Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Новая версия SIEM-системы КОМРАД: теперь с поддержкой масштабирования и без ограничений на производительность

22/11/2018

Группа компаний «Эшелон» представляет обновленную систему управления событиями информационной безопасности КОМРАД. Новая версия SIEM-системы поддерживает возможность масштабирования и включает ряд новых возможностей.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1 2 3 След.
RSS
[ Закрыто ] Классификация специальных ИСПДн
Добрый день!

Не совсем понятен вопрос как классифицировать спец.ИСПДн. Проводим анализ данных (объем, тип ПДн и т.д.), далее строим модель угроз. А вот как имея данные и модель угроз получить класс спец. ИСПДн в книжецах "Методика определения...." и "Базовая модель угроз....." не обнаружу никак!
Или класс определяется, так же как для типовой - по таблице, просто нужно при создании СЗПДн дополнительно учитывать угрозы актуальные?
Цитата
Денис пишет:
Или класс определяется, так же как для типовой - по таблице, просто нужно при создании СЗПДн дополнительно учитывать угрозы актуальные?

Именно так
По модели угроз: выбраем актуальные, оцениваем возможные последствия - вот вам переход от угроз к класификации.
Цитата
Денис пишет:
А вот как имея данные и модель угроз получить класс спец. ИСПДн в книжецах "Методика определения...." и "Базовая модель угроз....." не обнаружу никак!


Очень просто - при проведении экспертного опроса в отношении вербального показателя опасности добиваемся от экспертов, чтобы они указывали значение не выше "средней опасности", а еще лучше "низкой опасности" ;-) и получаем класс К3 или К2 соответственно.

P.S.
Значение вербального показателя один в один соответствуют классификационному признаку в приказе трех ;-)
Цитата
Владимир Каменский пишет:
Цитата
Денис пишет:
А вот как имея данные и модель угроз получить класс спец. ИСПДн в книжецах "Методика определения...." и "Базовая модель угроз....." не обнаружу никак!
Очень просто - при проведении экспертного опроса в отношении вербального показателя опасности добиваемся от экспертов, чтобы они указывали значение не выше "средней опасности", а еще лучше "низкой опасности" ;-) и получаем класс К3 или К2 соответственно.
P.S.
Значение вербального показателя один в один соответствуют классификационному признаку в приказе трех ;-)
Нет методики перехода от частной модели угроз к классу системы.
Есть такой подход: берем как типовую систему + частная модель угроз.
Если угрозы сильно отличаются от типовой, то только модель угроз.
Цитата
Дмитрий Левиев пишет:
Нет методики перехода от частной модели угроз к классу системы. [

Да ну - а я видел уже у пары интеграторов в частных моделях угроз именно такой трюк ;-)
Цитата
Владимир Каменский пишет:
Цитата
Дмитрий Левиев пишет:
Нет методики перехода от частной модели угроз к классу системы. [
Да ну - а я видел уже у пары интеграторов в частных моделях угроз именно такой трюк ;-)
Трюки можно делать любые, вопрос основных последствий. Если нет методики перехода, то зачем назначать класс?
Ведь аттестация будет вестись по модели угроз.
Цитата
Дмитрий Левиев пишет:
Трюки можно делать любые, вопрос основных последствий. Если нет методики перехода, то зачем назначать класс? Ведь аттестация будет вестись по модели угроз.

Ну не только по модели угроз. ;-) Тем более модель угроз как таковая не содержит требований по защите от угроз - там только сами угрозы. А чем и как защищаться решать аттестатору ;-)
В связи с неопределенностью и расплывчатостью нормативно-методической базы, насколько я понял из общения с опытными аттестаторами и интеграторами, которые полезли в защиту ПД, будут использоваться при аттестации
1) "интертрепации" требований "основных мероприятий" (как раз поэтому все и стараются уйти на К2)
2) где их не хватает (особенно в части орг. мер) - требования СТР-К
3) частная модель угроз (вернее набор требований по полному перекрытию угроз из нее)
4) некоторые даже пытаются притянуть за уши класс РД АС 1Г как наиболее близкий, чтобы хоть как-то конкретизировать требования по защите.

Причины такой сумятицы понятны - высокая абстрактность требований "основных мероприятий".

Кстати, обратите внимание на финальную версию документа NIST http://csrc.nist.gov/publications/nistpubs/800-53-Rev3/sp800-53-rev3-final.pdf про набор рекомендованных механизмов защиты. ;-)
При "интертрепации" частной модели угроз может пригодиться...
где их не хватает (особенно в части орг. мер) - требования СТР-К ...

ну СТР-К используется просто штатно. например там прописана форма аттестата ....
и вообще он часто бывает полезен именно тут.
Цитата
Дмитрий Левиев пишет:
Если нет методики перехода, то зачем назначать класс?
Ведь аттестация будет вестись по модели угроз.
Тоже столкнулся с мнением что классом специальной системы и является "специальная" без последующей классификации на К4-К1. Но с другой стороны необходимость аттестации и например обязательность наличия лицензии зависит от класса ИСПД. Все-же как-то из модели угроз нужно переходить к конкретному классу. Соглашусь с:
Цитата
Владимир Каменский пишет:
при проведении экспертного опроса в отношении вербального показателя опасности добиваемся от экспертов, чтобы они указывали значение не выше "средней опасности", а еще лучше "низкой опасности" и получаем класс К3 или К2 соответственно.
Спор этот можно вести конечно долго, проштудировал еще раз доки, вот что получил:

Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) Федеральной службы безопасности Российской Федерации (ФСБ России) Министерства информационных технологий и связи Российской Федерации (Мининформсвязи России) от 13 февраля 2008 г. N 55/86/20 г. Москва "Об утверждении Порядка проведения классификации информационных систем персональных данных"


По результатам анализа исходных данных класс специальной информационной системы определяется на основе модели угроз безопасности персональных данных в соответствии с методическими документами, разрабатываемыми в соответствии с пунктом 2 постановления Правительства Российской Федерации от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных".

А вот в "Рекомендациях по обеспечению безопасности....":

Класс информационной системы определяется в соответствии с таблицей (слова типовой НЕТ):
категория 4 К4 К4 К4
категория 3 КЗ КЗ К2
категория 2 КЗ К2 К1
категория 1 К1 К1 К1

Применительно к специальным информационным системам ПОСЛЕ ОПРЕДЕЛЕНИЯ КЛАССА СИСТЕМЫ ОПЕРАТОРОМ должна быть разработана модель угроз безопасности персональных данных с использованием методических документов.....

2 документа как бы противоречат друг другу :)
Значит для специальных класс так же, как и для типовых - по таблице, + потом модель угроз.
Изменено: Денис - 05.08.2009 16:31:22
Согласно 4-х книжья ФСТЭК указаны классы типовых систем.
Цитата
Дмитрий Левиев пишет:
Согласно 4-х книжья ФСТЭК указаны классы типовых систем.

Вот этот абзац:

Применительно к специальным информационным системам ПОСЛЕ ОПРЕДЕЛЕНИЯ КЛАССА СИСТЕМЫ ОПЕРАТОРОМ должна быть разработана модель угроз безопасности персональных данных с использованием методических документов.....

взят из документов ФСТЭК (официально полученных по почте от них по запросу).
Цитата
Денис пишет:
в "Рекомендациях по обеспечению безопасности....":
Класс информационной системы определяется в соответствии с таблицей (слова типовой НЕТ):
Читаю "Рекомендации по обеспечению безопасности....": Класс ТИПОВОЙ информационной системы определяется в соответствии с таблицей.
Все же я бы и специальной системе присвоил класс по таблице. ОДнако возникает такой вопрос.
Верно ли утверждение, что почти все ИСПДн являются специальными, потому что помимо обеспечения конфиденциальности, в них необходимо обеспечить целостность, защиту от уничтожения и другого воздействия?
Так обычно ПД используются в системах, в которых принимаются какие-то решения на основе данных (выставляются счета и т.д.). Для таких систем как минимум целостность обеспечить надо
Цитата
Ник пишет:
Все же я бы и специальной системе присвоил класс по таблице. ОДнако возникает такой вопрос.

Верно ли утверждение, что почти все ИСПДн являются специальными, потому что помимо обеспечения конфиденциальности, в них необходимо обеспечить целостность, защиту от уничтожения и другого воздействия?
согласно ФЗ о персональных данных ОПЕРАТОР обязан предоставить доступ к персональным данным, которые у него есть субъекту персональных данных либо его законному представителю - значит требование доступности есть!
Значит документы ФСТЭК разные :)

Мой вариант мне кажется логичнее - так как нигде не указана связь:
Модель угроз - Класс с.ИСПДн.
Цитата
Денис пишет:
Значит документы ФСТЭК разные :)
Мой вариант мне кажется логичнее - так как нигде не указана связь:
Модель угроз - Класс с.ИСПДн.
Сказано классифицировать - классифицируем.
Защищаем по модели угроз - значит и аттестовываем по модели угроз! в аттестате пишем туже фразу, что и в акте классификации.
Добрый день, коллеги! Возможно этот вопрос поднимался, но честно на сайте не нашёл. Понятно, что специальная система и классифицируется как специальная и аттестовывается на основе модели угроз. Но есть одно! Например, требования к наличию лицензии на ТЗКИ определяется на основе класса ИСПДн, те же требования к аттестации - тоже на основе класса ИСПДн. Ведь глупо аттестовывать систему, в которой обрабатываются ПДн 100 субъектов, причём сами ПДн 3 категории, однако требуется целостность ПДн. Поэтому сам вопрос: что конкретно написать в акте классификации? "Класс - специальный" или "Класс - специальный (соответствующей класс типовой ИСПДн - Х )"
Страницы: 1 2 3 След.
Читают тему (гостей: 2, пользователей: 0, из них скрытых: 0)