Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Особенности аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции (работ, услуг), поставляемой по гособоронзаказу.

12/08/2019 

08 мая 2019 г. утверждены новые Правила аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции работ, услуг), поставляемой по государственному оборонному заказу (постановление Правительства Российской Федерации от 30 апреля 2019 г. № 548).

Новые Правила аккредитации кардинально меняют сложившуюся систему не только аккредитации, но и сертификации СМК предприятий, работающих в области государственного оборонного заказа.

Реклама





Партнеры





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1
Ответить
RSS
Как обеспечить УЗ-1 ПДн на Windows?
День добрый. По пп 1119 получается необходимо обеспечить 1-УЗ, т.к. ИСПДн обрабатывает иные ПДн, и актуальны угрозы 1-го типа (Windows не имеет сертификата на НДВ) можно выкрутиться через актуальность, но это какой-то будет ход конем. Хотелось бы по нормальному.
Так вот, по сообщению №240/24/4893 при УЗ-1 необходимо использовать ОС 4 класса защиты (хотя в приказе №21 написано противоположное: "в ИС 1-УЗ ПДн применяются СЗИ не ниже 4 класса, а также СВТ не ниже 5 класса;"), а у Windows только 5-й класс.
Как быть? Ставить астра линукс в обычную контору какой-то бред. Может можно поставить какую-то штуку на Windows сверху?
Цитата
Сергей Лузик пишет:
Как быть? Ставить астра линукс в обычную контору какой-то бред. Может можно поставить какую-то штуку на Windows сверху?
От НСД ставите, например, наложенное средство Dallas Lock-K от ООО Конфидент, сертифицированный ФСТЭК. Обеспечивает собственными средствами дискреционного доступа. :evil:
Цитата
Сергей Лузик пишет:
По пп 1119 получается необходимо обеспечить 1-УЗ, т.к. ИСПДн обрабатывает иные ПДн, и актуальны угрозы 1-го типа (Windows не имеет сертификата на НДВ)
Угрозы 1-го и 2-го типа для обычных организаций неактуальны, не придумывайте себе лишние проблемы :D
Цитата
Настя пишет:
Цитата
Сергей Лузик пишет:

По пп 1119 получается необходимо обеспечить 1-УЗ, т.к. ИСПДн обрабатывает иные ПДн, и актуальны угрозы 1-го типа (Windows не имеет сертификата на НДВ)
Угрозы 1-го и 2-го типа для обычных организаций неактуальны, не придумывайте себе лишние проблемы
Формально, достаточным основанием считать, что угрозы 1 (или 2) типа
неактуальны для любой организации - это наличие сертификата ФСТЭК на отсутствие недекларированных возможностей в системном (прикладном) ПО. Настя, не вводите в заблуждение форумчан. Содержательно, даже наличие сертификата не гарантирует отсутствие закладок.
Цитата
Сергей Терехов пишет:
Формально, достаточным основанием считать, что угрозы 1 (или 2) типа
неактуальны для любой организации - это наличие сертификата ФСТЭК на отсутствие недекларированных возможностей в системном (прикладном) ПО. Настя, не вводите в заблуждение форумчан. Содержательно, даже наличие сертификата не гарантирует отсутствие закладок.
Сергей, если подходить формально, без здравого смысла, то трудно будет выполнить все требования)))
Почитайте хотя бы это https://lukatsky.blogspot.com/2013/07/17-21.html
Цитата
Настя пишет:
Сергей, если подходить формально, без здравого смысла, то трудно будет выполнить все требования)))
Почитайте хотя бы это https://lukatsky.blogspot.com/2013/07/17-21.html
Настя, к сожалению здравый смысл у каждого свой. Итак.
«Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе» - ПП.
Чтобы понять актуальны ли угрозы 1-го типа, надо вначале узнать есть ли недекларированные возможности в системном программном обеспечении (СПО). Если их нет, то нет угроз, направленных на то, чего нет, и, следовательно, не могут быть актуальными то, чего нет. Если недекларированные возможности есть, то они могут быть как актуальными, так и не актуальными для конкретных ИСПДн (и конкретных экспертов, осуществляющих моделирование гроз).
Если на СПО есть сертификат, то возникает некоторая уверенность в отсутствии недекларированных возможностей и по форме и, по существу. По форме – все сделано в соответствии с НПА, по существу – оправдана экономия ресурсов на средствах защиты.
Если сертификата нет и применяется не проверенная копия СПО, то необходимо для отказа от актуальности найти какие-то вразумительные доводы, кроме «Угрозы 1-го и 2-го типа для обычных организаций неактуальны, не придумывайте себе лишние проблемы», даже сославшись на мнение Лукацкого. :cry:
Цитата
Сергей Терехов пишет:
Если сертификата нет и применяется не проверенная копия СПО, то необходимо для отказа от актуальности найти какие-то вразумительные доводы
Естественно.
ПП1119, п.7: Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда...

Стоимость реализации угрозы в разы превышает стоимость информации. Возможный вред от нарушения свойств безопасности ПДн оценивается как низкий.

Далее по методике ФСТЭК:

либо
маловероятно – отсутствуют объективные предпосылки для
осуществления угрозы (например, угроза хищения носителей информации лицами, не имеющими легального доступа в помещение, где последние хранятся);

либо
низкая вероятность – объективные предпосылки для реализации угрозы существуют, но принятые меры существенно затрудняют ее реализацию (например, использованы соответствующие средства защиты информации);

ИТОГО угроза неактуальна.

Или вы реально верите, что именно для ООО "Ромашка" злоумышленники проведут такую схему внедрения программной закладки? Подговорят всех возможных производителей системного ПО, у которого Ромашка может купить Винду? Чтобы украсть базу данных клиентов? :D
Цитата
Анастасия пишет:
Стоимость реализации угрозы в разы превышает стоимость информации. Возможный вред от нарушения свойств безопасности ПДн оценивается как низкий.
Анастасия, чисто абстрактно в отношении "Ромашки" стоимость угрозы может быть не сопоставима с ценой данных. Но как-то Вы бесцеремонно оценили вред не известных Вам ПДн в Ромашке, как низкий!
Цитата
Сергей Терехов пишет:
Но как-то Вы бесцеремонно оценили вред не известных Вам ПДн в Ромашке, как низкий!
Да, ведь мы говорим скорее всего о 98% организаций, в которых ПДн не оценить по-другому (это не администрация президента, не ГИС с данными онкобольных или больных СПИД и т.д.)
Цитата
Анастасия пишет:
Да, ведь мы говорим скорее всего о 98% организаций, в которых ПДн не оценить по-другому (это не администрация президента, не ГИС с данными онкобольных или больных СПИД и т.д.)
Другими словами, Вы согласились с моим высказыванием
"Если сертификата нет и применяется не проверенная копия СПО, то необходимо для отказа от актуальности найти какие-то вразумительные доводы, кроме «Угрозы 1-го и 2-го типа для обычных организаций неактуальны, не придумывайте себе лишние проблемы», даже сославшись на мнение Лукацкого."
Страницы: 1
Ответить
Читают тему (гостей: 2, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку