Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

В России хотят создать мегарегулятора информационной безопасности, взяв пример с США

18/11/2017

В рамках реализации программы «Цифровая экономика» предлагается определить единый госорган, ответственный за требования к средствам информационной безопасности.

Реклама

Партнеры

Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: Пред. 1 2 3 4 След.
Ответить
RSS
Новое Положение ФСТЭК. Методы и способы защиты ПДн
Юридический статус 4-х книжья ФСТЭК России и Приказа №58 от 05.02.2010.
Все пять документов приняты на основании п.3 Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных (ПП781): «Методы и способы защиты информации в информационных системах устанавливаются Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.
Достаточность принятых мер по обеспечению безопасности персональных данных при их обработке в информационных системах оценивается при проведении государственного контроля и надзора.»
Положение о методах и способах защиты информации в информационных персональных данных устанавливает «методы и способы защиты информации, применяемые для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных (далее - информационные системы) государственными органами, муниципальными органами, юридическими или физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных (далее - оператор), или лицом, которому на основании договора оператор поручает обработку персональных данных (далее - уполномоченное лицо)» п.1.1.
Основные мероприятия являются методическим документом, определяющим мероприятия по организации и техническому обеспечению безопасности ПДн (не криптографическими методами) при их обработке в ИСПДн, в интересах решения задач:
проведения мероприятий, направленных на предотвращение несанкционированного доступа к ПДн и (или) передачи их лицам, не имеющим права доступа к такой информации;
своевременного обнаружения фактов несанкционированного
доступа (НСД) к ПДн;
недопущения воздействия на технические средства автоматизированной обработки ПДн, в результате которого может быть нарушено их функционирование;
возможности незамедлительного восстановления ПДн, модифицированных или уничтоженных вследствие НСД к ним;
постоянного контроля за обеспечением уровня защищенности ПДн.
Обеспечение безопасности ПДн с использованием криптографических методов в настоящем документе не рассматривается. Порядок организации и обеспечения указанных работ определяется в соответствии с нормативными документами Федеральной службы безопасности Российской Федерации.
Таким образом, все 5 документов действуют одновременно.
Цитата
Дмитрий Левиев пишет:
Таким образом, все 5 документов действуют одновременно.

Не понятен вывод автора.
Я к примеру понимаю, что свежий документ ФСТЭК обязателен для выполнения для операторов. Он принят (утвержден) надлежащим лицом и зарегистрирован в Минюсте.
Остальные же документы (я согласен что они действуют, их никто не отменял) можно рассматривать только как рекомендации, справочные пособия и т.п. Т.е. формально, регулятор при проверке должен проверять у оператора требования Приказа №58, но не в коем случае "не наказывать" за неисполнение мероприятий (если они конечно не совпадают с приказом), указанных в 4-х книжье.
Самое интересное в приказе - легализация "четырехкнижья"
"1.4. Выбор и реализация методов и способов защиты информации в информационной системе осуществляются на основе определяемых оператором (уполномоченным лицом) угроз безопасности персональных данных (модели угроз) ...... Модель угроз разрабатывается на основе методических документов, утвержденных в соответствии с пунктом 2 Постановления Правительства Российской Федерации от 17 ноября 2007 г. N 781."
Очень понравилось что для ИСПДн класса 2 методы и способы защиты соответствуют ИСПДн К3, различаются только требования к МСЭ в системах данных классов :)
Цитата
Дмитрий Левиев пишет:
Таким образом, все 5 документов действуют одновременно.
Действительно, странный вывод.
Особенно, с учетом п.1.2 "Положения о методах и способах..."

Цитата
Михаил пишет:
Самое интересное в приказе - легализация "четырехкнижья"
"1.4. Выбор и реализация методов и способов защиты информации в информационной системе осуществляются на основе определяемых оператором (уполномоченным лицом) угроз безопасности персональных данных (модели угроз) ...... Модель угроз разрабатывается на основе методических документов, утвержденных в соответствии с пунктом 2 Постановления Правительства Российской Федерации от 17 ноября 2007 г. N 781."
Ну и где легализация "четырехкнижья"?
Легализованы только два документа - "Базовая модель угроз" и "Методика определения актуальных угроз", т.е. те документы, в соответствии с которыми строится модель угроз для ИСПДн.
Ни "Основные мероприятия", ни "Рекомендации" в документе не упоминаются вообще.
Непонятный момент приказа...
"При разделении информационной системы при помощи межсетевых экранов на отдельные части системы для указанных частей системы может устанавливаться более низкий класс, чем для информационной системы в целом."
Т.е. если ИС в целом 1 класса, то при разделении на две части - ИС1 и ИС2 (скажем, разделение по количеству данных) получим, что ИС1 и ИС2 – 2 класса, но ИС – 1 класса.
Т.е. защитив ИС1 и ИС2 мы получим как бы защищенную ИС в целом. Но ведь таким образом не выполнены требования по защите ИС 1 класса.

Кто что думает?
Цитата
Kutyrs пишет:
Легализованы только два документа - "Базовая модель угроз" и "Методика определения актуальных угроз", т.е. те документы, в соответствии с которыми строится модель угроз для ИСПДн.
Ни "Основные мероприятия", ни "Рекомендации" в документе не упоминаются вообще.
Так это Положение и вводится вместо "Рекомендаций" и "Основных мероприятий".
С уважением, Шахалов И.Ю.
Еще один момент непонятный.

Цитата
Ст.2.1 Методами и способами ... являются:
...
использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;

В ранее опубликованном проекте Приказа выделенных слов не было.
Вопрос - на какой порядок идет ссылка? и "Процедура оценки соответствия" чему?

Означает ли это обязательность использования только сертифицированных средств защиты для всех классов ИСПДн?
Изменено: Андрей [Пилотов] - 04.03.2010 10:28:29
Цитата
Андрей [Пилотов] пишет:
Вопрос - на какой порядок идет ссылка? и "Процедура оценки соответствия" чему?
Означает ли это обязательность использования только сертифицированных средств защиты для всех классов ИСПДн?
Так как другой процедуры оценки соответствия нет, то - да.
"Да" - это ответ на Ваш вопрос.:-)
С уважением, Шахалов И.Ю.
Серьезная поправка-то...
Все равно фраза звучит нелепо, на мой взгляд - "прошедших в установленном порядке процедуру оценки соответствия."
Цитата
Игорь Ю. Шахалов пишет:
Так это Положение и вводится вместо "Рекомендаций" и "Основных мероприятий".
По смыслу это так и есть, только неплохо было бы это прописать в самом приказе...
Цитата
Kutyrs пишет:
По смыслу это так и есть, только неплохо было бы это прописать в самом приказе...
Я уже в другой ветке говорил, что, скорее всего, пропишут в своем (ФСТЭКовском) приказе.
Положение зарегистрировано в Минюсте, а 4-хкнижие нет.
Достаточно распоряжения того, кто эти 4 книги утвердил - т.е. заместителя директора ФСТЭК.
Как на самом деле будет - пока не ясно.
Подождем вступления в силу.
С уважением, Шахалов И.Ю.
Самое интересное, что в Приказе №58 отмены ранее изданных документов нет, а есть ссылки на два документа по моделям угроз, (признаем их теперь легитимными), а в документах по моделям - ссылка на два оставшихся, следовательно и они легитимны.
Цитата
Михаил пишет:
Самое интересное, что в Приказе №58 отмены ранее изданных документов нет, а есть ссылки на два документа по моделям угроз, (признаем их теперь легитимными), а в документах по моделям - ссылка на два оставшихся, следовательно и они легитимны.

На мой взгляд нету в Приказе легализации 4-книжия. Он во-первых сам по себе самоценен и расписывает все необходимые мероприятия, методы и способы.

В явном виде п.1.4 Приказа определяет, что строить систему защиты следует исходя из модели угроз (что подвигает нас взяться за Методику определения угроз) и класса информационной системы (ссылка на "приказ трех").

Модель строится в соответствии с пунктом 2 ПП781:
Цитата
2. Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.
Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.
Для обеспечения безопасности персональных данных при их обработке в информационных системах осуществляется защита речевой информации и информации, обрабатываемой техническими средствами, а также информации, представленной в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнитно-оптической и иной основе.
При всем старании никаких ссылок на четырехкнижие не обнаруживается.

В последнем абзаце Методики однако обнаруживается указание на то, что на основе составленной модели, "Рекомендаций" и "Основных мероприятий" "формулируются конкретные организационно-технические требования по защите ИСПДн от утечки информации по техническим каналам, от несанкционированного доступа и осуществляется выбор программных и технических средств защиты информации, которые могут быть использованы при создании и дальнейшей эксплуатации ИСПДн", что противоречит пункту 1.4 Приказа 58 - утвержденному в Минюсте и [почти] опубликованному.
Изменено: Андрей [Пилотов] - 04.03.2010 17:10:17
Цитата
Михаил пишет:
Самое интересное, что в Приказе №58 отмены ранее изданных документов нет, а есть ссылки на два документа по моделям угроз, (признаем их теперь легитимными), а в документах по моделям - ссылка на два оставшихся, следовательно и они легитимны.
Как может быть отменено то, что нелегитимно?
Если подходить со всей строгостью, то 4-книжия нет.
А в Приказе 58 идет отсыл на документы, утвержденные в соответствии с п.2 Постановления 781, а не конкретно на "Базовую модель" и "Методику определения актуальности".
Приказ 58 идет утвержден непосредстенно в соответствии с п.3 Постановления 781.
Цитата
Андрей [Пилотов] пишет:
При всем старании никаких ссылок на четырехкнижие не обнаруживается.
Андрей, Вы ошиблись!
Пункт 1.4 нового Положения говорит о п. 2 Постановления Правительства, а не введенного им Положения!
Таким образом, цитата будет другая:
Цитата
2. Федеральной службе безопасности Российской Федерации и Федеральной службе по техническому и экспортному контролю утвердить в пределах своей компетенции в 3-месячный срок нормативные правовые акты и методические документы, необходимые для выполнения требований, предусмотренных Положением, утвержденным настоящим постановлением.
А это есть прямая ссылка на "четырёхкнижие".
Цитата
Гость пишет:
Как может быть отменено то, что нелегитимно?
Если подходить со всей строгостью, то 4-книжия нет.
Почему нелегитимно?
Оставшиеся два документа - "Методика" и "Базовая модель" носят методический характер.
А директивным документом теперь становится новое "Положение" (Приказ 58).
С уважением, Шахалов И.Ю.
Доброго времени суток!
Не вдаваясь в подробности:
1. Приказ №58 еще официально не опубликован (Российская газета или сайт Минюста). Ожидаемый срок публикации - ~5 марта 2010 года, соответсвенно в силу еще он вступает ~15 марта.
2. Получение лицензии на ТЗКИ установлено 128-ФЗ и ПП504
3. Иной процедуры оценки соответствия, кроме сертификации, пока нет.
4. Приказ устанавливает применение двух ранее изданных документов - "Б.М." и "Методики"
5. О неприменении других документов (из 4-х) пока говорить преждевременно.
Изменено: Евгений В. Казаков - 05.03.2010 00:17:34
Управление ФСТЭК России по СЗФО, (812) 571-53-84, kazakov@fstec-szfo.ru
Опубликован http://www.rg.ru/2010/03/05/dannye-dok.html
dementeeva@blogspot.ru
Цитата
Евгений В. Казаков пишет:
3. Иной процедуры оценки соответствия, кроме сертификации, пока нет.

Закон "О техническом регулировании" (http://www.fstec.ru/_docs/doc_1_2_022.htm#g4) предусматривает такие формы подтверждения соответствия:
1. Добровольное подтверждение соответствия осуществляется в форме добровольной сертификации.
2. Обязательное подтверждение соответствия осуществляется в формах:
а. принятия декларации о соответствии (далее - декларирование соответствия);
б. обязательной сертификации.

Кстати, формат абзаца 2.1 отнюдь не означает, что ВСЕ СЗИ должны пройти процедуру оценки соответствия. Например, "использование защищенных каналов связи" применимо не всегда.

PS А если посмотреть "Положение о сертификации средств защиты информации" (http://www.fstec.ru/_docs/doc_2_2_010.htm), то вообще непонятно откуда взялась сертификация на конфу - положение в первом пункте гостайной ограничивается.
Цитата
Евгений В. Казаков пишет:
2. Получение лицензии на ТЗКИ установлено 128-ФЗ и ПП504
Можно внятный ответ...
Получение лиц. ТЗКИ обязательно для К1,2,3распр.??? или нет
Страницы: Пред. 1 2 3 4 След.
Ответить
Читают тему (гостей: 6, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку