Pages - Menu

Страницы

25.9.09

Типовой акт классификации ИСПДн

Для курса по персданным сваял типовой акт классификации ИСПДн. Это некоторая компиляция из разбросанных по Интернет примеров акта классификации.

Типовой акт классификации специальной ИСПДн

30 комментариев:

  1. А есть уже живые примеры реакции проверяльщиков на предъявление подобных актов?

    ОтветитьУдалить
  2. Подобных? Есть. Нормальная реакция. Именно этого - нет, я его недавно разработал ;-) Но т.к. форма акта классификации никем и нигде не определена, то я не вижу проблем с регуляторами.

    ОтветитьУдалить
  3. Я не про конкретно эту, именно про подобные. С формой тоже понятно, меня интересовало не вызывает ли противодействие сам факт движения в этом направлении. ОК, ясно, новости хорошие.

    ОтветитьУдалить
  4. Вызывает ;-) Но этот акт сделан в полном соответствии с ПП-781 и Приказом трех. Так что любые наезды можно спокойно блэкхолить ;-) Или просить правовое основание для пересмотра класса.

    ОтветитьУдалить
  5. Так уж прям и в полном! Вот, например, у кого-нибудь 40 тысяч субъектов, но они в пределах организации - ну и как ваш проверяющий увидит, что третий класс присвоен обоснованно, если про пределы не упомянуто.
    з.ы. А "виды ПДн" - это откуда?

    ОтветитьУдалить
  6. А у меня нет третьего класса ;-) У меня все системы специальные ;-) Поэтому хоть в пределах всей РФ в целом ;-)

    ОтветитьУдалить
  7. В новой редакции документа ФСТЭК "Рекомендации..." порядок классификации уточнён... и специальным системам присваивается такой же класс как и типовым.

    зы. только это противоречит приказу трёх. чем дальше, тем интересней)))

    ОтветитьУдалить
  8. Анонимному: Посмотреть бы на эту редакцию ;-)

    Но если классификация такая же, то действительно вопросов возникает немало. Если и для типовых и для специальных систем будут одни и те же требования, то и Приказ трех теряет смысл, да и здравый смысл у ФСТЭК совсем пропал ;-( Если текущие требования "Основных мероприятий" оставят для типовых, а для спецсистем будут разработаны новые, то на чем они будут базироваться непонятно в принципе - выше гостайны у нас ничего нет, а текущие требования и то выше в ряде разделов. Если текущие требования отдадут под специальные, то когда же тогда выпустят требования для типовых?

    ЗЫ. А речь идет именно о новой редакции, а не изменении текущей?

    ОтветитьУдалить
  9. Для спец. систем никто ничего не будет разрабатывать. Они говорят мы дали вам требования по конфиденциальности ("Основные мероприятия"), а для целостности ПДн и доступности ИСПДн ищите сами, разрабатывайте модель угроз и их нетрализуйте.

    зы. Это не новые документы, они просто изданы в твёрдом (зелёном, привет военным) переплёте с некоторыми изменениями. Так например уже в явном виде заданы требования по исп. во всех ИСПДн серт. СЗИ, на что они должны проходить серт. не указано. Если на треб. "Основных мероп..." то это бред)))

    ОтветитьУдалить
  10. В подтверждении слов анонимного 1, у нас тоже появились новые версии документов ФСТЭК. В них исправлены грамматические и орфографические ошибки, уточнены вопросы классификации и написания моделей угроз для специальных систем, внесены изменения в классификационные признаки угроз базовой модели угроз.

    Алексей, ваш Акт классификации крайне неудачен. Достаточно ожидаемо было, что классы типовых систем перейдут на специальные!


    Анонимный 2

    ОтветитьУдалить
  11. кстати, а почему оформление не по ГОСТу? Какие-то синие рамочки...

    ОтветитьУдалить
  12. А почему оформление не по ГОСТу? Какие-то синие рамочки...

    ОтветитьУдалить
  13. Анонимному 1: Ну если это не новые, а обновленные документы, то откуда оператор, уже их получивший, должен знать о них и соблюдать? Парадокс?

    Анонимному 2: В чем неудачность акта? Он сделан точно по Приказу трех. Только вывод сделан таким, каким он мне кажется наиболее выгодным для оператора в текущих условиях.

    Анонимному 3: А где написано, что должно быть по ГОСТу?

    Всем анонимным: А кто может прислать эту обновленную версию для изучения? Обязуюсь не разглашать источник получения. Мой мейл: alukatsky at mail dot ru

    ОтветитьУдалить
  14. Нормальный акт. В методичке, которая приходила к нам весной примерно такой.

    ОтветитьУдалить
  15. От нашего регионального ФСТЭК были рекомендации по работе с ПД в ИСПДн

    ОтветитьУдалить
  16. Наш региональный ФСТЭК тоже издал методичку. Я на нее тогда особого внимания не обратил, заметив явное противоречие с приказом трех именно в вопросе типовых-специальных ИСПДн. Похоже опрометчиво :)

    ОтветитьУдалить
  17. Доброго времени суток!
    Расскажите, пожалуйста, новичку, как добывают ФСТЭК'овские методички? Как понять, кто является "региональным ФСТЭК" для Белгорода?

    ОтветитьУдалить
  18.     Вы имеете в виду, мне на этой страничке должен помочь пункт "Перечень территориальных органов, почтовые адреса, номера контактных телефонов"? А кроме заголовка я там больше ничего не вижу.
        Или всё проще - "территориальный орган ФСТЭК" в моём случае находится в Москве?

    ОтветитьУдалить
  19. Если вам нужны официальные документы, то звоните или пишите в московское управление. Если просто почитать, то и в Инет можно найти.

    ОтветитьУдалить
  20. Класса специальная ИСПДН не существует, это её характеристика безопасности. Регуляторами установлены классы К1, К2... или АК1, АК2, и т.д.;)
    Алексей, я сейчас формирую акт классификации в своей организации и интересно Ваше мнение по подходу к классификации ИСПДн изменилось? Есть ли комментарии регуляторов к подобным документам в ЦФО, ПФО, СЗФО?

    ОтветитьУдалить
  21. Что значит не существует? Десятки проверок ФСТЭК подтверждают, что существует. Ведь документов, описывающих, как классифицировать спецсистемы до сих пор нет.

    ОтветитьУдалить
  22. Классификация ИСПДн состоит из 2х этапов: сбор исх.данных и присвоение ИС класса (п.4 Положения о классификации). Т.е. если не присвоен класс значит классификация не проведена. С типовыми ИСПДн все понятно. Для специальных ИСПДн различают шесть классов информационных систем, также обозначаемых через АК1...АК6 (п.4.3 Методических рекомендаций по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, утверждены руководством 8 Центра
    ФСБ России 21 февраля 2008 года № 149/5-144). Т.е. все есть.
    Хотя со словом "характеристика" я погорячился, но специальная и типова это не классы ИСПДн. Определив ИСПДн как специальную (типовую) Вы определили только исходные данные и по факту (п.4 Положения) классификацию не провели.

    ОтветитьУдалить
  23. Но здесь есть казус. Модель угроз по документам ФСБ строится только для специальных ИСПДн и только если для их безопасности используются СКЗИ, соответственно классы АК1,...АК6 предназначены только для них. А если СКЗИ не используются получаем ИС для которой не применимы классы типовой и специальной ИСПДн ;(

    ОтветитьУдалить
  24. С учетом высокой вероятности реализации угрозы - получения рекомендации в акте комиссии ФСТЭК присвоить системе один из классов типовой ИСПДн (в независимости от типа ИСПДн) и большим гемо-ем с переделкой документов думаю присвоить специальной ИСПДн "гибридный" класс.

    ОтветитьУдалить
  25. Юрий, между нами разница в том, что я видел уже несколько десятков актов классификации, прошедших ФСТЭК, которая не имела претензий к классу "специальный". А вы только в начале пути ;-)

    Что касается модели угроз ФСБ, то ее на практике вообще не применить, т.к. требуется знание информации из секретных документов, которые недоступны даже многим лицензиатам. Поэтому та же ФСБ говорит просто - пользуйтесь моделью ФСТЭК. Есть угроза нарушения конфиденциальности? Используйте СКЗИ. В абсолютном большинстве случаев модель нарушителя будет Н1/Н2. А всякие классы АК - это вообще ни о чем. На практике эта информация не применяется и знание этого класса никак не влияет на выбор СКЗИ по той же методике ФСБ.

    ОтветитьУдалить

Примечание. Отправлять комментарии могут только участники этого блога.