Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

ФСБ: Национальному координационному центру по компьютерным инцидентам быть!

13/10/2018

Директор ФСБ России Александр Бортников распорядился создать государственный орган по борьбе с кибератаками. Текст соответствующего приказа размещен на официальном интернет-портале правовой информации.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: 1 2 След.
[ Закрыто] Документация по ИСПДН
Перечень необходимого с примерами документов: http://zs-info.ru/services/487
[ Закрыто] Криптография
Цитата
Андрей пишет:
Цитата
Xenobius пишет:
Смотря как всё это понимать.
ФСБ говорит руководствоваться их приказом №378 при определении возможных видов нарушителей (вот всё таки сложно отделаться от определений "старых" документов!) при формировании модели угроз. Об этом можно прочитать в другом разъяснении уважаемых стражей закона: http://sborisov.blogspot.ru/search/label/%D0%A1%D0%9A%D0%97%D0%98
Да прямо так и понимать. Не пользоваться! )))) Видать погорячились они с рассекречиванием )))) А в указанном "разъяснении" я ничего противоречащего моему высказыванию не нашел.
В смысле, не пользоваться СКЗИ? Ну, если не передаёте ПДн по открытым каналам связи - то, ясное дело, не пользоваться.
[ Закрыто] Криптография
Цитата
Константин пишет:
2 Xenobius:
Спасибо,не знал, учту!
Рад помочь!


Цитата
Андрей пишет:
Забавная ситуация. Остались мы теперь без модели угроз по требованиям ФСБ ))))))))))))).
Смотря как всё это понимать. :)
ФСБ говорит руководствоваться их приказом №378 при определении возможных видов нарушителей (вот всё таки сложно отделаться от определений "старых" документов!) при формировании модели угроз. Об этом можно прочитать в другом разъяснении уважаемых стражей закона: http://sborisov.blogspot.ru/search/label/%D0%A1%D0%9A%D0%97%D0%98
Изменено: Xenobius - 09.04.2015 17:32:40
[ Закрыто] Криптография
2 Константин:
1. Правопреемником ФАПСИ является ФСБ. Поэтому всё наследие ФАПСИ автоматом перешло к ФСБ.
2. Посмотрите официальный ответ 8 центра ФСБ как раз по поводу актуальности нормативных документов: http://www.itsec.pro/2014/12/blog-post.html. Инструкция ФАПСИ актуальна, её никто не отменял.
3. "Методические рекомендаций..." и "Типовые требования..." - это выписки из секретных документов для гос.тайны. Они описывают другие вопросы, не касающиеся организации использования и хранения СКЗИ. Используются при выборе типа нарушителя при формировании модели угроз по рекомендациям ФСТЭК.
[ Закрыто] Криптография
По приказу ФАПСИ №152, равно как и по приказу ФСБ, "Орган криптографической защиты" - это, проще говоря, отдел, группа, подразделение, которое курирует и занимается контролем за исполнением требований нормативных документов и всеми вопросами касательно криптографии у Вас на предприятии.
[ Закрыто] Передача персональных данных по e-mail, Ответы на запросы
Уважаемые коллеги!
Чтобы не плодить одинаковые темы, подниму уже имеющуюся.

Вопрос также касается передачи ПДн по средствам обычной электронной почты. А именно интересен такой технический момент - достаточно ли организации шифрованного по требованиям регуляторов туннеля VPN, например на базе маршрутизаторов Cisco с модуялми от С-Терра NME-RVPN, установленных в территориально распределённых офисах коммерческой компании? Допускается передавать почту внутри такого туннеля, но не используя именных сертификатов электронной подписи каждого пользователя, например, как это реализуется в ViPNet "Деловой почте"?
Изменено: Xenobius - 08.04.2015 10:50:24
[ Закрыто] Передача персональных данных по e-mail, Ответы на запросы
Цитата
Vitaly Bondarew пишет:
По поводу существования ПО. Уважаемый Xenobius не учёл суть вопроса. Сертификата ФСТЭК на Крипто-Про существовать в природе не может, так как такой сертификацией занимается ФСБ.
Совершенно правильно. Суть вопроса я учёл, но думал одно, а написал другое. Конечно же вопросами шифрования занимается ФСБ.
[ Закрыто] Передача персональных данных по e-mail, Ответы на запросы
Цитата
Дмитрий пишет:
Остается только с передачей ПДн, что то решить. Как написал Xenobius
надо реализовать защиту канала или данных, только от компании которая собирает ПДн и передает нам.
В этом случае, если использовать решения на базе КриптоПро, необходимо передать открытый ключ (сертификат) ответственного работника Вашей компании, в компанию, которая собирает и передает ПДн Вам.
[ Закрыто] Передача персональных данных по e-mail, Ответы на запросы
Всегда пожалуйста!

Именно такая реакция бывают у людей, которые в определенной степени не связывались ранее со средствами защиты информации. Видимо, я слишком много написал всего по этому поводу - но хотелось подробнее объяснить.
Нет, это только выглядит всё сложно как по настройке, так и по использованию. Тем более, что можно воспользоваться услугами какой-либо компании интегратора или удостоверяющего центра, в котором будут приобретаться лицензии на программное обеспечение и выпуск сертификата.

Безусловно, если есть возможность обезличить персональные данные - это нужно делать, дабы избежать финансовых затрат и иных рисков связанных с использованием данного метода передачи информации.

Но согласно законодательству, любая информация, являющаяся персональными данными, (а вышеуказанная Вами информация как раз является персональными данными), подлежит защите.
Утверждать, повредит или нет вышеуказанная информация о гражданах нельзя - её необходимо защищать. Потому что это личная информация граждан, которая может быть использована, например, для спама по SMS и электронной почте, мошенничества по телефону, да и мало ли ещё для чего.
[ Закрыто] Передача персональных данных по e-mail, Ответы на запросы
Цитата
Vitaly Bondarew пишет:
Покупаете CSP и cryptcp в качестве интерфейса, заключаете договор с авторизованным УЦ для генерации ключей, обмениваетесь ключами расшифровки с контрагентами.
Это Вы сейчас симметричную криптосистему описали.

Дмитрий
Да и такой софт вполне себе существует. Как самый простой и наиболее дешёвый можно использовать, например, связку из криптопровайдера "КриптоПро CSP" + программа для шифрования/расшифрования информации "КриптоАрм" + сертификат ключа электронный подписи (сгененрированный в аккредитованном удостоверяющем центре для КриптоПро). Весь этот набор делается для Вашей организации и для каждого контрагента. И в этом случае вы обмениваетесь с контрагентами только сертификатами (открытыми ключами), которыми каждый участник защищенного электронного документооборота (ЗЭДО) шифрует информацию отправляемую адресату, чтобы он расшифровал её после получения своим закрытым ключом. Этот способ относительно дешёв, но для непосредственного исполнителя может показаться не очень удобным (нужно сделать определенное количество манипуляций с шифрованием/расшифрованием информации, отправкой данных). Для одного рабочего места бессрочная лицензия на КриптоПро - 1800 руб., бессрочная лицензия на КриптоАрм - 1200 руб., выпуск сертификата ключа электронной подписи обычно сроком на 15 месяцев в пределах 1500-2000 руб. (зависит от конкретного удостоверяющего центра). Итого, по максимуму 5000 единовременно. В последующем стоимость будет составлять выпуск нового сертификата ключа электронной подписи по истечению срока действия.

Можно использовать ViPNet с их программный обеспечением "Деловая почта", где зашифрование и расшифрование происходит "на лету", совершенно прозрачно для непосредственного пользователя. Плюс там есть некоторые средства автоматизации отправки и получения информации. Если нет необходимости развертывания своей собственной ViPNet-сети (во первых это достаточно дорого и при малом количестве участников ЗЭДО нецелесообразно), то можно воспользоваться услугами удостоверяющего центра, у которого уже есть своя ViPNet-сеть. При этом Вы, и каждый контрагент, подключаетесь к ViPNet-сети этого удостоверяющего центра, и передаёте информацию мало того, что в зашифрованном виде, так ещё и по защищенному каналу. Этот вариант получается при первом подключении подороже, при последующем продлении сертификата ключа пользователя будет не очень дорого. В случае использования сети удостоверяющего центра, порядок цен от 12000 за одно рабочее место в зависимости от конкретного удостоверяющего центра. Плюс могут брать дополнительную плату за количество межсетевых связей (например, если у контрагента уже организовано рабочее место ViPNet, но в другой ViPNet-сети другого удостоверяющего центра). Если делать свою сеть - порядок цен совсем другой в сторону увеличения в сотни тысяч рублей.

Само собой, при организации защищенного электронного документооборота необходимо заключать соглашение об этом с каждым контрагентом.
[ Закрыто] Модель нарушителя
Можно сделать два отдельных документа: модель угроз (а основании документа ФСТЭК) и модель нарушителя (на основании документов ФСБ). С моделью угроз - тут всё понятно. А в модели нарушителя указать, нужно ли использовать СКЗИ, и если да - то какого класса.
[ Закрыто] Модель нарушителя
Симак, да, всё так: модель нарушителя - это вотчина ФСБ. Разработка осуществляется в соответствии с "Методическими рекомендациями по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации (ФСБ России, №149/54-144, 2008 г.)

И да, этот документ до сих пор актуален, так как ФСБ ничего нового на этот счет не представила, старый никто не отменял.
Помогите разобраться...
Цитата
Николай пишет:
Сертифицированный антивирус есть. Разграничение доступа осуществляется на уровне домена и возможностей файловой системы ntfs. Обязательно ли использование спец. по?
Да, что касается ПДн - необходимо использовать именно сертифицированные программные или аппаратные средства. В случае использования не сертифицированных средств защиты информации ничего доказывать не придётся - регулятор при отсутствии сертификатов никакие доказательства не будет слушать.


Цитата
Дмитрий пишет:
На счет простоты это конечно да...убрал у локалки подключение к интернет и не надо уже огород городить из средств защиты информации...
Нет, убрав доступ в Интернет, Вы ограничили внешние угрозы. А ведь есть ещё и внутренние угрозы, и межсетевой экран должен ещё и тут работать.
Обработка ПДн в облаках, Обработка ПДн в облаках
Благодарю за ссылку!

Ну, тут на лицо двоякость толкования. Ведь, как мне кажется, поправки в закон вносились как раз с целью обязать операторов хранить ПДн граждан РФ только на территории РФ, не имея никаких зеркал. Однако, "лазейка" вот она - лежит на поверхности.
Обработка ПДн в облаках, Обработка ПДн в облаках
Добрый день, уважаемые коллеги!

А как быть теперь с трансграничной передачей ПДн в свете подписания президентом приказа о необходимости хранения ПДн только на территории Российской Федерации? Ссылку на приказ не нашёл - только новость о подписании приказа.

Ведь передача подразумевает как минимум какую-то обработку, и с большой вероятностью - хранение информации.
Обработка ПДн в облаках, Обработка ПДн в облаках
Евгений, а нет ли у Вас более подробной информации по разрабатываемому документу?
Если не ошибаюсь, ФСТЭК разрабатывает такой документ с конца 2011 года. И никак не разработает.
Документация по СЗКИ, Что касается учета сейфов в организации
Здравствуйте, Татьяна!

Был рад помочь.
Также рекомендую ознакомиться с таким нормативным документом, как приказ ФАПСИ от 13.06.2001 №152 утверждающий инструкцию об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну (ссылка).
[ Закрыто] Вопросы по приказу ФСБ РФ от 27.12.2011 N 796
Цитата
kss пишет:
По поводу аттестации УЦ.
Конечно же лучше аттестовать, но минкомсвязь дал ответ, то что это не обязательно.
Неделю назад мы продлевали лицензию ФСБ и при проверки они ответили что раньше было обязательно аттестовать УЦ, а сейчас нет.
Не могли бы Вы рассказать подробнее, раз у Вас был опыт общения с регуляторами, какие сейчас нормы для получения лицензии ФСБ? Аккредитацией УЦ тоже занимались сейчас?
Цитата
kss пишет:
Это СЗИ он НДС которое не обеспечивает доверенную загрузку, следовательно нужен "Соболь" или "Аккорд", т.к. в соответствии с приказом ФСБ РФ от 27.12.2011 N 796
23.4. Требования для средств УЦ класса КС2:
- при осуществлении локального доступа к средствам УЦ аутентификация членов группы администраторов средств УЦ должна выполняться до перехода в рабочее состояние этих средств УЦ (например, до загрузки базовой ОС).
Да, согласен - это средство защиты от несанкционированного доступа, я не внимательно "пробежался" по приказу.
Тогда получается нужно покупать и Соболь (Аккорд), и SecretNet.

В итоге, получается, Вы сами нашли ответ на вопрос о разграничении доступа... ;)

P.S. Я нашёл дубль этой темы на форуме "ИнфоТэКСа". Считаю, в данном вопросе лучше "перебдеть", чем "недобдеть". В реалиях УЦ предприятия финансовые затраты не такие уж и большие.
Изменено: Xenobius - 19.06.2014 15:06:15
[ Закрыто] Вопросы по приказу ФСБ РФ от 27.12.2011 N 796
Цитата
kss пишет:
В соответствии с документами ФСБ аттестация не обязательна.
Хорошо, значит мы разобрались с тем что является средствами УЦ.
Насколько мне известно, аттестация не обязательна в случае, если на предприятии УЦ организовывается для своих нужд. Но лучше сделать. Т.е. для защищенной передачи информации внутри предприятия (например, между головным офисом и филиалами). Тут можно закон 152-ФЗ "О персональных данных" притянуть за уши, в котором сказано, что рабочее место обработки и хранения ПДн должно быть аттестовано. В удостоверяющем центре по-любому есть обработка, а часто и хранение, персональных данных пользователей.

Другое дело, если необходимо шифровать передаваемую информацию между разными предприятиями. Это, согласно 63-ФЗ "Об электронной подписи" и приказа Минкомсвязи РФ от 23.11.2011 №320, необходимо осуществлять по средствам аккредитованного УЦ. Допустим у нас есть наш собственный УЦ, услугами стороннего не хотим пользоваться. Для получения аккредитации, кроме всего прочего, нужно получить лицензию ФСБ на выполнение определенного рода криптографической деятельности (постановление Правительства РФ от 16.04.2012 №313). Далее, для получения лицензии ФСБ, среди прочих требований, вся техника, ПО и объект информатизации УЦ должен быть аттестован в соответствии с принятыми нормами.

Цитата
kss пишет:
Вот еще вопросик.
В данном приказе расписаны роли и соответственно разграничение доступа пользователей и админов.
Так вот достаточно ли будет разграничение доступа самим СКЗИ ViPNet или необходимо другими средствами?
Полагаю, не достаточно. Средства удостоверяющего центра ViPNet, как и средства ViPNet Client, не предоставляют доверенную и разграниченную загрузку операционной системы. То есть я смогу загрузить ОС, даже если не введу пароль админа ViPNet в диалоговом окне при старте. И смогу получить физический доступ к защищаемой информации в любом случае. А тот же SecretNet - позволяет разграничить и защитить доступ жёстко.

Когда я оформлял договор на аттестацию СВТ, ПО и объекта информатизации УЦ, SecretNet в спецификации как раз присутствовал аж в двух экземплярах: для рабочего места администратора сети (ЦУС и УКЦ), и для Координатора.

Как вариант, можно использовать ещё средство доверенной аутентификации в ОС - eToken Network Logon (сейчас называется SafeNet Network Logon 8.0). Оно дешевле, чем SecretNet, но там только двухфакторная аутентификация - токен + pin-код для него, защита на вход в ОС. Разграничения по доступу к конфиденциальной информации непосредственно на жёстком диске нет.
Изменено: Xenobius - 19.06.2014 13:30:12
[ Закрыто] Типовые документы по организации ИБ на предприятии
Приветствую, уважаемые коллеги!

Поделитесь пожалуйста следующими типовыми документами организации информационной безопасности на предприятии:

1. Регламент проведения внутреннего аудита ИБ;
2. План проведения внутреннего аудита ИБ;
3. Политика управления инцидентами ИБ;
4. Регламент взаимодействия отдела ИБ с подразделением информационных технологий;
5. Регламент взаимодействия отдела ИБ со службой безопасности предприятия.

Буду крайне благодарен!
Страницы: 1 2 След.