Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Особенности аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции (работ, услуг), поставляемой по гособоронзаказу.

12/08/2019 

08 мая 2019 г. утверждены новые Правила аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции работ, услуг), поставляемой по государственному оборонному заказу (постановление Правительства Российской Федерации от 30 апреля 2019 г. № 548).

Новые Правила аккредитации кардинально меняют сложившуюся систему не только аккредитации, но и сертификации СМК предприятий, работающих в области государственного оборонного заказа.

Реклама





Партнеры





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1
Ответить
RSS
Модель угроз и нарушителя
Добрый день. Суть вопроса такая: необходимо написать модель угроз и модель вероятного нарушителя для государственной инф. системы, в которой обрабатывается и конфиденциалка и ПДн. У них уже имеется две модели угроз: отдельно общая и отдельно для ПДн. Это правильно? И в соответствии с какими изменениями законодательства нужно дорабатывать данные модели?
Неверно, модель должна быть одна. А что, были какие-то изменения законодательства!?
ICQ 377238542
Хотя вы можете разработать на каждую ИСПДн свою модель. Но для больших распределенных КИС это неэффективный подход.
ICQ 377238542
Приказом Федеральной службы РФ № 378 от 10 июля 2014 г. «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» введены состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в ИСПДн с использованием средств криптографической защиты информации.
Вот такие изменения!
Сергей Терехов, как вы думаете, поможет ваш "ответ" автору вопроса? Или вы вопросы не читаете?


Елена, моделей угроз должно быть столько, сколько ИС Вы защищаете. Если на одну информационную систему написать две модели, будет не понятно, как ее защищать.
Цитата
AlexG пишет:
Сергей Терехов, как вы думаете, поможет ваш "ответ" автору вопроса? Или вы вопросы не читаете?


AlexG пишет:
Сергей Терехов, как вы думаете, поможет ваш "ответ" автору вопроса? Или вы вопросы не читаете?
Терехов ответил на второй вопрос,а именно, что, если используется криптозащита, то для определения класса криптосредства следует использовать измененное законодательство в виде 378 приказа ФСБ.
Сергей Терехов, между строк читаете? ;)
Что-то не видно в вопросе слова "криптозащита"
Нет, не между строк. Насколько я понимаю, модель вероятного нарушителя необходима для обоснования класса криптосредства, которое будет использоваться в качестве контрмеры для защиты конфиденциальности, исходя из модели угроз.[IMG]
"Ответчики" не ругайтесь, тем более, что автору видать ответы и не нужны )))))
ICQ 377238542
Здравствуйте, руководство поставило задачу, а я вообще не шарю(( помогите с ответами, на мои вопросы, (которые тоже могут быть не правильно составлены)

1. ПП-1119 и 17 пр. ФСТЭК действующие - по какому проводить классификацию ИСПДн?
2. Если проводить классификацию по 1119 нужна ли модель угроз?
3. Имеется действующий документ в организации (по приказу трех):
- Акт классификации ИСПДн клиентский сегмент (КС);
- Акт классификации ИСПДн серверный сегмент (СС);
- Модель угроз серверный сегмент (СС);
- Модель угроз клиентский сегмент (КС).
(при чем СС – это все ИСПДн установленные на серверах + БД. КС – это клиентское ПО на АРМ пользователей в организации) Вопрос – правильно ли это?
4. В связи с окончанием поддержки XP и Win server 2003 и окончанием срока действия сертификатов имеет ли смысл сейчас актуализировать внутренние документы по ИБ ИСПДн или ждать обновления парка и лицензий до Win7, Win srv 2008/2012?
Анатолий:
1. Уровень защищенности определять по ПП 1119, но 17 приказ от этого никуда не исчезает и тоже используется в подготовке предприятия к режиму защиты и обработки ПДн
2. Модель угроз нужна в любом случае и не одна, если у вас несколько ИСПДн (на каждую: акт + модель)
3. Приказ трех, если это 55/86/20 официально отменен год назад (а неофициально уже больше двух лет, со временн ввода ПП 1119), так что их нужно пересмотреть (если им более трёх лет) да и в обратном случае тоже надо сделать заного, руководствуясь свежими документами.
4. Если вы в реестре на проверку, то думаю стоит:) если в скором времени будут лицензии, то думаю можно и подождать.
Иван, спасибо!
3. ... руководствуясь свежими документами.
А каким на сегодняшний день документом руководствоваться при составлении (обновлении) модели угроз? (Коммерческая организация)
Цитата
Анатолий пишет:
Иван, спасибо!
3. ... руководствуясь свежими документами.
А каким на сегодняшний день документом руководствоваться при составлении (обновлении) модели угроз? (Коммерческая организация)
Под свежими документами я имел ввиду то что появилось после 55/86/20 ... это как раз 17 приказ, 1119 постановление

А при составлении МУ до сих пор приходится руководствоваться методичкой ФСТЭК от 2008 года, хотя обещали в этом году выпустить свежую, адаптированную, однако данных у меня нет, когда она будет, но знаю что её все ждут :D
Иван, понятно, спасибо)
Еще вопрос, может немного не в ту тему..
Нужно ли относить к ИСПДн такие программы как:
1. ПО КОМИТА (фин. мониторинг);
2. НБКИ (национальное бюро кредитных историй).
В них ведь тоже обрабатываются ПДн...
Выбрали ответили на свой вопрос
ICQ 377238542
Страницы: 1
Ответить
Читают тему (гостей: 2, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку