Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

ЦОД ядра системы «Мир» построен на Эльбрусах и Рубиконах

18/02/2018

С момента провозглашения курса на импортозамещение замена зарубежных продуктов и решений, формирующих ИТ-инфраструктуру российских предприятий, на отечественные разработки стала одной из постоянно обсуждаемых тем.

Реклама

Партнеры

Лаборатория кибербезопасности



Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: Пред. 1 2 3 4 След.
Ответить
RSS
Новое Положение ФСТЭК. Методы и способы защиты ПДн
Цитата
lexxa7115 пишет:
Закон "О техническом регулировании
А причем здесь защита информации? Вы читали ФЗ о ТР? Он о безопасности жизнедеятельности.
Цитата
Гость пишет:



Цитата


Евгений В. Казаков пишет:
2. Получение лицензии на ТЗКИ установлено 128-ФЗ и ПП504
Можно внятный ответ...
Получение лиц. ТЗКИ обязательно для К1,2,3распр.??? или нет
Если кратко:
Или получение лицензии или привлечение лицензиата.
С уважением, Шахалов И.Ю.
Цитата
Гость пишет:
Цитата
lexxa7115 пишет:
Закон "О техническом регулировании
А причем здесь защита информации? Вы читали ФЗ о ТР? Он о безопасности жизнедеятельности.

Не уверен. Весьма общё написано.
И сам ФСТЭК на него ориентируется (http://www.fstec.ru/_srt/_prbser.htm).
А какие иные варианты законов под ситуацию подходят?
Изменено: lexxa7115 - 05.03.2010 12:14:43
По каким-то причинам ведь написали "оценка соответствия" а не "сертификация". А раз требований конкретных как делать оценку соответствия нет - то оператор сам решает как делать. Берёт СЗИ, берёт требования, если СЗИ их выполняет - то оно соответствует.

По самому положению - как я понял, так как у 99% операторов специальные ИСПДн, эти операторы сами делают себе модель угроз по методичке ФСТЭК и (или) ФСБ, сами выбирают и покупают средства, сами их устанавливают - сами закрывают уязвимости.

Соответственно классификация либо вообще не нужна, либо делается формально - что мол вот класс такой-то (хотя там по индексу численности вопросы ещё есть), но защищаюсь я по своей модели угроз.

Приложение к положению тоже получается не нужно для специальных ИСПДн.
Цитата
Игорь Ю. Шахалов пишет:
Если кратко:
Или получение лицензии или привлечение лицензиата.
А можно полнее?
Фраза из положения такая: "Для выбора и реализации методов и способов защиты информации в информационной системе может привлекаться организация, имеющая оформленную в установленном порядке лицензию на осуществление деятельности по технической защите конфиденциальной информации.".
Никаких К2 распр, да и "может" не равно "должен" (равно скорее "лучше бы привлечь").
Цитата
Гость пишет:
По каким-то причинам ведь написали "оценка соответствия" а не "сертификация".

Вообще интересно. В "Положении о ФСТЭК" в пункте 13 четко написано, что проведение работ по оценке соответствия (включая работы по сертификации) СЗИ только для государственных информационных ресурсов.
А для информации ограниченного доступа (и получается ПД тоже ) только "обязательные требования в области технического регулирования".
Цитата
lexxa7115 пишет:
А можно полнее?
Пожалуйста.
Я писал это раньше в другой ветке. Сам себя процитирую:
Цитата
...Вообще, почему мы рассматриваем лицензию по ТЗКИ при защите ПДн?
Здесь работает цепочка законодательных (и не только) актов:

Указ 188 => 128 ФЗ => 152 ФЗ => 781 ПП => 504 ПП => Административный регламент ФСТЭК.

Логическая связь, надеюсь, понятна. Если нет – задавайте вопросы.

Что касается защиты КОНФИДЕНЦИАЛЬНОЙ информации ВООБЩЕ, то СТР-К, пункт 2.3., если мне память не изменяет.
А близко к тексту он звучит так:
«Требования и рекомендации настоящего документа распространяются на защиту государственных информационных ресурсов некриптографическими методами, направленными на предотвращение утечки защищаемой информации по техническим каналам, от несанкционированного доступа к ней и специальных воздействий на информацию в целях ее уничтожения, искажения и блокирования.
При проведении работ по защите негосударственных информационных ресурсов, составляющих коммерческую тайну, банковскую тайну и т.д., требования настоящего документа носят рекомендательный характер».

Что получается?
Получается, что лицензирование деятельности по ТЗКИ обязательно.
Вы или получаете лицензию, или... см. выше.
С уважением, Шахалов И.Ю.
Цитата
Игорь Ю. Шахалов пишет:
...Вообще, почему мы рассматриваем лицензию по ТЗКИ при защите ПДн?
Здесь работает цепочка законодательных (и не только) актов:

Указ 188 => 128 ФЗ => 152 ФЗ => 781 ПП => 504 ПП => Административный регламент ФСТЭК.
Логично, к сожалению.
Кстати их этой логической связи следует, что требование лицензии распространяется на любой класс ИСПДн (что сейчас в принципе и сделано в 58 приказе).
А если принять во внимание 9-й пункт перечня видом лицензируемой деятельности из 128ФЗ ("деятельность по ... (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд ...)"), то получается что и для "внутренней" работы с любым типом ИСПДн требуется лицензия/помощь лицензиата.

PS Может у вас есть аналогичное мнение по поводу применения сертифицированных СЗИ?
Изменено: lexxa7115 - 05.03.2010 20:35:00
Доброго времени суток!
Не вдаваясь в подробности:
1. Приказ №58 еще официально не опубликован (Российская газета или сайт Минюста). Ожидаемый срок публикации - ~5 марта 2010 года, соответсвенно в силу еще он вступает ~15 марта.
2. Получение лицензии на ТЗКИ установлено 128-ФЗ и ПП504
3. Иной процедуры оценки соответствия, кроме сертификации, пока нет.
4. Приказ устанавливает применение двух ранее изданных документов - "Б.М." и "Методики"
5. О неприменении других документов (из 4-х) пока говорить преждевременно.
Изменено: Евгений В. Казаков - 05.03.2010 00:17:34
Управление ФСТЭК России по СЗФО, (812) 571-53-84, kazakov@fstec-szfo.ru

вчитайтесь в фразу из приказа:
1.4. Выбор и реализация методов и способов защиты информации в информационной системе осуществляются на основе определяемых оператором (уполномоченным лицом) угроз безопасности персональных данных (модели угроз) и в зависимости от класса информационной системы, определенного в соответствии с Порядком проведения классификации информационных систем персональных данных, утвержденным приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. N 55/86/20 (зарегистрирован Минюстом России

3 апреля 2008 г., регистрационный N 11462).

Модель угроз разрабатывается на основе методических документов, утвержденных в соответствии с пунктом 2 постановления Правительства Российской Федерации от 17 ноября 2007 г. N 781.

1.5. Выбранные и реализованные методы и способы защиты информации в информационной системе должны обеспечивать нейтрализацию предполагаемых угроз безопасности персональных данных при их обработке в информационных системах в составе создаваемой оператором (уполномоченным лицом) системы защиты персональных данных.

что получаем:
1. де-юре приказ еще раз подтвердил наличие и легитимность неких "методических документов, утвержденных в соответствии с пунктом 2 постановления Правительства Российской Федерации от 17 ноября 2007 г. N 781"
2. раз мы модель угроз разрабатываем на основе двух книг и чернокнижия,значит "Выбранные и реализованные методы и способы защиты информации в информационной системе должны обеспечивать нейтрализацию предполагаемых угроз" придется делать по оставшимся двум книгам.
to lexxa7115
Хм, я думал, что я один в предпраздничный день делами занимаюсь - ан, нет, однако! :-)

По поводу распространения лицензирования пнрилюбом классе ИСПДн Вы правильный вывод сделали.
Только п. 9 я бы не стал применять к ИСПДн в обязательном виде - только по решению "хозяина" системы.
Да и для эксплуатации системы, я думаю, можно обойтись без лицензии (хотя *WOW* ).
А вот при проектировании, создании и настройке ИСПДн бел лицензии/лицензиата не обойтись.

По поводу сертификации...
Такой логической цепочки найти не могу.
По гостайне - да, а вот по конфиденциальной...

Единственно, что лежит на поверхности - СТР-К.
Но оно обязательно для защиты государственных информационных ресурсов, а для остальных "тайн" носит рекомендательный характер.

Но! В новом Положении сказано "оценка соответствия".
На сегодняшний день единственной легитимной процедурой оценки соответствия является именно сертификция.
Технического регламента нет.
Поэтому для защиты ПДн надо применять сертифицированные СЗИ.

Вот такое мое вИдение.
Постараюсь на следующей неделе проконсультироваться по этому вопросу.
С уважением, Шахалов И.Ю.
Цитата
Гость пишет:
что получаем:
1. де-юре приказ еще раз подтвердил наличие и легитимность неких "методических документов, утвержденных в соответствии с пунктом 2 постановления Правительства Российской Федерации от 17 ноября 2007 г. N 781"
2. раз мы модель угроз разрабатываем на основе двух книг и чернокнижия,значит "Выбранные и реализованные методы и способы защиты информации в информационной системе должны обеспечивать нейтрализацию предполагаемых угроз" придется делать по оставшимся двум книгам.
Правильно.
Мы про это выше уже говорили.
См. пост 36 и цитируемый Вами 37.
С уважением, Шахалов И.Ю.
Шахалову И.Ю.

Как то пропустил Ваш пост.
Удивляют конечно выступления "форумчан". Здесь главное сейчас подключать юристов и в "мутной воде" методик и приказов найти правильное, а главное юридически обоснованное решение(!) как "обеспечить безопасность ПДн"
Постановление Правительства Российской Федерации от 17 ноября 2007 г. N 781 г.:
Пункт 2. фсб и фстэк УТВЕРДИТЬ В ПРЕДЕЛАХ СВОЕЙ КОМПЕТЕНЦИИ в 3-месячный срок НОРМАТИВНЫЕ ПРАВОВЫЕ АКТЫ И МЕТОДИЧЕСКИЕ ДОКУМЕНТЫ, необходимые для выполнения требований, предусмотренных Положением, утвержденным настоящим постановлением.
Пункт. 3 Методы и способы защиты информации в информационных системах устанавливаются ФСБ и ФСТЭК в пределах их полномочий.
ЧТО ИМЕЕМ?
1. Нормативно правовые акты есть – есть новый приказ ФСТЭК
2. Методические документы есть – есть четыре КНИЖКИ
3. Они необходимы для выполнения требований – необходимы
4. Все документы разработаны в пределах компетенции и в пределах полномочий ФСТЭК – безусловно
ИТОГ….. грустная очевидность
Цитата
Игорь Ю. Шахалов пишет:
Но! В новом Положении сказано "оценка соответствия".
На сегодняшний день единственной легитимной процедурой оценки соответствия является именно сертификция.
Технического регламента нет.
Поэтому для защиты ПДн надо применять сертифицированные СЗИ.

Именно это я имел ввиду в предыдущем своем посте.
Написанное в предыдущем посте получено мной на рабочем совещании в ФСТЭК России.
Управление ФСТЭК России по СЗФО, (812) 571-53-84, kazakov@fstec-szfo.ru
Цитата
Евгений В. Казаков пишет:
Цитата
Игорь Ю. Шахалов пишет:
Но! В новом Положении сказано "оценка соответствия".
На сегодняшний день единственной легитимной процедурой оценки соответствия является именно сертификция.
Технического регламента нет.
Поэтому для защиты ПДн надо применять сертифицированные СЗИ.

Именно это я имел ввиду в предыдущем своем посте.
Написанное в предыдущем посте получено мной на рабочем совещании в ФСТЭК России.

Вопрос, а какими нормативными актами регулируется сертификация?
Где вообще оговорена такая процедура?
Игорь Ю. Шахалов писал:
[Да и для эксплуатации системы, я думаю, можно обойтись без лицензии (хотя *WOW* ).
А вот при проектировании, создании и настройке ИСПДн бел лицензии/лицензиата не обойтись.]

В соответствии с ПП-504:
2. Под технической защитой конфиденциальной информации понимается комплекс мероприятий и (или) услуг по ее защите от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней.


Итого: т.е. теперь оператор, не имеющий лицензии по ТЗКИ и, не имеющий финансовых возможностей для привлечения лицензиата (а расценки наших лицензиатов просто варварские, как и, впрочем, затраты на получение лицензии самостоятельно...) не имеет права проводить своими силами: 1.Организационные (административные) мероприятия 2.Технические мероприятия и др. Т.е. даже разработать и принять комплект необходимой документации (например, подобный комплекс был опубликован нашим МИНЗДРАВом) теперь нельзя без лицензии/лицензиата.

С учетом того, что требования по лицензированию ТЗКИ необычайно избыточны для большинства Операторов (например для многих - ТКУИ и ПЭМИН неактуальны; и закупать описанное в ПП-504 оборудование нет нужды), созревает риторический вопрос - ЧТО остается ДЕЛАТЬ?!
Не кажется ли вам, что наше законодательство целенаправленно затачивается под коррупционность?!
Нигде в мире нет больше таких жестких требований по защите ПДн... (сравните с законодательством Канады, Америки и Евросоюза к примеру)

Единственный возможный разумный шаг наших законодателей, чтобы не позорить себя на весь мир - В п.11 статьи 17 ФЗ-128 добавить (по аналогии с п.9): за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя.

Жду ваших комментариев господа!
Цитата
Дмитрий С. пишет:
...
Жду ваших комментариев господа!
Что изменится от наших комментариев? Остаеться уповать только на здравомыслие ФСТЭКа и выдачу им лицензий по ТЗКИ для "собственных нужд" (для систем К2, К3, К4) без контрольно-измерительного оборудования, аттестованных АС и ВП, т.е. на то, что ФСТЭК пойдет на нарушение ПП 504. Судя по представленной на данном ресурсе информации, они этого делать не намерены.
Так что "хочешь - сей, а хочешь - куй..." (С)
Изменено: Simon - 09.03.2010 09:16:01
"Не кажется ли вам, что наше законодательство целенаправленно затачивается под коррупционность?!"
не законодательство, а всякого рода изобретатели "Четверокнижья",
в официальном приказе фигурирует "прошедшие в установленном порядке процедуру оценки соответствия" - которую эти изобретали опять устно подразумевают сертификацию,
""http://www.a-datum.ru/forum/viewtopic.php?f=31&t=34""
""guest писал(а):
а как же "использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия"?
Порядок устанавливается чуть ниже в п.2.12
Цитата:
2.12. Программное обеспечение средств защиты информации, применяемых в информационных системах 1 класса, проходит контроль отсутствия недекларированных возможностей.
Необходимость проведения контроля отсутствия недекларированных возможностей программного обеспечения средств защиты информации, применяемых в информационных системах 2 и 3 классов, определяется оператором (уполномоченным лицом).
guest писал(а):
и где там прописано о отмене лицензирования и добровольной сертификации?

В том то и дело, что нигде не прописана обязательность лицензирования - за исключением *WOW* моментов (профильный комитет Думы считает, что для собственных нужд не требуется - ФСТЭК считает, что требуется) в Законе "О лицензировании". Во всяком случае это уточнение есть в предложениях по изменению законодательства.
А система добровольной сертификации прописана начиная с Закона "О техрегулировании" ""

А чиновники продолжают считать овец, которых надо подстричь:
"В Роскомнадзоре во вторник, 9 марта, состоялось очередное заседание Консультативного совета при Уполномоченном органе по защите прав субъектов персональных данных... В ходе заседания выработаны предложения по усилению работы с операторским сообществом с целью активизации процесса направления в Уполномоченный орган уведомлений об обработке персональных данных."

Так, что опять ждем очередного шага законодателей пока они обуздают "изобретателей".
Цитата
Дмитрий С. пишет:

В соответствии с ПП-504:
2. Под технической защитой конфиденциальной информации понимается комплекс мероприятий и (или) услуг по ее защите от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней.


Итого: т.е. теперь оператор, не имеющий лицензии по ТЗКИ и, не имеющий финансовых возможностей для привлечения лицензиата (а расценки наших лицензиатов просто варварские, как и, впрочем, затраты на получение лицензии самостоятельно...) не имеет права проводить своими силами: 1.Организационные (административные) мероприятия 2.Технические мероприятия и др. Т.е. даже разработать и принять комплект необходимой документации (например, подобный комплекс был опубликован нашим МИНЗДРАВом) теперь нельзя без лицензии/лицензиата.

Да, все именно так печально. Вы все правильно написали.
«Под технической защитой конфиденциальной информации понимается комплекс мероприятий и (или) услуг по ее защите от несанкционированного доступа».

По тексту именно так и получается, что например мероприятия (организация пропускного режима и т.п.) для защиты ПДн от несанкционированного доступа без лицензии делать нельзя.
По сути полнейший абсурд...
http://www.fstec.ru/_razd/_karto

Теперь руководствуемся только 2 книжками из четырех офециально
Страницы: Пред. 1 2 3 4 След.
Ответить
Читают тему (гостей: 3, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку