Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Особенности аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции (работ, услуг), поставляемой по гособоронзаказу.

12/08/2019 

08 мая 2019 г. утверждены новые Правила аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции работ, услуг), поставляемой по государственному оборонному заказу (постановление Правительства Российской Федерации от 30 апреля 2019 г. № 548).

Новые Правила аккредитации кардинально меняют сложившуюся систему не только аккредитации, но и сертификации СМК предприятий, работающих в области государственного оборонного заказа.

Реклама





Партнеры





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1
Ответить
RSS
Обеспечение ИБ в ИС Федерального значения
Добрый день.
Имеется некая Федеральная информационная система. Сотрудникам моей Организации предоставили доступ в данную систему для внесению данных. Какие мероприятия должен я провести в части обеспечения ИБ? И должен ли я вообще что то проводить, ведь по сути я не являюсь Оператором ИС
Хороший вопрос. Привожу свои рассуждения из моей методики защиты ПДн.
Явно выраженная тенденция государства, направленная на расширение предоставления информационных услуг населению посредством доступа к ресурсам государственных информационных систем может вызвать появление следующих вопросов:
1. Принадлежат ли рабочие места пользователей ГИС, не являющихся сотрудниками Оператора этой ГИС, к ГИС?
2. Каков должен быть класс защищенности (для ГИС в соответствии с приказом «17 ФСТЭК используется термин класс защищенности) и уровень защищенности (по тому же приказу при обработке персональных данных в ГИС наряду с приказом № 17 должен применяться приказ № 21) и, соответственно, какова должна быть система защиты информационной системы пользователя ГИС, если эта система не принад-лежит ГИС?
В качестве примера можно привести создание государственной информационной системы Владимирской области «Региональный сегмент единой федеральной межведомственной системы учета контингента обучающихся по основным образовательным программам и до-полнительным общеобразовательным программам» (далее - ГИС РС «Контингент»). Данная ГИС создается в соответствии с распоряжением Правительства от 25 октября 2014 г. N 2125-р.
Подразумевается, что пользователями этой ГИС должны стать лица различной категории. Во-первых, это официально назначенные сотрудники таких учреждений как школы, колледжи, детские сады и, возможно, других аналогичных учреждений. Это привилегированные пользователи ГИС, которые имеют право на ввод и модификацию данных, в частности персональных. Объем и состав данных, обрабатываемых этими пользователями ограничивается конкретным контингентом субъектов конкретного учреждения.
Другая категория пользователей (конечные пользователи) – это родители детей и, собственно, учащиеся, которые могут получать информационные услуги. Эти пользователи могут составлять запросы к ГИС и получать информацию, ограниченную контекстом их персональных данных.
Класс защищенности и уровень защищенности, которые должны быть обеспечены в ИСПДн привилегированного пользователя, не являющегося сотрудником Оператора ГИС, не
обязан совпадать с классом и уровнем защищенности самой ГИС. Очевидно, что объем субъектов персональных данных, обрабатываемых, например, в конкретной школе, неизмеримо меньше всего объема персональных данных ГИС. Потенциальный нарушитель может нарушить конфиденциальность только той информации, которая доступна легальному пользователю данной ИСПДн. Потенциальный нарушитель может изменить (удалить) только ту информацию ГИС, которая доступна легальному пользователю. Изменение параметров ИСПДн потенциальным нарушителем, влияющих на доступность информации (например, блокирование входа в операционную систему компьютера), окажет влияние только на легальных пользователей данной организации.
Далее, модель угроз и модель нарушителя могут в корне различаться для ИСПДн конкретного учреждения и всей ГИС. Поэтому механический перенос класса и уровня защищенности, определенный Оператором ГИС для ГИС, может привести к неоправданно завышенному классу и уровню защищенности ИСПДн, например, конкретного детского сада и, соответственно, к непомерному и неоправданному удорожанию систем защиты. Аналогичные рассуждения применимы и к ИСПДн конечного пользователя.
Более правильным, на взгляд автора, вычисление (определение) класса и уровня защищенности, модели угроз и нарушителя для таких ИСПДн необходимо проводить независимо, опираясь на исходные данные, присущие конкретному ИСПДн, а не ГИС. :oops:
Цитата
Адрей Черемных пишет:
Имеется некая Федеральная информационная система. Сотрудникам моей Организации предоставили доступ в данную систему для внесению данных. Какие мероприятия должен я провести в части обеспечения ИБ? И должен ли я вообще что то проводить, ведь по сути я не являюсь Оператором ИС
Вы являетесь оператором ИС. Соответственно, выполняете полный перечень действий согласно ФЗ-152 (если это касается персональных данных).
Цитата
Анастасия пишет:
Вы являетесь оператором ИС. Соответственно, выполняете полный перечень действий согласно ФЗ-152 (если это касается персональных данных).
Анастасия, Вы как бы проигнорировали мой пост от 13.09. То что надо проводить все мероприятия как Оператору ясно. Ваше мнение об определении типа угроз, уровня защищенности и т.д. как компоненты ГИС или, опираясь только на свойства рабочего места (ШСПДн)?
Цитата
Сергей Терехов пишет:
Хороший вопрос. Привожу свои рассуждения из моей методики защиты ПДн.

Явно выраженная тенденция государства, направленная на расширение предоставления информационных услуг населению посредством доступа к ресурсам государственных информационных систем может вызвать появление следующих вопросов:

1. Принадлежат ли рабочие места пользователей ГИС, не являющихся сотрудниками Оператора этой ГИС, к ГИС?

2. Каков должен быть класс защищенности (для ГИС в соответствии с приказом «17 ФСТЭК используется термин класс защищенности) и уровень защищенности (по тому же приказу при обработке персональных данных в ГИС наряду с приказом № 17 должен применяться приказ № 21) и, соответственно, какова должна быть система защиты информационной системы пользователя ГИС, если эта система не принад-лежит ГИС?

В качестве примера можно привести создание государственной информационной системы Владимирской области «Региональный сегмент единой федеральной межведомственной системы учета контингента обучающихся по основным образовательным программам и до-полнительным общеобразовательным программам» (далее - ГИС РС «Контингент»). Данная ГИС создается в соответствии с распоряжением Правительства от 25 октября 2014 г. N 2125-р.

Подразумевается, что пользователями этой ГИС должны стать лица различной категории. Во-первых, это официально назначенные сотрудники таких учреждений как школы, колледжи, детские сады и, возможно, других аналогичных учреждений. Это привилегированные пользователи ГИС, которые имеют право на ввод и модификацию данных, в частности персональных. Объем и состав данных, обрабатываемых этими пользователями ограничивается конкретным контингентом субъектов конкретного учреждения.

Другая категория пользователей (конечные пользователи) – это родители детей и, собственно, учащиеся, которые могут получать информационные услуги. Эти пользователи могут составлять запросы к ГИС и получать информацию, ограниченную контекстом их персональных данных.

Класс защищенности и уровень защищенности, которые должны быть обеспечены в ИСПДн привилегированного пользователя, не являющегося сотрудником Оператора ГИС, не

обязан совпадать с классом и уровнем защищенности самой ГИС. Очевидно, что объем субъектов персональных данных, обрабатываемых, например, в конкретной школе, неизмеримо меньше всего объема персональных данных ГИС. Потенциальный нарушитель может нарушить конфиденциальность только той информации, которая доступна легальному пользователю данной ИСПДн. Потенциальный нарушитель может изменить (удалить) только ту информацию ГИС, которая доступна легальному пользователю. Изменение параметров ИСПДн потенциальным нарушителем, влияющих на доступность информации (например, блокирование входа в операционную систему компьютера), окажет влияние только на легальных пользователей данной организации.

Далее, модель угроз и модель нарушителя могут в корне различаться для ИСПДн конкретного учреждения и всей ГИС. Поэтому механический перенос класса и уровня защищенности, определенный Оператором ГИС для ГИС, может привести к неоправданно завышенному классу и уровню защищенности ИСПДн, например, конкретного детского сада и, соответственно, к непомерному и неоправданному удорожанию систем защиты. Аналогичные рассуждения применимы и к ИСПДн конечного пользователя.

Более правильным, на взгляд автора, вычисление (определение) класса и уровня защищенности, модели угроз и нарушителя для таких ИСПДн необходимо проводить независимо, опираясь на исходные данные, присущие конкретному ИСПДн, а не ГИС.
Как пример, Вы вводите ГИС РС «Контингент». В котором имеется определенный перечень ролей пользователей.
Далее Вы относите каждую роль к абстрактному ИСПДн. Почему абстрактному? Ведь ГИС вводится как целая ИС не выделяя при этом сегменты (а уж тем более ИСПДн и ГИС).
Если же так (т.е. сегментировать ГИС) то нужно проводить соответствующие работы. И явно это не обязанность вышеуказанных категорий пользователей.
Как по мне, если ГИС создается владельцем, то владелец, проводит работы по ИБ в соответствии с требованиями законодательства, а к вышеуказанным категориям, предъявляет требования.
Цитата
Анастасия пишет:
Цитата
Адрей Черемных пишет:

Имеется некая Федеральная информационная система. Сотрудникам моей Организации предоставили доступ в данную систему для внесению данных. Какие мероприятия должен я провести в части обеспечения ИБ? И должен ли я вообще что то проводить, ведь по сути я не являюсь Оператором ИС
Вы являетесь оператором ИС. Соответственно, выполняете полный перечень действий согласно ФЗ-152 (если это касается персональных данных).
А если это еще и ГИС, весь перечень действий согласно Приказу 17 и 21?
Цитата
Гость пишет:
А если это еще и ГИС, весь перечень действий согласно Приказу 17 и 21?
Именно так. Только в этом случае надо смотреть, грубо говоря, какие требования выше, те и выполнять.
Цитата
Анастасия пишет:
Именно так. Только в этом случае надо смотреть, грубо говоря, какие требования выше, те и выполнять.
Анастасия, Вы еще раз проигнорировали мой пост от 13.09. Ваше мнение об определении типа угроз, уровня защищенности (объема, перечня ПДн)и т.д. автоматизированного рабочего места, подключаемого к ресурсам ГИС, как компоненты ГИС или, опираясь только на свойства этого рабочего места (ИСПДн)?
Страницы: 1
Ответить
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку