Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Минюст обязал банки проводить пентесты и аудит кибербезопасности

13/08/2018

Банки обяжут соблюдать новые меры кибербезопасности, среди которых обязательными являются аудит информационной безопасности, различные тестирования на проникновение (пентесты), обязательная сертификация использованного программного обеспечения.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1
Ответить
RSS
Помогите определить уровень защищенности
Доброго времени суток!
Помогите определить УЗ, если:
с помошью медицинского оборудования и специального программного обеспечения проводятся обследования пациентов, и эта информация будет сохраняться в облаках (арендованный виртуальный сервер), передаваться через интернет.
Насколько я знаю, раньше, если имели дело с информацией о состоянии здоровья, это сразу был УЗ-1... сейчас информация как-то размыта. Информация о состоянии здоровья - это специальные категории, и они могут входить в УЗ-1, УЗ-2, УЗ-3 (приказ 1119 ФСТЭК). Еще могу пояснить, что число субъектов будет менее 100000.
Заранее благодарен!!
Угрозы какого типа актуальны ? по таблице же просто выявить УЗ...
Цитата
Святослав пишет:
Угрозы какого типа актуальны ? по таблице же просто выявить УЗ...
В том числе, тут и проблема... Как правильно их учитывать? Софт, как я сказал - самописный. Чем можно пренебречь? Допустим, мы не считаем угрозы системного ПО актуальными. Угрозы прикладного ПО - т.е. нашего софта считать актуальными или нет? Кто даст заключение, есть в них НДв или нет?
Спасибо за ответ!
Актуальной считается угроза, которая может быть реализована в ИСПДн и представляет опасность для ПДн.
Согласно Постановлению Правительства РФ №1119 для ИСПДн различают угрозы трех типов:
· Угрозы 1 типа - связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.
· Угрозы 2 типа - связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.
· Угрозы 3 типа - не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.
Согласно руководящему документу «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля недекларированных возможностей» (Гостехкомиссия России, 1999), недекларированные возможности – это функциональные возможности программного обеспечения, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.
Как правильно определить уровень защищенности ПДн, вы можете узнать из статьи: «Как определить уровень защищенности информационных систем» (https://kontur.ru/articles/1940).
Как спроектировать систему защиты персональных данных и выбрать необходимые средства защиты информации, можно ознакомиться в статье: «Практика. Создание системы защиты персональных данных» (https://kontur.ru/articles/1723).
"Доказательством" отсутствия недекларированных возможностей в ПО считается положительное прохождение сертификации во ФСТЭК по соответствующему уровню. Если системное программное обеспечение (операционная система, к примеру) сертифицирована и время сертификата не закончилось, то угроз 1-го типа нет.
Видимо, для определения отсутствия НДВ в прикладном Вам придется обратиться во ФСТЭК :cry:
Страницы: 1
Ответить
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку