Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Испытательная лаборатория НПО «ЭШЕЛОН» успешно провела инспекционный контроль ОС ASTRA LINUX для процессоров «БАЙКАЛ»»

01/07/2019


Российская операционная система специального назначения Astra Linux Special Edition(релиз «Севастополь») для процессоров «Байкал-T1» (MIPS) успешно прошла инспекционный контроль на соответствие требованиям безопасности информации к операционным системам типа «А» 2-го класса защиты в системе сертификации СЗИ ФСТЭК России. Инспекционный контроль релиза «Севастополь», как и других релизов защищенной ОС Astra Linux Special Edition, был проведен  испытательной лабораторией НПО «Эшелон».

Реклама





Партнеры





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: 1 2 3 4 5 6 7 След.
Вопросы по Secret Net 7.6 и выполнению приказа ФСТЭК России N21 от 18.02.2013, Касательно ведения журнала учета машинных носителей информации и контроля печати
Цитата
Сергей Хохлов пишет:
то Журнал учета всех защищаемых носителей информации вести не требуется? Это на счёт флэшек, а выданные CD-R и DVD-R все равно придётся учитывать в бумажном Журнале, так как Secret Net их не учитывает и не контролирует?
Если в ИСПДн используются криптосредства, то в соответствии с приказом ФСБ № 378 для ИСПДн любого уровня защищенности необходимо
вести "Поэкземплярный учет машинных носителей с ПДн.в журнале учета" :!:
Оператор ИС=Оператор ИСПДн
Цитата
Гость пишет:
кто будет являться оператором ИСПДН и кто должен указывать их в реестре Роскомнадзора, разрабатывать модели угроз.
Ничего не поменялось. См. выше, кто Оператор. Он обязан обеспечить надлежащую защиту: организационную и техническую. 8)
Оператор ИС=Оператор ИСПДн
Цитата
lex пишет:
Кто (А) или (В) будут оператором ИСПДн по 152-ФЗ и кто из них будет указывать эту ИСПДн в уведомлении которое подается в Роскомнадзор?
Из внимательного осмысления определения Оператора ПДн, данного в ФЗ под № 152, следует:
Государственный орган, муниципальный орган, юридическое или физиче-ское лицо, которое определяет цель обработки, перечень персональных данных и операции над ними – это Оператор. Предприятие, которое не определяет цель обработки, перечень персональных данных и операции над ними, но обрабатывает их по поручению Оператора – это не Оператор именно этих персональных данных. Он может быть Оператором, но других персональных данных, для которых он определяет цель, перечень и операции. Уведомление подает Оператор. Итак, А - Оператор, В - обработчик.
Как обеспечить УЗ-1 ПДн на Windows?
Цитата
Настя пишет:
Сергей, если подходить формально, без здравого смысла, то трудно будет выполнить все требования)))
Почитайте хотя бы это https://lukatsky.blogspot.com/2013/07/17-21.html
Настя, к сожалению здравый смысл у каждого свой. Итак.
«Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе» - ПП.
Чтобы понять актуальны ли угрозы 1-го типа, надо вначале узнать есть ли недекларированные возможности в системном программном обеспечении (СПО). Если их нет, то нет угроз, направленных на то, чего нет, и, следовательно, не могут быть актуальными то, чего нет. Если недекларированные возможности есть, то они могут быть как актуальными, так и не актуальными для конкретных ИСПДн (и конкретных экспертов, осуществляющих моделирование гроз).
Если на СПО есть сертификат, то возникает некоторая уверенность в отсутствии недекларированных возможностей и по форме и, по существу. По форме – все сделано в соответствии с НПА, по существу – оправдана экономия ресурсов на средствах защиты.
Если сертификата нет и применяется не проверенная копия СПО, то необходимо для отказа от актуальности найти какие-то вразумительные доводы, кроме «Угрозы 1-го и 2-го типа для обычных организаций неактуальны, не придумывайте себе лишние проблемы», даже сославшись на мнение Лукацкого. :cry:
Как обеспечить УЗ-1 ПДн на Windows?
Цитата
Настя пишет:
Цитата
Сергей Лузик пишет:

По пп 1119 получается необходимо обеспечить 1-УЗ, т.к. ИСПДн обрабатывает иные ПДн, и актуальны угрозы 1-го типа (Windows не имеет сертификата на НДВ)
Угрозы 1-го и 2-го типа для обычных организаций неактуальны, не придумывайте себе лишние проблемы
Формально, достаточным основанием считать, что угрозы 1 (или 2) типа
неактуальны для любой организации - это наличие сертификата ФСТЭК на отсутствие недекларированных возможностей в системном (прикладном) ПО. Настя, не вводите в заблуждение форумчан. Содержательно, даже наличие сертификата не гарантирует отсутствие закладок.
Как обеспечить УЗ-1 ПДн на Windows?
Цитата
Сергей Лузик пишет:
Как быть? Ставить астра линукс в обычную контору какой-то бред. Может можно поставить какую-то штуку на Windows сверху?
От НСД ставите, например, наложенное средство Dallas Lock-K от ООО Конфидент, сертифицированный ФСТЭК. Обеспечивает собственными средствами дискреционного доступа. :evil:
модель угроз персональных данных
Цитата
Настя пишет:
жесть, конечно
Скажите преподавателю, что сначала определяется МУ и актуальные угрозы, потом УЗ по 1119, потом базовый набор мер под определённый УЗ, потом адаптированный под конкретную ИСПДн.
Иначе никак.
Почти так, как указала Настя. Но ФСТЭК еще требует уточнения адаптированного набора мер, т.е. добавления в него мер, нейтрализующих актуальные угрозы из ЧМУ и не присутствующие в адаптированном наборе.
И также, дополнение уточненного адаптированного базового набора мер по обеспечению безопасности персональных данных мерами, обеспечивающими выполнение требований к защите персональных данных, установленными иными нормативными правовыми актами в области обеспечения безопасности персональных данных и защиты информации. :cry:
модель угроз персональных данных
В контексте данного форума уместно спросить, возможно ли за неделю разработать частные модели угроз безопасности для двух систем по обработке персональных данных. Ответ: это зависит от Ваших познаний, опыта и наличия исходных данных об ИСПДн (в частности, перечня уязвимостей и т.п.). Исходя из присутствия слова "фиаско", Вам хотелось бы услышать, что это невозможно. Напротив, очень даже возможно. Могу помочь с методикой, пишите по адресу stertur@mail.ru с темой ПДн.
СЕРТИФИКАЦИЯ СЗИ
Нет. Средства защиты информации персональных данных должны иметь сертификат соответствия, выданного государственным органом (ФСТЭК или ФСБ). Саму процедуру соответствия свойств средств защиты требованиям проводят уполномоченные аккредитованные организации. например,испытательная лаборатория АО "НПО Эшелон".
Чья ИСПДн
В соответствии с законом (152), государственный орган, муниципальный орган, юридическое или физическое лицо, которое определяет цель обработки, перечень персональных данных и операции над ними – это Оператор. Предприятие, которое не определяет цель обработки, перечень персональных данных и операции над ними, но обрабатывает их по поручению Оператора – это не Оператор именно этих персональных данных. Он может быть Оператором, но других персональных данных, для которых он определяет цель, перечень и операции.
Таким образом, компания А - оператор Пдн, осуществляющий обработку ПДн без средств автоматизации по требованиям постановления Правительства от 15 сентября 2008 г. за номером 687, где излагается порядок (требования и меры) при «ручной» обработке персональных данных. Фирма B должна по поручению фирмы А осуществить защиту Пдн, т.е. разработать ОРД и и применять технические и организационные меры по защите.
Опечатывание помещений, Опечатывание помещений
Может Вы имеете в виду пользователей ПДн, а не Операторов!? Если на клиентском компьютере пользователя, например бухгалтера, установлено СКЗИ (КриптоПро или иное), то, сами понимаете, тогда надо.
Опечатывание помещений, Опечатывание помещений
Цитата
Андрей Яковлев пишет:
Подскажите, не могу понять. Нужно ли оборудованть устрйоствами опечатывания помещения ИСПДн?
Добрый день, Андрей. Вы ведете речь о Приказе ФСБ № 378 от 10 июля 2014 г.
Если вы осуществляете через Интернет:
1. Передачу данных в Пенсионный Фонд России ;
2. Передачу данных в фонд социального страхования;
3. Передачу данных в налоговую инспекцию;
4. Передачу данных в банк о заработной плате работников предприятия посредством систем дистанционного банковского обслуживания (ДБО);
5. и т.д. и т.п.
то Вы используете средства СКЗИ, по крайней мере, класса КС1. Следовательно, даже для 4 уровня защищенности про этому приказу "оснащения Помещений входными дверьми с замками, обеспечения постоянного закрытия дверей Помещений на замок и их открытия только для санкционированного прохода, а также опечатывания Помещений по окончании рабочего дня или оборудование "
Применение средств защиты
Добрый день Алиса. Уточните технологию работы с 1с:
1. База на сервере, режим клиент-файловый сервер.
2. На сервере развернут сервер от 1С + СУБД, режим клиент - сервер 1С- база.
3. Нечто иное.
Исходя и из Вашего описания (не уверен) программа 1с работает на сервере и база данных (в виде файла) расположена там же. Пользователь в режиме удаленного стола запускает свой экземпляр 1с на сервере и работает.
Необходимость и уровень защиты канала "рабочая станция" - сервер должен определяться частной моделью угроз безопасности и моделью нарушителя. Для 4-го уровня защищенности может оказаться вполне достаточно встроенных средств аутентификации на основе паролей.
Если возникли трудности напишите в stertur@mail.ru с темой "защита Пдн", помогу разобраться. Есть методика по защите ПДн.
Является ли ИП который обрабатывает только свои ПД оператором ПДн
Цитата
Владимир Коно пишет:
Цитата
Вера пишет:

Цитата
Сергей Терехов пишет:



Вы, естественно, оператор. Но можете сделать свои ПДн общедоступными и забыть о защите в какой-либо форме, кроме целостности.
Простите, а где написано, что общедоступные данные не требуют защиты?

Я бы на вашем месте работал и не парился по поводу ПДН вообще.
ZЯ же написал, что общедоступные данные не требуют защиты конфиденциальности и доступности, а только целостности.Для целостности используйте механизмы электронной подписи (хеши) или сделайте архив в безопасном месте :evil:
Можно ли признать угрозы 3-го типа неактуальными?
Цитата
Татьяна Иванова пишет:
Тем, что вреда субъекту нет и он сам это признает и с этим соглашается.
Татьяна, выше я уже писал, отсутствие негативных последствий (вреда)
субъекту не является достаточным условием считать (по методике ФСТЭК) угрозы неактуальными. Если исходная защищенность ИСПДн низкая
(Y1 =10), а вероятность реализации угрозы средняя (Y2=5) или высокая (Y2=10), то возможность реализации угрозы будет высокой или очень высокой и, следовательно, угроза считается актуальной.
Можно ли признать угрозы 3-го типа неактуальными?
Цитата
Татьяна Иванова пишет:
Или 4-й уровень защищенности в любом случае необходим?
Добрый день, Татьяна. В соответствии с ПП 1119 любая ИСПДН должна быть отнесена к одному из 4-х уровней защищенности в зависимости в том числе и от типа актуальных угроз. Если моделирование угроз привело к признанию неактуальными угроз 3-го типа, то это означает отсутствие вообще актуальных угроз. И ни один уровень защищенности не набирает условия его применимости к ИСПДн по ПП 1119. Теоретически, если результатом реализации любой угрозы не причиняется никакого вреда субъекту, то принимать меры по их безопасности не надо. Но как вы докажете в вашем случае неактуальность всех угроз по методике ФСТЭК? У вас ведь изначально низкий уровень исходной защищенности ИСПДн!
Можно ли признать угрозы 3-го типа неактуальными?
Цитата
Настя пишет:
И тогда в соответствии с методикой расчета актуальности угроз ФСТЭК угроза будет признана неактуальной (нужно обосновать неактуальность).
На мой взгляд, не все так просто. В :D соответствии со старой методикой ФСТЭК, незначительные негативные последствия для субъекта ПДн (согласие субъекта) не являются достаточным условием для отнесения угрозы к неактуальной. Оператор ИСПДн должен доказать, что возможность реализации угрозы не выше средней (т.е. низкая или средняя), которая зависит от исходной защищенности ИСПДн и вероятности реализации угрозы.
Передача ПДн хостингу
Цитата
Татьяна Иванова пишет:
Это всё персональные данные. И они отправляются в нашу БД, которая физически находится на VDS хостинг-провайдера. В РФ.
Итак, я понимаю, что Ваша организация - оператор персональных данных, т.к. вы определяете цель обработки, перечень ПДн, объем и т.д..Частично обработка ПДн вашей ИСПДн проводится с использованием ресурсов хостинга, т.е. хстинг - обработчик ПДн. Если вы возьмете разрешение субъектов, что их ПДн - общедоступные, то и в этом случае ваша организация (оператор) и хостинг (обработчик) должны обеспечить целостность ПДн: шифрованный канал между оператором и обработчиком и запрет несанкционированного изменения на стороне хостинга. Я, думаю, и никак иначе. :cry:
Передача ПДн хостингу
Цитата
Сергей Терехов пишет:
Такой вопрос: если ПДн передаются и хранятся на серверах коммерческого хостинга, в РФ.
Добрый день, Татьяна. Уточните технологию передачи данных, т.к. из Вашего вопроса я понял, что некая организация передает для хранения Пдн для достижения некой цели, полученные ею от субъктов!!
Передача ПДн хостингу
Цитата
Татьяна Иванова пишет:
Посоветуйте что-нибудь.
Естественный совет - шифровать ПДн перед передачей на сервер сертифицированным ФСБ криптопровайдером с использованием квалифицированного сертификата. :D
Страницы: 1 2 3 4 5 6 7 След.