19.11.2009

15 коммент.:

Анонимный комментирует...

А что изменилось, скажите пожалуйста?

Алексей Кузнецов комментирует...

1) в "Рекомендациях" изменилась часть касающаяся процесса классификации по вопросу типовые/специальные
2) в "Требованиях" изменились требования к криптографической подсистеме ИСПДн первого класса

Есть предположения, что должны были исправиться многочисленные ошибки, но нет времени проверить.

Это всё в сравнении с первичной печатной редакцией документов.
Кстати, в нашем ФСТЭК при разговоре об изменениях говорят, что изменилась только часть про типовые/специальные системы. В остальные изменения приходится им же показывать пальцем.

Beeven комментирует...

Забавно, что там стоит копирайт ФСТЭКа. Документы, созданные государством, могут распространяться свободно (если они не классифицированы).

Анонимный комментирует...

to Алексей Кузнецов =>

Алексей, если Вас не затруднит, укажите, пожалуйста, поконкретнее на изменения !

Анонимный комментирует...

Beeven

После вступления в силу 4 части ГК у нас из законодательства исчезли значки копирайта.

ZZubra

Александр Шелипов комментирует...

2 Beeven
Ну распространяться-то они могут свободно, но указывать государство как автора необходимо обязательно))

Алексей Кузнецов комментирует...

Значит так, буду без цитат - по памяти.
В части специальных и типовых:
в первоначальном варианте рекомендации копируют приказ ФСТЭК, ФСБ, Минсвязи.

По новой редакции типовая система и специальная система не являются взаимоисключающими характеристиками. Более подробно можете посмотреть в документе. ФСТЭК, ясен перец, рекомендует пользоваться новой версией. Аргументируя тем, что над приказом уже разбираются в Москве и собираются его приводить в такой же вид.

В части криптографической подсистемы прошу пардону. Поторопился радоваться.
По старой редакции (и по выложенному файлу без грифа ДСП) получается что необходимо шифровать данные в каналах связи, на серверах.
В выписке же присутствовала только строчка о необходимости применения сертифицированных СКЗИ.

Причем опять же, в самом ФСТЭК при малейшем упоминании слова "криптография" отправляют в ФСБ, а при подробном разъяснении о том, что про СКЗИ указано в их же документах говорят что-то вроде "мы предъявляем требования только к тому что криптографические средства должны быть сертифицированными".

В общем хрен редьки не слаще.
Была б возможность обоснованно назвать хоть одну угрозу для ИСПДн первого класса неактуальной, вопросов было бы гораздо меньше.

Алексей Лукацкий комментирует...

А что мешает назвать угрозы неактуальными? Например, внутри локальной сети перехват трафика считать неактуальным, тем самым защищая себя от использования СКЗИ внутри сети. Что, собственно, и рекомендует делать ФСБ.

Алексей Кузнецов комментирует...

Алексей, собственно сама методика и мешает.
Сейчас объясню:

из "порядка о проведении классификации":
класс 1 (К1) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных;

Из методики определения актуальности:
высокая опасность - если реализация угрозы может привести к значительным негативным последствиям для субъектов персональных данных.

И не трудно увидеть, что угроза имеющая высокую опасность, независимо от возможности реализации, является актуальной.

Таким образом получаем минимум - любая угроза влияющая на конфиденциальность (либо другие определённые характеристики) актуальна.

Алексей Лукацкий комментирует...

Ну не совсем так, все-таки. Актуальность - это комбинация вероятности и ущерба. Если у вас ущерб не высокий, а средний, то и угроза уже не актуальная становится при низкой вероятности.

И опять же. Я не обязан использовать только методику ФСТЭК (тем более, что их у нее две как минимум). Я могу взять методику ЦБ. А по ней даже при высоком ущербе, но минимальной вероятности, угроза неактуальная.

Анонимный комментирует...

to Алексей Кузнецов

А зачем обязательно использовать эту ущербную методику? У нас других нет под рукой? или просто лениво поискать/почитать?

Алексей Кузнецов комментирует...

А вот тут интересно :)

Отправил недавно запрос в любимый ФСТЭК о разъяснении, что-то вроде "Какой методикой определения актуальности руководствоваться, и чем ограничен мой выбор?"

Думаю в течении недели будет ответ, оттуда уже плясать.
В любом случае это лазейка для проверяющих, если захотят прикопаться к неактуальным угрозам.

Алексей Лукацкий комментирует...

Огласите потом результаты ;-)

Vladimir комментирует...

А вот вопрос, напрямую не связанный с обсуждаемой темой:
Удалось ли кому до конца определиться с различиями между лицензируемыми ФСТЭК видами деятельности? Проектирование АС в защищенном исполнении и далее поставка (покупных), монтаж, пусконаладка, сервисное обслуживание,
СЗИ, это какие из трех последних (http://www.fstec.ru/_razd/_lico.htm) видов деятельности?
Более подробный по составу за номером IV и номер VI, краткий, но явно упоминающий КИ. Номер V - вообще обо всем

Алексей Кузнецов комментирует...

Ну что ж, ответ есть.
Ссылка на п. 2.9 "Основных мероприятий..." и однозначное толкование о необходимости использования "Методики определения актуальных угроз..."