Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Особенности аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции (работ, услуг), поставляемой по гособоронзаказу.

12/08/2019 

08 мая 2019 г. утверждены новые Правила аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции работ, услуг), поставляемой по государственному оборонному заказу (постановление Правительства Российской Федерации от 30 апреля 2019 г. № 548).

Новые Правила аккредитации кардинально меняют сложившуюся систему не только аккредитации, но и сертификации СМК предприятий, работающих в области государственного оборонного заказа.

Реклама





Партнеры





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: Пред. 1 2
Ответить
RSS
модель угроз персональных данных
фиаско, как вы думаете я могу сделать модель угроз за неделю на две программы?
Цитата
Гость пишет:
как вы думаете я могу сделать модель угроз за неделю на две программы?
Две модели угроз за неделю сделать реально. Только на какие "2 программы"?
В контексте данного форума уместно спросить, возможно ли за неделю разработать частные модели угроз безопасности для двух систем по обработке персональных данных. Ответ: это зависит от Ваших познаний, опыта и наличия исходных данных об ИСПДн (в частности, перечня уязвимостей и т.п.). Исходя из присутствия слова "фиаско", Вам хотелось бы услышать, что это невозможно. Напротив, очень даже возможно. Могу помочь с методикой, пишите по адресу stertur@mail.ru с темой ПДн.
Здравствуйте! Я пишу диплом по ПДн . Нужно определить какие мероприятия по ФСТЭК №21 больше всего нуждаются в реализации, но модели угроз у меня в работе нет, руководитель сказал что она не нужна. Тогда на основании чего мне решать какие недостатки нуждаются в срочном устранении, а какие нет? И как классифицировать степень критичности: высокая, средняя, низкая?
Цитата
Гость пишет:
Здравствуйте! Я пишу диплом по ПДн . Нужно определить какие мероприятия по ФСТЭК №21 больше всего нуждаются в реализации, но модели угроз у меня в работе нет, руководитель сказал что она не нужна. Тогда на основании чего мне решать какие недостатки нуждаются в срочном устранении, а какие нет? И как классифицировать степень критичности: высокая, средняя, низкая?
:D жесть, конечно
Скажите преподавателю, что сначала определяется МУ и актуальные угрозы, потом УЗ по 1119, потом базовый набор мер под определённый УЗ, потом адаптированный под конкретную ИСПДн.
Иначе никак.
Цитата
Настя пишет:
жесть, конечно
Скажите преподавателю, что сначала определяется МУ и актуальные угрозы, потом УЗ по 1119, потом базовый набор мер под определённый УЗ, потом адаптированный под конкретную ИСПДн.
Иначе никак.
Почти так, как указала Настя. Но ФСТЭК еще требует уточнения адаптированного набора мер, т.е. добавления в него мер, нейтрализующих актуальные угрозы из ЧМУ и не присутствующие в адаптированном наборе.
И также, дополнение уточненного адаптированного базового набора мер по обеспечению безопасности персональных данных мерами, обеспечивающими выполнение требований к защите персональных данных, установленными иными нормативными правовыми актами в области обеспечения безопасности персональных данных и защиты информации. :cry:
Цитата
Сергей Терехов пишет:
Но ФСТЭК еще требует уточнения адаптированного набора мер, т.е. добавления в него мер, нейтрализующих актуальные угрозы из ЧМУ и не присутствующие в адаптированном наборе.
Я это просто не стала добавлять дабы не грузить человека информацией)
Добрый вечер, мы актуализируем документацию. В своеУЗ по 1119 время не было финансирования и все замерло на ЧМУ, вывели 4 УЗ и успокоились) пост немного не в тему, но хотел продолжить завязавшийся разговор в постах 25 и 26. у нас многое поменялось в работе, поэтому начал "все с начала" с выяснения объемов ПДн, выясняю что кому передаем и вообще.. при перечитывании ЧМУ меня одолели сомнения а зачем вообще это делать при наличии 21 приказа? Открыл "Методику определения актуальных угроз..", а Консультант прямо так говорит - стойте, документ относится к ныне не действующим нормативным актам.
Конкретика.
1. Определяем МУ и актуальные угрозы - зачем? исходя из текущей нормативки 1119 постановления и 21 приказа.
2. УЗ по 1119 - кажется легко, у нас Иные ПДн не сотрудников менее 100000 шт и угрозы 3 типа. Самое интересное - КАК определить какого типа угрозы актуальны? Типа в ЧМУ? а из чего следует какие актуальные угрозы соотносятся с каким типом угроз (1, 2, или 3)?? Я не профильный специалист и хочу иметь четкое и жесткое обоснование своих "буковок и выводов"
3. с базовым все понятно
4. адаптированный тоже более-менее ясен - я так понял смысл заключается в ИСКЛЮЧЕНИИ не используемых технологий в ИСПДн. Только - мне что отдельными документами все описывать или просто в каком либо документе, имеющем отношение к безопасности можно сразу написать - "адаптированный набор мер с учетом применяемых технологий", ведь какой смысл издавать документ с базовым набором мер, который жестко указан в 21 приказе?
5. а вот "уточненный" - это уже интереснее, я правильно понял - если в ЧМУ у меня вывелись угрозы, которых нет в базовом наборе (21 приказ) к моему УЗ, то мы должны "добавить" меры из других более строгих по рангу УЗ?
Заранее благодарен, еще раз напомню - это не мой профиль, не "окунался" уже около 5 лет и в голове "каша"..((
Цитата
Денис пишет:
1. Определяем МУ и актуальные угрозы - зачем? исходя из текущей нормативки 1119 постановления и 21 приказа.
Основы ИБ в том, что надо нейтрализовать те угрозы безопасности, вероятность реализации которых высока и они причиняют вред, к примеру, субъектам Пдн. Поэтому, ЧМУ первична, а Приказ 21 вторичен. Не надо применять меры из приказа, если конкретная ИСПДн не содержит чего-то, например виртуализацию, или угроза, на которую направлена мера не актуальна.
Цитата
Денис пишет:
2. УЗ по 1119 - кажется легко, у нас Иные ПДн не сотрудников менее 100000 шт и угрозы 3 типа. Самое интересное - КАК определить какого типа угрозы актуальны? Типа в ЧМУ? а из чего следует какие актуальные угрозы соотносятся с каким типом угроз (1, 2, или 3)??
Смотрите http://ispdn.ru/forum/messages/forum1/topic5180/message222814/
4. адаптированный тоже более-менее ясен - я так понял смысл заключается в ИСКЛЮЧЕНИИ не используемых технологий в ИСПДн
См. п.1
"5. а вот "уточненный" - это уже интереснее, я правильно понял"
В ЧМУ есть актуальные угрозы, для которых не предусмотрены меры в базовом наборе приказа 21 для данного УЗ. Будьте добры, добавьте меры для нейтрализации этих угроз. Это и будет уточнение.
Цитата
Сергей Терехов пишет:
Основы ИБ в том, что надо нейтрализовать те угрозы безопасности, вероятность реализации которых высока и они причиняют вред, к примеру, субъектам Пдн. Поэтому, ЧМУ первична, а Приказ 21 вторичен. Не надо применять меры из приказа, если конкретная ИСПДн не содержит чего-то, например виртуализацию, или угроза, на которую направлена мера не актуальна.
По логике я с Вами согласен, но мне хотелось бы бюрократическую основу применения ЧМУ найти. В ЧМУ могут выскакивать "тонкости", которые потом обходятся доп мерами и доп затратами (пишу пока на бегу и примеры нет возможности расписать), а как объяснить руководству,что ты залез в документы, которые "не должны быть" и обосновал новые расходы..
Ссылку посмотрю, благодарствую, интересно
А вообще я тут продолжал искать и наткнулся на интересный документ БР 3889-У от 10.12.2015, мы относимся к некредитным финансовым организациям, но стандарт безопасности БР к нм не относится. Итак достаточно интересный список актуальных угроз:
"Угрозами безопасности персональных данных, актуальными при их обработке в информационных системах персональных данных, являются в том числе:
угроза несанкционированного доступа к персональным данным лицами, обладающими полномочиями в информационной системе персональных данных, в том числе в ходе создания, эксплуатации, технического обслуживания и (или) ремонта, модернизации, снятия с эксплуатации информационной системы персональных данных;
угроза воздействия вредоносного кода, внешнего по отношению к информационной системе персональных данных;
угроза использования методов социального инжиниринга к лицам, обладающим полномочиями в информационной системе персональных данных;
угроза несанкционированного доступа к отчуждаемым носителям персональных данных;
угроза утраты (потери) носителей персональных данных, включая переносные персональные компьютеры пользователей информационной системы персональных данных;
угроза несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимостей в организации защиты персональных данных;
угроза несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимостей в программном обеспечении информационной системы персональных данных;
угроза несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимостей в обеспечении защиты сетевого взаимодействия и каналов передачи данных;
угроза несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимостей в обеспечении защиты вычислительных сетей информационной системы персональных данных;
угроза несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимостей, вызванных несоблюдением требований по эксплуатации средств криптографической защиты информации"
меня только смущает угроза про уязвимости в прикладном ПО, но не думаю,что это угрозы 2 типа из 1119П. Вроде бы и ЧМУ не нужна))
Цитата
Денис пишет:
Итак достаточно интересный список актуальных угроз:
"Угрозами безопасности персональных данных, актуальными при их обработке в информационных системах персональных данных, являются в том числе:
Денис, извините, но у Вас "каша" в голове. (1)Угрозы, перечисленные Вами, могут быть как актуальными, так и не актуальными в конкретной ИСПДн. ЧМУ для этого и разрабатывается, чтобы выявить из списка всех известных угроз актуальные. Например, угроза кражи системного блока не актуальна на предприятии, если он расположен в контролируемой зоне. И эта же угроза актуальна на другом предприятии, если к нему имеется бесконтрольный доступ кого попало.
(2)Если в прикладном ПО есть недекларированные разработчиком возможности, которые может использовать нарушитель и вероятность этого высока, и вред субъекту существенен, то это будут угрозы 2-го типа по ПП 1119 (актуальность же определяется в ЧМУ по методике ФСТЭК и без ЧМУ ну ни как не обойтись). Напишите в stertur@mail.ru с темой "Пдн", вышлю методические документы, где это все "разжевано".
Цитата
Сергей Терехов пишет:
Денис, извините, но у Вас "каша" в голове.

Вполне вероятно) благодарю за разъяснения!
Страницы: Пред. 1 2
Ответить
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку