Лежит у меня перед глазами акт классификации одной ИСПДн, подготовленный крупным ИТ/ИБ-интегратором для одного своего заказчика. На каких исходных данных строился данный акт? Категория ПДн - 3, значение ПДн - 1. Какой итоговой класс должен быть у ИСПДн? Если следовать п.15 "Приказа трех", то класс будет К2. Ан нет... Интегратор, являющийся лицензиатом ФСТЭК и называющий себя одним из лидеров рынка защиты ПДн в России, классифицировал систему не по п.15, а по п.14, т.е. опирался на ущерб субъектам ПДн. Он здраво посчитал, что ущерб субъектам будет незначительным и поэтому класс ИСПДн будет... К3. Вот такой интересный поворот. И написано, казалось бы в приказе одно, а вывод лицензиат делает другой. А учитывая, что ФСТЭК на своих мероприятиях говорила, что все, что делают лицензиаты, делается "от имени и по поручению", то вариант становится вполне себе интересным.
ЗЫ. В начале ноября клуб 4CIO провел конференцию "152 ФЗ - основные ловушки и способы разминирования". Материалы выложены на сайте. Там же дана ссылка на методическое пособие, которое 4CIO разработал для своих членов в части облегчения бремени выполнения ФЗ-152.
Подписаться на:
Комментарии к сообщению (Atom)
24 коммент.:
Дак если система специальная, то классифицируется по модели угроз.
И как раз выходит на вычисление ущерба субъектам ПД )))
Так оно и есть, не раз слышали про устные ответы ФСТЭКовцев, о том, что, если угрозы незначительные, то можно снизить класс. С выбором класса ваще очень плохо, например, обрабатывает ИСПДн только данные 10ти работников, и записывают еще итоги мед. комиссии и всё сразу К1 чтоли ставить.
Кстати, К3 - это еще скромно.
Встречали мы когда, используя этот же пункт приказа люди ставили К4 - и проходили проверку Роскомнадзора (который вроде как должен выявлять случаи неправильной классификации).
Можно еще принять во внимание, что методики обязательны только для государственных ИСПДн.
По опыту создания СЗИ, во многих случаях модель угроз может не соотноситься с рекомендациями (требованиями) по защите. Отсюда и желание иметь некий коридор вариантов по снижению класса. Т.е. предположительно в той табличке ФСТЭК привел некий максимальный (специальный) вариант, по которому уж точно всё безопасно, а это ведь ответственность. Но как известно, есть критерий разумной достаточности.
"Разумная достаточность" - это когда от угроз выходят на требования, а не наоборот))
Здравствуйте.
Есть ли возможность скачать данные материалы с другого ресурса? Проблема в том, что не все презентации удается скачать.
Это к организаторам
Вот раскрутится человек на деньги крупного вендора, и все остальные для него - никто.
Ну как можно так не уважать своих читателей, чтобы написать такую фигню:
"Категория ПДн - 3, значение ПДн - 1"
И что это значит?
Я-то понял, что речь идет о коэффициенте Xнпд.
А как насчет менее продвинутых?
Вот начитаются таких блогов, а потом классифицируют, как Бог на душу положит.
Если Вам не нравится, Вас никто не заставляет читать. Зачем портить себе настроение на весь день?
Анонимный пишет:
Дак если система специальная, то классифицируется по модели угроз.
И как раз выходит на вычисление ущерба субъектам ПД )))
Отвечаю как аноним анониму. :)
Идите на сайт ФСТЭК, возьмите рассекреченный методический документ "Рекомендации..." и классифицируйте специальные ИСПДн не по Модели угроз, как это Вам это сейчас кажется, а обычным порядком.
Смысл в том, что методические документы ФСТЭК России пережили четыре рождения:
первое - в феврале 2008 г.; в них порядок классификации в точности копировал "приказ трёх";
второе - месяцами позже, когда рассылка документов была передана в ГНИИИ ПТЗИ (г. Воронеж). При подготовке документов к рассылке в них были введены "технические коректировки", в том числе снимающие несуразицы с разным толкованием порядка классификации типовых и специальных ИСПДн.
Третье - в октябре 2009 г., когда 2 документа были частично рассекречены и выложены на сайте ФСТЭК.
И четвертое - 11 ноября, когда три документа специальным решением ФСТЭК России были рассекречены полностью, а четвертый - почти полностью.
Читайте, наслаждайтесь!
И чтобы избежать неоднозначностей, при классификации используйте не "приказ трех", а рекомендации ФСТЭК в четвертой итерации.
Да, приказ по статусу выше. Но ФСБ и Минкомсвязь подписывать его, на мой взгляд, не должны были. Не понимают они в этом ничего. Не занимались этим никода. Недосмотрел премьер, что лишние они в этом процессе. Потому и сейчас акты классификации ФСБ и Минкосвязь не проверяют и не критикуют. Не их это дело...
На сколько мне известно классификацию специальных ИСПД согласно модели угроз можно было производить, но "Рекомендации ...." претерпели изменения и теперь класс ИСПДн можно определить только по таблице. Цитирую "Применительно к специальным информационным системам после определения класса системы оператором должна быть разработана модель угроз безопасности персональных данных с использованием методических документов...."
Алексей Лукацкий пишет...
Если Вам не нравится, Вас никто не заставляет читать. Зачем портить себе настроение на весь день?
Мне очень нравится. Когда я вижу, что конкуренты работают хуже, у меня отличное настроение!
Просто кроме меня есть другие читатели. Зачем их-то заставлять голову ломать над своими ребусами?
Конкуренты? Это вообще-то личный блог. И пока никто не писал, что мои заметки непонятны ;-) Может в консерватории что-то поменять пора?
Скажете как там дела с внесением изменением в 152 обстоят???
С интеграторами все давно понятно - сейчас с кадрами в защите перс данных напряженка, и не такое могли написать. Всем ведь уже давно понятно, что класс-ничто, модель-всё. :-) Делаем модель угроз и пальцем в небо устанавливаем требования из перечня требований по классам. НУ конечно обойти использование сертифицированных средств таким образом не получится, а жаль.
Подскажите а саму упомянутую на семинаре методичку скачать где-то можно?
На каком семинаре?
методическом пособие http://www.4cio.ru/LinkClick.aspx?fileticket=akFKAq8tOQs%3D&tabid=36
Методическое пособие http://www.4cio.ru/LinkClick.aspx?fileticket=akFKAq8tOQs%3D&tabid=36
Наглядный пример - создай СЗПДн и все у тебя будет работать с такой же скоростью как сайт http://www.4cio.ru
Правильно! Тормоза придумали трусы!
Анонимный пишет...
>Скажете как там дела с внесением изменением >в 152 обстоят???
Вчера и "большой" законопроект Резника прошел в первом чтении в ГД
http://asozd2.duma.gov.ru/main.nsf/(Spravka)?OpenAgent&RN=282499-5&12
См. последняя строка
Он не прошел. Резник всего лишь порекомендовал свой законопроект принять в первом чтении.
>Он не прошел.
Согласен, несколько поторопился..)
Более того.. даже не определена пока дата рассмотрения.
Отправить комментарий