Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

ФСБ: Национальному координационному центру по компьютерным инцидентам быть!

13/10/2018

Директор ФСБ России Александр Бортников распорядился создать государственный орган по борьбе с кибератаками. Текст соответствующего приказа размещен на официальном интернет-портале правовой информации.

Обучение

015.3. Системное администрирование операционной системы Astra Linux Special Edition. Специальный курс.
06 - 07 ноября 2018 года

002. Техническая защита информации. Способы и средства защиты информации от несанкционированного доступа.
12 - 16 ноября 2018 года

001. Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных. Курс согласован ФСТЭК России.
19 - 23 ноября 2018 года

026. Подготовка к CISSP и CISM (курс от профессионалов-практиков).
28 - 30 ноября 2018 года

036.2. Внедрение системы управления информационной безопасностью.
04 - 05 декабря 2018 года

036.3. Внутренний аудит СУИБ на соответствие требованиям международного стандарта ISO/IEC 27001:2013.
06 - 07 декабря 2018 года

015.1. Основы работы в операционной системе Astra Linux.
10 - 11 декабря 2018 года

015.2. Системное администрирование операционной системы Astra Linux Special Edition.
12 - 14 декабря 2018 года

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: Пред. 1 2 3
Ответить
RSS
Типы актуальных угроз, Хотелось бы расставить все точки над И.
"..........и в иной форме". В иной. Что мне мешает оценить СЗИ в форме приемки?? В форме предварительных испытаний? Ничего....
Цитата
Андрей пишет:
А по поводу 330-ого... Бояться его не имеет смысла, но и без него хватает... Или не хватает, как считаете? Как оценивать соответствие будете?

Что до меня, то я все-таки остановлюсь на сертифицированных СЗИ :)
Просто мне обидно, что регуляторы игнорируют положения законодательства.....
Цитата
AlexG пишет:
Что до меня, то я все-таки остановлюсь на сертифицированных СЗИ
Просто мне обидно, что регуляторы игнорируют положения законодательства.....
Хахаха)) Аналогично :)
Вопрос уже давненько поднят. Издали бы уж какое-то письмо хотя бы, чтоб однозначно все понимали куда ветер дует.
Да и про актуальные угрозы НДВ в системном ПО, тоже методику хочу. Не вижу я пока способов объективно определить актуальность угрозы НДВ, не зря большинство под один тип АУ подгоняют... Не занимались этим вопросом?
Изменено: Андрей - 30.10.2013 14:45:37
Цитата
Андрей пишет:
Не вижу я пока способов объективно определить актуальность угрозы НДВ, не зря большинство под один тип АУ подгоняют... Не занимались этим вопросом?
Пока нет внятных рекомендаций регуляторов, определяем сами: угрозы неактуальны, тип 3 :)
Выпишу основные тезисы....

6. Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.
Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.
Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.
Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.
7. Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 Федерального закона "О персональных данных", и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона "О персональных данных".

Значит один пункт и одна статья, во исполнение которой есть НПА. Какие?...
п. 5 часть 1 статьи 18 ФЗ 152

1. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами. К таким мерам могут, в частности, относиться:

5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом;

Часть 5 статьи 19 ФЗ 152

5. Федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов, иные государственные органы в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки.

содержание, характер и способ... с учётом кашерности ещё бы добавили...
А где пределы полномочий органов власти прописаны?
Я вот не пойму НДВ к НСД приравняли или мне показалось? Т.е. стоит средство защиты от НСД, значит НДВ закрыли? :)
Цитата
Андрей пишет:
Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов , создающих актуальную опасность несанкционированного , в том числе случайного, доступа
Еще бы узнать, что такое актуальная опасность :)
Цитата
Андрей пишет:
Федеральные органы исполнительной власти , осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации , Банк России , органы государственных внебюджетных фондов , иные государственные органы в пределах своих полномочий принимают нормативные правовые акты , в которых определяют угрозы
Что-то федеральные органы, за редким исключением, нихрена не принимают нормативные акты. И, похоже, принимать не собираются. Скорее всего, каждый оператор будет моделировать свои угрозы самостоятельно.
Цитата
Андрей пишет:
А где пределы полномочий органов власти прописаны?
С этим, как раз, проблемы нет: для каждого гос. органа есть "Положение о ... (например, о ФСТЭК, о Роспотребнадзоре, о Роскомнадзоре, и т.п). Там все написано: функции, задачи, полномочия.
Цитата
AlexG пишет:

"Положение о ...
Спасибо, поищу... Но не думаю, что много чем поможет. Причём здесь скажем Министерство образования и защита персданных?... Какие они там имеют полномочия по защите ПДн?... Так и остальные операторы: вроде руки развязали (защищайте как хотите, но отвечайте за это), а потом выставили ряд требований и уже не получается защищать как-то иначе вне рамок требований. А отвечает всё-равно оператор, уже вдвойне.
Честно говоря упустил из внимания информационном сообщении ФСТЭК № 240/24/1701 от 4 мая 2012 года(http://fstec.ru/component/attachments/download/350)
Обязательная сертификация СЗИ для защиты персональных данных.
По поводу определения типа актуальных угроз такая мысль появилась.
Если к примеру на связи с интернетом поставить МЭ сертифицированный на НДВ (опять же не понятен уровень контроля НДВ, любой что ли).
Хотя конечно Windows может изнутри творить чудеса, и смысла в этом пожалуй нет, разве что в учёте пакетов можно быть уверенным.

Хотя вот интересные факты: http://lukatsky.blogspot.ru/2012/09/blog-post_26.html
(рекомендую почитать http://daily.sec.ru/publication.cfm?pid=40211 в частности ссылки внизу сообщения)

В процессорах intel обнаружили закладки http://www.xakep.ru/post/58104/?mid=566414
Изменено: Андрей - 10.12.2013 14:27:38
21 приказ:
Для обеспечения 1 и 2 уровней защищенности персональных данных, а также для обеспечения 3 уровня защищенности персональных данных в информационных системах, для которых к актуальным отнесены угрозы 2-го типа, применяются средства защиты информации, программное обеспечение которых прошло проверку не ниже чем по 4 уровню контроля отсутствия недекларированных возможностей.

Сеть крыть сертифицированным МЭ по НДВ. Локализовать гетерогенную винду и процессоры интел :)
Ругают регуляторов, отписки делают, а по сути, если помедитировать над документами выстраивается довольно стройная продуманная система. И методика кажись пока не нужна для данного вопроса, достаточно информационного сообщения для неверующих.
Изменено: Андрей - 10.12.2013 15:32:54
"Методика определения угроз безопасности информации в информационных системах" дождались уже в проекте
Цитата
Михаил Михайлов пишет:
"Методика определения угроз безопасности информации в информационных системах" дождались уже в проекте

Писал запрос во ФСТЭК. Ответили
Обращение по вопросу статуса методического документа «Методика определения угроз безопасности информации в информационных системах» в ФСТЭК России рассмотрено.
Проект методического документа «Методика определения угроз безопасности информации в информационных системах» был размещен на официальном сайте ФСТЭК России с целью общественного обсуждения и сбора замечаний и предложений по проекту указанного документа от специалистов в области информационной безопасности заинтересованных органов государственной власти и организаций.
В настоящее время проводится доработка проекта документа с учетом полученных замечаний и предложений.
Утверждение методического документа «Методика определения угроз безопасности информации в информационных системах» планируется до конца 2015 г.

У Лукацкого в твитере проходила информация что в первых числах ноября вступит в силу.
Пожскажите, пожалуйста, знающие люди!
Где скачать образец создания модель угроз. Времени дали 1 сутки!
Хэлп!
Цитата
Гость пишет:
Пожскажите, пожалуйста, знающие люди!
Где скачать образец создания модель угроз. Времени дали 1 сутки!
Хэлп!
Пишите в stertur@mail.ru с темой ОРД, пришлю
Цитата
Сергей Терехов пишет:
stertur@mail.ru
Сергей, благодарю!
Отправил.
Страницы: Пред. 1 2 3
Ответить
Читают тему (гостей: 5, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку