Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Испытательная лаборатория НПО «ЭШЕЛОН» успешно провела инспекционный контроль ОС ASTRA LINUX для процессоров «БАЙКАЛ»»

01/07/2019


Российская операционная система специального назначения Astra Linux Special Edition(релиз «Севастополь») для процессоров «Байкал-T1» (MIPS) успешно прошла инспекционный контроль на соответствие требованиям безопасности информации к операционным системам типа «А» 2-го класса защиты в системе сертификации СЗИ ФСТЭК России. Инспекционный контроль релиза «Севастополь», как и других релизов защищенной ОС Astra Linux Special Edition, был проведен  испытательной лабораторией НПО «Эшелон».

Реклама





Партнеры





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1
Ответить
RSS
Можно ли признать угрозы 3-го типа неактуальными?
Добрый день!
Интересуют ваши мысли, по следующему вопросу: можно ли признать угрозы 3-го типа неактуальными? Например, через пользовательское соглашение, в котором указывается, что пользователь соглашается с тем, что ущерб от НСД к его ПДн не является существенным.

P.S. речь о минимальном количестве ПДн (логин, пароль, e-mail для доступа к личному кабинету сайта, который используется только для того, что бы часть публикаций добавить в закладки.)
Добрый день!
Признать угрозы неактуальными так сразу не получится. Угроза существует, но вот риски от реализации этой угрозы малы, т.к., например, субъект дал своё согласие на передачу по открытым каналам связи. И тогда в соответствии с методикой расчета актуальности угроз ФСТЭК угроза будет признана неактуальной (нужно обосновать неактуальность).
Цитата
Настя пишет:
И тогда в соответствии с методикой расчета актуальности угроз ФСТЭК угроза будет признана неактуальной (нужно обосновать неактуальность).
На мой взгляд, не все так просто. В :D соответствии со старой методикой ФСТЭК, незначительные негативные последствия для субъекта ПДн (согласие субъекта) не являются достаточным условием для отнесения угрозы к неактуальной. Оператор ИСПДн должен доказать, что возможность реализации угрозы не выше средней (т.е. низкая или средняя), которая зависит от исходной защищенности ИСПДн и вероятности реализации угрозы.
Добры день! Спасибо за ответ :) Немного перефразирую первоначальный вопрос: Можно ли признать угрозы 3-го типа неактуальными и таким образом снять необходимость организации 4-го уровня защищенности ИСПДн? Или 4-й уровень защищенности в любом случае необходим?
Цитата
Татьяна Иванова пишет:
Или 4-й уровень защищенности в любом случае необходим?
Добрый день, Татьяна. В соответствии с ПП 1119 любая ИСПДН должна быть отнесена к одному из 4-х уровней защищенности в зависимости в том числе и от типа актуальных угроз. Если моделирование угроз привело к признанию неактуальными угроз 3-го типа, то это означает отсутствие вообще актуальных угроз. И ни один уровень защищенности не набирает условия его применимости к ИСПДн по ПП 1119. Теоретически, если результатом реализации любой угрозы не причиняется никакого вреда субъекту, то принимать меры по их безопасности не надо. Но как вы докажете в вашем случае неактуальность всех угроз по методике ФСТЭК? У вас ведь изначально низкий уровень исходной защищенности ИСПДн!
Цитата
Сергей Терехов пишет:
Но как вы докажете в вашем случае неактуальность всех угроз по методике ФСТЭК? У вас ведь изначально низкий уровень исходной защищенности ИСПДн!
Тем, что вреда субъекту нет и он сам это признает и с этим соглашается.
Цитата
Татьяна Иванова пишет:
Тем, что вреда субъекту нет и он сам это признает и с этим соглашается.
Татьяна, выше я уже писал, отсутствие негативных последствий (вреда)
субъекту не является достаточным условием считать (по методике ФСТЭК) угрозы неактуальными. Если исходная защищенность ИСПДн низкая
(Y1 =10), а вероятность реализации угрозы средняя (Y2=5) или высокая (Y2=10), то возможность реализации угрозы будет высокой или очень высокой и, следовательно, угроза считается актуальной.
Страницы: 1
Ответить
Читают тему (гостей: 2, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку