Бизнес безопасности или безопасность бизнеса? О том и о другом в одном непросветительском блоге от еще неиностранного агента... Имеющий мозг да применит его (6+)
Pages - Menu
▼
Страницы
▼
25.9.09
Типовой акт классификации ИСПДн
Для курса по персданным сваял типовой акт классификации ИСПДн. Это некоторая компиляция из разбросанных по Интернет примеров акта классификации.
Подобных? Есть. Нормальная реакция. Именно этого - нет, я его недавно разработал ;-) Но т.к. форма акта классификации никем и нигде не определена, то я не вижу проблем с регуляторами.
Я не про конкретно эту, именно про подобные. С формой тоже понятно, меня интересовало не вызывает ли противодействие сам факт движения в этом направлении. ОК, ясно, новости хорошие.
Вызывает ;-) Но этот акт сделан в полном соответствии с ПП-781 и Приказом трех. Так что любые наезды можно спокойно блэкхолить ;-) Или просить правовое основание для пересмотра класса.
Так уж прям и в полном! Вот, например, у кого-нибудь 40 тысяч субъектов, но они в пределах организации - ну и как ваш проверяющий увидит, что третий класс присвоен обоснованно, если про пределы не упомянуто. з.ы. А "виды ПДн" - это откуда?
Но если классификация такая же, то действительно вопросов возникает немало. Если и для типовых и для специальных систем будут одни и те же требования, то и Приказ трех теряет смысл, да и здравый смысл у ФСТЭК совсем пропал ;-( Если текущие требования "Основных мероприятий" оставят для типовых, а для спецсистем будут разработаны новые, то на чем они будут базироваться непонятно в принципе - выше гостайны у нас ничего нет, а текущие требования и то выше в ряде разделов. Если текущие требования отдадут под специальные, то когда же тогда выпустят требования для типовых?
ЗЫ. А речь идет именно о новой редакции, а не изменении текущей?
Для спец. систем никто ничего не будет разрабатывать. Они говорят мы дали вам требования по конфиденциальности ("Основные мероприятия"), а для целостности ПДн и доступности ИСПДн ищите сами, разрабатывайте модель угроз и их нетрализуйте.
зы. Это не новые документы, они просто изданы в твёрдом (зелёном, привет военным) переплёте с некоторыми изменениями. Так например уже в явном виде заданы требования по исп. во всех ИСПДн серт. СЗИ, на что они должны проходить серт. не указано. Если на треб. "Основных мероп..." то это бред)))
В подтверждении слов анонимного 1, у нас тоже появились новые версии документов ФСТЭК. В них исправлены грамматические и орфографические ошибки, уточнены вопросы классификации и написания моделей угроз для специальных систем, внесены изменения в классификационные признаки угроз базовой модели угроз.
Алексей, ваш Акт классификации крайне неудачен. Достаточно ожидаемо было, что классы типовых систем перейдут на специальные!
Анонимному 1: Ну если это не новые, а обновленные документы, то откуда оператор, уже их получивший, должен знать о них и соблюдать? Парадокс?
Анонимному 2: В чем неудачность акта? Он сделан точно по Приказу трех. Только вывод сделан таким, каким он мне кажется наиболее выгодным для оператора в текущих условиях.
Анонимному 3: А где написано, что должно быть по ГОСТу?
Всем анонимным: А кто может прислать эту обновленную версию для изучения? Обязуюсь не разглашать источник получения. Мой мейл: alukatsky at mail dot ru
Наш региональный ФСТЭК тоже издал методичку. Я на нее тогда особого внимания не обратил, заметив явное противоречие с приказом трех именно в вопросе типовых-специальных ИСПДн. Похоже опрометчиво :)
Доброго времени суток! Расскажите, пожалуйста, новичку, как добывают ФСТЭК'овские методички? Как понять, кто является "региональным ФСТЭК" для Белгорода?
Вы имеете в виду, мне на этой страничке должен помочь пункт "Перечень территориальных органов, почтовые адреса, номера контактных телефонов"? А кроме заголовка я там больше ничего не вижу. Или всё проще - "территориальный орган ФСТЭК" в моём случае находится в Москве?
Класса специальная ИСПДН не существует, это её характеристика безопасности. Регуляторами установлены классы К1, К2... или АК1, АК2, и т.д.;) Алексей, я сейчас формирую акт классификации в своей организации и интересно Ваше мнение по подходу к классификации ИСПДн изменилось? Есть ли комментарии регуляторов к подобным документам в ЦФО, ПФО, СЗФО?
Что значит не существует? Десятки проверок ФСТЭК подтверждают, что существует. Ведь документов, описывающих, как классифицировать спецсистемы до сих пор нет.
Классификация ИСПДн состоит из 2х этапов: сбор исх.данных и присвоение ИС класса (п.4 Положения о классификации). Т.е. если не присвоен класс значит классификация не проведена. С типовыми ИСПДн все понятно. Для специальных ИСПДн различают шесть классов информационных систем, также обозначаемых через АК1...АК6 (п.4.3 Методических рекомендаций по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, утверждены руководством 8 Центра ФСБ России 21 февраля 2008 года № 149/5-144). Т.е. все есть. Хотя со словом "характеристика" я погорячился, но специальная и типова это не классы ИСПДн. Определив ИСПДн как специальную (типовую) Вы определили только исходные данные и по факту (п.4 Положения) классификацию не провели.
Но здесь есть казус. Модель угроз по документам ФСБ строится только для специальных ИСПДн и только если для их безопасности используются СКЗИ, соответственно классы АК1,...АК6 предназначены только для них. А если СКЗИ не используются получаем ИС для которой не применимы классы типовой и специальной ИСПДн ;(
С учетом высокой вероятности реализации угрозы - получения рекомендации в акте комиссии ФСТЭК присвоить системе один из классов типовой ИСПДн (в независимости от типа ИСПДн) и большим гемо-ем с переделкой документов думаю присвоить специальной ИСПДн "гибридный" класс.
Юрий, между нами разница в том, что я видел уже несколько десятков актов классификации, прошедших ФСТЭК, которая не имела претензий к классу "специальный". А вы только в начале пути ;-)
Что касается модели угроз ФСБ, то ее на практике вообще не применить, т.к. требуется знание информации из секретных документов, которые недоступны даже многим лицензиатам. Поэтому та же ФСБ говорит просто - пользуйтесь моделью ФСТЭК. Есть угроза нарушения конфиденциальности? Используйте СКЗИ. В абсолютном большинстве случаев модель нарушителя будет Н1/Н2. А всякие классы АК - это вообще ни о чем. На практике эта информация не применяется и знание этого класса никак не влияет на выбор СКЗИ по той же методике ФСБ.
А есть уже живые примеры реакции проверяльщиков на предъявление подобных актов?
ОтветитьУдалитьПодобных? Есть. Нормальная реакция. Именно этого - нет, я его недавно разработал ;-) Но т.к. форма акта классификации никем и нигде не определена, то я не вижу проблем с регуляторами.
ОтветитьУдалитьЯ не про конкретно эту, именно про подобные. С формой тоже понятно, меня интересовало не вызывает ли противодействие сам факт движения в этом направлении. ОК, ясно, новости хорошие.
ОтветитьУдалитьВызывает ;-) Но этот акт сделан в полном соответствии с ПП-781 и Приказом трех. Так что любые наезды можно спокойно блэкхолить ;-) Или просить правовое основание для пересмотра класса.
ОтветитьУдалитьТак уж прям и в полном! Вот, например, у кого-нибудь 40 тысяч субъектов, но они в пределах организации - ну и как ваш проверяющий увидит, что третий класс присвоен обоснованно, если про пределы не упомянуто.
ОтветитьУдалитьз.ы. А "виды ПДн" - это откуда?
о, про виды я уже сам вспомнил
ОтветитьУдалитьА у меня нет третьего класса ;-) У меня все системы специальные ;-) Поэтому хоть в пределах всей РФ в целом ;-)
ОтветитьУдалитьВ новой редакции документа ФСТЭК "Рекомендации..." порядок классификации уточнён... и специальным системам присваивается такой же класс как и типовым.
ОтветитьУдалитьзы. только это противоречит приказу трёх. чем дальше, тем интересней)))
Анонимному: Посмотреть бы на эту редакцию ;-)
ОтветитьУдалитьНо если классификация такая же, то действительно вопросов возникает немало. Если и для типовых и для специальных систем будут одни и те же требования, то и Приказ трех теряет смысл, да и здравый смысл у ФСТЭК совсем пропал ;-( Если текущие требования "Основных мероприятий" оставят для типовых, а для спецсистем будут разработаны новые, то на чем они будут базироваться непонятно в принципе - выше гостайны у нас ничего нет, а текущие требования и то выше в ряде разделов. Если текущие требования отдадут под специальные, то когда же тогда выпустят требования для типовых?
ЗЫ. А речь идет именно о новой редакции, а не изменении текущей?
Для спец. систем никто ничего не будет разрабатывать. Они говорят мы дали вам требования по конфиденциальности ("Основные мероприятия"), а для целостности ПДн и доступности ИСПДн ищите сами, разрабатывайте модель угроз и их нетрализуйте.
ОтветитьУдалитьзы. Это не новые документы, они просто изданы в твёрдом (зелёном, привет военным) переплёте с некоторыми изменениями. Так например уже в явном виде заданы требования по исп. во всех ИСПДн серт. СЗИ, на что они должны проходить серт. не указано. Если на треб. "Основных мероп..." то это бред)))
В подтверждении слов анонимного 1, у нас тоже появились новые версии документов ФСТЭК. В них исправлены грамматические и орфографические ошибки, уточнены вопросы классификации и написания моделей угроз для специальных систем, внесены изменения в классификационные признаки угроз базовой модели угроз.
ОтветитьУдалитьАлексей, ваш Акт классификации крайне неудачен. Достаточно ожидаемо было, что классы типовых систем перейдут на специальные!
Анонимный 2
кстати, а почему оформление не по ГОСТу? Какие-то синие рамочки...
ОтветитьУдалитьА почему оформление не по ГОСТу? Какие-то синие рамочки...
ОтветитьУдалитьАнонимному 1: Ну если это не новые, а обновленные документы, то откуда оператор, уже их получивший, должен знать о них и соблюдать? Парадокс?
ОтветитьУдалитьАнонимному 2: В чем неудачность акта? Он сделан точно по Приказу трех. Только вывод сделан таким, каким он мне кажется наиболее выгодным для оператора в текущих условиях.
Анонимному 3: А где написано, что должно быть по ГОСТу?
Всем анонимным: А кто может прислать эту обновленную версию для изучения? Обязуюсь не разглашать источник получения. Мой мейл: alukatsky at mail dot ru
Заранее благодарен
ОтветитьУдалитьНормальный акт. В методичке, которая приходила к нам весной примерно такой.
ОтветитьУдалитьMast'у: В методичке? В какой? От кого?
ОтветитьУдалитьОт нашего регионального ФСТЭК были рекомендации по работе с ПД в ИСПДн
ОтветитьУдалитьВау! Посмотреть бы ;-)
ОтветитьУдалитьНаш региональный ФСТЭК тоже издал методичку. Я на нее тогда особого внимания не обратил, заметив явное противоречие с приказом трех именно в вопросе типовых-специальных ИСПДн. Похоже опрометчиво :)
ОтветитьУдалитьДоброго времени суток!
ОтветитьУдалитьРасскажите, пожалуйста, новичку, как добывают ФСТЭК'овские методички? Как понять, кто является "региональным ФСТЭК" для Белгорода?
http://www.fstec.ru/_razd/_osn.htm
ОтветитьУдалитьВы имеете в виду, мне на этой страничке должен помочь пункт "Перечень территориальных органов, почтовые адреса, номера контактных телефонов"? А кроме заголовка я там больше ничего не вижу.
ОтветитьУдалитьИли всё проще - "территориальный орган ФСТЭК" в моём случае находится в Москве?
Если вам нужны официальные документы, то звоните или пишите в московское управление. Если просто почитать, то и в Инет можно найти.
ОтветитьУдалитьКласса специальная ИСПДН не существует, это её характеристика безопасности. Регуляторами установлены классы К1, К2... или АК1, АК2, и т.д.;)
ОтветитьУдалитьАлексей, я сейчас формирую акт классификации в своей организации и интересно Ваше мнение по подходу к классификации ИСПДн изменилось? Есть ли комментарии регуляторов к подобным документам в ЦФО, ПФО, СЗФО?
Что значит не существует? Десятки проверок ФСТЭК подтверждают, что существует. Ведь документов, описывающих, как классифицировать спецсистемы до сих пор нет.
ОтветитьУдалитьКлассификация ИСПДн состоит из 2х этапов: сбор исх.данных и присвоение ИС класса (п.4 Положения о классификации). Т.е. если не присвоен класс значит классификация не проведена. С типовыми ИСПДн все понятно. Для специальных ИСПДн различают шесть классов информационных систем, также обозначаемых через АК1...АК6 (п.4.3 Методических рекомендаций по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, утверждены руководством 8 Центра
ОтветитьУдалитьФСБ России 21 февраля 2008 года № 149/5-144). Т.е. все есть.
Хотя со словом "характеристика" я погорячился, но специальная и типова это не классы ИСПДн. Определив ИСПДн как специальную (типовую) Вы определили только исходные данные и по факту (п.4 Положения) классификацию не провели.
Но здесь есть казус. Модель угроз по документам ФСБ строится только для специальных ИСПДн и только если для их безопасности используются СКЗИ, соответственно классы АК1,...АК6 предназначены только для них. А если СКЗИ не используются получаем ИС для которой не применимы классы типовой и специальной ИСПДн ;(
ОтветитьУдалитьС учетом высокой вероятности реализации угрозы - получения рекомендации в акте комиссии ФСТЭК присвоить системе один из классов типовой ИСПДн (в независимости от типа ИСПДн) и большим гемо-ем с переделкой документов думаю присвоить специальной ИСПДн "гибридный" класс.
ОтветитьУдалитьЮрий, между нами разница в том, что я видел уже несколько десятков актов классификации, прошедших ФСТЭК, которая не имела претензий к классу "специальный". А вы только в начале пути ;-)
ОтветитьУдалитьЧто касается модели угроз ФСБ, то ее на практике вообще не применить, т.к. требуется знание информации из секретных документов, которые недоступны даже многим лицензиатам. Поэтому та же ФСБ говорит просто - пользуйтесь моделью ФСТЭК. Есть угроза нарушения конфиденциальности? Используйте СКЗИ. В абсолютном большинстве случаев модель нарушителя будет Н1/Н2. А всякие классы АК - это вообще ни о чем. На практике эта информация не применяется и знание этого класса никак не влияет на выбор СКЗИ по той же методике ФСБ.