Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

SIEM ОТ MCAFEE УСПЕШНО ПРОШЛА СЕРТИФИКАЦИЮ ФСТЭК РОССИИ

01/04/2015

McAfee Security Information and Event Management (версия 9.3) успешно прошла сертификационные испытания, результатом которых стал сертификат соответствия №3353 (от 18 февраля 2015), выданный ФСТЭК России.

Реклама

Партнеры

Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: 1 2 3 4 5 6 7 8 9 10 11 ... 23 След.
УЗ3 нужна ли Система обнаруженния вторжений, УЗ3 нужна ли Система обнаруженния вторжений
Андрей, совершенно верно. Но вы забываете, что методический документ с требованиями к СОВ и антивирусам - это документ для производителей СЗИ, которые захотят сертифицировать свою продукцию, и испытательных лабораторий, которые будут проводить сертификацию. И нужен он им только для того, чтобы определить методики испытаний СОВ и антивирусов при сертификации. Соответственно вы можете попытаться сертифицировать СОВ по другим требованиям, но ФСТЭК вам в этом случае откажет, потому как у них утвержденные методики уже есть. Теоретически в этом случае вы можете попробовать в рамках отдельной работы провести согласование со ФСТЭК ваших собственных методик, в которые будут определять вами сформулированные требования к СОВ или антивирусу, но на практике этим никто не занимается (и ФСТЭК тоже).
УЗ3 нужна ли Система обнаруженния вторжений, УЗ3 нужна ли Система обнаруженния вторжений
Иш ты...дааа, не знал. Но это ещё похоже и персональное решение (проверяет атаки только на ОС, которой установлено). Но вообще полезная инфа
УЗ3 нужна ли Система обнаруженния вторжений, УЗ3 нужна ли Система обнаруженния вторжений
На сегодняшний день СОВ, сертифицированных по РД для СОВ ФСТЭК нет, есть СОВ, сертифицированные во ФСТЭК на ТУ. Вопрос о правоприменимости таких СОВ неоднозначный , но аргумент того, что сертифицрованных СОВ по РД ещё нет, достаточно весомый. К тому же, если почитать Информационное письмо ФСТЭК №240/24/4669 от 20.11.2012, то там сказано, что:
1) сертификаты, выданные до вступления ПП№1119 переоформлению не подлежат - т.е. они остаются активными;
2) СЗИ, которые могут использоваться в ИСПДн до класса К1 могут быть use в ИСПДн до 1 уровня;
Можно ещё подстраховаться для лояльности регулятора таким подходом - проверьте по факту функционал внедряемой СОВ (сертифицированной на ТУ), если она выполняет требования РД ФСТЭК к СОВ, то вы можете провести оценку соответсвия этой СОВ в рамках, например, аттестации своей ИСПДн.
Изменено: Михаил - 18.06.2013 15:30:12
Информационное письмо ФСТЭК, Кто как понимает?
2Гость
По поводу документов - согласен, бюджеты к моменту оформления Акта ещё могут быть несверстаны. Если это так, то у оператора есть выбор переходить или не переходить на новую нормативку. Следует просто прикинуть затраты на реализацию системы защиты по старой и новой нормативке.
Теперь про "через 3 года" )) Давайте рассуждать с точки зрения оператора. Большинству из них (особенно если это малый бизнес) заморачиваться на защиту нет никакого смысла, по крайней мере в нынешних реалиях. Поэтому фразы, что в большинстве случаев в ИС что-то поменяется, а уж тем более модель угроз будет пересмотрена, ИМХО как раз не будут соответствовать действительности. Кто же согласится сам себе доставлять геморрой, как раз из причины необходимости перехода на новую нормативку в этом случае, никто свои ИСПДн трогать не будет, а уж тем более пересматривать модели угроз - регулятора в свое время удовлетворило и слава богу.
Информационное письмо ФСТЭК, Кто как понимает?
2Гость
В своем посте я не акцентировал внимание на документах, оформление которых ознаменует "точку невозврата", Акт классификации точно под неё может подойти, утвержденное ТЗ на работы по проектированию - однозначно может. Даже просто внутренний приказ о начале работ по созданию системы защиты персональных данных или об организации их обработки в соответствии с законодательством РФ - уже является тем самым документом, четко идентифицирующим начало работ, т.е. "точку невозврата".
По поводу сроков контроля и проведению работ по 21 приказу через 3 года - на основании чего сделан такой вывод? Через 3 года я д.б. обновить аттестат или другой документ, подтверждающий соответствие ИСПДн. Если модернизация ИСПДн по факту не проводилась, и система осталась без изменений, на каком основании при оценке соответствия я должен буду руководствоваться РД, отличными от тех, по которым система защиты создавалась?
Информационное письмо ФСТЭК, Кто как понимает?
Я уже на эту тему высказывался - нормативно-правовые акты обратной силы не имеют, если только специально для этого не разработаны, такой оговорки в РД нет, поэтому никаких оснований распространять положения нового РД на системы, для которых работы уже были начаты д его выхода, была проведена классификация, а уж тем более для которых работы по старой нормативке уже завершены я не вижу.
определение уровней угроз
Наталья, все правильно, но вы забываете, что изменилась шкала измерения этой самой защищенности (требования). Вот по этой новой школе вы заново её и определяете. Вопрос в другом - если у вас нет никаких других причин кроме, новой нормативки, зачем вы все меняете? Если у вас система защиты уже разработана и аттестована по старым требованиям и вы не собираетесь в неё ничего дополнительно вносить (изменять), то перерабатывать всю систему по новым требованиям не нужно.
определение уровней угроз
типа репутацией...при достаточно большой распространенности продукта, это становится ценностью
Изменено: Михаил - 18.06.2013 22:38:16
И снова про акты
В контексте выхода 17 приказа, те кто все-таки создал (переделал) Акт отнесения ИСПДн к уровням защищенности и которые по статусу относятся к государственным информационным системам. Поздравляю вас товарищи - ещё раз будете переделывать - снова на акт классификации (но теперь уже по новой системе классификации). )))))
Лично я своим клиентам, кто успел начать работы до ПП1119 рекомендовал вообще ничего не переделывать.
Акт классификации информационных систем персональных данных при новом П-1119, Правильное составление
2Наталья
Вы или старые Акты классификации у себя оставляйте (в случае, если СЗИ у вас никаким образом не модифицировалась с момента выхода ПП 1119) или оформляйте Акт отнесения к уровням.
А вообще посмотрел на содержание и обмер - зачем же вы сами себе яму роете, актуальность угроз 1-го уровня определяете?
Акт классификации информационных систем персональных данных при новом П-1119, Правильное составление
Я озаботился вопросом об уведомлении РКН до 01 января 2013, посмотрел материалы и вот к каким выводам пришел:

1) Форма уведомления РКН составлена аж в 2011 году (приказ №706 от 19.08.2011), а это значит, что никаких сведений, касающихся указания в ней уровней защиты в соответствии с ПП №1119, которое вышло только в 2012-ом, быть не может.

2) В п.10 пп в) приказа №706 четко сказано, что нужно указывать именно КЛАСС информационной системы, в соответствии с приказом №55, а вовсе не уровень защищенности персональных данных, что также говорит о том, что никаких сведений в соответствии с ПП №1119 указывать не надо.

3) В п 10 пп г) сказано, что "В случае использования Оператором, осуществляющим обработку персональных данных, шифровальных (криптографических) средств" надо указать уровень защиты от НСД, НО это термин из совсем другой системы классификации, он относится к нормативной базе ФСБ. Здесь имеются ввиду уровни защиты от НСД, которые следует указывать, если было принято решение использовать нормативную базу ФСБ (см. п.4.3. Методических рекомендаций по обеспечению с помощью криптосредств безопасности ПД №149/54-144 от 21.02.2008 ), это уровни от АК1 до АК6. Я лично ещё ни одного оператора, который бы такое решение принял не наблюдал (тем более с учетом того, что нормативная база ФСБ засекречена).

Итоговый вывод - мне непонятно, почему с выходом ПП №1119 нужно было бы в срочном порядке переуведомлять РКН об уровнях защищенности ПД и уж тем более переделывать акты.
Изменено: Михаил - 08.05.2013 10:43:49
Акт классификации информационных систем персональных данных при новом П-1119, Правильное составление
2 Сергей С.
Да кстати...А как насчет обратной силы нормативно-правовых актов? Они, как известно, её иметь не должны. На каком же тогда основании операторы должны переделывать свои акты классификации, если успели их выпустить до выхода ПП №1119?
Акт классификации информационных систем персональных данных при новом П-1119, Правильное составление
Хорошо, тогда встречный вопрос. Все поменяли акты с классов на уровни, а где брать требования по защите для данного уровня? На соответствие чему строить в этом случае техническую защиту?
Акт классификации информационных систем персональных данных при новом П-1119, Правильное составление
Мдааа...начитался

2Дмитрий
Требования по наличию квалифицированных специалистов в области ИБ предъявляются только для соискателя лицензии ФСТЭК/ФСБ, это указано в соответствующих положениях этих регуляторов. Есть информационное письмо ФСТЭК, описывающее когда для защиты ПД нужна лицензия на деятельность по технической защите. Если организация не подходит под эти условия, лицензия ФСТЭК не нужна. Требовать наличие у работников опыта, каких-либо курсов или профессионального образования в ИБ в случае, когда для них лицензия ФСТЭК не нужна, не имеет права ни один регулятор, у них просто нет для этого законных оснований.

Поэтому делаем следующий вывод - если вам лицензия ФСТЭК не нужна, можете осуществлять все виды деятельности по защите ПД силами каких-угодно сотрудников (хоть уборщицы), главное не забыть издаь внутренний приказ с назначением ответсвенных, комисии и т.п. В том числе вы можете самостоятельно проводить оценку соответствия используемых средств защиты.

И ещё 1 момент - РКН вправе требовать переделать акты классификации по ПП№1119 только если решение о создании/модификации системы защиты ПД было оформлено после выхода этого ПП, об этом есть информационное письмо ФСТЭК. Документом, подтверждающим решение о создании СЗИ может быть любой внутренний приказ о начале работ, связанных с защитой ПДн, главное, чтобы его дата была раньше, чем выход ПП№1119.
"Предварительная" передача ПДн
Цитата
ГОСТ_ь пишет:
Как можно обеспечить технически и\ или юридически легитимность такой передачи данных для организации получателя и контрагента?
Закон четко определяет необходимость защиты ПД операторами. Передача ПД без соблюдения организационных мер и технической защиты ПД будет его нарушением. Итого:
1) контрагенты должны обеспечить техническую защиту у себя, брать согласие у собственников на передачу ПД вам, указать в договоре с вашей организацией требование по защите передаваемых ПД (в принципе вы как оператор и так это обязаны будете делать, но не помешает, кроме того, без договора с контрагентом у вас не будет законных оснований для обработки передаваемых вам от них ПД, что тоже наказуемо)
2) ваша организация должна обеспечить техническую защиту получаемых ПД у себя.

Цитата
ГОСТ_ь пишет:
Можно ли избежать предварительной установки у контрагента СЗИ (желательно) ?
Если ПД ваша организация будет получать то защита ПД у контрагентов - не ваша проблема. Они сами операторы и должны самостоятельно заботиться о защите обрабатываемых (передаваемых) ПД. Если они не подпишут с вами договоры с указанием требования по защите передаваемых вам ПД, и не будут брать согласия у собственников ПД на передачу, то это их проблема, а не ваша. Ваша задача - обеспечить защиту ПД в процессе их передачи и процессе их обработки у себя, а также иметь законное основание для обработки этих данных (договор).
Изменено: Михаил - 09.05.2013 13:12:20
Ту на прикладное ПО web портал, Ту на прикладное ПО web портал
Про аттестацию применительно к ИСПДн тоже ни слова не сказано ни в одном НПА. Так что тоже можно обойтись альтернативными вариантами типа декларирования или акта подтверждения соответствия
Ту на прикладное ПО web портал, Ту на прикладное ПО web портал
Погуглите запись вебинара Алексея Волкова по защите ПДн. У него в блоге тоже ссылка где-то была.
Ту на прикладное ПО web портал, Ту на прикладное ПО web портал
Роман, ваше ПО реализует в данном случае механизм по управлению доступом (идентификацию, аутентификацию и авторизацию). Эти функции относятся к средствам защиты. Если вы будете декларировать их в своей системе защиты, т.е. официально ими пользоваться, то в соответствии с существующими нормативными нормами по защите ПДн этот функционал должен пройти оценку соответствия.

Какая это будет форма оценки соответствия решать вам. Хотите продавать продукт на рынке СЗИ - можете потратиться на сертификацию на ТУ (в ТУ будете проверять механизм управления доступом). Хотите лигитимно без лишних затрат использовать это ПО у себя - просто проведите испытания средства защиты по собственным методикам проверки и оформите соответствующий акт успешной проверки.
Что такое ИСПДн?
2Алексей

Все действительно зависит от целей. При этом как вы их сформулируете - дело ваше. В ФЗ-152 есть только одно ограничение - нельзя объединять БД с разными целями обработки, но вы всегда можете сформулировать одну общую более абстрактную цель и позиционировать базы данных как части одной внутри единой ИСПДн. Разделение ИСПДн на самом деле целесообразно, когда у вас различные категории ПДн в организации, требующие выполнения реализации различных механизмов защиты, и в этом случае, чтобы сэкономить на средствах защиты имеет смысл ПД высшей категории выделить в отдельную ИСПДн.
Обязательна ли сертификация
Не согласен с мнением Alexа. Читаем информационное письмо ФСТЭК от 20 ноября 2012 г. № 240/24/4669. Там сказано, цитирую "Предполагается, что нормативный правовой акт ФСТЭК России, устанавливающий состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, будет применяться к информационным системам персональных данных, для которых решение о создании системы защиты информации будет принято после вступления в силу указанного нормативного правового акта." Т.е. если вы начали работы по старым НПА и впроцессе их осуществления вышло ПП№1119, вы имеете право продолжать свои работы по старым требованиям.
Страницы: 1 2 3 4 5 6 7 8 9 10 11 ... 23 След.