Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

SIEM ОТ MCAFEE УСПЕШНО ПРОШЛА СЕРТИФИКАЦИЮ ФСТЭК РОССИИ

01/04/2015

McAfee Security Information and Event Management (версия 9.3) успешно прошла сертификационные испытания, результатом которых стал сертификат соответствия №3353 (от 18 февраля 2015), выданный ФСТЭК России.

Реклама

Партнеры

Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: Пред. 1 2 3 4 След.
Ответить
RSS
Типы актуальных угроз, Хотелось бы расставить все точки над И.
Можно ли считать действующей "Методику определения актуальных угроз безопасности ПДн ...", если она разработана на основании "Положения об обеспечении безопасности ПДн при их обработке в ИСПДн", утвержденного Постановлением Правительства РФ от 17.11.2007 г. № 781, уже утратившем силу?
Цитата
Андрей пишет:
"в) для обеспечения 4 уровня защищенности персональных данных ПРИМЕНЯЮТСЯ:
А то что это необходимо _только_ при применении сертифицированных средств уже ничего не значит?
Цитата
Владимирович пишет:
Цитата
Андрей пишет:
"в) для обеспечения 4 уровня защищенности персональных данных ПРИМЕНЯЮТСЯ :
А то что это необходимо _только_ при применении сертифицированных средств уже ничего не значит?
Где такое написано?
Я этот момент опускаю по причине того, что класс МЭ, СОВ, САВЗ можно обеспечить определёнными мерами. Т.е. привести СЗИ к требованиям класса. НО! Как Вы докажете, что СЗИ действительно обеспечивает данный класс?

Вон на айпады есть средства защиты от НСД полулегальные, дак они несложной манипуляцией вводятся в нерабочий режим. Т.е. если Вы установите средство, настроите, проверите доступ, то политики будут исполняться, а если Вы например зайдёте в настройки айпада и измените их, то СЗИ от НСД перестаёт действовать. Приказ о вводе СЗИ в аксплуатацию (о котором говорится в видео выше) это бред, который непонятно как прокатил, случайность.
Изменено: Андрей - 23.10.2013 19:04:22 (орфография)
Цитата
Гость пишет:
Можно ли считать действующей "Методику определения актуальных угроз безопасности ПДн ...", если она разработана на основании "Положения об обеспечении безопасности ПДн при их обработке в ИСПДн", утвержденного Постановлением Правительства РФ от 17.11.2007 г. № 781, уже утратившем силу?
Да, методика это всего-лишь рекомендация. Вы там можете хоть прозой стихи Пушкина А.С. изложить, но если там есть вывод об актуальности возможных угроз и описан техпроцесс, то такой документ будет равноценен созданному по методике. Правда как регуляторы на это посмотрят это уже интересный вопрос... :)
Владимирович, хотя есть о чём задуматься. Есть же легальные лицензионные средства СЗИ. Если они обеспечивают класс МЭ, САВЗ, СОВ, то почему бы не ввести их приказом в эксплуатацию. Нужно только соблюсти требования РД. Хм... А ведь так.
Как думаете?
Цитата
Евгений пишет:
В результате проведенных мероприятий по анализу и выявлению актуальных угроз, сведений, содержащихся в АС\ИСПДн Организации и структурно‑функциональных особенностей АС\ИСПДн, сотрудниками ООО «Рога и копытки» было установлено, что угрозы 1-го и 2-го типа не являются актуальными для АС\ИСПДн Организации. В частности, реализация угроз, связанных с наличием недокументированных (недекларированных) возможностей в системном и (или) прикладном программном обеспечении считается маловероятной ввиду использования сертифицированного\лицензионного системного программного обеспечения и защищенности АС\ИСПДн от сетей связи общего пользования и (или) сетей международного информационного обмена посредством сертифицированных СЗИ\или изолированности сети от сетей общего пользования.
Несколько вопросов.
1) Как назвать этот документ - "Акт определения типа актуальных угроз для ИСПДн ООО "..."?
2) Кем составляется - комиссией или просто ответственным?
3) Не должно ли в нем быть ссылки на какие-либо нормативно-правовые акты, в частности, на ППРФ №1119 от 1.11.2012?
Спасибо ;)
Цитата
Андрей пишет:
Цитата
Владимирович пишет:
Цитата
Андрей пишет:
"в) для обеспечения 4 уровня защищенности персональных данных ПРИМЕНЯЮТСЯ :
А то что это необходимо _только_ при применении сертифицированных средств уже ничего не значит?
Где такое написано?
Собственно сам 21 приказ ФСТЭК:
Цитата
12. При использовании в информационных системах сертифицированных по требованиям безопасности информации средств защиты информации:
а) для обеспечения 1 и 2 уровней защищенности персональных данных применяются:
средства вычислительной техники не ниже 5 класса;
Мы обязаны применять прошедшие оценку соответствия СЗИ. (В отличии от ГИС, где только сертификация - см. 17 приказ и вероятно кроме СКЗИ - см. проект приказа ФСБ по СКЗИ).

Сертификация только одна из форм оценки соответствия (до тех пор пока ПП РФ 330 является дсп), и соответственно при применении сертифицированных СЗИ мы должны соответствовать указанным в п. 12 требованиям, если наши СЗИ не сертифицированны, формально соответствовать никаким классам мы должны.
Что разумеется не снимает с нас ответственности, что указанные СЗИ должны нейтрализовывать наши актуальные угрозы.

Оценить возможности наших СЗИ по нейтрализации актуальных угроз можно примерно следующим образом для МЭ например () (по аналогии с аттестацией):
- пишем программу испытаний:
- указываем испытание 1 - проверка фильтрации по ип-адресам:
- выбираем в соответствии с нашими правилами фильтрации трафика (или каким-то подобным документом) отдельные ип-адреса в защищаемой подсети, общей подсети и внешний какой-нибудь (по возможности).
- пишем что испытания будут проводится с использованием утилиты ping и какого-нибудь анализатора трафика (wireshark пусть).
- пишем какой ип с какого будем пинговать и какой результат ожидаем (в соответствии с правилами фильтрации).
- указываем испытание 2 - проверка фильтрации по протоколам:
- все по аналогии с 1 пунктом что, куда, какие протоколы, что ожидаем.
- после испытаний - указываем, что мы считаем наш МЭ закрывающим угрозы если в испытаниях 1-N не было зафиксировано не ожидаемых результатов.

- пишем протокол:
- под копирку с программы:
делали раз, ожидали два, получили три, заключение - два = три. и так по каждому пункту.
- заключение - по всем испытаниям, в соответствии с программой испытаний, все испытания показали ожидаемый результат.

- пишем акт:
- по программе и протоколу считаем, что наш МЭ закрывает актуальные угрозы и может использоваться в нашей системе для защиты ПДн.

Разумеется во всех трех доках надо упоминать все используемые нами СЗИ. И чем подробнее испытания - тем лучше.

В принципе в такой форме можно и соответствие определенному классу по РД подтвердить. но я бы не стал.

Как-то так.
Цитата
Владимирович пишет:
Мы обязаны применять прошедшие оценку соответствия СЗИ. (В отличии от ГИС, где только сертификация - см. 17 приказ и вероятно кроме СКЗИ - см. проект приказа ФСБ по СКЗИ).

Сертификация только одна из форм оценки соответствия (до тех пор пока ПП РФ 330 является дсп), и соответственно при применении сертифицированных СЗИ мы должны соответствовать указанным в п. 12 требованиям, если наши СЗИ не сертифицированны, формально соответствовать никаким классам мы должны.
А как же вот это (Положение от 27 октября 1995 г. N 199 "ПОЛОЖЕНИЕ О СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ ПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ" ;) :


1.6. Обязательной сертификации подлежат средства защиты информации <**>, предназначенные для защиты сведений, составляющих государственную тайну, а также другой информации с ограниченным доступом, подлежащей защите в соответствии с действующим законодательством, систем управления экологически опасными производствами, объектами, имеющими важное оборонное или экономическое значение и влияющими на безопасность государства, средства общего применения, предназначенные для противодействия техническим разведкам.

Простите. Не катит. Сертифицировать обязательно.
Андрей, Читаем п. 1.2 этого Положения: Действие настоящего положения распространяется на технические, программные и другие средства защиты информации, предназначенные для защиты информации, содержащей сведения, составляющие государственную тайну, от утечки, несанкционированных и непреднамеренных воздействий, несанкционированного доступа и от технической разведки, а также средства контроля эффективности защиты информации.

Все, дальше можно не читать.
Цитата
Андрей пишет:
А как же вот это (Положение от 27 октября 1995 г. N 199 "ПОЛОЖЕНИЕ О СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ ПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ" :

Простите. Не катит. Сертифицировать обязательно.
Простите. Не катит.

Цитата
1.2. ...
Действие настоящего положения распространяется на технические, программные и другие средства защиты информации, предназначенные для защиты информации, содержащей сведения, составляющие государственную тайну, от утечки, несанкционированных и непреднамеренных воздействий, несанкционированного доступа и от технической разведки, а также средства контроля эффективности защиты информации.
...
Само положение (включая п. 1.6) не распространяется ни на что кроме СЗИ для ГТ.

Кроме того РД АС предусматривает использование несертифицированных средств СЗИ для АС обрабатывающих конфиденциальные сведения, не составляющих ГТ. А также "Положение по аттестации объектов информатизации по требованиям безопасности информации " - пункт 3.4.

Что не совпает с картиной прямо таки обязательной сертификации СЗИ.
Изменено: Владимирович - 25.10.2013 10:54:22
Владимирович, коммерческая тайна конечно не попадает под сертификацию, тут хозяин барин, как хочет так и защищает свою информацию.
А вот формы оценки соответствия Вы какие знаете?

"оценка соответствия - прямое или косвенное определение соблюдения требований, предъявляемых к объекту"


"Оценка соответствия проводится в формах государственного контроля (надзора), испытания, регистрации, подтверждения соответствия, приемки и ввода в эксплуатацию объекта, строительство которого закончено, и в иной форме."

Кто сказал, что по вашу душу присутствует иная форма оценки соответствия?


Статья 16.1. Правила формирования перечня документов в области стандартизации, в результате применения которых на добровольной основе обеспечивается соблюдение требований технических регламентов

4. Применение на добровольной основе стандартов и (или) сводов правил, включенных в указанный в пункте 1 настоящей статьи перечень документов в области стандартизации, является достаточным условием соблюдения требований соответствующих технических регламентов. В случае применения таких стандартов и (или) сводов правил для соблюдения требований технических регламентов оценка соответствия требованиям технических регламентов может осуществляться на основании подтверждения их соответствия таким стандартам и (или) сводам правил. Неприменение таких стандартов и (или) сводов правил не может оцениваться как несоблюдение требований технических регламентов. В этом случае допускается применение предварительных национальных стандартов, стандартов организаций и (или) иных документов для оценки соответствия требованиям технических регламентов.
Андрей, а причем здесь технические регламенты? Вы знаете техрегламенты на СЗИ?

И почему я не могу воспользоваться такой формой оценки соответствия, как испытания? Где написано, что нельзя?
AlexG, у Вас испытательная лаборатория есть с лицензией? Тогда, пожалуйста, проводите испытания.
Например какие техрегламенты? Честно, не припомню. Методики ФСТЭК от 14.06.2012 о классах СЗИ знаю. Возможно техрегламенты носят гриф ДСП, и выдаются испытательным лабораториям?...
Цитата
Андрей пишет:
AlexG, у Вас испытательная лаборатория есть с лицензией? Тогда,
пожалуйста, проводите испытания.
ОК. Провожу оценку в форме приемки и ввода в эксплуатацию. Нахрена мне в данном случае лицензия?
AlexG, Вы можете хоть приемку и ввод в эксплуатацию объекта, строительство которого закончено, провести, но как на это посмотрит регулятор (ФСТЭК, Роскомнадзор) я не берусь прогнозировать. Точнее ФСТЭК однозначно будет о 330 постановлении говорить (а может и ещё на что-то сошлётся, тренд на несертификацию СЗИ уже не новый). Если хотите бадаться, то флаг Вам в руки. В лучшем случае попросят исправить, в худшем могут последовать штрафы. Случай с сертификацией правда сказать тоже не самый дешёвый, если оценить это всё здравым умом. Выбор, как всегда, за оператором.
Цитата
AlexG пишет:
Цитата
оценку в форме приемки и ввода в эксплуатацию
Это где Вы такую оценку соответствия нашли? Про объекты строительства видел, а про СЗИ нет.
Цитата
Андрей пишет:
Это где Вы такую оценку соответствия нашли? Про объекты строительства видел, а про СЗИ нет.
Почитайте ФЗ "О техническом регулировании".

То что ФСТЭК будет против, я знаю. :)
Но требовать выполнять неопубликованное 330-е Постановление тоже перебор.
AlexG, да вроде читал, не вижу. Ссылку на пункт дайте.

Нашёл вот что ещё:
"сертификат соответствия - документ, удостоверяющий соответствие объекта требованиям технических регламентов, положениям стандартов, сводов правил или условиям договоров;"

По поводу 330-ого. Мне думается покажут воочую и попросят привести в соответствие требованиям безопасности информации. Но как Лукацкий говорит не имеют право проводить проверки... Честно, это мнение не проверял.
Цитата
Андрей пишет:
AlexG, да вроде читал, не вижу. Ссылку на пункт дайте.

Нашёл вот что ещё:
"сертификат соответствия - документ, удостоверяющий соответствие объекта требованиям технических регламентов , положениям стандартов, сводов правил или условиям договоров;"
По поводу 330-ого. Мне думается покажут воочую и попросят привести в соответствие требованиям безопасности информации. Но как Лукацкий говорит не имеют право проводить проверки... Честно, это мнение не проверял.
У вас, возможно, старая версия закона. В 2011 г были внесены поправки:

Ст. 7, ч.3. "Оценка соответствия проводится в формах государственного контроля (надзора), испытания, регистрации, подтверждения соответствия, приемки и ввода в эксплуатацию объекта, строительство которого закончено, и в иной форме. " (в ред. Федерального закона от 21.07.2011 N 255-ФЗ)

Про сертификат все правильно. Вот и пусть покажут стандарт, свод правил или договор на СЗИ :)

А то, что они покажут ПП330, ничего не меняет: оно официально не опубликовано и не может устанавливать мне, как гражданину, обязанности. См. Конституцию РФ.
Изменено: AlexG - 30.10.2013 13:23:22
AlexG, про опубликование это в 152 законе сказано.

А 184 закон читайте внимательней:
Ст. 7, ч.3. "Оценка соответствия проводится в формах государственного контроля (надзора), испытания, регистрации, подтверждения соответствия, приемки и ввода в эксплуатацию объекта, строительство которого закончено, и в иной форме. " (в ред. Федерального закона от 21.07.2011 N 255-ФЗ)

А по поводу 330-ого... Бояться его не имеет смысла, но и без него хватает... Или не хватает, как считаете? Как оценивать соответствие будете?
Страницы: Пред. 1 2 3 4 След.
Ответить
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)
Форма ответов
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку