Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Минюст обязал банки проводить пентесты и аудит кибербезопасности

13/08/2018

Банки обяжут соблюдать новые меры кибербезопасности, среди которых обязательными являются аудит информационной безопасности, различные тестирования на проникновение (пентесты), обязательная сертификация использованного программного обеспечения.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1 2 3 След.
RSS
[ Закрыто ] Классификация специальных ИСПДн
Добрый день!

Не совсем понятен вопрос как классифицировать спец.ИСПДн. Проводим анализ данных (объем, тип ПДн и т.д.), далее строим модель угроз. А вот как имея данные и модель угроз получить класс спец. ИСПДн в книжецах "Методика определения...." и "Базовая модель угроз....." не обнаружу никак!
Или класс определяется, так же как для типовой - по таблице, просто нужно при создании СЗПДн дополнительно учитывать угрозы актуальные?
Цитата
Денис пишет:
Или класс определяется, так же как для типовой - по таблице, просто нужно при создании СЗПДн дополнительно учитывать угрозы актуальные?

Именно так
По модели угроз: выбраем актуальные, оцениваем возможные последствия - вот вам переход от угроз к класификации.
Цитата
Денис пишет:
А вот как имея данные и модель угроз получить класс спец. ИСПДн в книжецах "Методика определения...." и "Базовая модель угроз....." не обнаружу никак!


Очень просто - при проведении экспертного опроса в отношении вербального показателя опасности добиваемся от экспертов, чтобы они указывали значение не выше "средней опасности", а еще лучше "низкой опасности" ;-) и получаем класс К3 или К2 соответственно.

P.S.
Значение вербального показателя один в один соответствуют классификационному признаку в приказе трех ;-)
Цитата
Владимир Каменский пишет:
Цитата
Денис пишет:
А вот как имея данные и модель угроз получить класс спец. ИСПДн в книжецах "Методика определения...." и "Базовая модель угроз....." не обнаружу никак!
Очень просто - при проведении экспертного опроса в отношении вербального показателя опасности добиваемся от экспертов, чтобы они указывали значение не выше "средней опасности", а еще лучше "низкой опасности" ;-) и получаем класс К3 или К2 соответственно.
P.S.
Значение вербального показателя один в один соответствуют классификационному признаку в приказе трех ;-)
Нет методики перехода от частной модели угроз к классу системы.
Есть такой подход: берем как типовую систему + частная модель угроз.
Если угрозы сильно отличаются от типовой, то только модель угроз.
Цитата
Дмитрий Левиев пишет:
Нет методики перехода от частной модели угроз к классу системы. [

Да ну - а я видел уже у пары интеграторов в частных моделях угроз именно такой трюк ;-)
Цитата
Владимир Каменский пишет:
Цитата
Дмитрий Левиев пишет:
Нет методики перехода от частной модели угроз к классу системы. [
Да ну - а я видел уже у пары интеграторов в частных моделях угроз именно такой трюк ;-)
Трюки можно делать любые, вопрос основных последствий. Если нет методики перехода, то зачем назначать класс?
Ведь аттестация будет вестись по модели угроз.
Цитата
Дмитрий Левиев пишет:
Трюки можно делать любые, вопрос основных последствий. Если нет методики перехода, то зачем назначать класс? Ведь аттестация будет вестись по модели угроз.

Ну не только по модели угроз. ;-) Тем более модель угроз как таковая не содержит требований по защите от угроз - там только сами угрозы. А чем и как защищаться решать аттестатору ;-)
В связи с неопределенностью и расплывчатостью нормативно-методической базы, насколько я понял из общения с опытными аттестаторами и интеграторами, которые полезли в защиту ПД, будут использоваться при аттестации
1) "интертрепации" требований "основных мероприятий" (как раз поэтому все и стараются уйти на К2)
2) где их не хватает (особенно в части орг. мер) - требования СТР-К
3) частная модель угроз (вернее набор требований по полному перекрытию угроз из нее)
4) некоторые даже пытаются притянуть за уши класс РД АС 1Г как наиболее близкий, чтобы хоть как-то конкретизировать требования по защите.

Причины такой сумятицы понятны - высокая абстрактность требований "основных мероприятий".

Кстати, обратите внимание на финальную версию документа NIST http://csrc.nist.gov/publications/nistpubs/800-53-Rev3/sp800-53-rev3-final.pdf про набор рекомендованных механизмов защиты. ;-)
При "интертрепации" частной модели угроз может пригодиться...
где их не хватает (особенно в части орг. мер) - требования СТР-К ...

ну СТР-К используется просто штатно. например там прописана форма аттестата ....
и вообще он часто бывает полезен именно тут.
Цитата
Дмитрий Левиев пишет:
Если нет методики перехода, то зачем назначать класс?
Ведь аттестация будет вестись по модели угроз.
Тоже столкнулся с мнением что классом специальной системы и является "специальная" без последующей классификации на К4-К1. Но с другой стороны необходимость аттестации и например обязательность наличия лицензии зависит от класса ИСПД. Все-же как-то из модели угроз нужно переходить к конкретному классу. Соглашусь с:
Цитата
Владимир Каменский пишет:
при проведении экспертного опроса в отношении вербального показателя опасности добиваемся от экспертов, чтобы они указывали значение не выше "средней опасности", а еще лучше "низкой опасности" и получаем класс К3 или К2 соответственно.
Спор этот можно вести конечно долго, проштудировал еще раз доки, вот что получил:

Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) Федеральной службы безопасности Российской Федерации (ФСБ России) Министерства информационных технологий и связи Российской Федерации (Мининформсвязи России) от 13 февраля 2008 г. N 55/86/20 г. Москва "Об утверждении Порядка проведения классификации информационных систем персональных данных"


По результатам анализа исходных данных класс специальной информационной системы определяется на основе модели угроз безопасности персональных данных в соответствии с методическими документами, разрабатываемыми в соответствии с пунктом 2 постановления Правительства Российской Федерации от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных".

А вот в "Рекомендациях по обеспечению безопасности....":

Класс информационной системы определяется в соответствии с таблицей (слова типовой НЕТ):
категория 4 К4 К4 К4
категория 3 КЗ КЗ К2
категория 2 КЗ К2 К1
категория 1 К1 К1 К1

Применительно к специальным информационным системам ПОСЛЕ ОПРЕДЕЛЕНИЯ КЛАССА СИСТЕМЫ ОПЕРАТОРОМ должна быть разработана модель угроз безопасности персональных данных с использованием методических документов.....

2 документа как бы противоречат друг другу :)
Значит для специальных класс так же, как и для типовых - по таблице, + потом модель угроз.
Изменено: Денис - 05.08.2009 16:31:22
Согласно 4-х книжья ФСТЭК указаны классы типовых систем.
Цитата
Дмитрий Левиев пишет:
Согласно 4-х книжья ФСТЭК указаны классы типовых систем.

Вот этот абзац:

Применительно к специальным информационным системам ПОСЛЕ ОПРЕДЕЛЕНИЯ КЛАССА СИСТЕМЫ ОПЕРАТОРОМ должна быть разработана модель угроз безопасности персональных данных с использованием методических документов.....

взят из документов ФСТЭК (официально полученных по почте от них по запросу).
Цитата
Денис пишет:
в "Рекомендациях по обеспечению безопасности....":
Класс информационной системы определяется в соответствии с таблицей (слова типовой НЕТ):
Читаю "Рекомендации по обеспечению безопасности....": Класс ТИПОВОЙ информационной системы определяется в соответствии с таблицей.
Все же я бы и специальной системе присвоил класс по таблице. ОДнако возникает такой вопрос.
Верно ли утверждение, что почти все ИСПДн являются специальными, потому что помимо обеспечения конфиденциальности, в них необходимо обеспечить целостность, защиту от уничтожения и другого воздействия?
Так обычно ПД используются в системах, в которых принимаются какие-то решения на основе данных (выставляются счета и т.д.). Для таких систем как минимум целостность обеспечить надо
Цитата
Ник пишет:
Все же я бы и специальной системе присвоил класс по таблице. ОДнако возникает такой вопрос.

Верно ли утверждение, что почти все ИСПДн являются специальными, потому что помимо обеспечения конфиденциальности, в них необходимо обеспечить целостность, защиту от уничтожения и другого воздействия?
согласно ФЗ о персональных данных ОПЕРАТОР обязан предоставить доступ к персональным данным, которые у него есть субъекту персональных данных либо его законному представителю - значит требование доступности есть!
Значит документы ФСТЭК разные :)

Мой вариант мне кажется логичнее - так как нигде не указана связь:
Модель угроз - Класс с.ИСПДн.
Цитата
Денис пишет:
Значит документы ФСТЭК разные :)
Мой вариант мне кажется логичнее - так как нигде не указана связь:
Модель угроз - Класс с.ИСПДн.
Сказано классифицировать - классифицируем.
Защищаем по модели угроз - значит и аттестовываем по модели угроз! в аттестате пишем туже фразу, что и в акте классификации.
Добрый день, коллеги! Возможно этот вопрос поднимался, но честно на сайте не нашёл. Понятно, что специальная система и классифицируется как специальная и аттестовывается на основе модели угроз. Но есть одно! Например, требования к наличию лицензии на ТЗКИ определяется на основе класса ИСПДн, те же требования к аттестации - тоже на основе класса ИСПДн. Ведь глупо аттестовывать систему, в которой обрабатываются ПДн 100 субъектов, причём сами ПДн 3 категории, однако требуется целостность ПДн. Поэтому сам вопрос: что конкретно написать в акте классификации? "Класс - специальный" или "Класс - специальный (соответствующей класс типовой ИСПДн - Х )"
Страницы: 1 2 3 След.
Читают тему (гостей: 3, пользователей: 0, из них скрытых: 0)