Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

GDPR: Новые правила обработки персональных данных в EU

15/06/2018

Все слышали о General Data Protection Regulation (GDPR) (Regulation (EU) 2016/679), который вступил в силу 25 мая 2018 года. Штрафы большие и придётся соответствовать. Как и любой официальный документ, он написан сухо и может трактоваться по-разному.

Реклама

Партнеры

Лаборатория кибербезопасности







Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: Пред. 1 2 3 След.
RSS
[ Закрыто ] Классификация специальных ИСПДн
Одного понять не могу - в чем проблема при классификации специальной системы? Определяющими признаками то для классификации является количество субъектов и категория ПДн. А это ни как не влияет на требования к конфиденциальности, целостности или доступности ПДн.Поэтому очевидно, что специальные ИСПДн классифицируются точно также как и типовые. Только модель угроз будет различаться.
PS. А вот интересно - если в согласии субъект будет писать о необходимость обеспечения только конфиденциальности своих данных (ни целостность ни доступность в принципе ему не важна). Можно ли в этом случае считать систему типовой?
Цитата
Simon пишет:
Одного понять не могу - в чем проблема при классификации специальной системы? Определяющими признаками то для классификации является количество субъектов и категория ПДн. А это ни как не влияет на требования к конфиденциальности, целостности или доступности ПДн.Поэтому очевидно, что специальные ИСПДн классифицируются точно также как и типовые. Только модель угроз будет различаться. PS. А вот интересно - если в согласии субъект будет писать о необходимость обеспечения только конфиденциальности своих данных (ни целостность ни доступность в принципе ему не важна). Можно ли в этом случае считать систему типовой?

Насчёт исходных данных (определяющих признаков) согласен. А то что специальные ИСПДн классифицируются также как типовые совсем не очевидно. (класс специальной системы определяется не на основе приказа трёх, а на основе документов ФСБ, ФСТЭК). Но вопрос был немного в другом. Я понимаю, что надо как-то привязываться к классам типовых ИСПДн. Но какую фразу, именно фразу, будет грамтно написать в акте классификации:
1. просто "специальная";
2. "специальная класса 3"
3. "специальная (соответствующая типовая К3)"
Вариант 1 - не совсем верно, потому что специальные системы, исходя из приказа трёх классифицируются
Вариант 2 - звучит как-то криво
Вариант 3 - мне пока кажется более логичным

Вот хотелось бы услышать ваше мнение, коллеги!
Я думаю так:

типовая ИСПДн К3...
специальная ИСПДн К3 ...
Вот мне тоже так кажется. Это будет значить, что кол-во субъектов такое-то, категория обрабатываемых ПДн такая-то, необходимо обеспечить конф-ть, целост-ть, доступность. Все. А потом модель угроз...
Цитата
Simon пишет:
специальная ИСПДн К3

К3 - класс типовой системы, "фраза специальная К3" - звучит как-то не совсем корректно
Ну почему, ведь согласно РД специальные ИСПДн тоже классифицируются (а не просто признаются специальной и все). Нигде про другие классы не сказано у ФСТЭК кроме как К1-К4(не считаю классификации по системе ФСБ).
Цитата
Денис пишет:
Я думаю так:

типовая ИСПДн К3...
специальная ИСПДн К3 ...

+1

Может только можно не писать "типовая" - просто К3, но это на вкус
Управление ФСТЭК России по СЗФО, (812) 571-53-84, kazakov@fstec-szfo.ru
из своего опыта:
Информационная система "ПППП" является автоматизированной системой класса 1Г и информационной системой персональных данных специального типа класса К2, требования по защите информации в информационной системе "ПППП" согласно модели угроз "РРРРРРР".
В модели угроз указываем тип и класс используемых криптосредств. там же обоснование класса криптозащиты.
Доброе утро! Вот:

http://www.fstec.ru/_spravs/recomend.doc
http://www.fstec.ru/_spravs/meropriaytiay.doc

Если прочитать рекомендации, то вопрос классификации специальной ИСПДн снимается. Специальная и типовая - это просто характеристики ИСПДн, также как однопользовательская и многопользовательская. А класса для всех едины - К1-К4. Но что теперь делать с приказом трёх? Забыть про него?
Ждать новой версии приказа - вот и все ;-)
Цитата
Гость пишет:
Ждать новой версии приказа - вот и все

+1

Все течет, все изменяется. Жаль, что непоследовательно
Управление ФСТЭК России по СЗФО, (812) 571-53-84, kazakov@fstec-szfo.ru
Цитата
Гость пишет:
Ждать новой версии приказа - вот и все

+1

Все течет, все изменяется... Жаль, что непоследовательно
Управление ФСТЭК России по СЗФО, (812) 571-53-84, kazakov@fstec-szfo.ru
С опубликованием 2 документов из 4-книжия я успокоился - о чем я говорил ранее http://ispdn.ru/forum/index.php?PAGE_NAME=message&FID=1&TID=53&MID=487#message487 подтвердилось! Оказалось что классификация спец.ИСПДн тоже весьма простое и посильное даже ребенку занятие ;)
""...ОДнако возникает такой вопрос.
Верно ли утверждение, что почти все ИСПДн являются специальными, потому что помимо обеспечения конфиденциальности, в них необходимо обеспечить целостность, защиту от уничтожения и другого воздействия?""

Я считаю, что неверно, так как в документе трех по классификации (вроде бы в нем) сказано, что к специальным относятся информационные системы, в которых необходимо обеспечивать хотя бы еще одну безопасность кроме конфиденциальности. То есть целостность, например, или защиту от уничтожения... Обеспечение доступности никак к безопасности не относится.
Согласен с вами, а класс вам все равно надо указывать при Уведомдении Роскомнадзора (пр. № 08 от 17.07.08), так же если вы будете отдавать ПДн кому для обработки или наоборот для кого-нить их обрабатывать. так вот первый вопрос и будет есть аттестат или нет и какой класс ИСПДн. Так что хотите вы или нет, а классифицировать надо.
Это где такое сказано? Руководствоваться надо прежде всего законом, а там определён закрытый перечень того, что надо предоставить и требовать что-то ещё у РКН никаких прав нет.
Цитата
Дмитрий пишет:
Руководствоваться надо прежде всего законом, а там определён закрытый перечень того, что надо предоставить и требовать что-то ещё у РКН никаких прав нет
А что это за закрытый перечень? Перечень документов тбуемых при проверке РКН?
Я считаю, что нужно руководствоваться "Порядком проведения классификации ИСПД", так как он утвержден приказом ФСТЭК, ФСБ и Мининформсвязи, а не "Рекомендациями по обеспечению безопасности ПД..." ФСТЭК, так как это рекомендации. Следовательно, класс специальной ИСПД определять на основе разработанной для нее Модели угроз. Нужна только методика определения класс на основе модели...
Причём здесь проверка? РКН много чего может хотеть, мало того, ещё и пытаться требовать. Есть п.3 ст.22 152-ФЗ, в кортором чётко прописано, что должно быть в уведомлении. Расширять этот перечеень прав у РКН нет и если они не захотят принмать уведомление, то пишите второе письмо, в котором сслылаясь на эту стутью просите обосновать, на основании чего уведомление не было принято.
Цитата
Stas Lutatovsky пишет:
А что это за закрытый перечень? Перечень документов тбуемых при проверке РКН?
• учредительные документы Оператора;
• копия уведомления об обработке персональных данных;
• положение о порядке обработки персональных данных;
• положение о подразделении, осуществляющем функции по организации защиты персональных данных;
• должностные регламенты лиц, имеющих доступ к персональным данным;
• план мероприятий по защите персональных данных;
• план внутренних проверок состояния защиты персональных данных;
• приказ о назначении ответственных лиц по работе с персональными данными;
• типовые формы документов, предполагающие или допускающие содержание персональных данных;
• журналы, реестры, книги, содержащие персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится Оператор, или в иных аналогичных целях;
• договоры с субъектами персональных данных, лицензии на виды деятельности, в рамках которых осуществляется обработка персональных данных;
• выписки из ЕГРЮЛ, содержащие актуальные данные на момент проведения мероприятия по контролю (надзору);
• приказы об утверждении мест хранения материальных носителей персональных данных;
• письменное согласие субъектов персональных данных на обработку их персональных данных (типовая форма);
• распечатки электронных шаблонов полей, содержащие персональные данные;
• справки о постановке на балансовый учет ПЭВМ, на которых осуществляется обработка персональных данных;
• заключения экспертизы ФСБ России, ФСТЭК России об оценке соответствия средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке (проверяется только наличие данных документов);
• приказ о создании комиссии и акты проведения классификации информационных систем персональных данных (проверяется только наличие данных документов);
• журналы (книги) учета обращений граждан (субъектов персональных данных);
• акт об уничтожении персональных данных субъекта(ов) персональных данных (в случае достижения цели обработки);
• иные документы, отражающие исполнение Оператором требований законодательства Российской Федерации в области персональных данных.
Страницы: Пред. 1 2 3 След.
Читают тему (гостей: 3, пользователей: 0, из них скрытых: 0)