить ряд орг. и тех. (СЗИ) мер. А вот выбор этих СЗИ нужно будет делать по докам ФСБ и ФСТЭК. Ждемс эти доки.
Цитата
Сергей С. пишет:
Ждемс эти доки.
Новые документы все выходят и выходят. Хотя, конечно существенных изменений в защите они не несут, но вдруг...
Цитата
Сергей С. пишет:
проводим оценку угроз
Нет требований по как должно это выглядеть.



Цитата
Сергей С. пишет:
устанавливаем соответствующий уровень (можно сказать степень) защищенности для их нейтрализации
Как устанавливаем? В голове держим это? или составляем документ? требований об этом нет.
Я как руководитель организации, не важно какой, в голове решил будет она такого уровня и все. Это никто не может оспорить и потребовать документ об установленном уровне т.к. нет требования.
Цитата
Сергей С. пишет:
проводим оценку угроз
Нет требований по как должно это выглядеть.



Цитата
Сергей С. пишет:
устанавливаем соответствующий уровень (можно сказать степень) защищенности для их нейтрализации
Как устанавливаем? В голове держим это? или составляем документ? требований об этом нет.
Я как руководитель организации, не важно какой, в голове решил будет она такого уровня и все. Это никто не может оспорить и потребовать документ об установленном уровне т.к. нет требования.
Страницы: Пред. 1 2 3 4 5 ... 14 След.
Ответить
Читают тему (гостей: 6, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку