Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

SIEM ОТ MCAFEE УСПЕШНО ПРОШЛА СЕРТИФИКАЦИЮ ФСТЭК РОССИИ

01/04/2015

McAfee Security Information and Event Management (версия 9.3) успешно прошла сертификационные испытания, результатом которых стал сертификат соответствия №3353 (от 18 февраля 2015), выданный ФСТЭК России.

Реклама

Партнеры

Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: Пред. 1 2 3 4 5 ... 14 След.
Ответить
RSS
ФСТЭК - не обманули, Проект приказа по ПДн
Всем привет!
Кто-нибудь уже разбирался с проектом приказа ФСТЭК, утверждающим состав и содержание организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн?
Даже мне, специалисту с дипломом по ЗИ, трудно с первого раза разобраться что к чему в этом проекте, а как же те, кто по воле судьбы назначен ответственными за безопасность ПДн в организации?
Может есть какие-то мысли, которые можно открыто обсудить по поводу данного документа?
Здравствуйте Настя! :D
Вы новый еще не принятый проект имеете ввиду?

Если честно я и старый пока не очень то понимаю. :D
Цитата
Дмитрий пишет:
Вы новый еще не принятый проект имеете ввиду?
да, его. Просто я смотрю на него и... смотреть больше не хочется)
Его тут почти не обсуждали, хотя не думаю, что его финальная редакция сильно изменится. Вот и подумала, что может быть начать готовиться.
Тоже посмотрел сей "шедевр".... :D
У меня тоже техническое образование, но понять в нем что либо было просто невозможно.
Так что я все же думаю что его доработают, доведут до ума и представят в удобочитаемом виде...хотя бы для среднестатистического айтишника.

Так что в силу он вступит еще не скоро. Пока буду разбираться со старым. И без него по этим ИСПДн всяких документов понаписали.
На первый взгляд, меры не очень страшные. Большинство мер можно реализовать, используя СЗИ того или иного класса, причем наличие конкретных механизмов защиты можно проверить, почитав РД ФСТЭК (по АС, по СВТ, по МЭ).

Самая главная "уязвимость", как всегда, кроется в нечеткости формулировок.
П.9.
"9. ...
Выбор мер по обеспечению безопасности персональных данных, подлежащих реализации в системе защиты персональных данных, включает:
выбор базового набора мер по обеспечению безопасности персональных данных для установленного уровня защищенности персональных данных, ... в соответствии с базовыми наборами мер ... приведенными в приложении № 1 к настоящему документу;
адаптацию выбранного базового набора мер ... применительно к структурно-функциональным характеристикам информационной системы, реализуемым информационным технологиям, особенностям функционирования информационной системы, а также с учетом целей защиты персональных данных (конфиденциальности, целостности, доступности);

дополнение адаптированного базового набора мер по обеспечению безопасности персональных данных дополнительными мерами по обеспечению безопасности персональных данных, ..."

Возникает вопрос: Базовый набор - это обязаловка независимо ни от чего или в зависимости от той же структуры ИСПДн (напрмер, пдключенной/неподключенной с ССОП)?

Конечно могли бы написать попроще, документ ориентирован на интеграторов, слишком много пунктов - можно объединить ориентируясь на функционал СЗИ.
Прошу прощения за шрифт. Цитаты форматруются как попало :(
Цитата
AlexG пишет:
дополнение адаптированного базового набора мер
Я так понял, что адаптация базового набора под конкретную ИСПДн.
"Выбранные и реализованные в системе защиты персональных данных организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах должны обеспечивать нейтрализацию актуальных угроз безопасности персональных данных, определенных в соответствии с частью 5 статьи 19"
"Оценка достаточности выбранных и реализованных в системе защиты персональных данных организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах для нейтрализации актуальных угроз безопасности персональных данных осуществляется оператором ..."
Так что не все так страшно, госам конечно сложнее.
И еще вот это не понятно:
" Для обеспечения 1 и 2 уровня защищенности персональных данных в информационных системах персональных данных, а также 3 уровня защищенности персональных данных в информационных системах, в которых определены в качестве актуальных угрозы 2-го типа или которые подключены к информационно-телекоммуникационным сетям международного информационного обмена, должны применяться средства защиты информации не ниже 4 класса защиты (5 класса защищенности средств вычислительной техники)".
То ли они вместо 4-ки 5-ку написали, то ли еще что...
Это на перспективу, классы защищенности есть пока для антивируса и СОВ, для них профили защиты уже написали.
Цитата
Сергей С. пишет:
Это на перспективу, классы защищенности есть пока для антивируса и СОВ, для них профили защиты уже написали.
Хм... А классы АС и МЭ куда девать?
Так они и написали 4 класс.
Цитата
Сергей С. пишет:
Так они и написали 4 класс.
АС??
4 класс защиты в соответствии с функционалом СЗИ, классы АС тут не причем.
Вот мы продекларировались в 2009 г., а что делать дальше?
За это время произошли изменения в структуре, ИСПДн стала распределенной через Континент. Какий документ нужен для разных разных там комиссий?
Я вот так и не понял, а как определить какого типа актуальны угрозы?
Цитата
Гость пишет:
Я вот так и не понял, а как определить какого типа актуальны угрозы?
Видимо по методике ФСТЭК.
Цитата
Влад пишет:
Вот мы продекларировались в 2009 г., а что делать дальше?
За это время произошли изменения в структуре, ИСПДн стала распределенной
Проведите аудит вашей системы, сделайте Положение по обработке ПДн, Акт определения уровня защищенности ПДн, перечень допущенных лиц, модель угроз, журналы, инструкции, перечень ИСПДн, перечень ПДн, обрабатываемых в ИСПДн и т.д. (хотя бы в электронном виде).
И ждите нормативки от ФСТЭКа по определению актуальных угроз и др.

Цитата
Гость пишет:
как определить какого типа актуальны угрозы?
пока что по Методике определения актуальных угроз, как и раньше, больше никак. Ждём нормативку от ФСТЭКа..
Цитата
Настя пишет:
пока что по Методике определения актуальных угроз, как и раньше, больше никак. Ждём нормативку от ФСТЭКа..
Это понятно, что актуальные угрозы определяются в соответствии с методиками ФСТЭК. Но в ПП 1119 говориться об типах актуальных угроз. Для ИСПДн актуальны угрозы 1 типа. если в ней присутствую угрозы связанные с не декларированными возможностями в системном программном обеспечении.
Это получается, что всегда актуальны угрозы 1 типа, если у тебя ОС не сертифицирована?
Цитата
Гость пишет:
Для ИСПДн актуальны угрозы 1 типа. если в ней присутствую угрозы связанные с не декларированными возможностями в системном программном обеспечении.
Не вырывайте фразы из контекста:
Цитата
Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.
После составления модели угроз и выделения из перечня угроз актуальных провОдите анализ и устанавливаете, есть ли среди актуальных угрозы, основывающиеся на использовании НДВ в системном ПО (для первого типа угроз) или в прикладном (для второго типа угроз). Нет? - Вам повезло!
Страницы: Пред. 1 2 3 4 5 ... 14 След.
Ответить
Читают тему (гостей: 2, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку