Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Особенности аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции (работ, услуг), поставляемой по гособоронзаказу.

12/08/2019 

08 мая 2019 г. утверждены новые Правила аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции работ, услуг), поставляемой по государственному оборонному заказу (постановление Правительства Российской Федерации от 30 апреля 2019 г. № 548).

Новые Правила аккредитации кардинально меняют сложившуюся систему не только аккредитации, но и сертификации СМК предприятий, работающих в области государственного оборонного заказа.

Реклама





Партнеры





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: 1 2 3 4 5 6 7 След.
Учет СКЗИ
Цитата
Сергей Устимов пишет:
Так вот, как узнать кем являются эти рутокены: СКЗИ или носителями ЭЦП?
Сергей, рутокен (USB token от фирмы "Актив") это пассивный контейнер
для хранения ключевой информации криптоалгоритмов с ассиметричными ключами. К этим ключам относятся секретный (приватный, закрытый), предназначенный для формирования электронной подписи некоторых данных (например, документов) и расшифровывания данных, зашифрованных с помощью открытого (публичного) ключа, математически связанного с соответствующим секретным. Причем, открытый ключ встраивается в электронную структуру, называемую сертификатом.
USB-токен по внешнему виду практически не отличим от обычной USB-флешки, но обладает неизмеримо большим «интеллектом», направленным на защиту ключевой информации. Во-первых, штатный доступ к информации в таких устройствах открывается только после ввода пользователем правильного пароля (ПИНа, с англ. PIN – Personal Identification Number). После запланированного числа ввода неправильного пароля, доступ блокируется до ввода специального ключа разблокировки. Этим предотвращается атака нарушителя на ключевую информацию методом «грубой силы» - перебором паролей. Во-вторых, доступ к ключевой информации, основанный на конструктивном разрушении токена, требует очень высокой квалификации нарушителя и специального оборудования.
Следовательно, рутокен не является носителем электронной подписи, но является сверхважным элементом средств криптографической защиты информации, который требует тщательной защиты, в том числе учета.
Напишите в stertur@mail.ru c темой ПДн, вышлю лекцию, для пользователей с Вашей квалификацией. В лекции рассматриваются практические вопросы применения шифрования, электронной подписи, а также основные положения инфраструктуры открытых ключей в информационных системах обработки персональных данных. :D
Можно ли признать угрозы 3-го типа неактуальными?
Цитата
Анастасия пишет:
В Модели угроз нужно обосновать неактуальность угроз (например, малый вред от реализации угрозы + принятие субъектом персональных данных рисков от реализации угрозы), тогда вам не нужно будет реализовывать меры защиты для этих неактуальных угроз.
Анастасия, в частной модели угроз, которую разрабатывает Оператор ПДн самостоятельно или привлекает для этого стороннюю организацию, Оператор обязан определить негативные последствия для субъекта в случае реализации угрозы, и никакой субъект ПДн не обязан принимать какие-либо риски, т.е. вред для него при реализации угрозы.
Можно ли признать угрозы 3-го типа неактуальными?
Цитата
Татьяна Иванова пишет:
Тем, что вреда субъекту нет и он сам это признает и с этим соглашается.
Татьяна, выше я уже писал, отсутствие негативных последствий (вреда)
субъекту не является достаточным условием считать (по методике ФСТЭК) угрозы неактуальными. Если исходная защищенность ИСПДн низкая
(Y1 =10), а вероятность реализации угрозы средняя (Y2=5) или высокая (Y2=10), то возможность реализации угрозы будет высокой или очень высокой и, следовательно, угроза считается актуальной.
Передача ПДн хостингу
Цитата
Татьяна Иванова пишет:
Это всё персональные данные. И они отправляются в нашу БД, которая физически находится на VDS хостинг-провайдера. В РФ.
Итак, я понимаю, что Ваша организация - оператор персональных данных, т.к. вы определяете цель обработки, перечень ПДн, объем и т.д..Частично обработка ПДн вашей ИСПДн проводится с использованием ресурсов хостинга, т.е. хстинг - обработчик ПДн. Если вы возьмете разрешение субъектов, что их ПДн - общедоступные, то и в этом случае ваша организация (оператор) и хостинг (обработчик) должны обеспечить целостность ПДн: шифрованный канал между оператором и обработчиком и запрет несанкционированного изменения на стороне хостинга. Я, думаю, и никак иначе. :cry:
Передача ПДн хостингу
Цитата
Сергей Терехов пишет:
Такой вопрос: если ПДн передаются и хранятся на серверах коммерческого хостинга, в РФ.
Добрый день, Татьяна. Уточните технологию передачи данных, т.к. из Вашего вопроса я понял, что некая организация передает для хранения Пдн для достижения некой цели, полученные ею от субъктов!!
модель угроз персональных данных
Цитата
Денис пишет:
Итак достаточно интересный список актуальных угроз:
"Угрозами безопасности персональных данных, актуальными при их обработке в информационных системах персональных данных, являются в том числе:
Денис, извините, но у Вас "каша" в голове. (1)Угрозы, перечисленные Вами, могут быть как актуальными, так и не актуальными в конкретной ИСПДн. ЧМУ для этого и разрабатывается, чтобы выявить из списка всех известных угроз актуальные. Например, угроза кражи системного блока не актуальна на предприятии, если он расположен в контролируемой зоне. И эта же угроза актуальна на другом предприятии, если к нему имеется бесконтрольный доступ кого попало.
(2)Если в прикладном ПО есть недекларированные разработчиком возможности, которые может использовать нарушитель и вероятность этого высока, и вред субъекту существенен, то это будут угрозы 2-го типа по ПП 1119 (актуальность же определяется в ЧМУ по методике ФСТЭК и без ЧМУ ну ни как не обойтись). Напишите в stertur@mail.ru с темой "Пдн", вышлю методические документы, где это все "разжевано".
модель угроз персональных данных
Цитата
Денис пишет:
1. Определяем МУ и актуальные угрозы - зачем? исходя из текущей нормативки 1119 постановления и 21 приказа.
Основы ИБ в том, что надо нейтрализовать те угрозы безопасности, вероятность реализации которых высока и они причиняют вред, к примеру, субъектам Пдн. Поэтому, ЧМУ первична, а Приказ 21 вторичен. Не надо применять меры из приказа, если конкретная ИСПДн не содержит чего-то, например виртуализацию, или угроза, на которую направлена мера не актуальна.
Цитата
Денис пишет:
2. УЗ по 1119 - кажется легко, у нас Иные ПДн не сотрудников менее 100000 шт и угрозы 3 типа. Самое интересное - КАК определить какого типа угрозы актуальны? Типа в ЧМУ? а из чего следует какие актуальные угрозы соотносятся с каким типом угроз (1, 2, или 3)??
Смотрите http://ispdn.ru/forum/messages/forum1/topic5180/message222814/
4. адаптированный тоже более-менее ясен - я так понял смысл заключается в ИСКЛЮЧЕНИИ не используемых технологий в ИСПДн
См. п.1
"5. а вот "уточненный" - это уже интереснее, я правильно понял"
В ЧМУ есть актуальные угрозы, для которых не предусмотрены меры в базовом наборе приказа 21 для данного УЗ. Будьте добры, добавьте меры для нейтрализации этих угроз. Это и будет уточнение.
Чья ИСПДн
Цитата
Анастасия пишет:
(Б) является оператором ИСПДн бухгалтерии, кадров и налогов.
Смею еще раз отметить, что в соответствии с законодательством (ФЗ 152) (А) - Оператор ПДн и обеспечивает их защиту по требованиям постановления Правительства от 15 сентября 2008 г. за номером 687, несет ответственность за их защиту перед субъектом Пдн. (Б) - обработчик ПДн (не Оператор), защищает ПДн в соответствии с требованиями Оператора, т.е. (А). (Б) - не взаимодействует с субъектами ПДн и не несет перед ними ответственность, но несет ответственность перед (А) в соответствии с требованиями договора между (А) и (Б).
Обеспечение ИБ в ИС Федерального значения
Цитата
Анастасия пишет:
Именно так. Только в этом случае надо смотреть, грубо говоря, какие требования выше, те и выполнять.
Анастасия, Вы еще раз проигнорировали мой пост от 13.09. Ваше мнение об определении типа угроз, уровня защищенности (объема, перечня ПДн)и т.д. автоматизированного рабочего места, подключаемого к ресурсам ГИС, как компоненты ГИС или, опираясь только на свойства этого рабочего места (ИСПДн)?
Обеспечение ИБ в ИС Федерального значения
Цитата
Анастасия пишет:
Вы являетесь оператором ИС. Соответственно, выполняете полный перечень действий согласно ФЗ-152 (если это касается персональных данных).
Анастасия, Вы как бы проигнорировали мой пост от 13.09. То что надо проводить все мероприятия как Оператору ясно. Ваше мнение об определении типа угроз, уровня защищенности и т.д. как компоненты ГИС или, опираясь только на свойства рабочего места (ШСПДн)?
Обеспечение ИБ в ИС Федерального значения
Хороший вопрос. Привожу свои рассуждения из моей методики защиты ПДн.
Явно выраженная тенденция государства, направленная на расширение предоставления информационных услуг населению посредством доступа к ресурсам государственных информационных систем может вызвать появление следующих вопросов:
1. Принадлежат ли рабочие места пользователей ГИС, не являющихся сотрудниками Оператора этой ГИС, к ГИС?
2. Каков должен быть класс защищенности (для ГИС в соответствии с приказом «17 ФСТЭК используется термин класс защищенности) и уровень защищенности (по тому же приказу при обработке персональных данных в ГИС наряду с приказом № 17 должен применяться приказ № 21) и, соответственно, какова должна быть система защиты информационной системы пользователя ГИС, если эта система не принад-лежит ГИС?
В качестве примера можно привести создание государственной информационной системы Владимирской области «Региональный сегмент единой федеральной межведомственной системы учета контингента обучающихся по основным образовательным программам и до-полнительным общеобразовательным программам» (далее - ГИС РС «Контингент»). Данная ГИС создается в соответствии с распоряжением Правительства от 25 октября 2014 г. N 2125-р.
Подразумевается, что пользователями этой ГИС должны стать лица различной категории. Во-первых, это официально назначенные сотрудники таких учреждений как школы, колледжи, детские сады и, возможно, других аналогичных учреждений. Это привилегированные пользователи ГИС, которые имеют право на ввод и модификацию данных, в частности персональных. Объем и состав данных, обрабатываемых этими пользователями ограничивается конкретным контингентом субъектов конкретного учреждения.
Другая категория пользователей (конечные пользователи) – это родители детей и, собственно, учащиеся, которые могут получать информационные услуги. Эти пользователи могут составлять запросы к ГИС и получать информацию, ограниченную контекстом их персональных данных.
Класс защищенности и уровень защищенности, которые должны быть обеспечены в ИСПДн привилегированного пользователя, не являющегося сотрудником Оператора ГИС, не
обязан совпадать с классом и уровнем защищенности самой ГИС. Очевидно, что объем субъектов персональных данных, обрабатываемых, например, в конкретной школе, неизмеримо меньше всего объема персональных данных ГИС. Потенциальный нарушитель может нарушить конфиденциальность только той информации, которая доступна легальному пользователю данной ИСПДн. Потенциальный нарушитель может изменить (удалить) только ту информацию ГИС, которая доступна легальному пользователю. Изменение параметров ИСПДн потенциальным нарушителем, влияющих на доступность информации (например, блокирование входа в операционную систему компьютера), окажет влияние только на легальных пользователей данной организации.
Далее, модель угроз и модель нарушителя могут в корне различаться для ИСПДн конкретного учреждения и всей ГИС. Поэтому механический перенос класса и уровня защищенности, определенный Оператором ГИС для ГИС, может привести к неоправданно завышенному классу и уровню защищенности ИСПДн, например, конкретного детского сада и, соответственно, к непомерному и неоправданному удорожанию систем защиты. Аналогичные рассуждения применимы и к ИСПДн конечного пользователя.
Более правильным, на взгляд автора, вычисление (определение) класса и уровня защищенности, модели угроз и нарушителя для таких ИСПДн необходимо проводить независимо, опираясь на исходные данные, присущие конкретному ИСПДн, а не ГИС. :oops:
Как обеспечить УЗ-1 ПДн на Windows?
Цитата
Анастасия пишет:
Да, ведь мы говорим скорее всего о 98% организаций, в которых ПДн не оценить по-другому (это не администрация президента, не ГИС с данными онкобольных или больных СПИД и т.д.)
Другими словами, Вы согласились с моим высказыванием
"Если сертификата нет и применяется не проверенная копия СПО, то необходимо для отказа от актуальности найти какие-то вразумительные доводы, кроме «Угрозы 1-го и 2-го типа для обычных организаций неактуальны, не придумывайте себе лишние проблемы», даже сославшись на мнение Лукацкого."
Как обеспечить УЗ-1 ПДн на Windows?
Цитата
Анастасия пишет:
Стоимость реализации угрозы в разы превышает стоимость информации. Возможный вред от нарушения свойств безопасности ПДн оценивается как низкий.
Анастасия, чисто абстрактно в отношении "Ромашки" стоимость угрозы может быть не сопоставима с ценой данных. Но как-то Вы бесцеремонно оценили вред не известных Вам ПДн в Ромашке, как низкий!
Как обеспечить УЗ-1 ПДн на Windows?
Цитата
Настя пишет:
Сергей, если подходить формально, без здравого смысла, то трудно будет выполнить все требования)))
Почитайте хотя бы это https://lukatsky.blogspot.com/2013/07/17-21.html
Настя, к сожалению здравый смысл у каждого свой. Итак.
«Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе» - ПП.
Чтобы понять актуальны ли угрозы 1-го типа, надо вначале узнать есть ли недекларированные возможности в системном программном обеспечении (СПО). Если их нет, то нет угроз, направленных на то, чего нет, и, следовательно, не могут быть актуальными то, чего нет. Если недекларированные возможности есть, то они могут быть как актуальными, так и не актуальными для конкретных ИСПДн (и конкретных экспертов, осуществляющих моделирование гроз).
Если на СПО есть сертификат, то возникает некоторая уверенность в отсутствии недекларированных возможностей и по форме и, по существу. По форме – все сделано в соответствии с НПА, по существу – оправдана экономия ресурсов на средствах защиты.
Если сертификата нет и применяется не проверенная копия СПО, то необходимо для отказа от актуальности найти какие-то вразумительные доводы, кроме «Угрозы 1-го и 2-го типа для обычных организаций неактуальны, не придумывайте себе лишние проблемы», даже сославшись на мнение Лукацкого. :cry:
СЕРТИФИКАЦИЯ СЗИ
Цитата
Анастасия пишет:
Всё-таки нет.
Что такое "все-таки нет", Анастасия. Я правильно понял Вас, что в ГИС и ИСПДн могут применяться средства защиты информации, не имеющие сертификата ФСТЭК и ФСБ (криптозащита)?
Оператор ИС=Оператор ИСПДн
Цитата
NoNan пишет:
под это определение как раз и подходит Организация(В)
"а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными»". Вы не доцитировали определение Оператора ПДн до конца, как приведено в законе. Я привел остаток определения выше в кавычках.В соответствии с нормами русского языка союз "а" эквивалентен союзу "и", и сложное утверждение становится истинным, если только истинны все входящие в него, соединенные союзом "и". Поэтому еще раз повторяю, что А - Оператор, а В - обработчик. :!: :!:
Оператор ИС=Оператор ИСПДн
Цитата
Гость пишет:
кто будет являться оператором ИСПДН и кто должен указывать их в реестре Роскомнадзора, разрабатывать модели угроз.
Ничего не поменялось. См. выше, кто Оператор. Он обязан обеспечить надлежащую защиту: организационную и техническую. 8)
Оператор ИС=Оператор ИСПДн
Цитата
lex пишет:
Кто (А) или (В) будут оператором ИСПДн по 152-ФЗ и кто из них будет указывать эту ИСПДн в уведомлении которое подается в Роскомнадзор?
Из внимательного осмысления определения Оператора ПДн, данного в ФЗ под № 152, следует:
Государственный орган, муниципальный орган, юридическое или физиче-ское лицо, которое определяет цель обработки, перечень персональных данных и операции над ними – это Оператор. Предприятие, которое не определяет цель обработки, перечень персональных данных и операции над ними, но обрабатывает их по поручению Оператора – это не Оператор именно этих персональных данных. Он может быть Оператором, но других персональных данных, для которых он определяет цель, перечень и операции. Уведомление подает Оператор. Итак, А - Оператор, В - обработчик.
Телефонный справочник внутри компании ИСПДн или нет, Является ли телефонный справочник ИСПДн?
Цитата
Гость пишет:
Является ли телефонный справочник ИСПДн?
1. Сам по себе телефонный справочник не является ИСПДн. В Вашем случае ИСПДн - это (а) телефонный справочник в виде некоторого набора данных,(b) компьютеры, хранящие этот справочник и имеющие доступ к нему,(с) программы, с помощью которых обеспечивается доступ и (d) сетевая инфрастуктура.
Цитата
Гость пишет:
как защищать рабочие станции, которые имеют доступ только к нему?
Обычный путь: разработка ОРД, частная модель угроз, приказ 21 или 17 ФСТЭК. Надо обеспечить целостность и доступность. Конфиденциальность исключается, так как ПДн - общедоступные.
Цитата
Гость пишет:
Относить ли работников имеющих доступ к телефонному справочнику к должностям имеющим доступ к ПДн?
Естественно!
Вопросы по Secret Net 7.6 и выполнению приказа ФСТЭК России N21 от 18.02.2013, Касательно ведения журнала учета машинных носителей информации и контроля печати
Цитата
Сергей Хохлов пишет:
то Журнал учета всех защищаемых носителей информации вести не требуется? Это на счёт флэшек, а выданные CD-R и DVD-R все равно придётся учитывать в бумажном Журнале, так как Secret Net их не учитывает и не контролирует?
Если в ИСПДн используются криптосредства, то в соответствии с приказом ФСБ № 378 для ИСПДн любого уровня защищенности необходимо
вести "Поэкземплярный учет машинных носителей с ПДн.в журнале учета" :!:
Страницы: 1 2 3 4 5 6 7 След.