Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

GDPR: Новые правила обработки персональных данных в EU

15/06/2018

Все слышали о General Data Protection Regulation (GDPR) (Regulation (EU) 2016/679), который вступил в силу 25 мая 2018 года. Штрафы большие и придётся соответствовать. Как и любой официальный документ, он написан сухо и может трактоваться по-разному.

Реклама

Партнеры

Лаборатория кибербезопасности







Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1
Ответить
RSS
Распределенные ИСПДн, Как правильно классифицировать свою ИСПДн по признаку распределенности?
Уважаемые коллеги, для ИСПДн класса К3 очень критичным является правильно установить признак ее распределенности.
Если ИСПДн распределенная, то для проведения мероприятий по обеспечению безопасности ПДн нужно получать лицензию на осуществление деятельности по технической защите конфиденциальной информации. Если не распределенная, то никаких телодвижений делать не надо.
Отсюда вопрос 1: Существует мнение (Merced), что распределенной считается ИСПДн имеющая выход за пределы контролируемой зоны. А в четверокнижии сказано, что распределенной является система, только если в ней используются технологии удаленного доступа (то есть, согласно моей логике, если есть выход за пределы КЗ, но при этом не используется удаленный доступ, то ИСПДн все равно считается нераспределенной (локальной)). Кто-нибудь может подсказать в каком документе дано четкое определение распределенной системы и ее отличие от нераспределенной? У меня ИСПДн находится в двух охраняемых зданиях и между ними проложено 50м оптоволокна в неконтролируемой зоне, но зато в кабельной канализации. Получать мне из-за этих 50м кабеля лицензию или нет?
Вопрос 2: Например у меня пользователи через интернет обращаются к веб-интерфейсу моего сервера и под своим паролем могут посмотреть только свои ПДн (оценки, персональное расписание). Можно в этом случае веб-интерфейс считать терминальным доступом, а всю ИСПДн нераспределенной?
Вопрос 3: А лицензию трудно получить?
Изменено: Stas - 26.08.2009 11:05:35
правильней Вам будет провести классификацию с привлечением лицензиата ФСТЭК (которого планируется позже привлечь для построения системы защиты).

ибо подходы у всех разные. Кто-то солгасится, ставя на кон свою лицензию, считать Вашу систему нераспределенной, кто-то предпочтет раскрутить Вас на VPN.

в конце концов, именно лицензиат ФСТЭК будет отстаивать Ваши (и свои) интересы в случае претензий к Вам со стороны регуляторов.

ответ 2: такая система видится мне специальной. ИСПДн - распределенная, с выходом в сети общего пользования.

ответ 3: трудно. 6 мес времени и 1 млн инвестиций (не говоря уже об угрозе проверкох ФСТЭК, ФСБ).
Цитата
Merced пишет:
правильней Вам будет провести классификацию с привлечением лицензиата ФСТЭК
К сожалению, довольно большую частью из всех 7 миллионов операторов ПДн составляют некоммерческие и малобюджетные организации, у которых просто нет свободных денег. У нас как всегда, государство издало закон, а где взять деньги на его исполнение не сказало. В свое время я обращался в государственные инстанции с вопросом финансирования работ по защите ПДн. Мне достаточно аргументировано ответили, что большинство задач по ИБ может быть решено без привлечения больших средств - административно-организационными мерами и привлечением к работе штатных IT-шников организации за штатный оклад.
Я работаю как раз в организации, не располагающей свободными деньгами, поэтому привлечь лицензиата ФСТЭК к классификации, к сожалению, не могу, только своих штатных IT-шников.
Цитата
Merced пишет:
считать Вашу систему нераспределенной, кто-то предпочтет раскрутить Вас на VPN
На использование VPN нужна лицензия ФСБ? А на установку? Или можно установливать СЗПДн (сертифицированное, естественно), использующее VPN, своими силами?
Изменено: Stas - 27.08.2009 07:05:21
Цитата
Merced пишет:
ответ 2: такая система видится мне специальной. ИСПДн - распределенная, с выходом в сети общего пользования.
А что дает статус специальной ИСПДн? Все равно она остается распределенной и необходимо получать лицензию. Причем, насколько я понял, лицензию нужно получать оператору. Привлечение стороннего лизензиата не спасает оператора от необходимости получать лицензию самому.
При статусе "специальная" класс системы должен определяться на основании модели угроз.
Впрочем, методики определения нет :-)
1. стороннего лицензиата можно привлечь под любые задачи. но вероятно вам не выделят под это денег (30-40 тыс в месяц под криптоаусорсинг по минимуму).
2. уже сейчас можно разработать все необходимые инструкции и журналы для серьезной работы с криптографией. Можно начать собирать документы для получения собственной лицензии ФСБ. это недорого. это прикроет Вас от проверок ("все делаем по закону.. лицензию - получаем").
3. если Вы используете криптографию "для себя" - риск нарваться на претензии ФСБ - минимален. Они ловят рыбок по-крупнее :)
в случае с использованием криптографии на сайте - я бы не советовал. Может обезличить всех пользователей? пусть заходят под своими никами, не реальными ФИО.
Цитата
Merced пишет:
Может обезличить всех пользователей? пусть заходят под своими никами, не реальными ФИО.
Кстати, это реальный выход :) Студенты могут заходить на сервер через интернет и веб-интерфейс, используя в качестве ника уникальный номер зачетной книжки, и смотреть свои оценки.
В этом случае всю ИСПДн, состоящую из SQL-сервера и веб-сервера (запертых в шкафу в пределах КЗ), можно считать нераспределенной?
если сегмент сети, обрабатывающей ПДн, выделен и ограничен сертифицированным межсетевым экраном на физическом или логическом уровне и если этот сегмент расположен в пределах КЗ - то да (она нераспределенная).

если существуют внешние подключения и по ним передаются персональные данные (пусть даже и зашифрованные) - то оконечное оборудование пользователя так же необходимо включать в ИСПДн (так, например, ИСПДн WesternUnion состоит из всех всех всех машин данной системы).

если внешним пользователям передаются обезличенные ПДн - то это тоже ИСПДн 4 класса.
Цитата
Merced пишет:
если сегмент сети, обрабатывающей ПДн, выделен и ограничен сертифицированным межсетевым экраном на физическом или логическом уровне и если этот сегмент расположен в пределах КЗ - то да (она нераспределенная).
Естественно, SQL-сервер и веб-сервер выделены в отдельный сегмент сети и отделены сертифицированным МЭ.
Цитата
Merced пишет:
если внешним пользователям передаются обезличенные ПДн - то это тоже ИСПДн 4 класса
Да, но ведь в моем случае это домашние компьютеры студентов. Их что тоже классифицировать по классу ИСПДн?
Изменено: Stas - 27.08.2009 13:54:44
ответ 3: трудно. 6 мес времени и 1 млн инвестиций (не говоря уже об угрозе проверкох ФСТЭК, ФСБ).

Не все так плохо. Можно обозвать один компьютер АС, выполнить все необходимые мероприятия по его аттестации, аттестовать помещение с ним (можно его запихнуть в "кладовку без окон, без дверей") ну и дальше документы подготовить. Затраты будут только на аттестацию - а это на порядок меньшие суммы чем млн.
Цитата
Денис пишет:
ответ 3: трудно. 6 мес времени и 1 млн инвестиций (не говоря уже об угрозе проверкох ФСТЭК, ФСБ).



Не все так плохо. Можно обозвать один компьютер АС, выполнить все необходимые мероприятия по его аттестации, аттестовать помещение с ним (можно его запихнуть в "кладовку без окон, без дверей") ну и дальше документы подготовить. Затраты будут только на аттестацию - а это на порядок меньшие суммы чем млн.

это Вы сейчас рассказали реальную историю? или услышанную на курсах информзащиты (прочитаную на форумах)?
Цитата
Stas пишет:
вопрос 1: Существует мнение (Merced), что распределенной считается ИСПДн имеющая выход за пределы контролируемой зоны. А в четверокнижии сказано, что распределенной является система, только если в ней используются технологии удаленного доступа (то есть, согласно моей логике, если есть выход за пределы КЗ, но при этом не используется удаленный доступ, то ИСПДн все равно считается нераспределенной (локальной)). Кто-нибудь может подсказать в каком документе дано четкое определение распределенной системы и ее отличие от нераспределенной? У меня ИСПДн находится в двух охраняемых зданиях и между ними проложено 50м оптоволокна в неконтролируемой зоне, но зато в кабельной канализации. Получать мне из-за этих 50м кабеля лицензию или нет?
Вопрос 2: Например у меня пользователи через интернет обращаются к веб-интерфейсу моего сервера и под своим паролем могут посмотреть только свои ПДн (оценки, персональное расписание). Можно в этом случае веб-интерфейс считать терминальным доступом, а всю ИСПДн нераспределенной?
Вопрос 3: А лицензию трудно получить?
1.Сеть в пределах КЗ аттестована? Выход за КЗ требует установки сертифицированного МЭ и сертифицированного VPN на эти 50 метров.
2. система подключена к интернету - МЭ + СОКА. система с данными 2 категории, если их больше 1000 - необходимо аттестовывать, т.к. система К2 и получать лицензию ТЗКИ ФСТЭК России. Защиту от НСД при передаче от Ваших серверов до рабочего места пользователя необходимо реализовывать. следовательно имеем сертифицирвоанные СКЗИ для создания шифрованного канала.
3. Про какую лицензию идет речь? судя по тексту - ТЗКИ ФСТЭК России. требования описаны в ПП504, если нужно более подробно - приходите расскажу как это делать, АС и ЗП сделать не проблема, обучить персонал - тоже. С лицензиями ФСБ немного посложнее - там требуется 5 летний стаж работы для руководителя в области защиты информации.
Цитата
Merced пишет:
это Вы сейчас рассказали реальную историю? или услышанную на курсах информзащиты (прочитаную на форумах)?

Кхм. По-моему, понятно, что история реальная. Увы...
Это действительно реально, у меня так сделано. Но не забывайте про контрольно-измерительное оборудование которое необходимо купить. А это деньги не малые. Либо аренда.
Цитата
Stas пишет:
Уважаемые коллеги, для ИСПДн класса К3 очень критичным является правильно установить признак ее распределенности.
Если ИСПДн распределенная, то для проведения мероприятий по обеспечению безопасности ПДн нужно получать лицензию на осуществление деятельности по технической защите конфиденциальной информации . Если не распределенная, то никаких телодвижений делать не надо.

Отсюда вопрос 1:
Вопрос 2:
Вопрос 3: А лицензию трудно получить?

По вопросу 3 - одназначно, что лицензию получить не просто.
Я думаю, что Вам можно договориться с каким-нибудь лицензиатом ФСТЭК о минимальной стоимость работ для Вас: например, вы сами можете сделать все документы, а они их проверят и распушутся.

Вопрос 1 - мне кажется, что если оптика только Ваша - то в модели угроз можно указать, что Ваша информация столько не стоит, чтобы вламываться в канализацию и снимать данные с оптики (что очень дорого).
Т.е. 50 метров можно и без шифрования обойтись.


на комплексы автоматизированных рабочих мест и (или) локальных информационных систем, объединенных в единую информационную систему средствами связи с использованием технологии удаленного доступа (распределенные информационные системы).

Кто-нибудь искал определение "Технологий удаленного доступа" в ГОСТах?

Однако, мне кажется, что если технологии удаленного доступа это xDSL, T1 и тп. то ваша система становится распределенной не из-за 50 метров, а из-за того, что к ней подключаются пользователи из дома и т.п.


Вопрос 2, если честно, вогнали меня в тоску - я не знаю как однозначно на него ответить.

Вот скажите мне, что меняет терминальный доступ?
Вне зависимости от того, как пользователи подключаются к системе, от фразы "комплексы рабочих мест" вы никуда не убежите - каждый АРМ является непосредственной составляющей ИСПДн.

Кроме того, по документам ФСТЭК,
- каждый человек, который имеет доступ к системе должен быть указан в перечне допущенных лиц.
- в ИСПДн 3 класса (разные права доступа для разных пользователей): "должна осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему" - если я правильно понимаю, такая идентификация должна осуществляться сертифицированным СКЗИ (иначе как вы докажете, что ваша программы выполняет функции по идентификации?).

Таким образом, если буквально следовать "Осномным мероприятиям ... " то
1. либо каждый клиент, подключающися например к интернет магазину должен
установить у себя средство от НСД (такое как SecretNet) - что в принципе невозможно...
2. либо ПО интернет-магазина должно быть сертифицировано по классу защищенности 1Д (или 1Г) - что впринципе возможнО, но достаточно дорого?

Я не могу ответить на этот вопрос.... (
Одним из принципов "Развития информационного общества в РФ" является поддержка отечественных производителей продукции и услуг в сфере ИКТ. А вы поддержите модернизацию России?
Лицензия ФСТЭК - персонал, аттестованное ЗП и АС, документация и оборудование
Лицензия ФСБ - персонал, аттестованная АС, документация
Сертификация web-портала - достаточно дорого.
Рассматривать систему раздельно на две системы - серверная часть и рабочие места.
Цитата
Дмитрий Левиев пишет:
Лицензия ФСТЭК - персонал, аттестованное ЗП и АС, документация и оборудование

"и оборудование" стоимостю от 1,5 до 2 млн.руб. )
Одним из принципов "Развития информационного общества в РФ" является поддержка отечественных производителей продукции и услуг в сфере ИКТ. А вы поддержите модернизацию России?
Страницы: 1
Ответить
Читают тему (гостей: 2, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку