Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

SIEM ОТ MCAFEE УСПЕШНО ПРОШЛА СЕРТИФИКАЦИЮ ФСТЭК РОССИИ

01/04/2015

McAfee Security Information and Event Management (версия 9.3) успешно прошла сертификационные испытания, результатом которых стал сертификат соответствия №3353 (от 18 февраля 2015), выданный ФСТЭК России.

Реклама

Партнеры

Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: 1 2 3 4 5 6 7 8 9 10 11 ... 38 След.
Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Цитата
Роберт пишет:
для прохода в компанию не сотрудников компании есть журнал в который вносятся разовые данные ПДн, те идет не автоматизированная обработка. По закону мы должны удалить или вымарать каждую запись срок которой составил больше 30 дней. Можно ли изменив цель обработки, например помимо осуществления пропускного режима, снять с себя обязанность удалять записи?

В Постановлении 687 2008 г указано, что порядок ведения Журнала однократного пропуска на территорию и сроки его хранения определяются самими оператором.
На практике в ОРД (например, в Инструкции о порядке ведения "Журнала...") пишут "хранить в течение года..." или что-то в этом роде.
Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Можно объединить, но целесообразнее иметь 2 отдельных. Положение об обработке будет читать Роскомнадзор, а Положение о защите - ФСТЭК и ФСБ.
Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Цитата
Сергей пишет:
В соответствии с какими требованиями его нужно создавать?

Ситуация такая что в "соседнем" госучреждении при проверке РосКомСвобода затребовал данный журнал. Его сделали по требованию, но что является основанием для его создания?

Такой журнал предусмотрен ФЗ-294, но на гос. органы этот закон не распространяется
Более того, проверки самого Роскомнадзора с 1 сентября выведены из сферы действия закона 294-ФЗ.
Когда от вас чего-то требуют - сразу спрашивайте, каким нормативным актом установлено требуемое и не придумал ли что-то сам проверяющий.
Тупые вопросы, которые вы хотели, но боялись спросить, Разное
А еще существует порядок учета и требования к эксплуатации ФГИС и ГИС, определенный Постановлениями Прав-ва №723 2009 г и №676 2015г.
Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Четкого критерия именно федеральной ГИС нет. Есть реестр федеральных ГИС (на сайте Роскомнадзора). Все, что там - точно ФГИС, остальное - можно спорить.
Изменено: AlexG - 16.10.2015 15:57:38
Самостоятельная реализация соответствия ФЗ-152
1. Закон 152-ФЗ требует оценить эффективность мер защиты ПДн. В какой форме не указано, а согласно закона "О технич. регулировании" оценку можно провести в форме испытаний (своей комиссией) либо в форме приемки (в эксплуатацию). Выбор за вами.
2. Уведомление в РКН подавать надо, правда, в законе есть исключения (когда можно не подавать, кажется, статья 22). Нужно четко понимать, попадаете вы под исключения или нет, при проверке придется доказывать.
3. Да.
4., 5. Документов многовато, можно сократить. К сожалению, времени на подробный анализ нет.
Вместо акта классификации - Акт установления уровня защищенности (см. остан. Прав-ва 1119). Протокол заседания по определению класса и приказ об утверждении модели угроз я бы точно выкинул, чушь какая-то. Хотя регуляторы любят бумажки :)
6. По идее, установка СКЗИ является лицензируемым видом деятельности (Постановление 313). ФСБ косо смотрит на установку без лицензии. Кое-кто устанавливает себе сам, но большинство обращаются к лицензиатам.
7. См. пункт 1. Это может быть Акт испытаний системы защиты ПДн (вашей комиссией), либо Заключение об эффективности защиты ПДн, либо еще что-то...
8. Не помешают, тогда и Акт испытаний будет более обоснованным. Но не обязательно, т.к. нигде об этом прямо не указано.
Самостоятельная реализация соответствия ФЗ-152
Своими силами выполнить можно.
В целом порядок правильный.
Замечания.
1. Пункты 1 и 6 можно объединить.
2. Классов персональных данных нет, есть уровни защищенности.
3. Закончить можно пунктом 8, сформулировав "оценка эффективности принятых мер защиты ПДн".
4. Аттестация ИСПДн не обязательна (за исключением случая, если ИСПДн имеет статус ГИС (государственная информационная система).
Вопрос по аттестации ГИС ИСПДню
Вам нужно разобраться, входят ли эти АРМы в состав ГИС. Если входят - аттестовать обязательно, если нет (а просто взаимодействуют с ГИС) - решает их обладатель.

Наличие МЭ позволяет (если надо) утверждать, что АРМы в ГИС не входят, поскольку МЭ рассматривается как граница между информационными системами или их сегментами.
требуют ли аттестации базы 1С по приказу №17?
Простите великодушно, погорячился :)
Но Вы уж постарайтесь, прежде чем что-то утверждать, разобраться в вопросе. Я считаю, что вводить людей в заблуждение нехорошо. Они ведь почитают и кинутся аттестовать. А зачем?
требуют ли аттестации базы 1С по приказу №17?
Цитата
Сергей Терехов пишет:
Оценка эффективности может проводиться в формах добровольной аттестации по требованиям безопасности информации в системе сертификации ФСТЭК России, а также в других формах, выбираемых оператором ПДн (например, формах приемо-сдаточных испытаний СЗПДн, совместной оценки комиссией, состоящей из представителей Разработчика и Заказчика СЗПДн, и т. д.).

Вот если бы Вы сразу так написали, вопросов бы не было. Из Вашего же поста следует, что
Цитата
Сергей Терехов пишет:
По действующему законодательству для оценки эффективности безопасности информационных систем используется аттестация.
. Это ложь. Упомянутое же ниже декларирование неприменимо к системе ЗИ (см. ФЗ "О техническом регулировании").

Положение по аттестации 1994 определяет порядок аттестации, но не обязанность аттестовать ИСПДн. Оно требует обязательной аттестации только объектов, обрабатывающих гос. тайну и управляющих экологически опасными производствами. Упомянутые в нем органы по аттестации не могут аттестовать несекретные системы, кстати. Так что Положение - мимо.
Упомянутый Вами ГОСТ не опубликован и, следовательно, неизвестен простым операторам ПДн (не лицензиатам).
требуют ли аттестации базы 1С по приказу №17?
Цитата
ruzwim пишет:
Требуют ли аттестации (по приказу ФСТЭК №17 от 11.02.13) базы данных - "1С", которые находятся в отделе кадров и бухгалтерии в муниципальном учреждении?

Нет, не требуется. Муниципальные ИС никаким образом не относятся к ГИС. А уж тем более, бухгалтерия. Читайте ФЗ-149, ст. 13 и далее.

Цитата
Сергей Терехов пишет:
По действующему законодательству для оценки эффективности безопасности информационных систем используется аттестация.
Откуда Вы берете подобную чепуху? В каком нормативном акте сказано, что оценка эффективности это аттестация?! Перестаньте вешать людям лапшу!
Документы в ОРД ИСПДн
У Прозорова многовато, на мой взгляд. Много лишнего.

"Приказ о планировании мероприятий по внедрению СЗПДн
Приказ о проведении анализа угроз безопасности ПДн"
С какого перепугу нужно делать эти приказы? Откуда они?
Можно, конечно, написать и План выполнения плана.... или Приказ об издании приказа. Но надо ли?
Документы в ОРД ИСПДн
Гость, вы бы почитали форум, эта тема обсуждалась давно и подробно. Единого перечня нет. В каждом регионе РКН требует показать свой перечень документов и эти перечни время от времени меняются.
Подготовка документов по ЗИ не сотрудником организации, возможно ли по договору
Тема обсуждалась на форуме. Мнения разделились.
Я считаю, что законно: никаких запретов в законодательстве нет.
Нужна ли лицензия на составление документации?, Помогите разобраться в более юридическом вопросе.
Просите, Сергей Терехов, но я очень не люблю голословных постов. Сказали - будете готовы аргументировать. Свои соображения я не раз высказывал выше: обследование, формирование требований - все это предшествует проектированию и таковым не является. Я ссылался на ГОСТ, в котором ясно написано, какие этапы предшествуют проектированию (оно начинается с пункта 6.6., который Вы так не хотели цитировать).

На мой взгляд, почти все документы можно спокойно делать без лицензии (тем более, документы, никак не относящиеся к защите).
Исключения:
- Приложение 4.1.Определение уязвимостей ИСПДн (могут пришить контроль защищенности, особенно если это инструментальный поиск).
- Пояснительная записка к проекту (это уже из комплекта проектной док-ции. Кстати, а где сам проект?)
- возможно, Приложение к Положению об организации и обеспечении защиты персональных данных. Форма Журнала учета мероприятий по защите информации. (перечень работ и услуг по лицензии ФСБ гораздо шире, чем по ФСТЭК, но все-таки, саму форму акта я бы делал без лицензии, тем более, что эта форма и так определена методичкой ФСБ).

Пункт «О назначении комиссии по декларированию соответствия информационных систем персональных данных требованиям безопасности» на мой взгляд, безграмотен: декларирование соответствия неприменимо к системам защиты информации (см. ФЗ "О техническом регулировании").

Желаете возразить - пожалуйста, только, чур, не "я уверен", а с опорой на нормативку.
Нужна ли лицензия на составление документации?, Помогите разобраться в более юридическом вопросе.
Гость, мое мнение: можете. Более того, вы можете даже указать, что составляете ОРД по ПДн. Главное, чтобы не упоминались слова типа "проектирование", "испытания", "контроль защищенности" и т.п.
Но чтобы не дразнить гусей регуляторов, формулируйте более обще: не документы по обработке и безопасности ПДН, а, скажем, "Документы, регламентирующие выполнение требований законодательства в области ПДн". Пользуйтесь великим и могучим русским языком. ;)
Нужна ли лицензия на составление документации?, Помогите разобраться в более юридическом вопросе.
Хорошо, открою Вам тайну. Лицензия на проектирование требуется тогда, когда организация разрабатывает юридически значимые проектные документы (не Модель и не Политики, а технорабочий проект, эскизный проект и т.д.), а так же документы по результатам испытаний АС. Всё. Остальное - это уже Ваши домыслы и предположения.

Про "самодекларирование" это Вы тоже придумали, почитайте ФЗ-184. Там упоминается "декларирование соответствия", но к ИБ оно не применимо.
олее того: если система не подлежит обязательной аттестации, то никакой регулятор не приедет ее проверять в виду отсутствия полномочий. Не надо пугаться каждого шороха.
Нужна ли лицензия на составление документации?, Помогите разобраться в более юридическом вопросе.
Как работает правоприменительная практика, я отлично знаю. При желании прокуратура легко прикрывает фирму даже с тремя лицензиями. И что Вы предлагаете делать?

Вопрос: определены ли в нормативной базе требования к специалистам (экспертам), занимающихся моделированием угроз? Уровень их образования, специальность, стаж и т.д.? Где написано, кого можно, а кого нельзя привлекать к моделированию? Пожалуйста, не Ваши размышления, а пункт документа. На основании какого документа я не могу включить в комиссию уборщицу? Название, пункт?

Цитирования пункта 6.6. ГОСТа я, увы, не дождался. Остаюсь при своем мнении: моделирование угроз ПРЕДШЕСТВУЕТ проектированию и это определено ГОСТ, все остальное - Ваши фантазии.

Успехов Вам в сфере ИБ. ;)
Нужна ли лицензия на составление документации?, Помогите разобраться в более юридическом вопросе.
Вы уж не валите с больной головы на здоровую.
Цитировать пункт 6.6. ГОСТа Вы не решились. Жаль, все бы стало ясно.

Хорошо, спросим по -другому: каким по счету этапом работ по защите информации в АСЗИ является проектирование? И какие работы предшествуют проектированию?
Нужна ли лицензия на составление документации?, Помогите разобраться в более юридическом вопросе.
Позвольте, как это для осмотра не надо?? Разве это не этап (по-Вашему) формирования требований? Разве это не работа? Как же без лицензии??

Если разработчик будет за заказчика определять требования, заказчик просто останется без штанов.
Страницы: 1 2 3 4 5 6 7 8 9 10 11 ... 38 След.