Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

SIEM ОТ MCAFEE УСПЕШНО ПРОШЛА СЕРТИФИКАЦИЮ ФСТЭК РОССИИ

01/04/2015

McAfee Security Information and Event Management (версия 9.3) успешно прошла сертификационные испытания, результатом которых стал сертификат соответствия №3353 (от 18 февраля 2015), выданный ФСТЭК России.

Реклама

Партнеры

Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1 2 3 След.
Ответить
RSS
Как определить уровень защищенности?, Нужна помощь в определении типа ИСПДн и типа угрозы
Всем доброго дня.

Начну издалека. В "кадрах" собирают ПД сотрудников (паспортные, военный билет, СНИЛС, стаж работы, сведения о доходах и т.п. + СВЕДЕНИЯ О СОСТОЯНИИ ЗДОРОВЬЯ). Можно ли отнести эту ИСПДн к типу ИСПДн, котрая обрабатывает иные категории ПДн или это ИСПДн обрабатывающая специальные категории ПДн?

Далее... как понимать формулировку типа угрозы?

Цитата

если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе
Я понимаю это так - если на ИСПДн установлена лицензионная операционная система, то в ней не может быть недокументированных (недекларированных) возможностей. Верно ли это?
Цитата
Sergey13 пишет:
СВЕДЕНИЯ О СОСТОЯНИИ ЗДОРОВЬЯ
Это специальная категория, только зачем она кадрам? Насколько я знаю кадрам нужна справка о возможности/невозможности выполнять трудовую функцию, а это не совсем состояние здоровья (вернее совсем не состояние здоровья), так же как больничный.
Цитата
Sergey13 пишет:
Я понимаю это так - если на ИСПДн установлена лицензионная операционная система, то в ней не может быть недокументированных (недекларированных) возможностей. Верно ли это?
Не верно. Лицензия = законное владение (использование) продукта. По НДВ необходима спецпроверка (анализ исходного кода) с выдачей сертификата.
Цитата
Sergey13 пишет:
ПД сотрудников (паспортные, военный билет, СНИЛС, стаж работы, сведения о доходах и т.п. + СВЕДЕНИЯ О СОСТОЯНИИ ЗДОРОВЬЯ)
В разъяснениях РКН есть такая фраза:
Кроме того, получение работодателем согласия на обработку персональных данных не требуется в следующих случаях:
3. Обработка специальных категорий персональных данных работника, в том числе, сведений о состоянии здоровья, относящихся к вопросу о возможности выполнения работником трудовой функции на основании положений п. 2.3 ч. 2 ст. 10 Федерального закона «О персональных данных» в рамках трудового законодательства.

Это я к тому, что такие сведения по мнению регулятора следует относить к категории специальные, а не иные.



Цитата
Sergey13 пишет:
Далее... как понимать формулировку типа угрозы?
Цитата

если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе
Я понимаю это так - если на ИСПДн установлена лицензионная операционная система, то в ней не может быть недокументированных (недекларированных) возможностей. Верно ли это?
По этому вопросу необходимо дождаться подзаконных актов ФСТЭК по моделированию угроз, чтобы наверняка ответить.
Пока же прочитайте статью в блоге М.Емельянникова.
Согласна с позицией:
"Мо­де­ли по­ве­де­ния опе­ра­то­ров на се­го­дняш­ний день при­мер­но одни и те же — при­знать ак­ту­аль­ны­ми угро­зы толь­ко тре­тье­го типа (не свя­зан­ные с ис­поль­зо­ва­ни­ем зло­умыш­лен­ни­ком неде­кла­ри­ро­ван­ных воз­мож­но­стей) и за­щи­щать­ся по ми­ни­му­му. Су­ще­ству­ю­щие до­ку­мен­ты никак та­ко­му пути не препятствуют."

По поводу НДВ - лицензия на ОС никак не исключает наличия в ОС НДВ, оставленных разработчиком. Тут может помочь только сертификат на НДВ, но невозможно на каждое ПО купить сертификат.
Цитата
Настя пишет:
Это я к тому, что такие сведения по мнению регулятора следует относить к категории специальные, а не иные.
Ну это в том случае, если обрабатываются именно такие сведения и решение о допуске к работе по состоянию здоровья на основании этих сведений принимает работодатель. А если в справке из медучреждения написано, что работать на высоте может (не может), то к состоянию здоровья это отношения не имеет.
И все же.

Если с ПД (паспортные, военный билет, СНИЛС, стаж работы, сведения о доходах и т.п.) также берутся именно СВЕДЕНИЯ О СОСТОЯНИИ ЗДОРОВЬЯ (не спраквка о том, что здоров), то ИСПДн становится специальной?

Я понял, что нормативная база на сегодняшний день позволяет легко выбирать третий тип угроз, чем в основном и пользуются операторы.
И как же вы будете доказывать контролирующим органам что данная ИСПДн не имеет угроз 1 и 2 типа, без соответствующего сертификата?

По моему мнению если ОС не имеет сертификата от ФСТЭК значит для нее актуальны угрозы 1 типа;
Если нет Сертификата ФСТЭК на программу обрабатывающую ПДн, значит для ИСПДн характерны еще и угрозы 2 типа.
Если есть сертификат и на ОС и на программу то актуальны угрозы 3 типа....по моему это очивидно и понятно . И другой трактовки просто быть не может.

И не надо никого путать...хочу поставлю актуальность 2 типа, хочу 3 типа...нет!!! Все уже написано в ПП 1119.....И регуляторы тоже не идиоты. :D
Цитата
Дмитрий пишет:
И регуляторы тоже не идиоты.
можно поспорить :)

Цитата
Дмитрий пишет:
если ОС не имеет сертификата от ФСТЭК значит для нее актуальны угрозы 1 типа;
Если нет Сертификата ФСТЭК на программу обрабатывающую ПДн, значит для ИСПДн характерны еще и угрозы 2 типа.
Если есть сертификат и на ОС и на программу то актуальны угрозы 3 типа
Таких, кто думает также, как вы, к счастью, меньшинство. И надеюсь, авторы будущих подзаконников не из их числа ;)
Думаю здесь вы правы оба. Пока небудет официальных разъяснений и дополнительных документов определенности в этом вопросе не будет.
Порылся в форуме нашел ссылку на вебинар по подготовке к проверки РОСКОМНАДЗОРА http://www.risspa.ru/volkov_personal_data_170812

Там они не использовали СЗИ имеющие Сертификаты ФСТЭК.....но написали "Приказ о тех средствах" где сами себе так сказать сертифицировали имеющиеся у них в наличии СЗИ....отличный "винт ушами"....интересно сейчас такое прокатит???

У них прокатило. :D :D :D
Коллеги, читайте внимательно, речь не идет о наличии или отсутствии НДВ (они есть частенько, особенно в больших системах) а об их актуальности. И под НДВ понимаются только такие возможности, которые могут привести к нарушению одной из характеристик безопасности КДЦ. Вероятность "случайного" использования (вернее активации) НДВ легальным (внутренним) пользователем, которые приведут к последствиям близка к нулю, внешний нарушитель а) должен знать о этих возможностях, б) иметь возможность их реализовать, что весьма непросто в условиях применения достаточно простых защитных мер (пропускной режим, МЭ, антивирус, средства доверенной загрузки и защиты от НСД) и в) эти действия приведут как минимум к ущербу для субъектов ПДн. Все это определяется экспертным путем (палец-пол-потолок), и для большинства операторов угрозы НДВ неактуальны.
По моему мнению если они есть НДв...значит они могут принести вред....а уж какой....без эксперта не проверить....особенно в небольшой и в средней организации. Они не будут тратиться на фирму лицензиата для проверки этого. Проще купить СЗИ и закрыть эту угрозу....дешевле и сердитее. Или проще преобрести продукт с сертификатом.

И что тут гадать....будет злоумышленик использовать эту НДв или нет....закрыть ты ее должен от греха подальше! :D
Ты должен упредить эту угрозу!
Цитата
Дмитрий пишет:
По моему мнению если они есть НДв...значит они могут принести вред
Так и метеорит может в серверную залететь. Я вообще не понимаю, почему ФСБ к НДВ прицепилась, хотя конечно это их хлеб - враги закладок понаделали.
Настя, вы у нас просто "святая наивность".....законники думают именно так! А вы уже хотите видеть в этом гораздо смягченный смысл.

Законы и пишутся для того чтобы драть деньги. И собирать их в больших колличествах в бюджет и себе в карманы....так как они по вашему будут трактовать отсутствие сертификата?

Естественно в сторону своей выгоды!
Цитата
Дмитрий пишет:
Проще купить СЗИ и закрыть эту угрозу....дешевле и сердитее. Или проще преобрести продукт с сертификатом.
Продукт с сертификатом это конечно хорошо.

А вот какой же это СЗИ можно закрыть угрозу НДВ?
Никакими. Именно по этому и нужно использовать СЗИ только с сертификатами.
Что бы ни один орган до вас докапатся не смог.
Цитата
Дмитрий пишет:
Именно по этому и нужно использовать СЗИ только с сертификатами.
Что бы ни один орган до вас докапатся не смог.
не согласна. Орган сначала должен доказать актуальность НДВ (о чём писал Сергей выше).

Это то же самое, что угроза ПЭМИН. Она есть почти везде, но почти везде она неактуальна (злоумышленнику дешевле подкупить кого-то из персонала).

А по вашей логике нужно покупать дорогостоящие САЗ (ср-ва активной защиты), жкранировать помещения и т.д., чтобы регуляторы "не докопались" до какой-нибудь школы или больницы. И поэтому угроза ПЭМИН признана неактуальной в отраслевой модели Минздрава.



Цитата
Дмитрий пишет:
Законы и пишутся для того чтобы драть деньги. И собирать их в больших колличествах в бюджет и себе в карманы...
получается не всегда так, иначе ПЭМИН бы до сих пор признавались актуальными и опасными для всех!

То же, по моему мнению, будет и с НДВ.
Коллеги, я тут на досуге перечитал 1119, и в качестве пятничного офтопа выяснил следующее: в случае актуальности НДВ УЗ=1,2,3; если НДВ неактуальна, то 4. То есть разница в применяемых защитных мерах как раз и закрывает угрозу НДВ. Смотрим на эти меры:
- назначено должностное лицо (работник), ответственный за обеспечение безопасности персональных данных в информационной системе;
- доступ к содержанию электронного журнала сообщений был возможен исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей;
- автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе;
- создание структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности. :D


Цитата
Сергей С. пишет:
Смотрим на эти меры
)) было бы хорошо, если бы не Проект приказа ФСТЭК Об утверждении состава и содержания мер..
п.с. не хотела никому испортить пятничное настроение :)
Опять же - проект, беда в том, что ПП готовила ФСБ, а СОИСО - ФСТЭК. Ничего, прорвемся.
Помогите, пожалуйста, определиться с вопросом:

Если с ПД (паспортные, военный билет, СНИЛС, стаж работы, сведения о доходах и т.п.) также берутся именно СВЕДЕНИЯ О СОСТОЯНИИ ЗДОРОВЬЯ (не спраквка о том, что здоров), то ИСПДн становится специальной?
Страницы: 1 2 3 След.
Ответить
Читают тему (гостей: 4, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку