Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

В России хотят создать мегарегулятора информационной безопасности, взяв пример с США

18/11/2017

В рамках реализации программы «Цифровая экономика» предлагается определить единый госорган, ответственный за требования к средствам информационной безопасности.

Реклама

Партнеры

Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1
Ответить
RSS
Как определить классы АС ?, ПО какпому правилу АС относиться к конкретной букве по классам ?
Уважаемые эксперты, подскажите пожалуйста.

Возникла необходимость проверсти классификацию АС с обработкой конфиденциальной инофрмации.
Компьютер один, пользователей несколько, доступ разграничивается, носитель один (жесткий диск компа).

Классификация проводиться по РД "Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации."
http://www.fstec.ru/_docs/doc_3_3_004.htm

Так уж и быть отнесли АС к певой группе (хоть там и инфорация одного уровня конфиденциальность, но пользователей наскольно и права разные).

Вопрос встал при определении буквы. Подскажите, какие правила отнесение АС к той или иной букве ?? в чом отличие обработки в 1Д, 1Г, 1В, 1Б и 1А ??

Будьте добры аргументируйте свою точу зрения )
Всё что нашла в "Руководстве слушателя курса "Безопасность информационных технологий" учебного центра "Информзащита", вот такое деление:
1Д, 1Г - к ним относится служебная тайна, ПДн, банковская тайна, иная кофеденциальная информация.
1В,1Б,1А - информация ограниченного доступа, содержащая сведения, составляющие гос. тайну(секретно, сов. секретно, особой важности ,соответственно).
С персоналкий в госах там еще понятно: 3,2 класс - 1Д, 1 класс - 1Г (хотя тут *WOW* , нужно ли вообще классифицировать ИСПДн по классам АС)

Ну допустим у меня служебная тайна: гос.учреждение, дсп - информация о деятельности.. персоналки, гостайны нет.

Как определить: это 1Д или 1Г ?


Есть ли мнения ?
1Д - ДСП
1Г - ПДн
Цитата
Alekzander пишет:
1Д - ДСП
1Г - ПДн

Александр, а можно подкрепить свои слова какой нибудь "нормативщиной" ??

Согласно СТР-К

АС, обрабаывающие слежебную тайну должны бфыть не ниже 1Г, АС, обрабатывающие ПДн - не ниже 1Д.

По соотношению требований приказа 58 (по ПДн) и РД "АС НСД" ИСПДн 1 класса соотносятся с системами 1Г.

Вопрос: можно ли классифицировать АС с ДСП по классу 1Д, и как это обосновать ?
Цитата
Alekzander пишет:
1Д - ДСП
1Г - ПДн
Бред, что ПДн выше по значимости ДСП.

А мнение такое, если в вашей системе выполняются требования к подсистемам класса 1Г => 1Г, иначе 1Д.
В СТР-К 2001 года было 5.3.3. Рекомендуется относить АС, обрабатывающие информацию, составляющую коммерческую тайну, режим защиты которой определяет ее собственник, по уровню защищенности к классам 3Б, 2Б и не ниже 1Д (если по решению руководителя предприятия не предъявляются более высокие требования). Соот. коммерческая к 1Д, в гос.структуре коммер. тайна не является основной => 1Г.
Персональные данные всегда будут по классу выше ДСП. А по категории равны
Цитата
ЗГТ и ПДТР пишет:
Персональные данные всегда будут по классу выше ДСП. А по категории равны
Хотелось бы, так сказать, в общих чертах, понять аргументацию. Как вы предлагаете сравнивать классы ДСП и ПДн?
Цитата
ЗГТ и ПДТР пишет:
Персональные данные всегда будут по классу выше ДСП. А по категории равны
Не совсем понятно данное мнение. Что имеется ввиду под "ПД выше классом, чем ДСП".
ДСП это гриф (кстати, который, оффициально уже утратил силу, но многие его все равно ставят на доки), а ПДн это информация, которую необходимо защищать в соответствии с законодательством. Если под ДСП понимается любая КИ, то эт и есть в частности ПДн...
Значит давайте по порядку. Классы 1В, 1Б, 1А определяются в соответсвии с грифом обрабатываемой информации - секретно, сов.секретно и особой важности. У вас, как я понял, конфиденциалка, значит на эти классы вам выходить не надо. Если АС госструктуры, то дефакто требования СТР-К для неё обязательны, отсюда смотрим, если там есть служебная тайна, то это 1Г (как уже упоминалось выше). Если служебной тайны там нет, а есть только персональные данные, то можно опуститься до 1Д, Но здесь надо учитывать требования 58 приказа, в зависимости от класса ИСПДн вам опять возможно придется подняться до класса 1Г (если класс ИСПДн окажется К1, то для этого класса приводятся требования, которые соответствуют, а кое в чем даже превышают требования класса 1Г для АС). Если ваша АС коммерческая, то требования СТР-К не являются для вас обязательными, а могут рассматривать только как рекомендации (можно вообще на них не ориентироваться). Тогда класс АС вы можете выставлять исходя из здравого смысла, т.е. реально посмотрите от чего вы можете и хотите защищаться, чем вы это будете делать, ну и когда определитесь с составом средств защиты посмотрите какие требования вы ими закрываете - тот класс, который вы сможете закрыть и будет вашим (скорее всего это окажется класс 1Д + некоторые функции из класса 1Г, тогда ваш класс будет 1Д). При этом помните, что для коммерческих АС использование сертифицированных средств защиты для АС с конфиденциальной информацией не является обязательным (это если речь опять же не идет о персональных данных).
Цитата
Михаил пишет:
При этом помните, что для коммерческих АС использование сертифицированных средств защиты для АС с конфиденциальной информацией не является обязательным (это если речь опять же не идет о персональных данных).
Не путайте для АС класса 1Д и 1Г нет требования по наличию сертифицированных средств защиты информации, и не важно гос орган или комерческая организация. Требование по сертифицированным средствам защиты информации прописаны в 781 ПП, но не совсем понятно почему я должен использовать именно средства защиты информации, может быть я организационно решу все это 8) .
Анатолий, необходимость использования сертифицированных СЗИ в государственных организациях устанавливалась в СТР-К...хотя там формулировки многозначительные и их можно трактовать как рекомендации, но на сегодняшний день практика такова, что аттестовать АС (в том числе и классов 1Д или 1Г) госорганизаций без использования сертифицрованный средств защиты вы не сможете, хотя обязательное их применение в РД ФСТЭК и не прописано.
Цитата
Михаил пишет:
Анатолий, необходимость использования сертифицированных СЗИ в государственных организациях устанавливалась в СТР-К...хотя там формулировки многозначительные и их можно трактовать как рекомендации, но на сегодняшний день практика такова, что аттестовать АС (в том числе и классов 1Д или 1Г) госорганизаций без использования сертифицрованный средств защиты вы не сможете, хотя обязательное их применение в РД ФСТЭК и не прописано.
Никто не спорит, практика есть практика, но в руководящих документах, в частности Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. Пункт 2.10 подпункт 4.6 для Использование сертифицированных СЗИ для 1Г и 1Д стоит -. Лицензиат проводящий аттестацию заинтересован в продаже СЗИ(получает с этого процен), никто же ему не запещает рекомендовать Вам использование сертифийцировыанных СЗИ.
То, что в РД на АС нет требований по использованию сертифицированных средств защиты для классов 1Д и 1Г, я сразу не отрицал. Но я повторяю, помимо РД есть ещё СТР-К...это технический документ ФСТЭК, он имеет гриф ДСП, и при построении СЗИ госорганизаций крайне рекомендуется придерживаться его требований (и рекомендаций), иначе потом не аттестуетесь.
Цитата
Михаил пишет:
То, что в РД на АС нет требований по использованию сертифицированных средств защиты для классов 1Д и 1Г, я сразу не отрицал. Но я повторяю, помимо РД есть ещё СТР-К...это технический документ ФСТЭК, он имеет гриф ДСП, и при построении СЗИ госорганизаций крайне рекомендуется придерживаться его требований (и рекомендаций), иначе потом не аттестуетесь.
Имеет он гриф дсп или нет это не важно, он вообщето не рекомендуется а требует аттестацию для государственных информационных ресурсов (п.2.17 и п.2.3 что это такое вопрос очень интересный ;) ) 8). Аттестация объекта информатизация по требованиям безопасности проводится по двум документам СТР (в нашем случае можно не смотреть на него т.к. только для гостайны) и СТР-К. Аттестация по СТР-К требуется для АС, но не ИС. ИС и АС это разные вещи и путать их не надо.
Про рекомендации и требования - почитайте внимательно СТР-К, там есть много моментов в которых написано "рекомендуется". Теперь по поводу АС и ИС - а кто здесь их путает? В теме спрашивали про АС, я дал комментарий про АС.
Цитата
Максим Попов пишет:
ДСП это гриф (кстати, который, оффициально уже утратил силу, но многие его все равно ставят на доки)
А можно по-подробнее?
Помогите ответить на вопрос. Какие классы средств вычислительной техники могут использоваться в АС класса 1Д. Варианты ответа: 1,3,5,7,8.
Цитата
Гость пишет:
Помогите ответить на вопрос. Какие классы средств вычислительной техники могут использоваться в АС класса 1Д. Варианты ответа: 1,3,5,7,8.
вот у нас гости некоторые итересные такие, нет, чтобы прочитать документ, а потом спрашивать..
Гость, вы видели в глаза документ под названием Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации.
Если бы видели, то знали бы, что классов СВТ всего 7.
А если бы прочитали документ Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации, то увидели бы, что требования на соответствие классу СВТ предъявляется только для классов секретной информации и выше.
:)
Страницы: 1
Ответить
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку