tag:blogger.com,1999:blog-4065770693499115314.post2994098320457317457..comments2023-10-02T12:01:53.774+03:00Comments on Бизнес без опасности: Сценарий ухода от К1/К2Алексей Лукацкийhttp://www.blogger.com/profile/08434361034703403028noreply@blogger.comBlogger14125tag:blogger.com,1999:blog-4065770693499115314.post-85665362220401379382009-06-18T16:34:09.273+04:002009-06-18T16:34:09.273+04:00Алексей,
Описанный способ по идее не раз и не два...Алексей,<br /><br />Описанный способ по идее не раз и не два подымался на просторах сети и очного общения - это факт, правда с флагами и песнями радостно мало кто бежит в сторону спецИСПДн. Спасибо за то очередной раз почти по полочкам разложили этот способ, но честно говоря, когда увидел заголовок я то подумал, что Вы будете давать интересную трактовку разницы между 2 и 3 категорией персональных данных, которые различаются если помните припиской про "дополнительную информацию"...<br />Что касается спецИСПДн, то на мой взгляд здесь несколько "неприятностей" - класс присвоить всё-таки в любом случае. Есть несколько версий о том как это сделать. Первая основные характеристики по которым присваивается класс системе не зависит от того, типовая она или специальная, количество и качество ПДн оценить оператор всегда может. следовательно исходя только из этих 2х характеристик можно и присвоить класс... насколько я понял регуляторы в принципе так и полагают. Есть правда мнение ещё одного представителя ФСТЭК, которое звучит примерно так - берём базовую модель составляем частную, на основе неё список контрмер, а затем (внимание!) выполняя реверсную операцию по "Мероприятиям" по анализу мероприятий по классам подбираем подходящий класс. Бред, конечно, но такие там ребята бывают<br />Вторая "не радость" - собственно методика определения актуальности. Не у каждого оператора есть эксперты для такого действа. Слава богу, нет никаких требований к качеству этих экспертов (типа образования, опыта и тп) так что сойдёт любой.. Но ведь формулу-то подсчёта, я думаю, многие смотрели и прояснили для себя что для отнесения угрозы к неактуальной надо сильно постараться...<br /><br />А так способ надо назвать "как уйти из под "Основных мероприятий.."" и можно продавать))Иван Клименкоhttps://www.blogger.com/profile/10064967691206356225noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-45297055645934611402009-05-29T12:17:50.784+04:002009-05-29T12:17:50.784+04:00malotavr: Ну примерно так и есть. На вопрос ФСТЭКу...<B>malotavr:</B> Ну примерно так и есть. На вопрос ФСТЭКу, может ли одна и та же компания разрабатывать модель и список мер, а потом аттестовать по ним же, ФСТЭК ответила, что да ;-)<br /><br /><B>Quiet Zone:</B> Можно, но не так эффективно и быстро. У банков есть СТО. У страховщиков такого стандарта нет ;-( Отраслевые стандарты есть (будут) у Газпрома и РЖД. Они тоже могут попытаться пойти по пути АРБ.<br /><br /><B>Nikita:</B> Позиция простая. Угроза есть? Значит надо защищаться. Угрозы нет? Значит не надо защищаться. Но для общего случая такое требование вставим. Тоже по ПЭМИН. Общее требование во второй редакции останется, но его можно будет убрать из частной модели угроз.Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-55589823331704904472009-05-29T10:10:56.099+04:002009-05-29T10:10:56.099+04:00Подолью немножко масла в огонь по поводу НДВ.
Не ...Подолью немножко масла в огонь по поводу НДВ.<br /><br />Не совсем ясно каким образом регулятор пытается защитить несчастные ПД от учетки посредством программных закладок, если в соответствии с РД НДВ сертификация для конфиденциальной информации (которыми являются ПД) по 4 классу фактически является контролем правильности сборки программного продукта...<br /><br />На мой взгляд абсолютно абсурдное требования сертификации ПО используемого в ИСПДн по НДВ 4. Впрочем, так же как и по НДВ 3 - чай ПД не гостайна.Nikita Gergelhttps://www.blogger.com/profile/00423004731502309519noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-58782881593717924112009-05-29T10:09:33.431+04:002009-05-29T10:09:33.431+04:00Алексей - ждем с нетерпением))
ЗЫ Недавно общался ...Алексей - ждем с нетерпением))<br />ЗЫ Недавно общался с людьми из АРБ, предварительно напросился на следующее собрание рабочей группы АРБ 22 июня. Интересны возможности распространения решений и наработок рабочей группы на другие сегменты финансового сектора (страховые компании, например;) Как думаешь, теоретически возможно такое?Quiet Zonenoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-89406558623646468752009-05-28T23:54:07.956+04:002009-05-28T23:54:07.956+04:00"Вы даже согласовывать ее не обязаны ни с кем."
К..."Вы даже согласовывать ее не обязаны ни с кем."<br /><br />Как-то общался с представителем аккредитованного "органа по аттестации". Он вкручивал как важно разраюотать "правильную" модль угроз (т.е. заплатить им за ее разработку). А то, мол, не аттестуем. Дальше диалог получился забавный:<br />- В смысле, не аттестуете?<br />- Ну, мы же должны проверить, адекватна ли ваша модель угроз?<br />- Адекватна чему?<br />- Вашей политике безопасности.<br />- Которую я сам же и написал?<br />- Э... Да. Вдруг вы там написали про угрозу утечек по ПЭМИН?<br />- Я похож на идиота?<br /><br />На этом, собственно, разговор и закончился :)malotavrhttps://www.blogger.com/profile/02506611549950622541noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-37341163422092349752009-05-28T19:51:37.986+04:002009-05-28T19:51:37.986+04:00По новым документам отвечу в понедельник. Сегодня ...По новым документам отвечу в понедельник. Сегодня на одном мероприятии встречался с ФСТЭК, ФСБ и РКН и узнал много нового. Надо все осмыслить и тогда все напишу.Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-72937252354877579972009-05-28T19:46:25.981+04:002009-05-28T19:46:25.981+04:001. В "Основных мероприятих" привязка к 4-м классам...1. В "Основных мероприятих" привязка к 4-м классам. Эти классы берутся из приказа "трех". А он определяет классификацию типовых систем. Спецсистемы, по мнению, регулятора - это отдельный класс, пятый ;-)<br /><br />2. Вы, и регулятор с этим согласен, вправе сами разработать модель угроз и перечень защитных мер. Вы даже согласовывать ее не обязаны ни с кем. Возьмите и исключите все, что не нужно. Вы вправе это сделать. Прикройтесь какой-нибудь методикой оценки рисков, которая покажет отсутствие угроз ПЭМИН и т.п.Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-85875841660872514222009-05-28T15:50:11.973+04:002009-05-28T15:50:11.973+04:00Ага, по пути построения частной модели угроз и спе...Ага, по пути построения частной модели угроз и специальных ИСПДн некоторые уже идут, что дает возможность, помимо прочего, подогнать решение под ответ, то есть построить модель угроз отталкиваясь от уже имеющейся СИБ. Остаются другие неясности (каким образом нужно декларировать соответствие ИСПДн, что именно должно быть написано в аттестате и тд)Quiet Zonenoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-18590122952386879912009-05-28T14:49:27.368+04:002009-05-28T14:49:27.368+04:00Сори! Имел в виду новые редакции документов ФСТЭК ...Сори! Имел в виду новые редакции документов ФСТЭК по ПДн.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-68347201582031855812009-05-28T14:47:52.581+04:002009-05-28T14:47:52.581+04:002Максим Бурий:
Думаю, исходя из методологии ГОСТ ...2Максим Бурий:<br /><br />Думаю, исходя из методологии ГОСТ ИСО 15408. Для каждой угрозы - свои меры и т.д. Классом тут будет набор угроз, а не буква с цифрой. Получается такой "макрокласс". И вот тут-то как раз и удастся не реализовать меры, которые реально не нужны.<br /><br />Идея не нова. Похоже, только так и можно обойти тот маразм с требованиями, который нынче в бумаге.<br /><br />Алексей, а что слышно о новых документах ФСТЭК? Может они требования скостят?Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-32405376741319779232009-05-28T14:44:21.122+04:002009-05-28T14:44:21.122+04:002Максим Бурий:
Навскидку, как я понял из общения с...2Максим Бурий:<br />Навскидку, как я понял из общения с нашими аналитиками, на основе модели угроз осуществляется оценка рисков. В соответствии с этой оценкой должны быть выработан комплекс контрмер. Ну а эти контрмеры, фактически уже являются требованиями к ИСПДн, в соответствии с которыми в дальнейшем осуществляется классификация. Удастся уйти в перечне контрмер от тех, что однозначно выводят на К1 - считай повезло, удалось снизить класс :)Жуков Алексейhttps://www.blogger.com/profile/06035933755218695297noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-13226420466343077852009-05-28T13:56:26.662+04:002009-05-28T13:56:26.662+04:002Sikorski
Поддерживаю. Я также понимаю логику этой...2Sikorski<br />Поддерживаю. Я также понимаю логику этой четвёрки документов.<br />Но вот задача: как определить класс спецИС, исходя из модели угроз (разработанной по собственному методу или по какому-нибудь фирменному методу)?Максим Бурийnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-14467347955443709142009-05-28T10:48:38.769+04:002009-05-28T10:48:38.769+04:00Алексей, вряд ли удастся обосновать неактуальность...Алексей, вряд ли удастся обосновать неактуальность упомянутого ряда угроз в "своей" модели, а значит не получится<br /><br />"не включать такие, безусловно, "важные" требования по защите моей фамилии или факта о болезни ОРВИ, как борьба с ПЭМИН, виброакустикой, видеоперехватом и т.д."Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-68942674531733645232009-05-28T10:11:17.654+04:002009-05-28T10:11:17.654+04:00Э-э-э... А можно поподробнее на тему требований им...Э-э-э... А можно поподробнее на тему требований именно к <I>типовым</I> ИСПДн в "Мероприятиях"? Что-то я такого найти не могу... Там, вроде как, вообще нет ссылок на типовые и специальные ИСПДн. Зато в "Рекомендациях" черным по белому указано "По результатам анализа исходных данных <B>класс</B> специальной информационной системы определяется на основе модели угроз безопасности персональных данных в соответствии с методическими документами, разрабатываемыми в соответствии с пунктом 2 постановления Правительства...". <B>Класс</B>, а не требования...<br />А вот как раз в "Мероприятиях" уже содержатся четкие требования, расписанные по классам ИСПДн безо всякой привязки к тому, является ли ИСПДн типовой или же специальной.<br /><br />Или я что-то не понимаю, или одно и двух...Жуков Алексейhttps://www.blogger.com/profile/06035933755218695297noreply@blogger.com