Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

SIEM ОТ MCAFEE УСПЕШНО ПРОШЛА СЕРТИФИКАЦИЮ ФСТЭК РОССИИ

01/04/2015

McAfee Security Information and Event Management (версия 9.3) успешно прошла сертификационные испытания, результатом которых стал сертификат соответствия №3353 (от 18 февраля 2015), выданный ФСТЭК России.

Реклама

Партнеры

Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: Пред. 1 2 3 4 5 ... 15 След.
Ответить
RSS
Акт классификации информационных систем персональных данных при новом П-1119, Правильное составление
Цитата
Сергей С. пишет:
Типовая модель угроз и Методика определения актуальных угроз - есть на сайте ФСТЭК или Гарант/Консультант. Аналогичная методика есть у ФСБ - если используете криптосредства.
Допустим. Но как мне определить актуальность или неактуальность угроз, связанных с недекларированными возможностями СПО и ППО? Ведь ничего не мешает, используя действующие в настоящее время методики определения угроз, свести данные угрозы к неактуальным, пользуясь вербальными характеристиками вероятности реализации и определения возможного ущерба.
Цитата
Владимир пишет:
свести данные угрозы к неактуальным
Так и делайте. Для проверки, особенно РКНовской важен сам факт наличия МУ и акта об установлении УЗ. Ну а актуальность, определенная путем экспертных оценок = ППП (палец-пол-потолок).
Цитата
Сергей С. пишет:
акта об установлении УЗ
Ну именно об акте, как об отдельном документе я нигде не слышал, сделал, как итог в модели угроз :) Но думаю продублировать отдельными актами. Классификацию тоже убирать не стал, пусть будет, ибо, насколько я понял, классифицировать по приказу можно, но не обязательно, и результаты классификации не ложатся в основу для построения системы защиты информации.
А про выбор средств защиты и методики определения актуальности угроз поинтересовался у Василия, ведь ему все просто )))
А если серьезно, данный вариант, описанный мной выше, по приведению к неактуальности угроз НДВ можно реализовать только сейчас, потом, когда выйдут руководящие документы регуляторов - все, скорее всего, придется переделывать, это-то как раз и есть самое неприятное :(
Цитата
Владимир пишет:
все, скорее всего, придется переделывать
вот именно, так что сейчас делать какие-то новые документы/переделывать старые есть смысл только в том случае, если вот-вот ожидается проверка.
Цитата
Настя пишет:
вот именно, так что сейчас делать какие-то новые документы/переделывать старые есть смысл только в том случае, если вот-вот ожидается проверка.
Ну, скажем так, мое мнение, что делать их всё же есть смысл, возможность внеплановой проверки под конец года, конечно стремится к нулю, но все же остается. Поэтому считаю, что по возможности стоит подготовить необходимые документы в соответствии с новыми требованиями, но держать их в электронном виде, чтобы была возможность мгновенного подписания :)
Цитата
Владимир пишет:
в электронном виде
ну да, самый приемлемый вариант
Подскажите с чего начать классификацию 1С Бухгалтерия, 1С Зарплата? Сделала отчет, акт начала модель угроз, а потом вышло 1119. Все заново переделывать? эти ИСПДН должны быть отдельно?
Начинать с модели угроз. Потом уровень защищенности и выбор защитных мер (после утверждения приказа ФСТЭК) Можете сделать одну ИСПДн Зарплата-Кадры или две, как вам удобнее.
Цитата
Сергей С. пишет:
Начинать с модели угроз. Потом уровень защищенности и выбор защитных мер (после утверждения приказа ФСТЭК) Можете сделать одну ИСПДн Зарплата-Кадры или две, как вам удобнее.
А акт классификации? я думала сначала он, потом модель угроз. Я не права?
По этой схеме модель угроз составлять? В соответствии с базовой моделью фстэк и методикой определения актуальных угроз?
Например так:
1 ИСПДн №1 1С:Предприятие 8.2 – «Бухгалтерия»
1.1 Структура ИСПДн
1.2 Состав и структура персональных данных 1.3 Структура обработки ПДн 1.4 Режим обработки ПДн 1.5 Классификация нарушителей 1.6 Исходный уровень защищенности ИСПДн 1.7 Вероятность реализации УБПДн 1.8 Реализуемость угроз 1.9 Оценка опасности угроз 1.10 Определение актуальности угроз в ИСПДн 1.11 Модель угроз безопасности[TABLE][TR][TD]
[/TD][/TR][TR][TD]
[/TD][/TR][TR][TD]
[/TD][/TR][TR][TD]
[/TD][/TR][TR][TD]
[/TD][/TR][TR][TD]
[/TD][/TR][TR][TD]
[/TD][/TR][/TABLE]
После модели угроз - акт?
Я одного не могу понять - а зачем вообще что-то переделывать для уже существующих ИСПДн? Насколько я помню информационное письмо ФСТЭК - все положения новой нормативки распространяются на ИСПДн, решение о создании (модификации) которых принималось после выхода ПП1119. Если вы все успели сделать по-старому или инициировали процесс создания ИСПДн до 1 ноября, то и сидите себе спокойно со старым актом.
Цитата
Михаил пишет:
сидите себе спокойно со старым актом.
Однако 1119ПП выполнять надо и "дедушкиной оговорки" в нем нет. Это приказ ФСТЭК распространяется на вновь созданные (модернизируемые) ИСПДн, и то в проекте. И ч.2.1 ст. 25 никто не отменял - уведомить до 1 января 2013 г. в частности по п.11ст.22: сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.
Там ведь не только средства защиты (которые годятся и старые).
Документы только начали делать в ноябре-декабре... все документы были на стадии разработки..поэтому придется делать по новой схеме. Вот только порядок не понятен :(
Порядок в 1119ПП. Берете исходные данные: тип актуальных угроз, количество и категория ПДн, устанавливаете УЗ и выполняете требования по его обеспечению.
Если честно, то для меня ПП 1119 в техническом плане - вывих мозга. И я не удивлюсь, если регуляторы со своими РД ещё удивят нас своей трактовкой типов актуальных угроз НДВ, и всем кто сейчас спешит переделать Акт и Модель придется их переделывать ещё раз.
Я щас вот ещё к чему пришел - согласно ст.25 ФЗ надо уведомить РКН до 01.01.2013 тем, кто обрабатывал ПДн до 01.07.2011, и даже среди таких думаю, что большинство уже успели это сделать до выхода ПП 1119, вот им я считаю сейчас Акт и Модель переделывать не надо, поскольку на момент уведомления ещё действовало ПП 781, а закон как известно обратной силы не имеет. Получается что сейчас суетиться по новым требованиям ПП нужно только тем операторам, которые обрабатывали данные ещё до 01.07.2011 и которые не успели уведомить РКН до ноября.
Цитата
Михаил пишет:
Получается что сейчас суетиться по новым требованиям ПП нужно только тем операторам, которые обрабатывали данные ещё до 01.07.2011 и которые не успели уведомить РКН до ноября.
А которые начали обрабатывать после 01.07 уже должны были уведомлять по-новому, понятно, что из-за отсутствия ПП это сделать было невозможно, так что касается это всех операторов
Не согласен. Да они должны были это делать исходя из уровней защищенности а не классов, но т.к. ПП целый год не было, а уведомлять надо было, то все это делали исходя из ПП781. И РКН нормально принимал у них эти уведомления и все кто за этот год под проверку попали, спокойно проверялись по 781. Поэтому те, кто успел уведомить, сейчас экстренно переуведомлять до 01.01.2013 ИМХО не должны.
Мало того, согласно п.7 ПП1119 определить актуальность типа угрозы можно только по РД регуляторов. Сейчас их нет, поэтому оснований для определения актуальности того или иного типа угроз НДВ просто нет. Получается, что Акт все ещё невозможно сделать по уровням защищенности.
Страницы: Пред. 1 2 3 4 5 ... 15 След.
Ответить
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку