Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

ФСБ: Национальному координационному центру по компьютерным инцидентам быть!

13/10/2018

Директор ФСБ России Александр Бортников распорядился создать государственный орган по борьбе с кибератаками. Текст соответствующего приказа размещен на официальном интернет-портале правовой информации.

Обучение

015.3. Системное администрирование операционной системы Astra Linux Special Edition. Специальный курс.
06 - 07 ноября 2018 года

002. Техническая защита информации. Способы и средства защиты информации от несанкционированного доступа.
12 - 16 ноября 2018 года

001. Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных. Курс согласован ФСТЭК России.
19 - 23 ноября 2018 года

026. Подготовка к CISSP и CISM (курс от профессионалов-практиков).
28 - 30 ноября 2018 года

036.2. Внедрение системы управления информационной безопасностью.
04 - 05 декабря 2018 года

036.3. Внутренний аудит СУИБ на соответствие требованиям международного стандарта ISO/IEC 27001:2013.
06 - 07 декабря 2018 года

015.1. Основы работы в операционной системе Astra Linux.
10 - 11 декабря 2018 года

015.2. Системное администрирование операционной системы Astra Linux Special Edition.
12 - 14 декабря 2018 года

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: Пред. 1 ... 10 11 12 13 14 След.
RSS
[ Закрыто ] П-1119 по ПДн, Постановление от 1 ноября 2012 г. №1119 Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных
Несколько раз прочитав ПП 1119 решил все же по подробнее узнать что же такое Системное программное обеспечение?
Как я понимаю это операционная система???

А прикладное программное обеспечение это уже сами программы типа 1С, MS Office, и т.д.

Если у нас все ПДн хранятся в БД прикладного обеспечения (1С, Парус и т.д) и работа с ними ведется только в этих программах, значит для наших ИСПДн актуальны угрозы 2-го типа..... Я правильно мыслю? А вот 1-го типа угрозы для нас не актуальны, так???

ОС и 1С и другие программы не имеют сертификатов ФСТЭКА.

Помогите разобраться.
Цитата
Дмитрий пишет:
для наших ИСПДн актуальны угрозы 2-го типа? А вот 1-го типа угрозы для нас не актуальны.
Дмитрий, в соответствии с действующей в настоящее время нормативкой любую из этих двух угроз можно подвести под класс "неактуально". По идее, насколько я понимаю мысль регуляторов, если у Вас нет документа, подтверждающего отсутствие недекларированных возможностей ПО, то использование его само по себе является актуальной угрозой (если речь о системном ПО, то это угрозы 1-го типа, если о прикладном - то 2-го).
Так я и пытаюсь разобраться, актуальны ли для нас угрозы какого типа.
Дмитрий, согласно ПП-1119 - да, актуальны, но можно сделать неактуальными.
А мне вот кажется, что если ПДн обрабатываются в 1С (прикладной программе), то и угрозы нам актуальны только 2, а Операционная система с ПДн никак не контактирует, следовательно не актуальны для нас угрозы 1 типа.

Значит нам нужна программа 1С с лицензией от ФСТЭК. А лицензии ФСТЭКА на Операционную систему необязательны.

Надеюсь ход моих мыслей понятен.
Ведь наличие в программе недекларированых возможностей, как раз подтверждает сертификат ФСТЭКА.

И как это вы сделаете эти угрозы не актуальными? Как вы это им докажете без соответствующего сертификата???
1. Актуальность угрозы Вы как собираетесь определять? Наличием/отсутствием сертификата ФСТЭК? Актуальность определяется в соответствии с Методикой определения актуальных угроз. Показатель актуальности зависит от двух значений:
1. Вероятность реализации угрозы.
2. Опасность угрозы.
Логично, что если у Вас нет сертификата ФСТЭК об отсутствии НДВ, то вероятность реализации угрозы принимает значения либо "средняя" либо "высокая" отсюда и следует, что для Вас вероятность реализации угроз 1 и 2 типа не низкая и не маловероятная.

Но остается второе значение - ОПАСНОСТЬ УГРОЗЫ.
Вот опасность угрозы, как раз определяет оператор, и как оператор должен ее определять нигде не сказано. Поэтому есть возможность определить опасность угрозы, как низкую и выйти на неактуальную угрозу (как 1-го так и 2-го типа).
Но скорее всего скоро будет опубликована новая методика, так что такой метод временный.
Да...опять недоделали наши недоделкины свои постановления. Интересно как они будут сами производить проверку??? Ведь ничего же толком сказать нельзя ни о угрозах, ни о классах угроз.
ХЗ, как проверять будут. На сайте РКН присутствует возможность заполнения Уведомления в электронном виде. Так вот в данной форме до сих пор фигурирует классификация информационных систем и нет ни слова об уровне защищенности!!!
Владимир пишет: 1. Актуальность угрозы Вы как собираетесь определять? Наличием/отсутствием сертификата ФСТЭК? Актуальность определяется в соответствии с Методикой определения актуальных угроз. Показатель актуальности зависит от двух значений:
1. Вероятность реализации угрозы.
2. Опасность угрозы.

А как тогда доказать что опасность угрозы низкая.....по мне так все угрозы являются средними по вероятности...а вот почему...кто ж их знает. :D
Так как я не совсем понимаю вообще что это за угрозы и возможно ли их реализовать в наших ИСПДн. Вся загвоздка как раз в этом и заключается в выявлении угроз и их актуальность.
Как я понимаю это и есть основа основ, и пока не будет четкого и вразумительного описания этих угроз и их реализуемости в данных ИСПДн что то дальше делать не вижу смысла. :cry:
Дмитрий, чтобы не флудить давайте в личку!!!
Так я общее мнение выражаю...авось кто из контролирующих органов почитает и репу зачешет...что не дохолтурили мы как то. :D Чего то хотим но вот чего и как этого достигнуть объяснить не можем.

Может тогда и нормальные, не "флудливые" документы у нас в стране появляться начнут.
Цитата
Дмитрий пишет:
нормальные документы у нас в стране появляться начнут
Это думаю вряд-ли)))
Скажу по секрету они сами ни черта в этой охране ПДн не понимают.....Знаю точно что сами нанимали старонние фирмы чтобы они им устанавливали и определяли СЗИ....ну и что может проверить такой надзирающий орган.

Они бы лучше трафореты и список документов которые нужно разрабатывать официально разработали и выложили на своем сайте...тогда и путаницы будет намного меньше. А то получается что закон взяли у военных, а вот методику и доки сам разрабатывай, пусть тогда и это будет как у военных...все безобразно...но единообразно. Шаг вправо, шаг влево растрел на месте....Разнотолков небудет точно никаких. :D :cry:
Ну, по поводу установки СЗИ - тут вопрос отдельный. Т.к. это государственная структура, то скорее всего производилась аттестация, а у фирм, которые проводят аттестацию тоже свои требования, например по чужой модели угроз они не будут работать, поэтому скорее всего и привлекались сторонние фирмы с выполнением всего перечня требований :)
Так регламентные документы думаете они сами для себя делали....Очень в этом сомневаюсь. :D
А если они этого сами никогда не делали...как они могут проверить регламентные документы по обеспечению безопасности ПДн в организациях??? Непонятно. :o
Цитата
Дмитрий пишет:
как они могут проверить регламентные документы по обеспечению безопасности ПДн
Во-первых (и в главных) - проверяют наличие этих документов, и только во-вторых (причем по отдельным вопросам) - содержание. Посмотрите практику проверок - недостатки одни и те же.
Если вдруг кто пропустил: Анализ ПП от Вихорева С. В. (две верхние ссылки).
Подскажите, если в согласии кроме прочих целей обработки персональных данных указано информаирование о новых продуктах и программа, но не указаны методы информирования. Могу я осуществлять информационную рассылку?
Гость, можете. По поводу методов информирования закон никаких требований не предъявляет.
Страницы: Пред. 1 ... 10 11 12 13 14 След.
Читают тему (гостей: 16, пользователей: 0, из них скрытых: 0)