Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

GDPR: Новые правила обработки персональных данных в EU

15/06/2018

Все слышали о General Data Protection Regulation (GDPR) (Regulation (EU) 2016/679), который вступил в силу 25 мая 2018 года. Штрафы большие и придётся соответствовать. Как и любой официальный документ, он написан сухо и может трактоваться по-разному.

Реклама

Партнеры

Лаборатория кибербезопасности







Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: 1
Сертифицированная СОВ, Сертифицированная СОВ
Цитата
Гость пишет:
Вы ее потестируйте до использования. Она не работоспособна, де-факто.

Все работоспособно, только ограничено по количеству известных атак.
Навскидку, можно проверить с помощью nmap следующим образом:
nmap -sN <IP> отправляет пакеты нуливой длины.
nmap -sX <IP> сканирование TCP XMAS.

Собственно как СОВ, наверно, использовать не получиться, т.к. целевое назначение иное, о чем указано в сертификате.
Срок действия сертификата - коварная штука
Обновление антивирусных баз Вы можете обновлять сами без чьей-либо помощи, т.к. эти базы не являются исполняемыми модулями и не подвергаются контролю со стороны проверяющей организации. А вот с модулями защиты ситуация противоположная.
СОВ встроенное в Kaspersky for Workstation MP4
С учетом текущих НМД по защите ПДн без разницы какой статус у медучреждения. Вы вправе следовать только разработанной Вами модели угроз, т.к. при ее написании отталкивались от НМД, в той частности от 58-го приказа.
СОВ встроенное в Kaspersky for Workstation MP4
Сертифицировать данный антивирус на НДВ более смысла нет, т.к. проверку на отсутствие НДВ продукт проходит целиком, включая дополнительный функционал (СОВ, МЭ). Далее, любая сертификация - это достаточно затратное и раятянутое во времени мероприятие, в котором учавствует разработчик продукта, испытательная лаборатория, уполномоченный орган со всеми вытекающими. Если проводить такую сертификацию для одного заказчика, то на выходе получится решение по цене сопоставимое с Форпост или скорее более дорогое. Ну а сертификация для массого использования может попросту себя не окупить. В такой ситуации можно посоветовать пересмотреть Ваши угрозы и постраться исключить те, для которых Вы и пытаетесь использовать СОВ, или как-то их минимизировать.
Vipnet Custom
Однозначно, всех требований к ИСПДн К1 данным продуктом Вы не закроете. В лучшем случае, какие-то требования получится закрыть прибегая к дополнительным оргмерам. Что касается ТУ на продукт, то в них Вы ответа также не найдете.
Панцирь-С
Это касается многих отечественных СЗИ, которые работаю в тепличных условиях. Шаг влево, шаг право и начинаются проблемы. Вспомнилась одна история, произошедшая в одной крупной компании по разработке СЗИ НСД - стараниями разработчиков в ходе бессонных ночей продукт был все-таки выпущен и сертифицирован. Вскоре в службу поддержки стали поступать звонки от недовольных пользователей, которые жаловались на нецензурные выражения, появляющиеся в тех или иных местах продукта. Оказалось, что разработчики так спешили, что забыли заменить "рабочие" названия окошечек/кнопочек и прочих деталей интерфейса. В срочном порядке был выпущен фикс.
Панцирь-С
Зато дешево ;)
А служба поддержки Панциря что говорит/рекомендует?
Застава, Ориентировочная стоимость
Несколько лет назад имел дело с Заставой Офис 5.2. Тогда для огранизации VPN сети, состоящей из нескольких филиалов стоимость за ПО Застава-Офис составляла ~45т.р./шт. + лицензия за центр управления (TPN) всем этим хозяйством ~ 70 т.р. + лицензия за управление криптошлюзами ~10 т.р./4-5 шт.+ криптомодули 1,5 т.р./шт. Сюда можно еще добавить техподдержку годувую (~30%) и еще какое-то количество денег за установку если потребуется.

Лучше за ценами обратиться к разработчику - Элвис+ поскольку ценовая политика напрямую зависит от количества, состава компонентов и прочих условий.
МЭ для ИСПДн К3 с интернетом + несколько вопросов.
Согласовывать со ФСТЭК модель не обязательно, только в инициативном порядке.
МЭ для ИСПДн К3 с интернетом + несколько вопросов.
Какое отношение доверенные лица имеют к Вашей ИСПДн и чем они руководствуются (инструкции, руководства...) при работе в ЛВС? Не всегда достаточно плохо квалифицированных людей для взлома ПК (хотя нельзя исключать overqualified), по большей части это вирусы и прочая малварь.
Ваши выкладки по вероятности взлома имеют место, но не всегда они согласуются с законом, который к тому же не идеальный.
Если Вы так считаете, составляйте модель угроз с описание нарушителей, актуальных/неактуальных угроз и будет Вам счастье.
МЭ для ИСПДн К3 с интернетом + несколько вопросов.
Понятно о чем речь. О разделении ИСПДн от ЛВС, находящейся в КЗ в нормативах не написано, только если разные ИСПДн в составе ЛВС - требуется МЭ. Но с другой стороны если мы ограничиваемся всякого рода СЗИ НСД, устанавливая антивирусы, системы контроля доступа, то логично предположить что также следует устанавливать для этих целей и МЭ как одну из СЗИ НСД. Собственно, об этом и говорит ПП781. Кроме этого, на АРМ пользователей не обрабатывающих ПДн, насколько я понял, не предусматривается установка СЗИ НСД.

P.S.
Можно еще добавить п. 11)а ПП781
МЭ для ИСПДн К3 с интернетом + несколько вопросов.
1. Судя по сертификату ( http://www.usergate.ru/library/usergate_fstek_certificate.pdf ) сертифицирован UserGate Proxy&Firewall 5.2.F только для Windows.
2. Если Ваша ЛВС с ПДн отделена от остальной сетевой инфраструктуры, то кроме шлюза с МЭ который располагается на границе ЛВС никаких персональных МЭ устанавливать не потребуется. В Вашем случае, когда есть какие-то ПК, обработка ПДн на которых не предусматривается, то потребуется как-то от них отделять Вашу ИСПДн.
3. Можно. Для MS Win2008 SE придется накатить шаблон безопасности. Переустановка не потребуется.
4. Выбор СЗИ зависит от Вашего бюджета и хотелок. В Вашем случае можно обойтись сертифицированными ОС Windows.

Судя по Вашему описанию удаленного доступа у Вас нет.
Цитата
Антон пишет:
Так же узнавал примерную стоимость сертификации ipfw на FreeBSD - оказалось ~ 160 000 вечно деревянных

К этому надо еще добавить минимум полгода ожиданий.
Несколько вопросов, Криптография, модель нарушителя, трансграница
Речь идет об уже имеющихся СКЗИ в информационной системе, планируемых к разработке и планируемых к внедрению из уже имеющихся СКЗИ на рынке. Т.е. получается такой универсальный характер методики.
Если еще нет СКЗИ, то...
1. как Вы и говорите "в голове предполагаем", при этом КОИ и СФК будут известны,
2. описывать СКЗИ в общем случае, при этом часть КОИ будет известна (например, документация). Далее в случае необходимости можно скорректировать модель нарушителя по внедренной СКЗИ.
Цитата
Алексей пишет:
Но где сказано или написано, что необходима еще и модель нарушителя?
Если речь о СКЗИ, то модель нарушителя является частью модели угроз (стр.23 методических рекомендаций)
Методичекие рекомендации ФСБ
Данная методика представляет собой обрезки закрытого документа «Требования к шифровальным (криптографическим) средствам, предназначенным для защиты информации, не содержащей сведения, составляющие государственную тайну».
Действительно, в методике определено, что необходимо отнести нарушителя к одному из типов H1-6, а как определить тип нарушителя не сказано. В общем случае получается, что
Н1 - внешний нарушитель,
H2 - внутренний нарушитель, который не является пользователем СВТ с СКЗИ,
Н3 - внутренний пользователь, являющийся пользователем СВТ с СКЗИ,
Н4 - то же самое + дополнительно может привлекать специалистов, имеющих опыт разработки и анализа СКЗИ,
Н5 - то же самое + привлечение специалистов НИЦ
Н6 - внутренний нарушитель, действующий в интересах спецслужб

Под средством защиты в данном случае выступают СКЗИ, иначе Вы бы и не руководствовались данной методикой.
[ Закрыто] Межсетевой экран для ИСПДн, Выбираю стратегию покупки недорогих сертифицированных межсетевых экранов
Цитата
NIFIGA пишет:
вот как-то не увидел я в письме этого
Там же написано "Об использовании антивирусных программ в ИСПДн", ну а далее по тексту ясно о каких "программных изделиях" идет речь. Если Вас смущает фраза "продукт сертифицирован целиком", то тут понимается что при проведении, в частности, контроля на отсутствие НДВ проверялись программные коды всего продукта со всеми его компонентами, что и понятно. А то что в продукте есть персональный сетевой экран - это скорее приятное дополнение к антивирусу, не говорящее о его соответствии РД ФСТЭК к МЭ.
Нужна помощь в составлении документов для проверяющих.
Ищите МЭ 4 класса по классификации РД ФСТЭК.
Навскидку, Блокпост-Экран 2000/ХР (4 класс) - пакетный фильтр для рабочих мест, убогий до невозможности :), MS ISA Server (3/4 класс)...
Для медучреждений НУЖНА ЛИЦЕНЗИЯ, официальная позиция ФСТЭК
Вопрос с этими злосчастными письмами в каких только блогах и форумах не поднимался и окончательной позиции так и нет, тем более какой-то ясности. Кто-то видим в этом письме ответ "да", другие "нет". Масло в огонь подлили с появлением еще одного письма за 2002 год. Какая-то вакханалия прям и все из-за каких-то двусмысленных трактовок и неоднозначности в законодательстве. Ждем послаблений в виде нормативов в части лицензии на ТЗКИ и приведения ИСПДн в соотвествие, иначе непонятно как вообще возможно проводить работы по защите ПДн для 7 млн операторов, даже с учетом действующих лицензиатов.
Для медучреждений НУЖНА ЛИЦЕНЗИЯ, официальная позиция ФСТЭК
Улыбныло, мол, читайте законы. Ответа не видел.
Защита персональных данных в банках по-новому
Согласовали ФСБ, ФСТЭК, Роскомнадзор.
Ссылка: http://www.arb.ru/forums/conf152FZ/2/docs.php
Правда они еще в состоянии "проект" и не приняты.
Статья: Персональные данные: защита превращается в угрозу
Еще весной беседовали с представителем ФСТЭК России из центрального аппарата по вопросам защиты ПДн. Была высказана такая точка зрения:
1. Должны появиться дополнительные (уточняющие) положения регуляторов по вопросам защиты ПДн и чтобы оставить маневр для этих новых документов не редактируя “старый” 58-ой приказ и появились неясные и неоднозначные моменты в самом 58-м приказе.
2. Вопросы аттестации, лицензирования и сертификации в части защиты ПДн должны остаться только для гос. учреждений.
3. Будут внесены изменения в ФЗ-152 по сути отменяющие защиту ПДн для собственных нужд. Это предполагается ближе к осени.

Поживем, как говорится, увидим.
А статья правильная.
Страницы: 1