1.12.09

Интересный вариант классификации ИСПДн

Лежит у меня перед глазами акт классификации одной ИСПДн, подготовленный крупным ИТ/ИБ-интегратором для одного своего заказчика. На каких исходных данных строился данный акт? Категория ПДн - 3, значение ПДн - 1. Какой итоговой класс должен быть у ИСПДн? Если следовать п.15 "Приказа трех", то класс будет К2. Ан нет... Интегратор, являющийся лицензиатом ФСТЭК и называющий себя одним из лидеров рынка защиты ПДн в России, классифицировал систему не по п.15, а по п.14, т.е. опирался на ущерб субъектам ПДн. Он здраво посчитал, что ущерб субъектам будет незначительным и поэтому класс ИСПДн будет... К3. Вот такой интересный поворот. И написано, казалось бы в приказе одно, а вывод лицензиат делает другой. А учитывая, что ФСТЭК на своих мероприятиях говорила, что все, что делают лицензиаты, делается "от имени и по поручению", то вариант становится вполне себе интересным.

ЗЫ. В начале ноября клуб 4CIO провел конференцию "152 ФЗ - основные ловушки и способы разминирования". Материалы выложены на сайте. Там же дана ссылка на методическое пособие, которое 4CIO разработал для своих членов в части облегчения бремени выполнения ФЗ-152.

24 коммент.:

Анонимный комментирует...

Дак если система специальная, то классифицируется по модели угроз.
И как раз выходит на вычисление ущерба субъектам ПД )))

Анонимный комментирует...

Так оно и есть, не раз слышали про устные ответы ФСТЭКовцев, о том, что, если угрозы незначительные, то можно снизить класс. С выбором класса ваще очень плохо, например, обрабатывает ИСПДн только данные 10ти работников, и записывают еще итоги мед. комиссии и всё сразу К1 чтоли ставить.

doom комментирует...

Кстати, К3 - это еще скромно.
Встречали мы когда, используя этот же пункт приказа люди ставили К4 - и проходили проверку Роскомнадзора (который вроде как должен выявлять случаи неправильной классификации).

CI комментирует...

Можно еще принять во внимание, что методики обязательны только для государственных ИСПДн.
По опыту создания СЗИ, во многих случаях модель угроз может не соотноситься с рекомендациями (требованиями) по защите. Отсюда и желание иметь некий коридор вариантов по снижению класса. Т.е. предположительно в той табличке ФСТЭК привел некий максимальный (специальный) вариант, по которому уж точно всё безопасно, а это ведь ответственность. Но как известно, есть критерий разумной достаточности.

Анонимный комментирует...

"Разумная достаточность" - это когда от угроз выходят на требования, а не наоборот))

Анонимный комментирует...

Здравствуйте.
Есть ли возможность скачать данные материалы с другого ресурса? Проблема в том, что не все презентации удается скачать.

Алексей Лукацкий комментирует...

Это к организаторам

Анонимный комментирует...

Вот раскрутится человек на деньги крупного вендора, и все остальные для него - никто.
Ну как можно так не уважать своих читателей, чтобы написать такую фигню:
"Категория ПДн - 3, значение ПДн - 1"
И что это значит?
Я-то понял, что речь идет о коэффициенте Xнпд.
А как насчет менее продвинутых?
Вот начитаются таких блогов, а потом классифицируют, как Бог на душу положит.

Алексей Лукацкий комментирует...

Если Вам не нравится, Вас никто не заставляет читать. Зачем портить себе настроение на весь день?

Анонимный комментирует...

Анонимный пишет:
Дак если система специальная, то классифицируется по модели угроз.
И как раз выходит на вычисление ущерба субъектам ПД )))

Отвечаю как аноним анониму. :)
Идите на сайт ФСТЭК, возьмите рассекреченный методический документ "Рекомендации..." и классифицируйте специальные ИСПДн не по Модели угроз, как это Вам это сейчас кажется, а обычным порядком.
Смысл в том, что методические документы ФСТЭК России пережили четыре рождения:
первое - в феврале 2008 г.; в них порядок классификации в точности копировал "приказ трёх";
второе - месяцами позже, когда рассылка документов была передана в ГНИИИ ПТЗИ (г. Воронеж). При подготовке документов к рассылке в них были введены "технические коректировки", в том числе снимающие несуразицы с разным толкованием порядка классификации типовых и специальных ИСПДн.
Третье - в октябре 2009 г., когда 2 документа были частично рассекречены и выложены на сайте ФСТЭК.
И четвертое - 11 ноября, когда три документа специальным решением ФСТЭК России были рассекречены полностью, а четвертый - почти полностью.

Читайте, наслаждайтесь!
И чтобы избежать неоднозначностей, при классификации используйте не "приказ трех", а рекомендации ФСТЭК в четвертой итерации.
Да, приказ по статусу выше. Но ФСБ и Минкомсвязь подписывать его, на мой взгляд, не должны были. Не понимают они в этом ничего. Не занимались этим никода. Недосмотрел премьер, что лишние они в этом процессе. Потому и сейчас акты классификации ФСБ и Минкосвязь не проверяют и не критикуют. Не их это дело...

Анонимный комментирует...

На сколько мне известно классификацию специальных ИСПД согласно модели угроз можно было производить, но "Рекомендации ...." претерпели изменения и теперь класс ИСПДн можно определить только по таблице. Цитирую "Применительно к специальным информационным системам после определения класса системы оператором должна быть разработана модель угроз безопасности персональных данных с использованием методических документов...."

Анонимный комментирует...

Алексей Лукацкий пишет...
Если Вам не нравится, Вас никто не заставляет читать. Зачем портить себе настроение на весь день?

Мне очень нравится. Когда я вижу, что конкуренты работают хуже, у меня отличное настроение!
Просто кроме меня есть другие читатели. Зачем их-то заставлять голову ломать над своими ребусами?

Алексей Лукацкий комментирует...

Конкуренты? Это вообще-то личный блог. И пока никто не писал, что мои заметки непонятны ;-) Может в консерватории что-то поменять пора?

Анонимный комментирует...

Скажете как там дела с внесением изменением в 152 обстоят???

Алексей Т. комментирует...

С интеграторами все давно понятно - сейчас с кадрами в защите перс данных напряженка, и не такое могли написать. Всем ведь уже давно понятно, что класс-ничто, модель-всё. :-) Делаем модель угроз и пальцем в небо устанавливаем требования из перечня требований по классам. НУ конечно обойти использование сертифицированных средств таким образом не получится, а жаль.

Анонимный комментирует...

Подскажите а саму упомянутую на семинаре методичку скачать где-то можно?

Алексей Лукацкий комментирует...

На каком семинаре?

Анонимный комментирует...

методическом пособие http://www.4cio.ru/LinkClick.aspx?fileticket=akFKAq8tOQs%3D&tabid=36

Анонимный комментирует...

Методическое пособие http://www.4cio.ru/LinkClick.aspx?fileticket=akFKAq8tOQs%3D&tabid=36

Анонимный комментирует...

Наглядный пример - создай СЗПДн и все у тебя будет работать с такой же скоростью как сайт http://www.4cio.ru

Анонимный комментирует...

Правильно! Тормоза придумали трусы!

Tiger комментирует...

Анонимный пишет...

>Скажете как там дела с внесением изменением >в 152 обстоят???


Вчера и "большой" законопроект Резника прошел в первом чтении в ГД

http://asozd2.duma.gov.ru/main.nsf/(Spravka)?OpenAgent&RN=282499-5&12

См. последняя строка

Алексей Лукацкий комментирует...

Он не прошел. Резник всего лишь порекомендовал свой законопроект принять в первом чтении.

Tiger комментирует...

>Он не прошел.
Согласен, несколько поторопился..)
Более того.. даже не определена пока дата рассмотрения.