Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

SIEM ОТ MCAFEE УСПЕШНО ПРОШЛА СЕРТИФИКАЦИЮ ФСТЭК РОССИИ

01/04/2015

McAfee Security Information and Event Management (версия 9.3) успешно прошла сертификационные испытания, результатом которых стал сертификат соответствия №3353 (от 18 февраля 2015), выданный ФСТЭК России.

Реклама

Партнеры

Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1 2 След.
Ответить
RSS
Документы в ОРД ИСПДн
Доброе время суток! Подскажите весь перечень документов входящих в ОРД ИСПДн или ресурсы на которых этот список опубликован! Заранее благодарю! :)
Цитата
Гость пишет:
Доброе время суток! Подскажите весь перечень документов входящих в ОРД ИСПДн или ресурсы на которых этот список опубликован! Заранее благодарю!
Уважаемый гость. Регламентированного перечня, на мой взгляд, не существует. Могу Вам выслать в почту, перечень, проверенный РОскомнадзором. Пишите с темой ОРД в stertur@mail.ru
Гость, вы бы почитали форум, эта тема обсуждалась давно и подробно. Единого перечня нет. В каждом регионе РКН требует показать свой перечень документов и эти перечни время от времени меняются.
Примерно вот:
http://80na20.blogspot.ru/2012/03/blog-post.html
У Прозорова многовато, на мой взгляд. Много лишнего.

"Приказ о планировании мероприятий по внедрению СЗПДн
Приказ о проведении анализа угроз безопасности ПДн"
С какого перепугу нужно делать эти приказы? Откуда они?
Можно, конечно, написать и План выполнения плана.... или Приказ об издании приказа. Но надо ли?
Цитата
AlexG пишет:
У Прозорова многовато, на мой взгляд. Много лишнего.



"Приказ о планировании мероприятий по внедрению СЗПДн

Приказ о проведении анализа угроз безопасности ПДн"

С какого перепугу нужно делать эти приказы? Откуда они?

Можно, конечно, написать и План выполнения плана.... или Приказ об издании приказа. Но надо ли?
:D Согласен. Это субъективный набор. Человеку не сведущему в ИБ этого перечня будет достаточно для того чтобы ориентироваться в ОРД.
Мой перечень документов на реальном объекте (не по хронологи, по алфавиту)


* Акт ввода в эксплуатацию СЗИ ИСПДн
* Акт готовности к внедрению СЗИ ИСПДн
* Акт классификации автоматизированной системы
* Акт о проведении приёмо-сдаточных испытаний СЗИ
* Акт определения класса защищённости ИС
* Акт определения уровня защищённости ПДн в ИСПДн
* Акт установки СЗИ ИСПДн
* Журнал периодического тестирования средств защиты информации
* Журнал поэкземплярного учета криптосредств, эксплуатационной и технической документации к ним, ключевых документов
* Журнал поэкземплярного учета средств защиты информации, эксплуатационной и технической документации к ним
* Журнал приёма-передачи СВТ и учёта времени обработки информации
* Журнал проверок электронных журналов
* Журнал учета выдачи идентификаторов пользователям АС
* Журнал учета выдачи паролей пользователям АС
* Журнал учёта машинных носителей информации
* Журнал учета нештатных ситуаций ИСПДн, выполнения профилактических работ, установки и модификации программных средств на компьютерах ИСПДн
* Журнал учета пользователей, допущенных к информационным системам персональных данных
* Журнал учёта стирания информации
* Журнал учёта хранилищ
* Инструкция администратора защиты информации АС
* Инструкция ответственного за безопасность функционирования средств защиты, за * исключением криптографических, используемых в ИС
* Инструкция ответственного за обеспечение безопасности конфиденциальной информации в ИС
* Инструкция ответственного за эксплуатацию АС
* Инструкция ответственного пользователя шифровальных (криптографических) средств в ИС
* Инструкция по внесению изменений в списки пользователей и наделению их полномочиями доступа к ресурсам АС
--– Типовая форма заявки на внесение изменений в списки пользователей АС и наделение пользователей полномочиями доступа к ресурсам системы
---– Типовая форма заявки на внесение изменений в списки пользователей АС
* Инструкция по обеспечению безопасности информации при взаимодействии абонентов с информационными сетями общего пользования и сетями международного обмена
* Инструкция по проведению антивирусного контроля на ПЭВМ, входящих в состав АС
* Инструкция по работе с ключевыми носителями информации в автоматизированной системе организации
* Инструкция по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств АС
--– Типовая форма заявки на внесение изменений в состав аппаратно-программных средств
--– Типовая форма заявки на допуск сотрудников к аппаратно-программным средствам АС
--– Порядок технического обслуживания и ремонта ТС АС
--– Порядок проверки работоспособности системы защиты после установки (обновления) программных средств АС и внесение изменений в списки пользователей
* Инструкция пользователей и технология обработки конфиденциальной информации в АС
* Модель вероятного нарушителя ИСПДн
* Модель угроз ИСПДн
* Описание технологического процесса обработки информации в АС
* Политика обработки ПДн и реализуемы требований к защите ПДн
* Приказ о вводе в эксплуатацию информационной системы персональных данных
* Приказ о выводе персональных данных из информационных систем персональных данных и передачи их в архивный фонд
* Приказ о назначении комиссии для проведения аттестации объекта информатизации
* Приказ о назначении ответственных
--– ответственного за организацию обработки персональных данных
--– ответственного за эксплуатацию объекта информатизации
--– ответственного за обеспечение безопасности и защиту конфиденциальной информации
--– администратора защиты информации (администратором безопасности)
--– ответственного за безопасность функционирования средств защиты информации, за исключением криптографических, используемых в автоматизированной системе
--– ответственного за эксплуатацию криптографических средств защиты информации
--– ответственного за обеспечение контролируемой зоны
--– должностная инструкция ответственного за организацию обработки персональных данных
--– должностная инструкция ответственного за эксплуатацию объекта информатизации.
--– должностная инструкция ответственного за обеспечение безопасности и защиту конфиденциальной информации.
--– должностная инструкция ответственного обеспечение контролируемой зоны.
* Приказ об определении технических средств и систем, входящих в состав автоматизированной системы
* Приказ об утверждении границы контролируемой зоны ОИ
* Приказ об утверждении Перечня сведений конфиденциального характера
* Приказ об утверждении Положения о подразделении по защите информации
* Приказ Об утверждении Положения об организации и проведении работ по обеспечению безопасности конфиденциальной информации при их автоматизированной обработке в ИС
* Приказ об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации
--– Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации
--– Рекомендации по заполнению унифицированной формы № Т-2
--– Типовая форма листа ознакомления с персональными данными к унифицированной форме № Т-2
* Приказ об утверждении Правил осуществления внутреннего контроля соответствия обработки ПДн требованиям к защите ПДн
--– Правила осуществления внутреннего контроля соответствия обработки ПДн требованиям к защите ПДн
* Приказ об утверждении Правил работы с обезличенными персональными данными
--– Правила работы с обезличенными персональными данными
--– Перечень должностей сотрудников, ответственных за проведение мероприятий по обезличиванию ПДн
* Приказ об утверждении Правил рассмотрения запросов субъектов персональных данных или их представителей
--– Правил рассмотрения запросов
--– Типовая форма заявления субъекта ПДн о предоставлении сведений об операторе, обрабатывающем его ПДн
--– Типовая форма заявления субъекта ПДн о предоставлении информации по обрабатываемым оператором его ПДн
--– Типовая форма заявления субъекта ПДн об уточнении, обрабатываемых оператором его ПДн
--– Типовая форма заявления субъекта ПДн о блокировании, обрабатываемых оператором его ПДн
--– Типовая форма заявления субъекта ПДн о прекращении обработки и уничтожении, обрабатываемых оператором его ПДн
--– Типовая форма уведомления субъекта ПДн об обработке его ПДн
--– Типовая форма уведомления субъекта ПДн о блокировании его ПДн
--– Типовая форма уведомления субъекта ПДн о внесении изменений в его ПДн
--– Типовая форма уведомления субъекта ПДн о прекращении обработки и уничтожении его ПДн
--– Типовая форма уведомления субъекта ПДн об изменениях в реквизитах оператора ПДн
--– Типовая форма уведомления субъекта ПДн об устранении нарушений в порядке обработки ПДн
--– Типовая форма запроса оператора о получении у субъекта ПДн дополнительной информации об его ПДн
--– Типовая форма уведомления уполномоченного органа по защите прав субъекта ПДн об устранении допущенных нарушений
--– Типовая форма уведомления уполномоченного органа по защите прав субъекта ПДн об уничтожении ПДн
--– Типовая форма журнала учета запросов граждан (субъектов персональных данных) в ГБУЗ «ТОДКБ» по вопросам обработки персональных данных
--– Типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные
* Приказ об утверждении списка лиц, имеющих право самостоятельного доступа в помещения
* Приказ об утверждении списка ПО АС
* Приказ от утверждении Положения о разрешительной системе доступа исполнителей к документам и сведениям
--– Перечень лиц, имеющих самостоятельный доступ к штатным средствам объекта вычислительной техники
--– Перечень защищаемых информационных ресурсов объекта вычислительной техники (объектов доступа)
--– Матрица разграничения доступа к защищаемым ресурсам автоматизированной системы (месту хранения и используемым техническим средствам)
* Приказ от утверждении Правил обработки ПДн
--– Правила обработки ПДн
* Протокол приёмо-сдаточных испытаний системы защиты персональных данных
Изменено: Andrey80 - 28.10.2015 11:12:40
Если кому-то нужна "рыба" какого-нибудь документа, то могу поделиться. Не факт что на все 100% он "правильный", но старался :)
Цитата
Andrey80 пишет:
* Акт классификации автоматизированной системы
* Акт определения класса защищённости ИС
* Акт определения уровня защищённости ПДн в ИСПДн

Одинаковые документы? Их можно объединить в один, если речь идет про ГИС.

Цитата
Andrey80 пишет:
* Журнал учета выдачи паролей пользователям АС

Сколько не пытался, так и не понял целесообразность этого документа.

Цитата
Andrey80 пишет:
* Инструкция по обеспечению безопасности информации при взаимодействии абонентов с информационными сетями общего пользования и сетями международного обмена

это, как и много чего ещё, по СТР-к который обещали отменить в 16 году. Инструкция пользователя обычно включает пункты из этого документа. Да и тут на выбор. Или СТР-к, или 21, или 17.

Цитата
Andrey80 пишет:
*Модель вероятного нарушителя ИСПДн

Их две. По требованиям ФСТЭК и по требованиям ФСБ (Модель нарушителя информационной безопасности действующего на этапе эксплуатации технических и программных средств криптосредства и СФК) потому что классификация нарушителей там разная.


Нет документов отражающих процесс выбора набора мер. (Базовый набор мер, адаптированный базовый набор мер, сопоставление актуальных угроз с адаптированным базовым набором мер, разработка компенсирующих мер, Дополненный уточненный адаптированный базовый набор мер…)
Цитата
Andrey80 пишет:
Если кому-то нужна "рыба" какого-нибудь документа, то могу поделиться. Не факт что на все 100% он "правильный", но старался
Ещё можно добавить регламент или инструкцию по бэкапу.
Цитата
Одинаковые документы? Их можно объединить в один, если речь идет про ГИС.
В принципе это не совсем одинаковые документы, Классификации разные :D Есть такая привычка у ФСТЭК`а принимать новые документы, а старые не отменять. По этому делаем три, а вдруг...

Цитата
Сколько не пытался, так и не понял целесообразность этого документа.
Есть требование к парольной системе, т.е. необходимо менять пароли. Вот и придумали простой способ доказательства смены паролей. Суть в следующем: берётся учётный лист, на нём печатается логин и пароль. И именно этот лист передаётся пользователю по журналу. При этом старый лист сдаётся. Так получается и пароли меняем, и пароли никто не знает кроме пользователя. А там по сути можно и одинаковые логи-пароль использовать, главное листочки с данными во время менять

Цитата
это, как и много чего ещё, по СТР-к который обещали отменить в 16 году. Инструкция пользователя обычно включает пункты из этого документа. Да и тут на выбор. Или СТР-к, или 21, или 17.
Ну так не отменили :D Его уже лет 5 отменяют, типа "вот уже в ноябре регистрируем, а так всё готово..." И ничего толкового пока не написали касаемо этого вопроса. А в СТР-К пусть и устарело, но хоть как-то написано.

Цитата
Их две. По требованиям ФСТЭК и по требованиям ФСБ
По мне, вообще бестолковая вещь. В конечном итоге это всё от ФСБ (они всегда приоритет угроз ставили на человека, а уже потом на всякие НСД и ПЭМИН), хотя в СТР-К она упомянута. Реально у нас получилось их две: Одна включена как отдельный раздел Модели угроз (от ФСТЭК) и отдельным документов (от ФСБ)

Цитата
Нет документов отражающих процесс выбора набора мер. (
А вот поэтому я и задал вопрос что да как в соседней теме :)
http://ispdn.ru/forum/forum1/topic3958/
Знаю что нужно что-то разработать, но не могу найти наработки в этой области

Цитата
Ещё можно добавить регламент или инструкцию по бэкапу.
Это добавлено как раздел "Положения об организации и проведении работ по обеспечению безопасности конфиденциальной информации при их автоматизированной обработке в ИС". По сути у нас получился это один большой документ, страниц на 40, где с десяток разделов, в том числе и этот. По сути там всё сжато, кратко и в вобщем. Отдельные вопросы уже более детально вынесены в отдельные Инструкции
Изменено: Andrey80 - 28.10.2015 19:02:27
Цитата
Andrey80 пишет:
Ну так не отменили :D Его уже лет 5 отменяют, типа "вот уже в ноябре регистрируем, а так всё готово..." И ничего толкового пока не написали касаемо этого вопроса. А в СТР-К пусть и устарело, но хоть как-то написано.

Есть мнение что использовать СТР-К нельзя, ибо он не зарегистрирован в минюсте...

Цитата
Andrey80 пишет:
Есть требование к парольной системе, т.е. необходимо менять пароли. Вот и придумали простой способ доказательства смены паролей. Суть в следующем: берётся учётный лист, на нём печатается логин и пароль. И именно этот лист передаётся пользователю по журналу. При этом старый лист сдаётся. Так получается и пароли меняем, и пароли никто не знает кроме пользователя. А там по сути можно и одинаковые логи-пароль использовать, главное листочки с данными во время менять

Пароли максимум могут печататься на листке бумаги и передаваться пользователю. Пароль подлежит запоминанию и уничтожению листка.

Либо пользователь сам должен устанавливать пароль. А что бы не было паролей 1234йфя или ячс123 существует политика паролей прописанная в инструкциях пользователей\администраторов. Во всех СЗИ от НСД эту политику можно настроить: минимальное число символов в пароле, наличие цифр, прописных букв, спецсимволов...а так же частоту смены пароля (раз в месяц...). За 3 дня (тоже настраивается) до истечения срока действия пароля пользователю предлагается его сменить. Причем пользователь не сможет установить легкий пароль (1234qaz).

Цитата
Andrey80 пишет:
А вот поэтому я и задал вопрос что да как в соседней теме :)
http://ispdn.ru/forum/forum1/topic3958/
Знаю что нужно что-то разработать, но не могу найти наработки в этой области

Читайте внимательно "МЕТОДИЧЕСКИЙ ДОКУМЕНТ МЕРЫ ЗАЩИТЫ ИНФОРМАЦИИ В ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ" пункт 2. Там все подробно написано.
Цитата
Andrey80 пишет:
Если кому-то нужна "рыба" какого-нибудь документа, то могу поделиться. Не факт что на все 100% он "правильный", но старался

Кстати. Вы же понимаете что наряду с ПДн в организации обрабатывается ещё и информация, составляющая комерческую тайну а так же служебная информация.
Есть или у Вас рыба документов по служебной тайне?
Изменено: Сергей - 29.10.2015 10:15:03
Цитата
Сергей пишет:
Есть мнение что использовать СТР-К нельзя, ибо он не зарегистрирован в минюсте...
а как насчёт
"ИНФОРМАЦИОННОЕ СООБЩЕНИЕ ...." от 15 июля 2013 г. N 240/22/2637

Цитата
Сергей пишет:
Пароли максимум могут печататься на листке бумаги и передаваться пользователю. Пароль подлежит запоминанию и уничтожению листка.
Либо пользователь сам должен устанавливать пароль.
ну во-первых не все СЗИ такое позволят делать не под правами администратора. Во-вторых, в некоторых случаях используются аппаратные идентификаторы, которые тоже переписываются тоже под правами администратора.

Что касается запомнить и съесть листок, всё равно 99% пользователей его запишут на листочке и прикрепят к монитору!!! Вот по этому мы приняли решение именно "возглавить" этот процесс и обязать хранить эти листочки в сейфах (ну или где-то ещё подконтрольное и "охраняемое"). А по большому счёту эта процедура перекочевала из гостайны, т.е. можно упростить, но зато придумывать ничего не надо :)

Цитата
Сергей пишет:
Читайте внимательно "МЕТОДИЧЕСКИЙ ДОКУМЕНТ МЕРЫ ЗАЩИТЫ ИНФОРМАЦИИ В ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ" пункт 2. Там все подробно написано.
Может раздел 2? Всё равно что-то упускаю... Или просто тупо назвать документ "Набор мер по защите информации" и уже внутри разделы: Базовые, адаптированный и т.п. и т.д
Цитата
Сергей пишет:
Есть или у Вас рыба документов по служебной тайне?
Да, есть. Есть документ, где прописывались все виду конф.инф. по Указу.
Сейчас гляну и постараюсь выложить. Мы это впихнули в "Разрешительную систему"
Изменено: Andrey80 - 29.10.2015 11:11:56
Цитата
Andrey80 пишет:
Цитата
Сергей пишет:

Есть или у Вас рыба документов по служебной тайне?
Да, есть. Есть документ, где прописывались все виду конф.инф. по Указу.

Сейчас гляну и постараюсь выложить. Мы это впихнули в "Разрешительную систему"

А есть отдельное Положение по защите и приказ об установлении режима защиты служебной информации?
Цитата
А есть отдельное Положение по защите и приказ об установлении режима защиты служебной информации?
Сейчас прикинул и понял, что не совсем то наверное предлагаю. http://turbobit.net/g673guwmlss6.html
По служебной тайте вообще толком документов нет. Да и не понятно для кого "Для служебного пользования"..

вот документ Разрешительная система, где просто указывается что и как. Хотя есть Перечень конфиденциальной информации.

По сути мы на сегодня имеем только два вида конфиденциальной информации которые хоть как-то регламентированы: персональные данные - где без бутылки не разобраться и коммерческая тайна - где всего один ФЗ в котором вроде нормально написано, но чтобы исполнить, придётся помучится
Изменено: Andrey80 - 29.10.2015 12:30:35
Сергей, в принципе Положение общее для любой конфиденциальной информации. Мы не делали акцент в пользу чего-то отдельно. Просто если есть дополнительные требования, то лучше сделать дополнительный документ как дополнение к основному Положению
Цитата
Andrey80 пишет:
Цитата
А есть отдельное Положение по защите и приказ об установлении режима защиты служебной информации?
Сейчас прикинул и понял, что не совсем то наверное предлагаю. http://turbobit.net/g673guwmlss6.html

По служебной тайте вообще толком документов нет. Да и не понятно для кого "Для служебного пользования"..



вот документ Разрешительная система, где просто указывается что и как. Хотя есть Перечень конфиденциальной информации.



По сути мы на сегодня имеем только два вида конфиденциальной информации которые хоть как-то регламентированы: персональные данные - где без бутылки не разобраться и коммерческая тайна - где всего один ФЗ в котором вроде нормально написано, но чтобы исполнить, придётся помучится

В 98-фз написано. статья 10, 11, 13.

по служебной информации отдельного фз нет.

НО!

Исходя из существующих в действующем законодательстве формулировок, косвенно определяющих понятие служебной тайны, составляющие ее сведения не имеют коммерческой ценности, не удовлетворяют частным интересам и охраняются государственными органами.

Таким образом, служебная тайна – самостоятельный вид защищенной законом информации, доступной ограниченному кругу лиц в силу исполнения ими своих должностных функций в государственных или муниципальных органах.

Вся тех документация, внутренние журналы, данные по СЗИ, данные по СКЗИ (журналы, ключи, документация) являются служебной информацией. А то доводилось иногда встречать документы в которых инфа по СКЗИ приравнималась к коммТ. Да что там! ПДн тоже приравнивали...

В федеральных органах исполнительной власти ключевые документы, СКЗИ с введенными криптоключами относятся к материальным носителям, содержащим служебную информацию ограниченного распространения. При этом должны выполняться требования настоящей Инструкции и иных документов, регламентирующих порядок обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти.
ФАПСИ 152. пункт 23


ключевые документы - электронные документы на любых носителях информации, а также документы на бумажных носителях, содержащие ключевую информацию ограниченного доступа (ИОД) для криптографического преобразования информации с использованием алгоритмов криптографического преобразования информации (криптографический ключ) в шифровальных (криптографических) средствах
не соглашусь. 98-ФЗ только для коммерческой тайны
Цитата
Статья 1. Цели и сфера действия настоящего Федерального закона
1. Настоящий Федеральный закон регулирует отношения, связанные с установлением, изменением и прекращением режима коммерческой тайны в отношении информации, которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам.
2. Положения настоящего Федерального закона распространяются на информацию, составляющую коммерческую тайну, независимо от вида носителя, на котором она зафиксирована.

С другой стороны, мы используем "для служебного пользования" и "служебная информация" в коммерческих организациях.. По крайней мере по смыслу лучше всего подходит.

Я тут прикинул, если взять за основу когда-то существовавший проект ФЗ "О служебной тайне", то на его основе можно разработать вполне рабочее Положение. Там достаточно хороших, на мой взгляд, "формулировок", достаточно только адаптировать
Страницы: 1 2 След.
Ответить
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку