Бизнес безопасности или безопасность бизнеса? О том и о другом в одном непросветительском блоге от еще неиностранного агента... Имеющий мозг да применит его (6+)
Pages - Menu
▼
Страницы
▼
19.11.09
Документы ФСТЭК по ПДн - новый статус
Наверное для многих это уже не новость, но все-таки: 12-го (или 11-го) ноября ФСТЭК сняла гриф ДСП с двух своих документов по персданным. Сами документы тоже обновились, но очень незначительно. Скачать их можно с сайта ФСТЭК:
1) в "Рекомендациях" изменилась часть касающаяся процесса классификации по вопросу типовые/специальные 2) в "Требованиях" изменились требования к криптографической подсистеме ИСПДн первого класса
Есть предположения, что должны были исправиться многочисленные ошибки, но нет времени проверить.
Это всё в сравнении с первичной печатной редакцией документов. Кстати, в нашем ФСТЭК при разговоре об изменениях говорят, что изменилась только часть про типовые/специальные системы. В остальные изменения приходится им же показывать пальцем.
Значит так, буду без цитат - по памяти. В части специальных и типовых: в первоначальном варианте рекомендации копируют приказ ФСТЭК, ФСБ, Минсвязи.
По новой редакции типовая система и специальная система не являются взаимоисключающими характеристиками. Более подробно можете посмотреть в документе. ФСТЭК, ясен перец, рекомендует пользоваться новой версией. Аргументируя тем, что над приказом уже разбираются в Москве и собираются его приводить в такой же вид.
В части криптографической подсистемы прошу пардону. Поторопился радоваться. По старой редакции (и по выложенному файлу без грифа ДСП) получается что необходимо шифровать данные в каналах связи, на серверах. В выписке же присутствовала только строчка о необходимости применения сертифицированных СКЗИ.
Причем опять же, в самом ФСТЭК при малейшем упоминании слова "криптография" отправляют в ФСБ, а при подробном разъяснении о том, что про СКЗИ указано в их же документах говорят что-то вроде "мы предъявляем требования только к тому что криптографические средства должны быть сертифицированными".
В общем хрен редьки не слаще. Была б возможность обоснованно назвать хоть одну угрозу для ИСПДн первого класса неактуальной, вопросов было бы гораздо меньше.
А что мешает назвать угрозы неактуальными? Например, внутри локальной сети перехват трафика считать неактуальным, тем самым защищая себя от использования СКЗИ внутри сети. Что, собственно, и рекомендует делать ФСБ.
Алексей, собственно сама методика и мешает. Сейчас объясню:
из "порядка о проведении классификации": класс 1 (К1) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных;
Из методики определения актуальности: высокая опасность - если реализация угрозы может привести к значительным негативным последствиям для субъектов персональных данных.
И не трудно увидеть, что угроза имеющая высокую опасность, независимо от возможности реализации, является актуальной.
Таким образом получаем минимум - любая угроза влияющая на конфиденциальность (либо другие определённые характеристики) актуальна.
Ну не совсем так, все-таки. Актуальность - это комбинация вероятности и ущерба. Если у вас ущерб не высокий, а средний, то и угроза уже не актуальная становится при низкой вероятности.
И опять же. Я не обязан использовать только методику ФСТЭК (тем более, что их у нее две как минимум). Я могу взять методику ЦБ. А по ней даже при высоком ущербе, но минимальной вероятности, угроза неактуальная.
Отправил недавно запрос в любимый ФСТЭК о разъяснении, что-то вроде "Какой методикой определения актуальности руководствоваться, и чем ограничен мой выбор?"
Думаю в течении недели будет ответ, оттуда уже плясать. В любом случае это лазейка для проверяющих, если захотят прикопаться к неактуальным угрозам.
А вот вопрос, напрямую не связанный с обсуждаемой темой: Удалось ли кому до конца определиться с различиями между лицензируемыми ФСТЭК видами деятельности? Проектирование АС в защищенном исполнении и далее поставка (покупных), монтаж, пусконаладка, сервисное обслуживание, СЗИ, это какие из трех последних (http://www.fstec.ru/_razd/_lico.htm) видов деятельности? Более подробный по составу за номером IV и номер VI, краткий, но явно упоминающий КИ. Номер V - вообще обо всем
Ну что ж, ответ есть. Ссылка на п. 2.9 "Основных мероприятий..." и однозначное толкование о необходимости использования "Методики определения актуальных угроз..."
А что изменилось, скажите пожалуйста?
ОтветитьУдалить1) в "Рекомендациях" изменилась часть касающаяся процесса классификации по вопросу типовые/специальные
ОтветитьУдалить2) в "Требованиях" изменились требования к криптографической подсистеме ИСПДн первого класса
Есть предположения, что должны были исправиться многочисленные ошибки, но нет времени проверить.
Это всё в сравнении с первичной печатной редакцией документов.
Кстати, в нашем ФСТЭК при разговоре об изменениях говорят, что изменилась только часть про типовые/специальные системы. В остальные изменения приходится им же показывать пальцем.
Забавно, что там стоит копирайт ФСТЭКа. Документы, созданные государством, могут распространяться свободно (если они не классифицированы).
ОтветитьУдалитьto Алексей Кузнецов =>
ОтветитьУдалитьАлексей, если Вас не затруднит, укажите, пожалуйста, поконкретнее на изменения !
Beeven
ОтветитьУдалитьПосле вступления в силу 4 части ГК у нас из законодательства исчезли значки копирайта.
ZZubra
2 Beeven
ОтветитьУдалитьНу распространяться-то они могут свободно, но указывать государство как автора необходимо обязательно))
Значит так, буду без цитат - по памяти.
ОтветитьУдалитьВ части специальных и типовых:
в первоначальном варианте рекомендации копируют приказ ФСТЭК, ФСБ, Минсвязи.
По новой редакции типовая система и специальная система не являются взаимоисключающими характеристиками. Более подробно можете посмотреть в документе. ФСТЭК, ясен перец, рекомендует пользоваться новой версией. Аргументируя тем, что над приказом уже разбираются в Москве и собираются его приводить в такой же вид.
В части криптографической подсистемы прошу пардону. Поторопился радоваться.
По старой редакции (и по выложенному файлу без грифа ДСП) получается что необходимо шифровать данные в каналах связи, на серверах.
В выписке же присутствовала только строчка о необходимости применения сертифицированных СКЗИ.
Причем опять же, в самом ФСТЭК при малейшем упоминании слова "криптография" отправляют в ФСБ, а при подробном разъяснении о том, что про СКЗИ указано в их же документах говорят что-то вроде "мы предъявляем требования только к тому что криптографические средства должны быть сертифицированными".
В общем хрен редьки не слаще.
Была б возможность обоснованно назвать хоть одну угрозу для ИСПДн первого класса неактуальной, вопросов было бы гораздо меньше.
А что мешает назвать угрозы неактуальными? Например, внутри локальной сети перехват трафика считать неактуальным, тем самым защищая себя от использования СКЗИ внутри сети. Что, собственно, и рекомендует делать ФСБ.
ОтветитьУдалитьАлексей, собственно сама методика и мешает.
ОтветитьУдалитьСейчас объясню:
из "порядка о проведении классификации":
класс 1 (К1) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных;
Из методики определения актуальности:
высокая опасность - если реализация угрозы может привести к значительным негативным последствиям для субъектов персональных данных.
И не трудно увидеть, что угроза имеющая высокую опасность, независимо от возможности реализации, является актуальной.
Таким образом получаем минимум - любая угроза влияющая на конфиденциальность (либо другие определённые характеристики) актуальна.
Ну не совсем так, все-таки. Актуальность - это комбинация вероятности и ущерба. Если у вас ущерб не высокий, а средний, то и угроза уже не актуальная становится при низкой вероятности.
ОтветитьУдалитьИ опять же. Я не обязан использовать только методику ФСТЭК (тем более, что их у нее две как минимум). Я могу взять методику ЦБ. А по ней даже при высоком ущербе, но минимальной вероятности, угроза неактуальная.
to Алексей Кузнецов
ОтветитьУдалитьА зачем обязательно использовать эту ущербную методику? У нас других нет под рукой? или просто лениво поискать/почитать?
А вот тут интересно :)
ОтветитьУдалитьОтправил недавно запрос в любимый ФСТЭК о разъяснении, что-то вроде "Какой методикой определения актуальности руководствоваться, и чем ограничен мой выбор?"
Думаю в течении недели будет ответ, оттуда уже плясать.
В любом случае это лазейка для проверяющих, если захотят прикопаться к неактуальным угрозам.
Огласите потом результаты ;-)
ОтветитьУдалитьА вот вопрос, напрямую не связанный с обсуждаемой темой:
ОтветитьУдалитьУдалось ли кому до конца определиться с различиями между лицензируемыми ФСТЭК видами деятельности? Проектирование АС в защищенном исполнении и далее поставка (покупных), монтаж, пусконаладка, сервисное обслуживание,
СЗИ, это какие из трех последних (http://www.fstec.ru/_razd/_lico.htm) видов деятельности?
Более подробный по составу за номером IV и номер VI, краткий, но явно упоминающий КИ. Номер V - вообще обо всем
Ну что ж, ответ есть.
ОтветитьУдалитьСсылка на п. 2.9 "Основных мероприятий..." и однозначное толкование о необходимости использования "Методики определения актуальных угроз..."