Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

В России хотят создать мегарегулятора информационной безопасности, взяв пример с США

18/11/2017

В рамках реализации программы «Цифровая экономика» предлагается определить единый госорган, ответственный за требования к средствам информационной безопасности.

Реклама

Партнеры

Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1 2 След.
Ответить
RSS
приказ ФСБ №378 от 10 июля 2014
Здравствуйте, был опубликован еще один приказ о защите ПД. Как я понял, он является дополнением к ПП 1119.
Но что делать по нему пока не понял, подскажите какие документы необходимо разработать, чтобы АС удовлетворяла требованиям этого приказа?
Сергей, а приказ читать не пробовали? Там же достаточно ясно написано, что нужно сделать. Ну, и о других документах ФСБ тоже не забывайте, прежде всего "Типовые требования ..." от 2008г.
AlexG, не суди строго я молодой специалист и глаз еще не намотан, что я увидел:
1)требования к защите ПД для каждого из уровней защищенности (какой класс СКЗИ должен быть использован для того или иного уровня защиты)
2) не знаю было ли раньше, но как я понял, что нужно необходимо "беспечение периодического контроля работоспособности указанных в подпунктах "б" и "в" настоящего пункта автоматизированных средств (не реже 1 раза в полгода)."
далее уже цитаты Лукацкого А.
3) Помимо оснащения помещения дверей с замками и их опечатывания помещений по окончании рабочего дня, теперь можно помещения просто оснастить техническими устройствами, сигнализирующими о несанкционированном вскрытии помещений
4) Вместо хранения всех носителей ПДн (включая бумажные, сервера, сетевое оборудование и т.п.), теперь в проекте приказа говорится только о съемных машинных носителях
5) Поэкзмеплярный учет теперь нужно делать не для всех носителей, а только для машинных (но не только съемных)


подскажи, может я что то упустил ?
Сергей, вот смотри:

Открываем Приказ.

п.6. б) Правила доступа в Помещения в рабочее и нерабочее время, а также в нештатных ситуациях;
п.6. в) Перечень лиц, имеющих право доступа в Помещения.
п.7. б) Журнал учета носителей персональных данных с использованием регистрационных (заводских) номеров.
п.8. а) документ (например, Список или Перечень), определяющий перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных обязанностей;

п.9. б) ... здесь, коротко говоря, нужна Модель угроз (совокупность предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак);
п. 17. Приказ о назначении ответственного за безопасность ПДн плюс Инструкция этому ответственному.
п.20 а) Список лиц, допущенных к содержанию эл. журнала сообщений ...

Ну и т.д.... Из каждого пункта приказа вытекает необходимость написать какую-то бумажку.
Плюс набор "бумажек", регламентирующих эксплуатацию криптосредств (см. "Типовые требования по организации и обеспечению функционирования ШС ...." 2008г.
Изменено: AlexG - 23.12.2014 18:48:09
AlexG, а по повожу пункта 7-б. Учет жестких дисков тоже ? там же не сказано съемных носителей, т.е. жеские диски на которых есть пд их тоже нужно учитывать ?
Нужно
ICQ 377238542
Сергей, да, все носители нужно учитывать. В ФСБ без этого никак, скажите спасибо, что они не заставляют хранить ВСЕ носители в сейфах (только съемные) ;)
Нууууу, вроде как никогда не заставляли, а вот системные блоки опечатывать придется
ICQ 377238542
Андрей, а вы почитайте проект этого приказа.
Нуууу, это уже не проект, а приказ. А, что в проекте приказа почитать надо?
ICQ 377238542
Цитата
Сергей пишет:
Здравствуйте, был опубликован еще один приказ о защите ПД. Как я понял, он является дополнением к ПП 1119.
Но что делать по нему пока не понял, подскажите какие документы необходимо разработать, чтобы АС удовлетворяла требованиям этого приказа?
https://file-up.net/big_3c60e0c39091d2407f20150122091329.html

https://file-up.net/big_0c61a6759829ecf71720150122091434.html

Цитата
AlexG пишет:
Сергей, а приказ читать не пробовали? Там же достаточно ясно написано, что нужно сделать. Ну, и о других документах ФСБ тоже не забывайте, прежде всего "Типовые требования ..." от 2008г.
Занялся проработкой документов по СКЗИ. Откопал кучу документов регламентирующих использование крипты. Половина из них в непонятном статусе. Например "Методические рекомендации
по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации
(утв. ФСБ РФ 21 февраля 2008 г. N 149/54-144)". Документ очень древний и ссылается аж на 781 приказ. Как с ним быть? К тому же есть ФАПСИ и прочие национальные стандарты.

На одном из форумов наткнулся на такой пост:

"Допустим, для связи с ПФР/Налоговой/Казначейством/удалённым офисом вы поставили ViPNet/Континент..
Что же вам нужно сделать, чтобы использовать это СКЗИ для пересылки перс.данных в соответствие с требованиями ФСБ?
1. Теперь у вас есть (еще одна) ИСПДн. Вам нужно ее классифицировать, разработать модель угроз с учетом требований ФСБ;
2. На установленный випнет необходимо сформировать заключение о возможности эксплуатации СКЗИ. В котором перечислить тип СКЗИ и серийный номер, серийники ПК, указать результаты тестов работоспособности СКЗИ и т.д.;
3. Опечатать системный блок, где установлен випнет. Номера печати внести в Заключение;
4. Назначить приказом ответственных за обслуживание СКЗИ, а так же допущенных к работе с випнетом;
5. Описать функциональные обязанности ответственных;
6. Разработать инструкции, регламентирующие процессы подготовки, ввода, обработки, хранения и передачи защищаемой информации и согласовать их с лицензиатом ФСБ;
7. Ознакомить всех ответственных со всеми документами под роспись;
8. Организовать орган криптографической защиты;
9. Организовать комиссию по обучению лиц, допущенных к работе с СКЗИ. Разработать программу зачётов. Организовать обучение и устроить зачёты. Составить на каждого пользователя заключение.
10. Завести технический (аппаратный) журнал, в котором учесть все СКЗИ, материальные носители, ключевые носители и документацию на СКЗИ;
11. Выдавать СКЗИ, ключи, документацию и мат.носители под роспись в журнале;
12. Завести на каждого пользователя лицевой счёт, в котором фиксировать выданные СКЗИ, ключи, документацию и мат.носители;
13. Каждому пользователю организовать индивидуальное хранилище для хранения СКЗИ, ключей и документации. А так же отдельное хранилище для хранения резервных копий (хранить их требуется отдельно от рабочих). Сделать дубликаты ключей от хранилищ и надежно их хранить;
14. Помещения, где стоит випнет (или хранятся ключи), оснастить охранной сигнализацией. Периодически проверять ее работоспособность;
15. Расположить мониторы так, чтобы исключить просмотр содержимого экрана посторонними. Защитить окна от подглядываний;
16. Пронумеровать, учесть и выдать под расписку ключи от помещений пользователям. Сделать дубликаты и хранить отдельно в сейфе;
17. Помещение, где стоит випнет, должно постоянно замыкаться на ключ и может открываться только для "санкционированного прохода пользователей";
18. В конце дня все индивидуальные хранилища опечатывать, помещения закрывать на ключ. Ключи сдавать под расписку ответственному (личные печати для опечатывания хранилищ и помещений пользователи уносят с собой);
19. В моменты смены криптоключей - удалять из помещения всех не допущенных к СКЗИ лиц;
20. Описать принятые организационные и технические меры защиты.

Все вышеуказанные требования обязательны (правда проверяют пока что только гос.организации). Прецеденты с наказаниями имеются.

Создано по 152 приказу ФАПСИ и Типовым требованиям по использованию СКЗИ для защиты ПДн ФСБ"

Все неплохо, но это не все. По п. 9 не надо организовывать отдельную комиссию. Обучением и допуском пользователей занимается ОКЗ, для этого его и создают.
ICQ 377238542
Цитата
Андрей пишет:
Все неплохо, но это не все. По п. 9 не надо организовывать отдельную комиссию. Обучением и допуском пользователей занимается ОКЗ, для этого его и создают.
Недавно начал прорабатывать данное направление. Глаза разбегаются. Подскажите актуальный перечень нормативных документов по СКЗИ для персоналки (и для 17 приказа тоже). Для себя я пока нашел пару-тройку документов. взгляните:

  • Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации (утв. ФСБ РФ 21 февраля 2008 г. N 149/54-144)
Очень старый документ. статус его мне не понятен. Он ещё времен 781 и приказа трех. Нашел для себя интересные вещи. В частности модель нарушителя и классификацию СКЗИ. Насколько я понял в добавок к обычной модели угроз надо делать ещё одну по требованиям ФСБ (для тех систем где есть СКЗИ). Ибо МУ получится очень громоздкая. А её потом надо с адаптированным базовым набором мер сопоставлять....

  • Национальный стандарт РФ ГОСТ Р 34.10-2012 "Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 7 августа 2012 г. N 215-ст)

  • Приказ Федеральной службы безопасности Российской Федерации от 10 июля 2014 г. N 378 г. Москва "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности"

  • Постановление Правительства РФ от 16 апреля 2012 г. N 313 "Об утверждении Положения о лицензировании деятельности по разработке, производству, аспространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)"

  • Приказ ФАПСИ от 13 июня 2001 г. N 152
    "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну"
  • Приказ ФСБ РФ от 9 февраля 2005 г. N 66
    "Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)"

  • Типовой регламент проведения в пределах полномочий мероприятий по контролю (надзору) за выполнением требований, установленных Правительством Российской Федерации, к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (утв. ФСБ РФ 8 августа 2009 г. N 149/7/2/6-1173)
Взгляните, может что упустил. Или лишнего написал.
Изменено: Симак - 22.01.2015 18:02:04 (1)
Если это ко мне, то я не понял вопроса )))
ICQ 377238542
Цитата
Андрей пишет:
Если это ко мне, то я не понял вопроса )))
Какие документы регламентирующие применение СКЗИ в персоналке из приведенного мной списка лишние, каких не хватает?
Лишних не бывает )))))))
ICQ 377238542
Симак, если вы занимаетесь только защитой ПДн у себя и н разрабатываете/внедряете криптосредства для других, то ГОС и 313 ПП можно убрать: это для лицензиатов ФСБ. Остальное годится: для ФСБ "старых" документов не бывает, они их специально не отменяют, чтобы усложнить работу исполнителям.
Можно еще пару приказов добавить 795 и 796, для кучи ))). ГОСТ убрать, он для разработчиков. А вот ПП 313 я бы не торопился.
ICQ 377238542
Цитата
Андрей пишет:
Можно еще пару приказов добавить 795 и 796, для кучи
А как эти документы применять для защиты ПДн?? Что нужно сделать?
Например, идентификация и аутентификация субъекта доступа при доступе к объектам доступа )))))).
ICQ 377238542
Страницы: 1 2 След.
Ответить
Читают тему (гостей: 3, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку