25.09.2009

Типовой акт классификации ИСПДн

Для курса по персданным сваял типовой акт классификации ИСПДн. Это некоторая компиляция из разбросанных по Интернет примеров акта классификации.

Типовой акт классификации специальной ИСПДн

30 коммент.:

Quiet Zone комментирует...

А есть уже живые примеры реакции проверяльщиков на предъявление подобных актов?

Алексей Лукацкий комментирует...

Подобных? Есть. Нормальная реакция. Именно этого - нет, я его недавно разработал ;-) Но т.к. форма акта классификации никем и нигде не определена, то я не вижу проблем с регуляторами.

Quiet Zone комментирует...

Я не про конкретно эту, именно про подобные. С формой тоже понятно, меня интересовало не вызывает ли противодействие сам факт движения в этом направлении. ОК, ясно, новости хорошие.

Алексей Лукацкий комментирует...

Вызывает ;-) Но этот акт сделан в полном соответствии с ПП-781 и Приказом трех. Так что любые наезды можно спокойно блэкхолить ;-) Или просить правовое основание для пересмотра класса.

Ригель комментирует...

Так уж прям и в полном! Вот, например, у кого-нибудь 40 тысяч субъектов, но они в пределах организации - ну и как ваш проверяющий увидит, что третий класс присвоен обоснованно, если про пределы не упомянуто.
з.ы. А "виды ПДн" - это откуда?

Ригель комментирует...

о, про виды я уже сам вспомнил

Алексей Лукацкий комментирует...

А у меня нет третьего класса ;-) У меня все системы специальные ;-) Поэтому хоть в пределах всей РФ в целом ;-)

Анонимный комментирует...

В новой редакции документа ФСТЭК "Рекомендации..." порядок классификации уточнён... и специальным системам присваивается такой же класс как и типовым.

зы. только это противоречит приказу трёх. чем дальше, тем интересней)))

Алексей Лукацкий комментирует...

Анонимному: Посмотреть бы на эту редакцию ;-)

Но если классификация такая же, то действительно вопросов возникает немало. Если и для типовых и для специальных систем будут одни и те же требования, то и Приказ трех теряет смысл, да и здравый смысл у ФСТЭК совсем пропал ;-( Если текущие требования "Основных мероприятий" оставят для типовых, а для спецсистем будут разработаны новые, то на чем они будут базироваться непонятно в принципе - выше гостайны у нас ничего нет, а текущие требования и то выше в ряде разделов. Если текущие требования отдадут под специальные, то когда же тогда выпустят требования для типовых?

ЗЫ. А речь идет именно о новой редакции, а не изменении текущей?

Анонимный комментирует...

Для спец. систем никто ничего не будет разрабатывать. Они говорят мы дали вам требования по конфиденциальности ("Основные мероприятия"), а для целостности ПДн и доступности ИСПДн ищите сами, разрабатывайте модель угроз и их нетрализуйте.

зы. Это не новые документы, они просто изданы в твёрдом (зелёном, привет военным) переплёте с некоторыми изменениями. Так например уже в явном виде заданы требования по исп. во всех ИСПДн серт. СЗИ, на что они должны проходить серт. не указано. Если на треб. "Основных мероп..." то это бред)))

Анонимный комментирует...

В подтверждении слов анонимного 1, у нас тоже появились новые версии документов ФСТЭК. В них исправлены грамматические и орфографические ошибки, уточнены вопросы классификации и написания моделей угроз для специальных систем, внесены изменения в классификационные признаки угроз базовой модели угроз.

Алексей, ваш Акт классификации крайне неудачен. Достаточно ожидаемо было, что классы типовых систем перейдут на специальные!


Анонимный 2

Анонимный комментирует...

кстати, а почему оформление не по ГОСТу? Какие-то синие рамочки...

Анонимный комментирует...

А почему оформление не по ГОСТу? Какие-то синие рамочки...

Алексей Лукацкий комментирует...

Анонимному 1: Ну если это не новые, а обновленные документы, то откуда оператор, уже их получивший, должен знать о них и соблюдать? Парадокс?

Анонимному 2: В чем неудачность акта? Он сделан точно по Приказу трех. Только вывод сделан таким, каким он мне кажется наиболее выгодным для оператора в текущих условиях.

Анонимному 3: А где написано, что должно быть по ГОСТу?

Всем анонимным: А кто может прислать эту обновленную версию для изучения? Обязуюсь не разглашать источник получения. Мой мейл: alukatsky at mail dot ru

Алексей Лукацкий комментирует...

Заранее благодарен

Mast комментирует...

Нормальный акт. В методичке, которая приходила к нам весной примерно такой.

Алексей Лукацкий комментирует...

Mast'у: В методичке? В какой? От кого?

Mast комментирует...

От нашего регионального ФСТЭК были рекомендации по работе с ПД в ИСПДн

Алексей Лукацкий комментирует...

Вау! Посмотреть бы ;-)

zabrodin комментирует...

Наш региональный ФСТЭК тоже издал методичку. Я на нее тогда особого внимания не обратил, заметив явное противоречие с приказом трех именно в вопросе типовых-специальных ИСПДн. Похоже опрометчиво :)

Andy_AiF комментирует...

Доброго времени суток!
Расскажите, пожалуйста, новичку, как добывают ФСТЭК'овские методички? Как понять, кто является "региональным ФСТЭК" для Белгорода?

Алексей Лукацкий комментирует...

http://www.fstec.ru/_razd/_osn.htm

Andy_AiF комментирует...

    Вы имеете в виду, мне на этой страничке должен помочь пункт "Перечень территориальных органов, почтовые адреса, номера контактных телефонов"? А кроме заголовка я там больше ничего не вижу.
    Или всё проще - "территориальный орган ФСТЭК" в моём случае находится в Москве?

Алексей Лукацкий комментирует...

Если вам нужны официальные документы, то звоните или пишите в московское управление. Если просто почитать, то и в Инет можно найти.

Юрий комментирует...

Класса специальная ИСПДН не существует, это её характеристика безопасности. Регуляторами установлены классы К1, К2... или АК1, АК2, и т.д.;)
Алексей, я сейчас формирую акт классификации в своей организации и интересно Ваше мнение по подходу к классификации ИСПДн изменилось? Есть ли комментарии регуляторов к подобным документам в ЦФО, ПФО, СЗФО?

Алексей Лукацкий комментирует...

Что значит не существует? Десятки проверок ФСТЭК подтверждают, что существует. Ведь документов, описывающих, как классифицировать спецсистемы до сих пор нет.

Юрий комментирует...

Классификация ИСПДн состоит из 2х этапов: сбор исх.данных и присвоение ИС класса (п.4 Положения о классификации). Т.е. если не присвоен класс значит классификация не проведена. С типовыми ИСПДн все понятно. Для специальных ИСПДн различают шесть классов информационных систем, также обозначаемых через АК1...АК6 (п.4.3 Методических рекомендаций по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, утверждены руководством 8 Центра
ФСБ России 21 февраля 2008 года № 149/5-144). Т.е. все есть.
Хотя со словом "характеристика" я погорячился, но специальная и типова это не классы ИСПДн. Определив ИСПДн как специальную (типовую) Вы определили только исходные данные и по факту (п.4 Положения) классификацию не провели.

Юрий комментирует...

Но здесь есть казус. Модель угроз по документам ФСБ строится только для специальных ИСПДн и только если для их безопасности используются СКЗИ, соответственно классы АК1,...АК6 предназначены только для них. А если СКЗИ не используются получаем ИС для которой не применимы классы типовой и специальной ИСПДн ;(

Юрий комментирует...

С учетом высокой вероятности реализации угрозы - получения рекомендации в акте комиссии ФСТЭК присвоить системе один из классов типовой ИСПДн (в независимости от типа ИСПДн) и большим гемо-ем с переделкой документов думаю присвоить специальной ИСПДн "гибридный" класс.

Алексей Лукацкий комментирует...

Юрий, между нами разница в том, что я видел уже несколько десятков актов классификации, прошедших ФСТЭК, которая не имела претензий к классу "специальный". А вы только в начале пути ;-)

Что касается модели угроз ФСБ, то ее на практике вообще не применить, т.к. требуется знание информации из секретных документов, которые недоступны даже многим лицензиатам. Поэтому та же ФСБ говорит просто - пользуйтесь моделью ФСТЭК. Есть угроза нарушения конфиденциальности? Используйте СКЗИ. В абсолютном большинстве случаев модель нарушителя будет Н1/Н2. А всякие классы АК - это вообще ни о чем. На практике эта информация не применяется и знание этого класса никак не влияет на выбор СКЗИ по той же методике ФСБ.