Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Особенности аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции (работ, услуг), поставляемой по гособоронзаказу.

12/08/2019 

08 мая 2019 г. утверждены новые Правила аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции работ, услуг), поставляемой по государственному оборонному заказу (постановление Правительства Российской Федерации от 30 апреля 2019 г. № 548).

Новые Правила аккредитации кардинально меняют сложившуюся систему не только аккредитации, но и сертификации СМК предприятий, работающих в области государственного оборонного заказа.

Реклама





Партнеры





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: Пред. 1 2 3 4 5 6 След.
[ Закрыто] Документ по 17-му и 21-му Приказам, Какой документ
Цитата
Andrey80 пишет:
Идеальным вариантом было бы получить "рыбу"
После моделирования получаем актуальные угрозы, например:
При разработке требований по защите от НСД к ПДн необходимо обеспечить защиту ИСПДн от следующих угроз:
реализуемых в ходе загрузки операционной системы:
- загрузка сторонней операционной системы;
реализуемых после загрузки операционной системы:
- доступ к системным данным со стороны неуполномоченных пользователей вслед-ствие недостатков механизмов разграничения доступа;
- доступ к информации и пользовательским данным путем модификации настроек СЗИ вследствие недостатков встроенных механизмов защиты ОС;
- модификация или удаление регистрационных данных неуполномоченными на это пользователями в нарушение разрешительной системы доступа;
- модификация конфигурационных данных неуполномоченными на это пользовате-лями в нарушение разрешительной системы доступа;
- доступ к информации вследствие отсутствия механизмов очистки освобождаемых областей физической памяти;
- использование внешних носителей информации для копирования ПДн;
- выполнение несанкционированных действий с ПДн;
внедрения вредоносных программ:
- внедрение клавиатурных шпионов;
- распространение файлов, содержащих вредоносное ПО, с использованием внеш-них носителей информации;
внедрения по сети вредоносных программ:
- с использованием электронной почты;
- при загрузке сайтов, содержащих вредоносный код;
- использование уязвимостей сетевых протоколов;
- перехват передаваемой незашифрованной информации по сети;
Угрозы «Анализ сетевого трафика» с перехватом передаваемой по сети информации:
- НСД и модификация ПО и конфигурационных данных сетевого оборудования;
- Перехват идентификационных и аутентификационных данных в процессе установления защищенного соединения со средствами построения сети;
- Перехват передаваемой незашифрованной информации по сети;
Угрозы «Анализ сетевого трафика» с перехватом передаваемой во внешние сети и принимаемой из внешних сетей информации:
- Анализ информации, передаваемой во внешние сети;
- Анализ структуры внутренней сети, используя информацию, передаваемую во внешние сети;
Угрозы сканирования:
- TCP-connect сканирование;
- TCP SYN сканирование;
- Сканирование портов протокола TCP путём отправления пакетов TCP с определённым набором флагов (FIN-сканирование, Xmas-сканирование, NULL-сканирование)
Угрозы получения НСД путем подмены доверенного объекта:
- ARP-spoofing;
- подмена доверенного объекта сети через перехват и подмену TCP запросов;
- навязывание ложного маршрута с использованием протоколов маршрутизации и управления сетью;
- внедрение ложного DNS-сервера;
Выявления паролей:
- подбор паролей доступа к ПДн методом «перебора»;
- восстановление паролей на доступ к ПДн, используя локальные файлы с паролями.
После адаптации требований получаем (небольшая часть,таблица отобразится плохо):
Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения 4-го уровня защищенности персональных дан-ных

Условное обозначение и номер ме-ры
Содержание мер по обеспечению безопасности персональных данных
Предпринятые меры
I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ)

ИАФ.1
Идентификация и аутентификация пользователей, являющихся работ-никами оператора
Идентификация, аутентифи-кация и авторизация произво-дится:
• Встроенными средст-вами операционной системы Windows XP/Windows server 2008;
• Встроенными средст-вами «1С: Предпри-ятие».
ИАФ.2
Идентификация и аутентификация устройств, в том числе стационар-ных, мобильных и портативных
Не требуется для 4-го уровня защищенности
ИАФ.З
Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов
Управление идентификатора-ми производится:
• Встроенными средст-вами операционной системы Windows XP/ Windows server 2008;
• Встроенными средст-вами «1С: Предпри-ятие».

Напишите в stertur@mail.ru с темой "От Andrey80" вышлю
[ Закрыто] Документ по 17-му и 21-му Приказам, Какой документ
Цитата
Andrey80 пишет:
ну для таких вещей существует "МЕТОДИКА ОПРЕДЕЛЕНИЯ АКТУАЛЬНЫХ УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ"
И актуальность определяется при классификации по ПП 1119

По сути получается два почти одинаковых документа: Модель угроз и ОРД где базовый, уточненный и адаптированный... Там и там угрозы, там и там пути их "исправления"
Прошу прощения, но не понял Ваши комментарии.
1.На мой взгляд, актуальность не определяется при классификации по ПП 1119, а используется.
2. Требования по приказу выбираются в зависимости от уровня уровня защищенности. Конкретным требованием нужно пренебречь, если соответствующая угроза не актуальна, и наоборот, требования расширяются, если обнаружены актуальные угрозы, нейтрализация которых не предусмотрена в требованиях. можно сказать,что требования - это обобщенный взгляд на все системы с данным уровнем, а из модели угроз вытекают требования, свойственные конкретной ИСПДн и поддерживающей ее инфраструктуре.
[ Закрыто] Документ по 17-му и 21-му Приказам, Какой документ
Цитата
Andrey80 пишет:
Существуют приказы ФСТЭК 17 и 21. Есть требования, но не нашёл что должно получится на выходе. Т.е. какой документ мне нужно составить на основании этих приказов и что там отражать?

И чем принципиально тогда этот документ будет отличаться от Модели угроз

Поделитесь опытом
Исходя из моего опыта:
Частная модель угроз безопасности должна среди прочих дать очень важный ответ на вопрос, актуальны ли для информационной системы угрозы, связанные с недекларированными возможностями в системном и прикладном программном обеспечении ИСПДн. Без этого не определить уровень защищенности.
Для обычных Операторов (не обрабатывающих специальные и биометрические ПДн) моделирование должно дать однозначный ответ, что такие угрозы неактуальны. Остальные Операторы либо должны смириться с высоким уровнем защищенности, к которым будет отнесена ИСПДн, либо приобретать сертифицированные ФСТЭК системное и прикладное программное обеспечение.
«Пересечением» актуальных угроз с требованиями создается уточненный адаптированный набор мер из базового набора мер ФСТЭК по защите персональных данных, который учитывает актуальные угрозы (частная модель угроз безопасности) и уровень защищенности ИСПДн. Этот уточненный и адаптированный набор мер – требования к организационной (административной, процедурной) и технической защите ПДн.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Цитата
Тимофей Тимофей пишет:
у меня два тупых вопроса:
1) Оператор до вступления ПП1119 и Приказа ФСТЭК 21 разработал всю необходимую документацию и внедрил СЗПДн.После выхода новых документов, что он должен сделать?Переделывать все документ? может быть внедрить новые тех.решения?

2) В обществе Администрация и 7 филиалов.На каждом из объектов ИСПДн "Кадры". На каждом объекте под данную ИСПДн выделен свой собственный сервер приложений и СУБД.
Как рассматривать данную ИСПДн?как отдельную ИСПДн или как одну единую ИСПДн?
Добрый день.
1. В соответствии с пунктом 12 Указа Президента Российской Федерации от 23 мая 1996 г. N 763 "О порядке опубликования и вступления в силу актов Президента Российской Федерации, Правительства Российской Федерации и нормативных правовых актов федеральных органов исполнительной власти" нормативные правовые акты федеральных органов исполнительной власти вступают в силу одновременно на всей территории Российской Федерации по истечении десяти дней после их официального опубликования, если самими актами не установлен другой порядок введения их в действие.
Таким образом, Состав и содержание мер, утвержденные приказом ФСТЭК России от 18 февраля 2013 г. N 21, вступили в действие со 2 июня 2013 г. Требования, утвержденные приказом ФСТЭК России от 11 февраля 2013 г. N 17, вступают в действие с 1 сентября 2013 г.
Исходя из общих принципов норм права по действию во времени, изданные в установленном порядке нормативные правовые акты не имеют обратной силы и применяются к отношениям, возникшим после вступления актов в силу (если иное не установлено федеральными законами).
Учитывая изложенное, информационные системы, аттестованные (прошедшие оценку эффективности) по требованиям защиты информации до вступления в действие Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17, и Состава и содержания мер, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. N 21, повторной аттестации (оценке эффективности) в связи с изданием указанных нормативных правовых актов не подлежат.
2. Исходя из данной Вами информации (не понятны аффилированность юр. лиц, структуры ИСПДн... )- это несколько ИСПДн
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Только шифрование
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Цитата
Сергей Давидян пишет:
Возможно ли не ссылаясь на криптографию обеспечить конфиденциальность ПДн (Подходящая под ЗИС. 2 21 приказа) при передаче по сети интернет с площадки на площадку в рамках одной организации?
ЗИС 2 -Предотвращение задержки или прерывания выполнения процессов с высоким приоритетом со стороны процессов с низким приоритетом. Вы не ошиблись?
Через Интернет - только шифрование. Или физически выделенный канал передачи данных.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Цитата
Сергей Давидян пишет:
компьютеры в компаниях принадлежат компаниям, а ПО и сервера принадлежат УК
Если у вас правильно составлен договор Обработчику (УК не определяет цели обработки, состав ПДн..), то, на мой взгляд, проблема обеспечения безопасности лежит на УК.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Цитата
Сергей Давидян пишет:
ОК. а если оператор(одна из компаний входящая в ГК) поручает обработку ПДн УК, то в данном случае модель угроз пишет УК или все равно оператор?
Тогда Оператор в договоре указывает Обработчику (УК) на необходимость обеспечения безопасности ПДн в соответствии с действующим законодательством.
Сергей, кому юридически принадлежат технические средства (компьютеры, программы...) ИСПДн?
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Цитата
Сергей пишет:
Подскажите где взять ГОСТ РО 0043-004? Нужно писать запрос во ФСТЭК?
Получить, а точнее, купить копию ГОСТ РО 0043-003-2012 и ГОСТ РО 0043-004-2013 можно в организации ФГУП «СТАНДАРТИНФОРМ». Будьте готовы, что у вас запросят нотариально заверенную копию лицензий ФСТЭК по ТЗКИ. В некоторых случаях также запрашивали копии лицензий ФСБ на работу с гостайной, но это неправомерно - данные ГОСТы не относятся к сведениями, составляющим государственную тайну и применяются для информационных систем, которые могут не содержать гостайну.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Цитата
Сергей Давидян пишет:
Еще вопрос.
Есть группа компаний(ГК). Все БД и ИСПДн принадлежат управляющей компании(УК) и УК предоставляет услуги для ГК.
В данном случае кто пишет модель угроз?
Сергей, модель угроз - проблема Оператора ПДн ИСПДн.
"государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными".
Он (Оператор)может разрабатывать модель самостоятельно (без лицензии). По поводу необходимости лицензии для создания модели угроз сторонней организацией по отношению к Оператору за деньги см. дискуссию в соседней ветке между мной и AlexG.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Цитата
Сергей Давидян пишет:
Добрый день.
Подскажите, Модель угроз и модель нарушителя пишется в рамках каждой ИСПДн или одна на все?
Сергей, по действующей методике ФСТЭК актуальность угрозы зависит от многих факторов: структура ИСПДн, средств защиты информации, степень ущерба субъектам ПДн от реализации и т.д. Поэтому, если все ИСПДн идентичны в этом отношении (что маловероятно), то перечень актуальных угроз будет одинаков.
Получается, что сколько ИСПДн, столько и моделей.
Модель нарушителя разрабатывается по методике ФСБ для определения класса криптосредства, если используется в ИСПДн криптозащита.
УЦ как ИСПДн
Добрый день, Евгений.
На мой взгляд, ваша организация ничем не лучше других коммерческих организаций, поэтому нужен полный комплект ОРД в соответствии с требованиями 152 ФЗ, ПП 1119,ПП 687, приказа ФСТЭК № 21. Что касается технической защиты, то нужны детали, получаемые из модели угроз.
Электронная почта (как услуга)
Цитата
Martinez пишет:
Коллеги, здравствуйте.
Есть ли мысли по данной ситуации?
На мой взгляд.
Согласие не требуется.
Но, согласно Фед зак 242 от 21 июня 2014 г. дополнена статья " 18 дополнить частью 5 следующего содержания:
"5. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона.";
Журнал учета машинных носителей персональных данных
Цитата
Гость пишет:
Доброе время суток! Я отправил Вам письмо, но ответа так и не получил, прошу Вышлите перечень, уж больно нужен! Заранее благодарю!
Гость, письмо не получал. Продублируйте.
[ Закрыто] требуют ли аттестации базы 1С по приказу №17?
Цитата
AlexG пишет:
Это ложь. Упомянутое же ниже декларирование неприменимо к системе ЗИ (см. ФЗ "О техническом регулировании").
Уважаемый AlexG/
Цитирую для Вас выдержки из ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ

ИНФОРМАЦИОННОЕ СООБЩЕНИЕ
от 15 июля 2013 г. N 240/22/2637

"По вопросу о форме оценки эффективности принимаемых мер по обеспечению безопасности персональных данных, о форме и содержании материалов оценки эффективности, а также о возможности проведения оценки эффективности при проведении аттестации информационной системы.
В соответствии с пунктом 4 части 2 статьи 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" обеспечение безопасности персональных данных достигается в частности оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных.
В соответствии с пунктом 6 Состава и содержания мер, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. N 21, оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. При этом Составом и содержанием мер, утвержденными приказом ФСТЭК России от 18 февраля 2013 г. N 21, форма оценки эффективности, а также форма и содержание документов, разрабатываемых по результатам (в процессе) оценки, не установлены.
Таким образом, решение по форме оценки эффективности и документов, разрабатываемых по результатам (в процессе) оценки эффективности, принимается оператором самостоятельно и (или) по соглашению с лицом, привлекаемым для проведения оценки эффективности реализованных мер по обеспечению безопасности персональных данных.
Оценка эффективности реализованных мер может быть проведена в рамках работ по аттестации информационной системы персональных данных в соответствии с национальным стандартом ГОСТ РО 0043-003-2012 "Защита информации. Аттестация объектов информатизации. Общие положения". :D
Получение биллинговых данных у оператора сотовой связи
если нужно методическое обеспечение по защите ПДн пишите с темой ОРД в stertur@mail.ru
Получение биллинговых данных у оператора сотовой связи
Цитата
Антон пишет:
Я к сожалению в связи с недостатком квалификации и опыта не могу определить, являются ли ПДн те данные, которые я собрался запросить (в частности IMEI, IMSI и идентификаторы базовых станций).
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Получение биллинговых данных у оператора сотовой связи
Цитата
Антон пишет:
А как Вы считаете, какова вероятность получить такие данные?
Все, что касается ПДн - 100% или жалоба в Роскомнадзор!
Получение биллинговых данных у оператора сотовой связи
Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных оператором;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые оператором способы обработки персональных данных;
4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных; 11
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
10) иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.

Запрос об обрабатываемых персональных данных


Я (далее - Субъект), ___________________________________________________________,
(фамилия, имя, отчество)
Документ, удостоверяющий личность__________________ № _________ серия _________,
(вид документа)
выдан ____________________________________________________________­___________,
(кем и когда)
проживающий (ая) ____________________________________________________________­,
(адрес места жительства)

Прим: в случае законного представительства включить следующий абзац:

выступая в качестве законного представителя______________________________________
____________________________________________________________­_________________,
(фамилия, имя, отчество)
Документ, удостоверяющий личность__________________ № _________ серия _________,
(вид документа)
выдан ____________________________________________________________­___________,
(кем и когда)
проживающий (ая) ____________________________________________________________­,
(адрес места жительства)

прошу _______ (далее - Оператор), зарегистрированное по адресу: _____________ предоставить информацию, касающуюся обработки моих персональных данных, в том числе содержащую:
1) подтверждение факта обработки персональных данных Субъекта Оператором, а также цель такой обработки;
2) способы обработки персональных данных, применяемые Оператором;
3) сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
4) перечень обрабатываемых персональных данных и источник их получения;
5) сроки обработки персональных данных, в том числе сроки их хранения;
6) сведения о том, какие юридические последствия для меня может повлечь за собой обработка моих персональных данных….

Ответ прошу направить по адресу:
____________________________________________________________­____________________________________________________________­__________________________________


«____»______________ 201 г. __________________ _________________
(Подпись, ФИО)
[ Закрыто] Нужна ли лицензия на составление документации?, Помогите разобраться в более юридическом вопросе.
Цитата
AlexG пишет:
Пункт «О назначении комиссии по декларированию соответствия информационных систем персональных данных требованиям безопасности» на мой взгляд, безграмотен: декларирование соответствия неприменимо к системам защиты информации (см. ФЗ "О техническом регулировании").

Желаете возразить - пожалуйста, только, чур, не "я уверен", а с опорой на нормативку.
Цитирую для Вас выдержки из ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ

ИНФОРМАЦИОННОЕ СООБЩЕНИЕ
от 15 июля 2013 г. N 240/22/2637

"По вопросу о форме оценки эффективности принимаемых мер по обеспечению безопасности персональных данных, о форме и содержании материалов оценки эффективности, а также о возможности проведения оценки эффективности при проведении аттестации информационной системы.
В соответствии с пунктом 4 части 2 статьи 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" обеспечение безопасности персональных данных достигается в частности оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных.
В соответствии с пунктом 6 Состава и содержания мер, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. N 21, оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. При этом Составом и содержанием мер, утвержденными приказом ФСТЭК России от 18 февраля 2013 г. N 21, форма оценки эффективности, а также форма и содержание документов, разрабатываемых по результатам (в процессе) оценки, не установлены.
Таким образом, решение по форме оценки эффективности и документов, разрабатываемых по результатам (в процессе) оценки эффективности, принимается оператором самостоятельно и (или) по соглашению с лицом, привлекаемым для проведения оценки эффективности реализованных мер по обеспечению безопасности персональных данных.
Оценка эффективности реализованных мер может быть проведена в рамках работ по аттестации информационной системы персональных данных в соответствии с национальным стандартом ГОСТ РО 0043-003-2012 "Защита информации. Аттестация объектов информатизации. Общие положения".
Страницы: Пред. 1 2 3 4 5 6 След.