Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

ФСБ: Национальному координационному центру по компьютерным инцидентам быть!

13/10/2018

Директор ФСБ России Александр Бортников распорядился создать государственный орган по борьбе с кибератаками. Текст соответствующего приказа размещен на официальном интернет-портале правовой информации.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1 2 3 4 След.
RSS
[ Закрыто ] Новое Положение ФСТЭК. Методы и способы защиты ПДн
ФСТЭК выпустил новую версию требований по защите ПДн - приказ от 5.02.2010 № 58 "Об утверждении положения о методах и средствах защиты информации в ИСПДн"

Нет ни слова про лицензирование, аттестацию и сертификацию. Однако, как все-таки понимать следующую строчку документа?

"использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия"
Это значит, что средства защиты должны иметь сертификат соответствия ФСТЭК и ФСБ (последнее для криптографии), собственно как и было раньше
Этот документ 1 марта 2010 года вступил в полную силу. Он также зарегистрирован в Минюсте. Эпохальное событие ;) !
И тогда, все будет так, как должно было бы быть..., даже если будет наоборот...
Это на замену четырехкнижию, или в дополнение? Как думаете?
Цитата
Сергей пишет:
ФСТЭК выпустил новую версию требований по защите ПДн - приказ от 5.02.2010 № 58 "Об утверждении положения о методах и средствах защиты информации в ИСПДн"

а ссылочку не подскажете, чтоб скачать и почитать?
http://www.consultant.ru/online/base/?req=doc;base=LAW;n=97942
на сайте ФСТЭка почему его нет?
Усе, уже не надо, нашел сам. Извините =)
а где-нибудь есть официальное указание на то, какие документы данное положение заменяет?!
Ни чего пока не ясно.
Сертификацию СЗи отсавили - или есть другие способы оценки соответсвия?
Четверокнижие не отменили, собственно аттестация была в нём.
Да, это положение выше четверокнижия, но ведь в законе тоже ни чего нет про аттестацию, как и в этом положении.
Даже про лицензии, толком не прописанно. ИМХА-надо ждать что будет с четверокнижием - отменять - значит ни аттестации ни лицензирования, не отменят- полный зоопарк.
Цитата
Олька пишет:
Это значит, что средства защиты должны иметь сертификат соответствия ФСТЭК и ФСБ (последнее для криптографии), собственно как и было раньше
Методами и способами защиты информации от несанкционированного доступа являются:
использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия

То есть только для НСД, а антивирусную защиту и межсетевые экраны можно использовать несертифицированные???
Изменено: Антон - 02.03.2010 10:47:39
Ну антивиры тоже имеют сертификаты, каспер например имеет и сертификат ФСТЭК и ФСБ, д-р Веб только ФСТЭК, МЭ тоже сертифицируются. ИМХО - лучше брать имеющие сертификат.
ФСТЭК выпустил новую версию своих требований по защите ПДн - приказ от 5.02.2010 № 58 "Об утверждении положения о методах и средствах защиты информации в ИСПДн" (в Консультанте и в Гаранте). Он утвержден директором ФСТЭК и зарегистрирован в МинЮсте 19 февраля.
Учитывая легитимность этого документа (и нелигитимность четверокнижия), основание выпуска этого приказа (тоже во исполнение пп-781) и срок выпуска этого приказа (он более новый, чем четверокнижие), а также исходя из общих норм права, можно сделать вывод, что приказ № 58 пришел на замену (а не в дополнение) предыдущих документов ФСТЭК по теме персданных.
Второй приятный момент в документе - отсутствие требований лицензирования, аттестации и применения сертифицированных СЗИ. Последние нужны только для ИСПДн 1-го класса и только в части отсутствия НДВ.

http://lukatsky.blogspot.com/2010/03/blog-post.html
Это пока лишь неподтвержденные предположения Лукацкого.
Прошу прощения за неверную информацию вот

http://company.drweb.com/licenses_and_certificates/

http://www.kaspersky.ru/certificates?year=2009
Цитата
Андрей [Пилотов] пишет:
Это пока лишь неподтвержденные предположения Лукацкого.

Я и не говорю что это факт. Просто по моему все очевидно. Но это Россия, всего можно ожидать =)
Цитата
Антон пишет:
Цитата
Олька пишет:
Это значит, что средства защиты должны иметь сертификат соответствия ФСТЭК и ФСБ (последнее для криптографии), собственно как и было раньше
Методами и способами защиты информации от несанкционированного доступа являются:
использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия

То есть только для НСД, а антивирусную защиту и межсетевые экраны можно использовать несертифицированные???
НСД (НЕСАНКЦИОНИРОВАННЫЙ ДОСТУП) может осуществляться несколькими путями:
-Нарушитель включил комп, сел за него, подобрал пароль вот вам и НСД
-А может осуществляться и по сети, причем по он может быть реализван с использованием умелых ручек взломщика, а может с использованием вредоносных программ(переборщик паролей, эксплойт, троян и т.д.)
Если я правильно понимаю, то по своей сути и НСДшка, и Межсетевой экран, и Анитивирус всё это средства защиты от НСД.
Составляю модели угроз, при этом использую уникальный способ гадания сетевыми картами (долго, дорого)
согласна с Дмитрием. все эти средства можно рассматривать как защиту от нсд.
что же касается сертификации, то в соответствии с Постановлением Правительства РФ «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»:
a. п.2 «…. Технические и программные средства должны удовлетворять устанавливаем в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.»
b. п.5 «Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия.»
c. п.18 «Результаты оценки соответствия и (или) тематических исследований средств защиты информации … оцениваются в ходе экспертизы, осуществляемой ФСТЭК и ФСБ РФ в пределах их полномочий.»
Цитата
Гость пишет:
Цитата
Андрей [Пилотов] пишет:

Это пока лишь неподтвержденные предположения Лукацкого.

Я и не говорю что это факт. Просто по моему все очевидно. Но это Россия, всего можно ожидать =)

Вотименна! :)
У нас к сожалению всем очевидное порой не является действительным. И до этого утвержденного Минюстом 58-го приказа мы все пользовались (и пользуемся) противоречивым слепленным наскоро "4-книжием", являющимся по сути внутренним документом ФСТЭК. Который еще в прошлом году предполагалось покупать за деньги.
Цитата
Андрей [Пилотов] пишет:
Вотименна!
У нас к сожалению всем очевидное порой не является действительным. И до этого утвержденного Минюстом 58-го приказа мы все пользовались (и пользуемся) противоречивым слепленным наскоро "4-книжием", являющимся по сути внутренним документом ФСТЭК. Который еще в прошлом году предполагалось покупать за деньги.

Согласен, попросту говоря, слепили 4-книжие, задумались о том что на практике реализовать закон - не выполнимая задача, как для некоторых Операторов (например Министерство здравоохранения с их огромным количеством К1 просто не потянет такие расходы), так и для аттестующих и для сертифицирующих сторон. Решили упростить через П№58, чем еще больше всех запутали... похоже что все сведется к такому - "вы уж сами что-нибудь сделайте, как считаете нужным для угроз по вашему актуальных, а мы потом придем проверим, или не проверим".
имхо конечно
Страницы: 1 2 3 4 След.
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)