Типовой акт классификации ИСПДн ~ Бизнес без опасности

25.9.09

Типовой акт классификации ИСПДн

25.9.09 обучение, персональные данные 30 comments

Для курса по персданным сваял типовой акт классификации ИСПДн. Это некоторая компиляция из разбросанных по Интернет примеров акта классификации.

Типовой акт классификации специальной ИСПДн

30 коммент.:

Quiet Zone комментирует...: А есть уже живые примеры реакции проверяльщиков на предъявление подобных актов?; 25 сентября 2009 г. в 09:28
Алексей Лукацкий комментирует...: Подобных? Есть. Нормальная реакция. Именно этого - нет, я его недавно разработал ;-) Но т.к. форма акта классификации никем и нигде не определена, то я не вижу проблем с регуляторами.; 25 сентября 2009 г. в 12:32
Quiet Zone комментирует...: Я не про конкретно эту, именно про подобные. С формой тоже понятно, меня интересовало не вызывает ли противодействие сам факт движения в этом направлении. ОК, ясно, новости хорошие.; 25 сентября 2009 г. в 14:06
Алексей Лукацкий комментирует...: Вызывает ;-) Но этот акт сделан в полном соответствии с ПП-781 и Приказом трех. Так что любые наезды можно спокойно блэкхолить ;-) Или просить правовое основание для пересмотра класса.; 25 сентября 2009 г. в 16:27
Ригель комментирует...: Так уж прям и в полном! Вот, например, у кого-нибудь 40 тысяч субъектов, но они в пределах организации - ну и как ваш проверяющий увидит, что третий класс присвоен обоснованно, если про пределы не упомянуто.
з.ы. А "виды ПДн" - это откуда?; 25 сентября 2009 г. в 17:16
Ригель комментирует...: о, про виды я уже сам вспомнил; 25 сентября 2009 г. в 17:18
Алексей Лукацкий комментирует...: А у меня нет третьего класса ;-) У меня все системы специальные ;-) Поэтому хоть в пределах всей РФ в целом ;-); 25 сентября 2009 г. в 19:13
Анонимный комментирует...: В новой редакции документа ФСТЭК "Рекомендации..." порядок классификации уточнён... и специальным системам присваивается такой же класс как и типовым.

зы. только это противоречит приказу трёх. чем дальше, тем интересней))); 25 сентября 2009 г. в 20:49
Алексей Лукацкий комментирует...: Анонимному: Посмотреть бы на эту редакцию ;-)

Но если классификация такая же, то действительно вопросов возникает немало. Если и для типовых и для специальных систем будут одни и те же требования, то и Приказ трех теряет смысл, да и здравый смысл у ФСТЭК совсем пропал ;-( Если текущие требования "Основных мероприятий" оставят для типовых, а для спецсистем будут разработаны новые, то на чем они будут базироваться непонятно в принципе - выше гостайны у нас ничего нет, а текущие требования и то выше в ряде разделов. Если текущие требования отдадут под специальные, то когда же тогда выпустят требования для типовых?

ЗЫ. А речь идет именно о новой редакции, а не изменении текущей?; 26 сентября 2009 г. в 19:44
Анонимный комментирует...: Для спец. систем никто ничего не будет разрабатывать. Они говорят мы дали вам требования по конфиденциальности ("Основные мероприятия"), а для целостности ПДн и доступности ИСПДн ищите сами, разрабатывайте модель угроз и их нетрализуйте.

зы. Это не новые документы, они просто изданы в твёрдом (зелёном, привет военным) переплёте с некоторыми изменениями. Так например уже в явном виде заданы требования по исп. во всех ИСПДн серт. СЗИ, на что они должны проходить серт. не указано. Если на треб. "Основных мероп..." то это бред))); 26 сентября 2009 г. в 20:55
Анонимный комментирует...: В подтверждении слов анонимного 1, у нас тоже появились новые версии документов ФСТЭК. В них исправлены грамматические и орфографические ошибки, уточнены вопросы классификации и написания моделей угроз для специальных систем, внесены изменения в классификационные признаки угроз базовой модели угроз.

Алексей, ваш Акт классификации крайне неудачен. Достаточно ожидаемо было, что классы типовых систем перейдут на специальные!

Анонимный 2; 27 сентября 2009 г. в 11:13
Анонимный комментирует...: кстати, а почему оформление не по ГОСТу? Какие-то синие рамочки...; 27 сентября 2009 г. в 11:15
Анонимный комментирует...: А почему оформление не по ГОСТу? Какие-то синие рамочки...; 27 сентября 2009 г. в 11:16
Алексей Лукацкий комментирует...: Анонимному 1: Ну если это не новые, а обновленные документы, то откуда оператор, уже их получивший, должен знать о них и соблюдать? Парадокс?

Анонимному 2: В чем неудачность акта? Он сделан точно по Приказу трех. Только вывод сделан таким, каким он мне кажется наиболее выгодным для оператора в текущих условиях.

Анонимному 3: А где написано, что должно быть по ГОСТу?

Всем анонимным: А кто может прислать эту обновленную версию для изучения? Обязуюсь не разглашать источник получения. Мой мейл: alukatsky at mail dot ru; 27 сентября 2009 г. в 23:46
Алексей Лукацкий комментирует...: Заранее благодарен; 27 сентября 2009 г. в 23:46
M комментирует...: Нормальный акт. В методичке, которая приходила к нам весной примерно такой.; 28 сентября 2009 г. в 20:00
Алексей Лукацкий комментирует...: Mast'у: В методичке? В какой? От кого?; 28 сентября 2009 г. в 22:01
M комментирует...: От нашего регионального ФСТЭК были рекомендации по работе с ПД в ИСПДн; 28 сентября 2009 г. в 22:59
Алексей Лукацкий комментирует...: Вау! Посмотреть бы ;-); 29 сентября 2009 г. в 23:14
zabrodin комментирует...: Наш региональный ФСТЭК тоже издал методичку. Я на нее тогда особого внимания не обратил, заметив явное противоречие с приказом трех именно в вопросе типовых-специальных ИСПДн. Похоже опрометчиво :); 30 сентября 2009 г. в 09:13
Andy_AiF комментирует...: Доброго времени суток!
Расскажите, пожалуйста, новичку, как добывают ФСТЭК'овские методички? Как понять, кто является "региональным ФСТЭК" для Белгорода?; 30 сентября 2009 г. в 11:09
Алексей Лукацкий комментирует...: http://www.fstec.ru/_razd/_osn.htm; 30 сентября 2009 г. в 22:23
Andy_AiF комментирует...: Вы имеете в виду, мне на этой страничке должен помочь пункт "Перечень территориальных органов, почтовые адреса, номера контактных телефонов"? А кроме заголовка я там больше ничего не вижу.
Или всё проще - "территориальный орган ФСТЭК" в моём случае находится в Москве?; 1 октября 2009 г. в 10:40
Алексей Лукацкий комментирует...: Если вам нужны официальные документы, то звоните или пишите в московское управление. Если просто почитать, то и в Инет можно найти.; 1 октября 2009 г. в 14:46
Юрий комментирует...: Класса специальная ИСПДН не существует, это её характеристика безопасности. Регуляторами установлены классы К1, К2... или АК1, АК2, и т.д.;)
Алексей, я сейчас формирую акт классификации в своей организации и интересно Ваше мнение по подходу к классификации ИСПДн изменилось? Есть ли комментарии регуляторов к подобным документам в ЦФО, ПФО, СЗФО?; 20 июля 2011 г. в 17:40
Алексей Лукацкий комментирует...: Что значит не существует? Десятки проверок ФСТЭК подтверждают, что существует. Ведь документов, описывающих, как классифицировать спецсистемы до сих пор нет.; 21 июля 2011 г. в 00:48
Юрий комментирует...: Классификация ИСПДн состоит из 2х этапов: сбор исх.данных и присвоение ИС класса (п.4 Положения о классификации). Т.е. если не присвоен класс значит классификация не проведена. С типовыми ИСПДн все понятно. Для специальных ИСПДн различают шесть классов информационных систем, также обозначаемых через АК1...АК6 (п.4.3 Методических рекомендаций по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, утверждены руководством 8 Центра
ФСБ России 21 февраля 2008 года № 149/5-144). Т.е. все есть.
Хотя со словом "характеристика" я погорячился, но специальная и типова это не классы ИСПДн. Определив ИСПДн как специальную (типовую) Вы определили только исходные данные и по факту (п.4 Положения) классификацию не провели.; 21 июля 2011 г. в 10:57
Юрий комментирует...: Но здесь есть казус. Модель угроз по документам ФСБ строится только для специальных ИСПДн и только если для их безопасности используются СКЗИ, соответственно классы АК1,...АК6 предназначены только для них. А если СКЗИ не используются получаем ИС для которой не применимы классы типовой и специальной ИСПДн ;(; 21 июля 2011 г. в 11:05
Юрий комментирует...: С учетом высокой вероятности реализации угрозы - получения рекомендации в акте комиссии ФСТЭК присвоить системе один из классов типовой ИСПДн (в независимости от типа ИСПДн) и большим гемо-ем с переделкой документов думаю присвоить специальной ИСПДн "гибридный" класс.; 21 июля 2011 г. в 11:12
Алексей Лукацкий комментирует...: Юрий, между нами разница в том, что я видел уже несколько десятков актов классификации, прошедших ФСТЭК, которая не имела претензий к классу "специальный". А вы только в начале пути ;-)

Что касается модели угроз ФСБ, то ее на практике вообще не применить, т.к. требуется знание информации из секретных документов, которые недоступны даже многим лицензиатам. Поэтому та же ФСБ говорит просто - пользуйтесь моделью ФСТЭК. Есть угроза нарушения конфиденциальности? Используйте СКЗИ. В абсолютном большинстве случаев модель нарушителя будет Н1/Н2. А всякие классы АК - это вообще ни о чем. На практике эта информация не применяется и знание этого класса никак не влияет на выбор СКЗИ по той же методике ФСБ.; 21 июля 2011 г. в 13:06