Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Особенности аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции (работ, услуг), поставляемой по гособоронзаказу.

12/08/2019 

08 мая 2019 г. утверждены новые Правила аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции работ, услуг), поставляемой по государственному оборонному заказу (постановление Правительства Российской Федерации от 30 апреля 2019 г. № 548).

Новые Правила аккредитации кардинально меняют сложившуюся систему не только аккредитации, но и сертификации СМК предприятий, работающих в области государственного оборонного заказа.

Реклама





Партнеры





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1
Ответить
RSS
Можно ли признать угрозы 3-го типа неактуальными?
Добрый день!
Интересуют ваши мысли, по следующему вопросу: можно ли признать угрозы 3-го типа неактуальными? Например, через пользовательское соглашение, в котором указывается, что пользователь соглашается с тем, что ущерб от НСД к его ПДн не является существенным.

P.S. речь о минимальном количестве ПДн (логин, пароль, e-mail для доступа к личному кабинету сайта, который используется только для того, что бы часть публикаций добавить в закладки.)
Добрый день!
Признать угрозы неактуальными так сразу не получится. Угроза существует, но вот риски от реализации этой угрозы малы, т.к., например, субъект дал своё согласие на передачу по открытым каналам связи. И тогда в соответствии с методикой расчета актуальности угроз ФСТЭК угроза будет признана неактуальной (нужно обосновать неактуальность).
Цитата
Настя пишет:
И тогда в соответствии с методикой расчета актуальности угроз ФСТЭК угроза будет признана неактуальной (нужно обосновать неактуальность).
На мой взгляд, не все так просто. В :D соответствии со старой методикой ФСТЭК, незначительные негативные последствия для субъекта ПДн (согласие субъекта) не являются достаточным условием для отнесения угрозы к неактуальной. Оператор ИСПДн должен доказать, что возможность реализации угрозы не выше средней (т.е. низкая или средняя), которая зависит от исходной защищенности ИСПДн и вероятности реализации угрозы.
Добры день! Спасибо за ответ :) Немного перефразирую первоначальный вопрос: Можно ли признать угрозы 3-го типа неактуальными и таким образом снять необходимость организации 4-го уровня защищенности ИСПДн? Или 4-й уровень защищенности в любом случае необходим?
Цитата
Татьяна Иванова пишет:
Или 4-й уровень защищенности в любом случае необходим?
Добрый день, Татьяна. В соответствии с ПП 1119 любая ИСПДН должна быть отнесена к одному из 4-х уровней защищенности в зависимости в том числе и от типа актуальных угроз. Если моделирование угроз привело к признанию неактуальными угроз 3-го типа, то это означает отсутствие вообще актуальных угроз. И ни один уровень защищенности не набирает условия его применимости к ИСПДн по ПП 1119. Теоретически, если результатом реализации любой угрозы не причиняется никакого вреда субъекту, то принимать меры по их безопасности не надо. Но как вы докажете в вашем случае неактуальность всех угроз по методике ФСТЭК? У вас ведь изначально низкий уровень исходной защищенности ИСПДн!
Цитата
Сергей Терехов пишет:
Но как вы докажете в вашем случае неактуальность всех угроз по методике ФСТЭК? У вас ведь изначально низкий уровень исходной защищенности ИСПДн!
Тем, что вреда субъекту нет и он сам это признает и с этим соглашается.
Цитата
Татьяна Иванова пишет:
Тем, что вреда субъекту нет и он сам это признает и с этим соглашается.
Татьяна, выше я уже писал, отсутствие негативных последствий (вреда)
субъекту не является достаточным условием считать (по методике ФСТЭК) угрозы неактуальными. Если исходная защищенность ИСПДн низкая
(Y1 =10), а вероятность реализации угрозы средняя (Y2=5) или высокая (Y2=10), то возможность реализации угрозы будет высокой или очень высокой и, следовательно, угроза считается актуальной.
Татьяна, ИСПДн должна относиться к какому-то УЗ в любом случае.
В Модели угроз нужно обосновать неактуальность угроз (например, малый вред от реализации угрозы + принятие субъектом персональных данных рисков от реализации угрозы), тогда вам не нужно будет реализовывать меры защиты для этих неактуальных угроз.
Цитата
Анастасия пишет:
В Модели угроз нужно обосновать неактуальность угроз (например, малый вред от реализации угрозы + принятие субъектом персональных данных рисков от реализации угрозы), тогда вам не нужно будет реализовывать меры защиты для этих неактуальных угроз.
Анастасия, в частной модели угроз, которую разрабатывает Оператор ПДн самостоятельно или привлекает для этого стороннюю организацию, Оператор обязан определить негативные последствия для субъекта в случае реализации угрозы, и никакой субъект ПДн не обязан принимать какие-либо риски, т.е. вред для него при реализации угрозы.
Страницы: 1
Ответить
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку