Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Особенности аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции (работ, услуг), поставляемой по гособоронзаказу.

12/08/2019 

08 мая 2019 г. утверждены новые Правила аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции работ, услуг), поставляемой по государственному оборонному заказу (постановление Правительства Российской Федерации от 30 апреля 2019 г. № 548).

Новые Правила аккредитации кардинально меняют сложившуюся систему не только аккредитации, но и сертификации СМК предприятий, работающих в области государственного оборонного заказа.

Реклама





Партнеры





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: 1
Защита терминалов
Есть пара вариантов.
То как я бы посмотрел на этот вопрос (один из вариантов)
2 типа ИСПДн - Сервер - одна ИСПДн на границе фаер с сертификатом.
ИСПДн - терминалы другая ИСПДн.
И дальше тоже несколько вариантов развития в зависимости от владельцев терминалов:
1. Владельцы - мы. 1. Можно попытаться разработать модель угроз, в которой признать, что принимаемых мер защиты достаточно для обеспечения безопасности ПДн (аргументация - мы рассматриваем взаимодействе ИСПДн-Терминал с ИСПДн-Сервер, одномоментно обрабатывается и передается только 1 субъект ПДн, вероятность реализации признать средней, ущерб субъекту низким (терминал у нас будет К3) получаем неактуальную угрозу)
2. Владельцы - кто-то другой, ну соответственно есть момент, что можно сказать "мы предоставляем только доступ к серверной части, поэтому момент по защите нас неколышит (очень неудачное решение, если смотреть на то кто и как будет проверять).
3. Момент обратиться к регулятору, что так и так приняты такие меры защиты просим разъяснить необходимость применения крипты.
4. Момент вбухать кучу денег в крипту не пытаясь получить экономию (подход большинства гос. структур, так как они тратят чужие деньги)
Защита распределённой ИСПДн
Ну или как попытка уйти от криптографии разработка МУГ, в которой будет сделан вывод о том что принимаемые меры по ЗИ штатными средствами (просто не называем их криптой) позволяют снизить возможность реализации угроз безопасности ПДн и ущерб субъекту ПДн.
Тут нужно разбираться более детально в том, что за ПДн обрабатываются на ресурсе.
изменения в закон о ПД
Я даже боюсь обращаться во ФСТЭК боюсь у них точка зрения появиться к февралю 2012 года, полюбился им февраль в плане выпуска новых нормативных документов :)
считаются ли ФИО однозначным идентификатором?
А вот тут как раз не соглашусь, если посмотреть в разрезе иденитификация-аутентификация. То сведения указываемые субъектом это идентификационные сведения, для аутентификации оператор обязан взять оригинал документа и убедиться что сведения указанные субъектом являются верными.
считаются ли ФИО однозначным идентификатором?
Собственно на мой взгляд, ответа на самый главный вопрос поправки так и не внесли.
Теперь по поводу набора ФИО+Должность+Место работы+рабочий телефон+рабочий электронный адрес. На мой взгляд этот набор данных может идентифицировать человека не как субъекта ПДн, а как должностное лицо организации. Аргументы могут быть примерно следующими:
1) Культурный человек при разговоре с неизвестным собеседником представляется, т.е. нельзя ФИО отнести к защищаемой информации т.к. иначе следует переносить общение с людьми по работе в разряд Специалист ОАО "рога и копыта" номер 55, а тебе в ответ старший инспектор 88.
2) При осуществления взаимодействия между организациями и внутри организаций мы оперируем не личностными категорями, а должностями т.е. взаимодействие осуществляем не с субъектом ПДн, а с некоторым должностным лицом имеющим ФИО.

Опять таки лично мое мнение, в т.ч. и в свете поправок к ФЗ. Закон четко определяет набор сведений которые должны быть в согласии субъекта ПДн на обработку, таким образом законодатель фактически определяет, что по указанному набору данных о субъекте мы можем его идентифицировать. Иначе получалось бы, что субъект ПДн при подписи согласия сообщает оператору заведомо избыточный набор ПДн.
Сертификация ОС windows xp
Ох я бы так не горячился по поводу ФСТЭК. За последний год были проверки ФСТЭК по персональным данным, были и комплексные проверки по принципу, гостайну уже защищать научились поэтому основной напор на ПДн. Проверки были как госорганов так и крупных коммерческих компаний.
Сертификация ОС windows xp
Свои пять копеек на сертифицированные ОС. Приобретая сертифицированную ось единственное, что мы получаем это бумажку которая позволяет выполнить требование по оценке соотвествия установленным порядком.
По факту это та же самая ось, с документацией в которой описаны рекомендованные Microsoft шаблоны безопасности, для рабочих станций и серверов с повышенными требованиями к обеспечению безопасности. Плюс необходимость получения обновлений из другого источника с пометками обязательно не обязательно к установке (по большому счету любой грамотный сисадмин, после прочтения сведений о фиксах и патчах в обновлении способен самостоятельно сделать вывод об необходимости срочной установки обновления, или о том, что установку данного пакета проводить вообще не нужно).
ЗИ с нуля.
Моя "мечта идиота" ЗИ с нуля в конкретной организации.
Как я себе это вижу:
1. Провести инвентаризацию ресусов
2. Разработать политики по ИБ и смежным с ней процессам.
3. Реализовать положения политик в виде локальных нормативных актов, а также имеющимися средствами обеспечить безопасность. На этом же этапе определить средства которые необходимы для внедрения в жизнь, с учетом локальных нормативных документов и требований регуляторов.
4. Заставить личный состав следовать реализованной политикой.
5. Проведение регулярного аудита реализованной системы безопасности на предприятии.
Ну это если так, в целом и обзорно. Из исходников я бы использовал в первую очередь западные стандарты безопасности, возможно толковые книжки на англ. языке, а далее учитывал требования отечественных документов регламентирующих "защиту информации".
С моей колокольни такой подход должен обеспечить повышение (простите за тафталогию) реальной защищенности, защищаемой информации и попутно проставление галочек на требованиях регуляторов.
[ Закрыто] Понятие термина "Технология удаленного доступа", Понятие термина "Технология удаленного доступа"
Жаль, что в эту ветку предстваитель ФСТЭК не часто заглядывает, очень интересно было бы узнать его мнение пусть в данном случае и не официальное, к обсуждаемому здесь вопросу.
[ Закрыто] Понятие термина "Технология удаленного доступа", Понятие термина "Технология удаленного доступа"
Евгний в предложеном Вами варианте трактовки есть свои явные плюсы, так как можно в этом случае сказать, что объектом нашим является сеть с каналами связи проложенными в пределах КЗ, кучей принтеров, РС сотрудников, серверов к которым осуществляется доступ с использованием средств связи входящих в состав объектов. И при этом систему будем считать локальной.
Но есть и ряд проблемных моментов:
1. Если как таковая КЗ ограничена кабинетами, то информационная система из 2-х РС уже будет распределенной. (кабель между кабинетами лежит в коридоре и коридор не контролируется).
2. Трактовка достаточно свободная и может быть оспорена регулятором.

Поэтому в рамках данного вопроса мы имеем случай когда оператор сам определяет, и должен доказать свою правоту представителям регуляторов. Т.е. налицо ситуация, когда правильность построения защиты информации будет зависить от того как регулятор будет трактовать данный термин.

Вывод: пока не будет получен ясный и однозначный ответ регулятора на вопрос какую систему считать распределенной, можно спорить и спорить и все равно не прийти к 100% правильному выводу.

На мой взгляд оптимальным представляется следующий вариант:
1. Как только появляется сеть для обработки ПДн - считать ее распределенной, но уходить от присвоения ей конкретного класса сразу.
2. Пишим модель угроз и строим защиту согласно выбранной экспертами позиции актуальности тех или иных типов угроз.
[ Закрыто] Понятие термина "Технология удаленного доступа", Понятие термина "Технология удаленного доступа"
СРазу прошу прощения за повторный пост. Но вот то, что я смог определить из общедоступных гостов:

ГОСТ 20886-85 Организация данных в системах обработки данных. Термины и определения
44. Удаленный доступ к порции данных - Доступ к порции данных, в операциях чтения или записи которой осуществляется передача данных с помощью средств телеобработки данных


ГОСТ 24402-88 Телеобработка данных и вычислительные сети. Термины и определения
1. Телеобработка данных Совокупность методов, обеспечивающих пользователям дистанционный доступ к ресурсам систем обработки данных и ресурсам средств связи


Исходя из этих двух определений определим одно общее
Удаленный доступ к порции данных - доступ к порции данных, в операциях чтения или записи которой осуществляется передача данных с помощью совокупности методов, обеспечивающих пользователям дистанционный доступ к ресурсам систем обработки данных...

Таким образом если обобщить все выше сказанное то:
Локальная информационная ИСПДн - это ИСПДн, в которой данных ведеться без использования дистанционного доступа к ресурсам. Если я правильно трактую понятие дистанционного доступа, то информация должна храниться там же где обрабатывается и там где сидит пользователь. Условно такими ИСПДн могут являться автономные системы где каждый обрабатывает свой кусок или свою базу, а в сеть они завязаны для выполнения других задач.

В этом случае любая информационная система использующая сетевой доступ к базам данных ИСПДн и др. ресурсам содержащим ПДн является распределенной.
[ Закрыто] Понятие термина "Технология удаленного доступа", Понятие термина "Технология удаленного доступа"
Собственно говоря здесь мы и прийдем к следующей ситуации, что будем считать объектом. На мой взгляд объектом в рамках разговора о ПД возможно считать следующее:
- ИСПДн в этом случае система будет являться нераспределенной всегда, хотя и наиболее логичным было бы за объект принимать именно ее;
- ПЭВМ, СВТ если принять за объект эти понятия то любая информационная система станет распределенной, как только выйдет за пределы своего набора СВТ.
- граница контролируемой зоны, то же очень не однозначный вариант, так как зачастую возникают ситуации когда в качестве КЗ можно принять только кабинеты, а сама сеть проложена в коридоре;

Основной проблемой особенно в рамках, работы с ПДн является отношение регулятора к понятию "удаленного доступа" и побольшому счету, я могу согласться с любой формулировкой и организовать защиту в соответствии с требованиями. Самое главное смогу ли я доказать регулятору, что именно моя трактовка этого понятия является верной.
"РБК daily": В интернете снова оказались личные данные тысяч пользователей.
Ух красота то какая, поправки к ФЗ фактически ужесточающая порядок защиты и не проясняющая *WOW* аспектов.
И тут же неожидано ряд "утечек" Пдн.
Страницы: 1