Запомнить
Регистрация Забыли пароль?

Блог экспертов

SIEM ОТ MCAFEE УСПЕШНО ПРОШЛА СЕРТИФИКАЦИЮ ФСТЭК РОССИИ

01/04/2015

McAfee Security Information and Event Management (версия 9.3) успешно прошла сертификационные испытания, результатом которых стал сертификат соответствия №3353 (от 18 февраля 2015), выданный ФСТЭК России.

Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1
Ответить
RSS
Как определить классы АС ?, ПО какпому правилу АС относиться к конкретной букве по классам ?
Уважаемые эксперты, подскажите пожалуйста.

Возникла необходимость проверсти классификацию АС с обработкой конфиденциальной инофрмации.
Компьютер один, пользователей несколько, доступ разграничивается, носитель один (жесткий диск компа).

Классификация проводиться по РД "Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации."
http://www.fstec.ru/_docs/doc_3_3_004.htm

Так уж и быть отнесли АС к певой группе (хоть там и инфорация одного уровня конфиденциальность, но пользователей наскольно и права разные).

Вопрос встал при определении буквы. Подскажите, какие правила отнесение АС к той или иной букве ?? в чом отличие обработки в 1Д, 1Г, 1В, 1Б и 1А ??

Будьте добры аргументируйте свою точу зрения )
Всё что нашла в "Руководстве слушателя курса "Безопасность информационных технологий" учебного центра "Информзащита", вот такое деление:
1Д, 1Г - к ним относится служебная тайна, ПДн, банковская тайна, иная кофеденциальная информация.
1В,1Б,1А - информация ограниченного доступа, содержащая сведения, составляющие гос. тайну(секретно, сов. секретно, особой важности ,соответственно).
С персоналкий в госах там еще понятно: 3,2 класс - 1Д, 1 класс - 1Г (хотя тут *WOW* , нужно ли вообще классифицировать ИСПДн по классам АС)

Ну допустим у меня служебная тайна: гос.учреждение, дсп - информация о деятельности.. персоналки, гостайны нет.

Как определить: это 1Д или 1Г ?


Есть ли мнения ?
1Д - ДСП
1Г - ПДн
Цитата
Alekzander пишет:
1Д - ДСП
1Г - ПДн

Александр, а можно подкрепить свои слова какой нибудь "нормативщиной" ??

Согласно СТР-К

АС, обрабаывающие слежебную тайну должны бфыть не ниже 1Г, АС, обрабатывающие ПДн - не ниже 1Д.

По соотношению требований приказа 58 (по ПДн) и РД "АС НСД" ИСПДн 1 класса соотносятся с системами 1Г.

Вопрос: можно ли классифицировать АС с ДСП по классу 1Д, и как это обосновать ?
Цитата
Alekzander пишет:
1Д - ДСП
1Г - ПДн
Бред, что ПДн выше по значимости ДСП.

А мнение такое, если в вашей системе выполняются требования к подсистемам класса 1Г => 1Г, иначе 1Д.
В СТР-К 2001 года было 5.3.3. Рекомендуется относить АС, обрабатывающие информацию, составляющую коммерческую тайну, режим защиты которой определяет ее собственник, по уровню защищенности к классам 3Б, 2Б и не ниже 1Д (если по решению руководителя предприятия не предъявляются более высокие требования). Соот. коммерческая к 1Д, в гос.структуре коммер. тайна не является основной => 1Г.
Персональные данные всегда будут по классу выше ДСП. А по категории равны
Цитата
ЗГТ и ПДТР пишет:
Персональные данные всегда будут по классу выше ДСП. А по категории равны
Хотелось бы, так сказать, в общих чертах, понять аргументацию. Как вы предлагаете сравнивать классы ДСП и ПДн?
Цитата
ЗГТ и ПДТР пишет:
Персональные данные всегда будут по классу выше ДСП. А по категории равны
Не совсем понятно данное мнение. Что имеется ввиду под "ПД выше классом, чем ДСП".
ДСП это гриф (кстати, который, оффициально уже утратил силу, но многие его все равно ставят на доки), а ПДн это информация, которую необходимо защищать в соответствии с законодательством. Если под ДСП понимается любая КИ, то эт и есть в частности ПДн...
Значит давайте по порядку. Классы 1В, 1Б, 1А определяются в соответсвии с грифом обрабатываемой информации - секретно, сов.секретно и особой важности. У вас, как я понял, конфиденциалка, значит на эти классы вам выходить не надо. Если АС госструктуры, то дефакто требования СТР-К для неё обязательны, отсюда смотрим, если там есть служебная тайна, то это 1Г (как уже упоминалось выше). Если служебной тайны там нет, а есть только персональные данные, то можно опуститься до 1Д, Но здесь надо учитывать требования 58 приказа, в зависимости от класса ИСПДн вам опять возможно придется подняться до класса 1Г (если класс ИСПДн окажется К1, то для этого класса приводятся требования, которые соответствуют, а кое в чем даже превышают требования класса 1Г для АС). Если ваша АС коммерческая, то требования СТР-К не являются для вас обязательными, а могут рассматривать только как рекомендации (можно вообще на них не ориентироваться). Тогда класс АС вы можете выставлять исходя из здравого смысла, т.е. реально посмотрите от чего вы можете и хотите защищаться, чем вы это будете делать, ну и когда определитесь с составом средств защиты посмотрите какие требования вы ими закрываете - тот класс, который вы сможете закрыть и будет вашим (скорее всего это окажется класс 1Д + некоторые функции из класса 1Г, тогда ваш класс будет 1Д). При этом помните, что для коммерческих АС использование сертифицированных средств защиты для АС с конфиденциальной информацией не является обязательным (это если речь опять же не идет о персональных данных).
Цитата
Михаил пишет:
При этом помните, что для коммерческих АС использование сертифицированных средств защиты для АС с конфиденциальной информацией не является обязательным (это если речь опять же не идет о персональных данных).
Не путайте для АС класса 1Д и 1Г нет требования по наличию сертифицированных средств защиты информации, и не важно гос орган или комерческая организация. Требование по сертифицированным средствам защиты информации прописаны в 781 ПП, но не совсем понятно почему я должен использовать именно средства защиты информации, может быть я организационно решу все это 8) .
Анатолий, необходимость использования сертифицированных СЗИ в государственных организациях устанавливалась в СТР-К...хотя там формулировки многозначительные и их можно трактовать как рекомендации, но на сегодняшний день практика такова, что аттестовать АС (в том числе и классов 1Д или 1Г) госорганизаций без использования сертифицрованный средств защиты вы не сможете, хотя обязательное их применение в РД ФСТЭК и не прописано.
Цитата
Михаил пишет:
Анатолий, необходимость использования сертифицированных СЗИ в государственных организациях устанавливалась в СТР-К...хотя там формулировки многозначительные и их можно трактовать как рекомендации, но на сегодняшний день практика такова, что аттестовать АС (в том числе и классов 1Д или 1Г) госорганизаций без использования сертифицрованный средств защиты вы не сможете, хотя обязательное их применение в РД ФСТЭК и не прописано.
Никто не спорит, практика есть практика, но в руководящих документах, в частности Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. Пункт 2.10 подпункт 4.6 для Использование сертифицированных СЗИ для 1Г и 1Д стоит -. Лицензиат проводящий аттестацию заинтересован в продаже СЗИ(получает с этого процен), никто же ему не запещает рекомендовать Вам использование сертифийцировыанных СЗИ.
То, что в РД на АС нет требований по использованию сертифицированных средств защиты для классов 1Д и 1Г, я сразу не отрицал. Но я повторяю, помимо РД есть ещё СТР-К...это технический документ ФСТЭК, он имеет гриф ДСП, и при построении СЗИ госорганизаций крайне рекомендуется придерживаться его требований (и рекомендаций), иначе потом не аттестуетесь.
Цитата
Михаил пишет:
То, что в РД на АС нет требований по использованию сертифицированных средств защиты для классов 1Д и 1Г, я сразу не отрицал. Но я повторяю, помимо РД есть ещё СТР-К...это технический документ ФСТЭК, он имеет гриф ДСП, и при построении СЗИ госорганизаций крайне рекомендуется придерживаться его требований (и рекомендаций), иначе потом не аттестуетесь.
Имеет он гриф дсп или нет это не важно, он вообщето не рекомендуется а требует аттестацию для государственных информационных ресурсов (п.2.17 и п.2.3 что это такое вопрос очень интересный ;) ) 8). Аттестация объекта информатизация по требованиям безопасности проводится по двум документам СТР (в нашем случае можно не смотреть на него т.к. только для гостайны) и СТР-К. Аттестация по СТР-К требуется для АС, но не ИС. ИС и АС это разные вещи и путать их не надо.
Про рекомендации и требования - почитайте внимательно СТР-К, там есть много моментов в которых написано "рекомендуется". Теперь по поводу АС и ИС - а кто здесь их путает? В теме спрашивали про АС, я дал комментарий про АС.
Цитата
Максим Попов пишет:
ДСП это гриф (кстати, который, оффициально уже утратил силу, но многие его все равно ставят на доки)
А можно по-подробнее?
Помогите ответить на вопрос. Какие классы средств вычислительной техники могут использоваться в АС класса 1Д. Варианты ответа: 1,3,5,7,8.
Цитата
Гость пишет:
Помогите ответить на вопрос. Какие классы средств вычислительной техники могут использоваться в АС класса 1Д. Варианты ответа: 1,3,5,7,8.
вот у нас гости некоторые итересные такие, нет, чтобы прочитать документ, а потом спрашивать..
Гость, вы видели в глаза документ под названием Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации.
Если бы видели, то знали бы, что классов СВТ всего 7.
А если бы прочитали документ Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации, то увидели бы, что требования на соответствие классу СВТ предъявляется только для классов секретной информации и выше.
:)
marc jacobs outlet
cheap nfl jerseys
nike roshe one
adidas nmd runner
birkenstocks
rockets jerseys
longchamp outlet store
louboutin pas cher
cardinals jerseys
polo ralph lauren outlet online
adidas nmd r1
rangers jerseys
eahawks jerseys
kate spade outlet store
tommy hilfiger windbreaker
hermes bags
adidas sneakers
louis vuitton purses
michael kors outlet store
air max 90
michael kors handbags outlet
parada bags
fitflops sale clearance
swarovski sale
nfl jerseys
true religion jeans
pandora charms outlet
polo ralph lauren outle
fit flops
michael kors outlet canada
red bottom shoes for women
chi flat iron
cheap oakley sunglasses
adidas yeezy boost 350
michael kors outlet store
pandora jewelry outlet
ralph lauren outlet online
lebron shoes
adidas nmd r1
michael kors bags
cheap oakley sunglasses
burberry outlet
mulberry bags
louboutin outlet
nike air force
ralph lauren sale
oakley sunglasses outlet
michael kors outlet clearance
mulberry handbags
longchamp soldes
mulberry
yeezy boost 350
christian louboutin shoes
ralph lauren
longchamp sale
cheap oakley sunglasses
michael kors outlet online
ralph lauren outlet online
gucci outlet online
fitflop
michael kors
coach outlet online
kobe bryant shoes
montblanc
versace
ray ban sale
cheap ray ban sunglasses
michael kors uk
polo ralph lauren pas cher
birkenstock uk
adidas outlet store
ralph lauren outlet online
kate spade outlet online
pandora uk
vans outlet
moncler outlet online
michael kors purses
dolce and gabbana outlet online
pandora charms
michael kors
gucci handbags outlet
nike flyknit
pandora charms outlet
adidas outlet online
adidas store
coach outlet store
ralph lauren
ghd hair
michael kors outlet store
coach outlet store online
mulberry uk
longchamp bags
michael kors
longchamp bags
coach purses
toms outlet
gucci bags
polo ralph lauren outlet
polo ralph lauren outlet online
rolex watches
coach outlet online
louis vuitton outlet store
true religion outlet online
nike store
montblanc pens
nike outlet store
fitflops sale
cheap jordan shoes
pandora jewelry
discount oakley sunglasses
michael kors
polo ralph lauren outlet
true religion
hollister kids
michael kors
michael kors outlet online
burberry outlet store
adidas nmd runner
coach outlet store online
oakley sunglasses cheap
Страницы: 1
Ответить
Читают тему (гостей: 2, пользователей: 0, из них скрытых: 0)
Форма ответов
Текст сообщения*
Прикрепить картинку