Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

ФСБ: Национальному координационному центру по компьютерным инцидентам быть!

13/10/2018

Директор ФСБ России Александр Бортников распорядился создать государственный орган по борьбе с кибератаками. Текст соответствующего приказа размещен на официальном интернет-портале правовой информации.

Обучение

015.3. Системное администрирование операционной системы Astra Linux Special Edition. Специальный курс.
06 - 07 ноября 2018 года

002. Техническая защита информации. Способы и средства защиты информации от несанкционированного доступа.
12 - 16 ноября 2018 года

001. Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных. Курс согласован ФСТЭК России.
19 - 23 ноября 2018 года

026. Подготовка к CISSP и CISM (курс от профессионалов-практиков).
28 - 30 ноября 2018 года

036.2. Внедрение системы управления информационной безопасностью.
04 - 05 декабря 2018 года

036.3. Внутренний аудит СУИБ на соответствие требованиям международного стандарта ISO/IEC 27001:2013.
06 - 07 декабря 2018 года

015.1. Основы работы в операционной системе Astra Linux.
10 - 11 декабря 2018 года

015.2. Системное администрирование операционной системы Astra Linux Special Edition.
12 - 14 декабря 2018 года

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1
Ответить
RSS
Помогите определить уровень защищенности
Доброго времени суток!
Помогите определить УЗ, если:
с помошью медицинского оборудования и специального программного обеспечения проводятся обследования пациентов, и эта информация будет сохраняться в облаках (арендованный виртуальный сервер), передаваться через интернет.
Насколько я знаю, раньше, если имели дело с информацией о состоянии здоровья, это сразу был УЗ-1... сейчас информация как-то размыта. Информация о состоянии здоровья - это специальные категории, и они могут входить в УЗ-1, УЗ-2, УЗ-3 (приказ 1119 ФСТЭК). Еще могу пояснить, что число субъектов будет менее 100000.
Заранее благодарен!!
Угрозы какого типа актуальны ? по таблице же просто выявить УЗ...
Цитата
Святослав пишет:
Угрозы какого типа актуальны ? по таблице же просто выявить УЗ...
В том числе, тут и проблема... Как правильно их учитывать? Софт, как я сказал - самописный. Чем можно пренебречь? Допустим, мы не считаем угрозы системного ПО актуальными. Угрозы прикладного ПО - т.е. нашего софта считать актуальными или нет? Кто даст заключение, есть в них НДв или нет?
Спасибо за ответ!
Актуальной считается угроза, которая может быть реализована в ИСПДн и представляет опасность для ПДн.
Согласно Постановлению Правительства РФ №1119 для ИСПДн различают угрозы трех типов:
· Угрозы 1 типа - связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.
· Угрозы 2 типа - связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.
· Угрозы 3 типа - не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.
Согласно руководящему документу «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля недекларированных возможностей» (Гостехкомиссия России, 1999), недекларированные возможности – это функциональные возможности программного обеспечения, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.
Как правильно определить уровень защищенности ПДн, вы можете узнать из статьи: «Как определить уровень защищенности информационных систем» (https://kontur.ru/articles/1940).
Как спроектировать систему защиты персональных данных и выбрать необходимые средства защиты информации, можно ознакомиться в статье: «Практика. Создание системы защиты персональных данных» (https://kontur.ru/articles/1723).
"Доказательством" отсутствия недекларированных возможностей в ПО считается положительное прохождение сертификации во ФСТЭК по соответствующему уровню. Если системное программное обеспечение (операционная система, к примеру) сертифицирована и время сертификата не закончилось, то угроз 1-го типа нет.
Видимо, для определения отсутствия НДВ в прикладном Вам придется обратиться во ФСТЭК :cry:
Страницы: 1
Ответить
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку