Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

GDPR: Новые правила обработки персональных данных в EU

15/06/2018

Все слышали о General Data Protection Regulation (GDPR) (Regulation (EU) 2016/679), который вступил в силу 25 мая 2018 года. Штрафы большие и придётся соответствовать. Как и любой официальный документ, он написан сухо и может трактоваться по-разному.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1
Ответить
RSS
Модель угроз ИСПДн УЗ-3, с чего начать ^_-
Подскажите, пожалуйста, вот есть акт классификации ИСПДн (3 УЗ).
Какие дальнейшие технические (с организационными мало по малу ясно)действия? я имею ввиду составление модели угроз.
У нас ИСПДн только вводится в эксплуатацию, соответственно будут актуальны практически все угрозы. Как связывать меры по защите из 21 приказа и модель угроз (я так понял, нужно делать сначала базовую, а потом частную)
А вообще, по хорошему, не ясно, завчем делать МУ, если есть 21 приказ ФСТЭК, где определены меры по защите для ИСПДн соответствующего уровня защищённости, по мне, так выполнить эти меры и ИСПДн защищена (ФСТЭК forever)
Где-нибудь написано,что оператор ПДн должен делать модель угроз "по таким-то документам..."?
Изменено: lumenaris - 08.11.2013 09:04:18
Вообще-то сначала делается модель угроз, а уж исходя из нее и определяется что раз такие угроза актуальны, а такие нет, то значит уровень защищенности будет такой-то.
Акт классификации и модель угроз создаются скорее параллельно. Они зависят друг от друга, так например на основании типа угрозы (1, 2, 3) определяется УЗ по ПП1119, при этом на основании модели угроз можно сказать, что ряд требований Приказа ФСТЭК №21 не актуальны (например, использование беспроводных устройств или мобильных устройств).

Пока имеется всего один документ по составлению модели угроз, это Базовая модель угроз ФСТЭК и соответственно Методика определения актуальных УБПДн.

>>У нас ИСПДн только вводится в эксплуатацию, соответственно будут актуальны практически все угрозы.

Не обязательно, если вы сразу внедряете СЗИ, то часть угроз уже будет неактуальной, это учитывается при написании модели угроз.

>> Как связывать меры по защите из 21 приказа и модель угроз (я так понял, нужно делать сначала базовую, а потом частную) А вообще, по хорошему, не ясно, завчем делать МУ, если есть 21 приказ ФСТЭК, где определены меры по защите для ИСПДн соответствующего уровня защищённости, по мне, так выполнить эти меры и ИСПДн защищена (ФСТЭК forever)

Все ИСПДн разные, на все ИСПДн делать одни и те же требования было бы странно. Поэтому есть базовые требования Приказа 21 и есть модель угроз, которая является более гибким инструментом, позволяющим подточить ряд требований или расширить другие, которые не учитываются в 21-м Приказе.

>>Где-нибудь написано,что оператор ПДн должен делать модель угроз "по таким-то документам..."?

В ст.19 ФЗ 152 написано, что Федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов, иные государственные органы в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки.
По факту сейчас есть Базовая модель угроз ФСТЭК и Методика определения актуальных УБПДн. По ним все и делают.
Добрый день!
Подскажите, пожалуйста, каким образом определить уровень защищенности? А именно какой тип угроз применим к определенной ИСПДн? Есть какие-то правила определения типа угроз, таблицы может нужно составлять или можно просто пальцем в небо есть или нет НДВ?
У нас есть модель угроз и есть акты классификации по старым постановлениям - может они как-то помогут?
Заранее благодарю за ответ!
>>Подскажите, пожалуйста, каким образом определить уровень защищенности?

На основании ПП1119

>>А именно какой тип угроз применим к определенной ИСПДн? Есть какие-то правила определения типа угроз, таблицы может нужно составлять или можно просто пальцем в небо есть или нет НДВ?

Правил определения типа угроз нет, во всяком случае пока никто из тройки (ФСБ, ФСТЭК, РКН) не предложил. И складывается ощущение, что не предложит)
Один из возможных подходов косвенно дается в Базовой модели угроз ФСТЭК. Там к одному из типов нарушителей относятся программисты-разработчики, и там говорится про недекларированные возможности. Можно на основании этого сделать соответствующие выводы о наличии или отсутствии угроз НДВ.

>>У нас есть модель угроз и есть акты классификации по старым постановлениям - может они как-то помогут?


Старые модель угроз и акт классификации лучше пока не выкидывать, потому что тройственный приказ по старой классификации пока не отменен.
Спасибо!
Буду штудировать Базовую модель угроз и ждать разъяснений от "тройки" :)
;)
Цитата
Виктория пишет:
Буду штудировать Базовую модель угроз и ждать разъяснений от "тройки"
Виктория, от штудирования будет мало проку: уж очень она перенасыщена лишней информацией. Найдите хорошую "рыбу", прикиньте, какие угрозы есть в Вашей ИСПДн, по "Методике определения актуальных угроз" определите штук 7-8 актуальных. Разумеется, в к актуальным лучше не относить угрозы наличия НДВ, тогда получите 3-й тип угроз. Зная тип, по ПП-1119 определите и уровень защищенности.
Страницы: 1
Ответить
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку