Использование САЗ при аттестации объектов по обработке конфид. информации (в том числе ПДн) - Форум по вопросам информационной безопасности

Вопрос в никуда !!
О чем речь ? О ПДн? О служебной информации ограниченного распростанения ? О коммерческой тайне ?
Что значит не учитыват? Где неучитывать?

Сначала вы создаете модель угроз и там уже принимаете решение какие угрозы возможны и актуальны ли для вашей системы с вашей (или не вашей) конфиденциальной информацией угрозы связанные с утечкой информации по техническим каналам (в том числе по каналу ПЭМИ и ПЭМИН - разные каналы!).

А дальше вы проводите оценку (инструментальную, если укладываетесь в требования (зависят от вашей системы и защищаемой информации), то экспертную) защищенности ващей системы от утечки по тому или ином каналу.

Если принять решения вы не можите при создании модели угроз об актуальности, можите провести оценку до создания модели.

Если утечка информации возможна (не выполняются требования), то нужно принимать меры технические или организационные.

Технические могут быть с использование средств активной защиты САЗ (генераторов шума -в эфир и в линии).
ВОТ КАК РАЗ О НЕВОЗМОЖНОСТИ АДЕКВАТНОГО ПРИМЕНЕНИЯ САЗ, ИЗ ЗА ОТСУТСТВИЯ МЕТОДИК ОЦЕНКИ В ЭТОЙ ТЕМЕ И ГОВОРИЛОСЬ.

Простите за излишнюю эмоциональность просто очень наболело отсутствие подвижок в этом деле !

"Это я сюда удачно зашел...." Извиняюсь...
Я совершенно не специалист, но учился и задавал вопросы в ЦБИ.....Есть ответы Булаева М.А. IMHO, те которые частично в тему...
..........................................
2. СТР-К в отношении защиты персональных данных в настоящее время (т. е.
после издания пакета нормативных документов ФСТЭК России по защите
персональных данных) носит рекомендательный характер. В обозримом будущем
ФСТЭК России планирует переработку СТР-К и нестыковки сегодняшнего дня будут
устранены из документа. В этом смысле, если упомянутый пакет нормативных
документов ФСТЭК России по защите персональных данных не определяют точно
какой-либо аспект защиты персональных данных можно пользоваться положениями
СТР-К. (В том числе «Сборником временных методик оценки защищённости
конфиденциальной информации от утечки по техническим каналам»).

3. При организации защиты персональных данных защита речевой информации
(т. е. в первую очередь помещений) должна осуществляться только в
информационных системах персональных данных 1-го класса в следующих случаях:

- если в ИС предусмотрены функции голосового ввода персональных данных;

- если в ИС предусмотрена функция воспроизведения персональных данных
акустическими средствами.

Это положение определено п. 4.6 «Основных мероприятий по организации и
техническому обеспечению безопасности персональных данных, обрабатываемых в
информационных системах персональных данных».

С уважением, М.А. Булаев.
........................................

Товарищь Булаев немного неправ !
«Сборник временных методик оценки защищённости
конфиденциальной информации от утечки по техническим каналам» не является приложением к СТР-К !

А то что им можно пользоватся и так понятно потому что персональные данные это конфиденциальная информация (хотя ссылки в четырехкнижии на этот сборник я так и не увидел - а хотелось бы другого то вроде нет).
ТУТ ОБСУЖДАЛАСЬ НЕМНОГО ДРУГАЯ ТЕМА. СБОРНИК НЕ ДАЕТ МЕТОДИК ОЦЕНКИ САЗ !!!

Здравствуйте.
Расскажу как сам делаю. Из практики аттестации конфиденциалки необходимость оценить эффективность САЗ возникла только один раз. Когда нужен был протокол для продления сертификата на сонату АВ-1Б. Сначала сделал по временной методике, как при аттестации: померил, посчитал звукоизоляцию ОК и, как там рекомендуется, использовал САЗ (просто отразил уровни САЗ на фоне естественных шумов). И то, методика же не обязывает ничего про САЗ писать в протоколе, кроме того, что оно установлено, т.к. без него нормы не выполнялись, а с ним выполняются не нормы, а требования. НО, т.к. при продлении требуется сказать про эффективность средства, спросил во ФСТЭК. Ответ был, что сертификат получен на защиту ГТ, вот и проверять надо на соответствие НМД АРР, хотя и для ЗП.
А при аттестации ЗП настраиваю САЗ по НМД АРР для самоуспокоения, а протокол делаю по временной методике.

Тоже интересный вариант, натсраивать по НМД АРР, а протокол делать по методе. Интересно, и как в протоколе по к-шной вреенной методике отражается использование САЗ?

Я же говорю, тупо отражаю уровни САЗа, т.е. показываю, что оно работает. Хотя вообще следуя методе не должен этого делать, а просто остановиться на выводе: нормы... не выполняются, поэтому ЗП оборудовано САЗ Соната АВ-1М, следовательно нормы выполняются. Вот и все отражение :-) Я же говорю, НМД АРР только для самоуспоенности.

"не обязывает ничего про САЗ писать в протоколе, кроме того, что оно установлено, т.к. без него нормы не выполнялись, а с ним выполняются не нормы, а требования"

В том то и прикол что никаких требований нет !!! Там слово " можно использовать" !

Можно на основании чего и как? Где оценка эфективности ? Ну да ладно это акустика а как насчет ПЭМИН?

Ну вообщем проблема вам конечноже ясна и ФСТЭК как обычно ответил так что ответа нет !

Ладно будем ждать!

Можно на основании невыполнения норм. Как - лепим ПИ на стекла, вешаем колонку, ВИ на батарею. Зачем эффективность, сказано - забивай сюда, забиваю сюда :-). Хотя мне не понятно вот что. Если арендовать помещение в офисном здании, границей КЗ будет его периметр. Как мерить затухание в ОК - вибро и акустическое? И кто меня пустит в соседние офисы? ("Господа, я тут пошумлю у Вас немного"). Никакой скрытности работ? Думаю можно воспользоваться таблицами с типовыми звукоизоляциями (вибро почему-то не приведены). Неважно как, по таблице или измерениями выяснится, что недостаточна звукоизоляция окна и гипрочной стены. Куда вешать колонку? За окно и в соседний офис ? :-))) Может есть фишка, что окна вообще можно не рассматривать?

А ПЭМИН по СТР-К не обязателен, чего про него говорить. Хотя по расчетам Ri, Ешi в знаменателе, значит если вместо Ешi подставить Есаз, то это уменьшит Ri, а следовательно и R2. Вот и эффективность.

"А ПЭМИН по СТР-К не обязателен"
Есть другие документы !
В конце концов по модели угроз угроза может быть актуальной ! Считаем не вдаваясь в обстоятельство что это очень необходимо хоть как ! (RКЗ=1м, пробеги=1м, ПДн=К1 и в этом духе)


"Чего про него говорить. Хотя по расчетам Ri, Ешi в знаменателе, значит если вместо Ешi подставить Есаз, то это уменьшит Ri, а следовательно и R2. Вот и эффективность"

Дак в методике то не написано что оценка такая ! И по логике методики это нужно сделать в разных зонах ближней , дальней, промежуточной и еще есть ньюансы (шум в одной точке подставлять , в каком режиме мерять и т.д)!
Получается сами додумываем придумываем, не факт что правильно !

"И по логике методики это нужно сделать в разных зонах ближней , дальней, промежуточной". А это как? Зачем придумывать сложности? Ничего не меняется, просто вместо Еш - Есаз. По-моему логично.
Но еще логичнее - деактуализировать ПЭМИН напрочь в модели. Вот над обоснованием его неактуальности, я считаю, и надо коллективно помыслить. А то придумываем себе проблему - как померить. Ну помереем. А дальше побежим разрешение в Роскомнадзоре на ГШ получать?
В четырехкнижье есть лазейка - экспертная оценка актуальности. Давайте сообразим!
С уважением.