Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

ФСБ: Национальному координационному центру по компьютерным инцидентам быть!

13/10/2018

Директор ФСБ России Александр Бортников распорядился создать государственный орган по борьбе с кибератаками. Текст соответствующего приказа размещен на официальном интернет-портале правовой информации.

Обучение

015.3. Системное администрирование операционной системы Astra Linux Special Edition. Специальный курс.
06 - 07 ноября 2018 года

002. Техническая защита информации. Способы и средства защиты информации от несанкционированного доступа.
12 - 16 ноября 2018 года

001. Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных. Курс согласован ФСТЭК России.
19 - 23 ноября 2018 года

026. Подготовка к CISSP и CISM (курс от профессионалов-практиков).
28 - 30 ноября 2018 года

036.2. Внедрение системы управления информационной безопасностью.
04 - 05 декабря 2018 года

036.3. Внутренний аудит СУИБ на соответствие требованиям международного стандарта ISO/IEC 27001:2013.
06 - 07 декабря 2018 года

015.1. Основы работы в операционной системе Astra Linux.
10 - 11 декабря 2018 года

015.2. Системное администрирование операционной системы Astra Linux Special Edition.
12 - 14 декабря 2018 года

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1 2 След.
Ответить
RSS
Категории информации
Доброго дня,
какой регулятор или закон у нас определяет методику классификации\категорирования информации?

Каковы критерии классификации: по уровням конфиденциальности, ценности, правам доступа, срокам хранения?

Кто какие критерии использует и чего требует закон\регулятор?
Цитата
Александр пишет:
какой регулятор или закон у нас определяет методику классификации\категорирования информации?
149-ФЗ и закон о гос. тайне - база. Далее отдельные ФЗ, подзаконные, НПА, НМД регуляторов. Указ президента 188 любят многие приплетать, как базу, но он таковым уже не является.
Цитата
Александр пишет:
Каковы критерии классификации: по уровням конфиденциальности, ценности, правам доступа, срокам хранения?
Классификация отталкивается от уровня конфиденциальности и ценности информации - АС (РД ФСТЭК и СТР-К), ИСПДн (приказ о классификации).
Вопросы слишком общие :)
а для ИТ активов? информационные, программные, физические, сервисы...
Это смотрите ГОСТы и ISOшки по ИТ и ИБ, там много чего можно найти, регуляторов и законодательство все эти деления мало волнуют.
ответы слишком общие :)
http://www.fstec.ru/_spravs/_spec.htm - даты разработки радуют
Изменено: Александр - 31.07.2012 15:28:14
а как регуляторы отностяся к использованию NIST 800xxx вместо ГОСТ 15408 для оценки безопасности ИС?
Классификации и категорирования информации, если она не относится к ПДн и гос. тайне - проводите как хотите. Есть стандарты международные (семейство ISO 27000, Common Criteria - ISO 15408) и российские (ГОСТ Р ИСО/МЭК 15408-1(2,3)-2008) как пример.
Есть отраслевые стандарты, например СТО БР ИББС для банков. Это регулируется Центробанком.
В общем случае читайте 149-ФЗ
Цитата
Александр пишет:
а как регуляторы отностяся к использованию NIST 800xxx вместо ГОСТ 15408 для оценки безопасности ИС?
жду официального ответа на письмо...
Цитата
Александр пишет:
а как регуляторы отностяся к использованию NIST 800xxx вместо ГОСТ 15408 для оценки безопасности ИС?
Если не изменяет память, этот ГОСТ применяют только в области сертификации СЗИ, дальше его не продвинули.
Всё ведь зависит от категории информации, если у Вас КТ - то регуляторов нет, а если ПДн - будьте любезны по 781 ПП и вытекающим из него НПА.
виды конфиденциальной информации:
- ПДн
- КТ
- служебная тайна
- профессиональная тайна

например, есть ИС, в составе которой есть ИСПДн. ИСПДн защищаем в соответствии с требованиями регуляторов и 152-ФЗ, а всю остальную конфиденциалку - по методике NIST например, или ГОСТ 15408. Так?
ст 9 149-ФЗ "Федеральными законами устанавливаются условия отнесения информации к сведениям, составляющим коммерческую тайну, служебную тайну и иную тайну, обязательность соблюдения конфиденциальности такой информации, а также ответственность за ее разглашение."
Какими законами, подскажите?
Вот тут почитайте.
Служебной тайны сегодня нет, проф. тайна делится на десятки видов и регуляторы тут проверки не проводят.
Цитата
Александр пишет:
егуляторов и 152-ФЗ, а всю остальную конфиденциалку - по методике NIST например, или ГОСТ 15408. Так?
Если коммерческую - то как хотите, а если "гос. информ. ресурсы" - то СТР-К.
отлично, спасибо!
Цитата
Trotsky пишет:
Вот тут почитайте.
все ли перечисленные виды относятся к конфиденциальной? Или есть среди них ДСП?
а определение чувствительности информации, наряду с критичностью, используется кем-либо?
Цитата
Александр пишет:
все ли перечисленные виды относятся к конфиденциальной? Или есть среди них ДСП?
ДСП - пометка(иногда говорят гриф), которая ставится на документах, содержащих информацию ограниченного доступа.
Цитата
Александр пишет:
а определение чувствительности информации, наряду с критичностью, используется кем-либо?
Если чувствительность связана с ущербом, наносимым при раскрытии - то это и есть деление по уровню конфиденциальности, или я Вас не понял :)
выделяют разные уровни конфиденциальности информации:
- конфиденциальная (ПДн, КТ например)
- ограниченного распространения (ДСП)
- открытая

сверху вниз - ее ценность\критичность уменьшается
критичность пригодится при оценке рисков для определения потенциального ущерба
Изменено: Александр - 01.08.2012 11:17:35
чувствительность не равна критичности
Цитата
Александр пишет:
чувствительность не равна критичности
наверное, имеется ввиду чувствительная инфа = гос тайна
Цитата
Александр пишет:
выделяют разные уровни конфиденциальности информации: - конфиденциальная (ПДн, КТ например) - ограниченного распространения (ДСП) - открытая
Это Вы где взяли?)
есть грубо говоря:
информация, отнесенная в установленном порядке к государственной тайне
конфиденциальная информация
открытая
тоже в порядке убывания.
Как Вы понимаете, оценка рисков нужна только для конфиденциальной информации, а тут уже масса её подвидов, пересечение интересов гос-ва, граждан и компании. Вообщем сложно всё это :)
Страницы: 1 2 След.
Ответить
Читают тему (гостей: 2, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку