Запрос информации по ТЗИ - Форум по вопросам информационной безопасности
Запрос информации по ТЗИ - Форум по вопросам информационной безопасности
| Автор: Автор, компания | 57242 | 28.05.2015 14:46 |
|
Не касаемо гос.тайны.
Пришел запрос на составление паспорта тех.защищенности объекта от мэрии . Запрос пришел по открытому каналу. Объект защищен по закону о персональных данных, присутствует криптосистемы(оборудование имеет аттестаты ФСБ). Контора муниципальная. Считаю что информация запрашиваемая конфиденциального характера. Но информация не под какой гриф не подведена, пометка конфи есть(и то не на всех документах), но это ,считаю, ни о чем. ИСПДны аттестованы. Единственную зацепку нашел в "Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных" (утв. ФСБ РФ 21.02.2008 N 149/6/6-622). Где сказано, что 2.8. При определении обязанностей пользователя криптосредств необходимо учитывать, что безопасность обработки с использованием криптосредств персональных данных обеспечивается: - соблюдением пользователями криптосредств конфиденциальности при обращении со сведениями, которые им доверены или стали известны по работе, в том числе со сведениями о функционировании и порядке обеспечения безопасности применяемых криптосредств и ключевых документах к ним; Есть ли еще какие указания(открытого характера), что информация запрашиваемая ограниченного распространения? |
|
| Автор: Практик | 57243 | 28.05.2015 15:51 |
|
Собственно Перечень сведений конфиденциального характера - это ваш внутренний или ведомственный документ, и формально Вы можете ссылаться только на него.
По смыслу, система ЗИ конечно является информацией конфиденциальной, а запрос- скорее нет (в нем нет конкретных параметров информации и защиты в системах). Но вы можете из межведомственных посмотреть требования по защите ПДн (тот же Приказ 21), хотя по нормальному алгоритму требования ПП1119 и пр.21 должны быть внесены в ваш перечень. |
|
| Автор: Автор, компания | 57245 | 28.05.2015 16:03 |
|
Практик,спасибо за ответ.
А почему не могу сослатся на требования? там же четко указано что инфа конфи И второе про перечень, на основании чего он составляется? я вырос из комерсантов, там комм тайна, а здесь немножко теряюсь, как подводить под конфи? чем руководствоваться? Советовался с лицензиатом который аттестовывал систему, он говорил что инфа запрашиваемая не конфи... |
|
| Автор: Автор, компания | 57247 | 28.05.2015 16:11 |
|
Что касается 21 приказа-
В настоящем документе не рассматриваются вопросы обеспечения безопасности персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну, а также меры, связанные с применением шифровальных (криптографических) средств защиты информации. То есть к вопросу моему совсем не применим. 1119 тоже как то не то... |
|
| Автор: Практик | 57249 | 28.05.2015 16:25 |
|
"не рассматриваются вопросы обеспечения безопасности персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну, а также меры, связанные с применением шифровальных (криптографических) средств защиты информации.
То есть к вопросу моему совсем не применим." Если я правильно понял хедпост, то как раз Приказ имеет непосредственное отношение: паспорт описывает организационные и режимные меры, классификацию информации и прочие меры по выполнению приказа 21. Напротив, криптосистема подробно не расписывается (т.е. ключевая и прочая особо защищаемая информация в отчет не водёт). Вы отчитываетесь по системе защиты ИСПДн, а не по структуре, к примеру, VPN сети в составе ИСПДн Гостайны действительно нет, надеюсь.))) |
|
| Автор: Автор, компания | 57255 | 29.05.2015 06:59 |
|
гостайны в моем вопросе нет. Только испдн. Вы правы в паспорт не запрашивается структура, схемы настройки. Но считаю, что даже применяемое оборудование является конфиденциальной информацией. И да приказ 21 тут при делах.
Мой вопрос заключается в том что я хочу отказать в предоставлении данной информации т.к. считаю что запрашивающие во первых не имеют полномочий в этой сфере, а во вторых запрашивают информацию ограниченного распространения, поэтому ищу за какие федеральные законы, приказы итд, можно зацепится. Ну и еще раз спрошу под подведение под конфи, информации, подскажите. |
|
| Автор: Практик | 57257 | 29.05.2015 08:03 |
|
2 Автор
ИМХО Если мэрия - ваша вышестоящая организация (т.е. вы муниципалы), то полномочия у неё есть, (если только кроме подробностей криптозащиты). Отчет должен быть "дсп", основание - ваш перечень. Если в нём нет, то придётся "волокитить", официальным запросом требуя у полномочного лица включить эти данные в перечень конфиденциальной информации на основании... (и тут мы возвращаемся к пр.21, ФЗ-152 и "Типовым требованиям"). Требования "к конфиденциальности" (в отличие от ГТ) написаны достаточно размыто и при желании притянуть можно всё (кроме данных, доступ к которым запрещено ограничивать) |
|
| Автор: Автор, компания | 57259 | 29.05.2015 08:37 |
|
Раз требования не прописаны, процедуры нет то и подведение под конфи туфта имхо.
И что вы понимаете под подробностями защиты? Я например, какое оборудование применяется, уже считаю подробностями защиты. Спасибо, за помощь буду ваять отказ на основании требований... |
|
| Автор: Евгений | 57263 | 29.05.2015 11:17 |
|
Автор, компания | 57259
"Спасибо, за помощь буду ваять отказ на основании требований..." Если мэрия вышестоящая организация и вы им подчиняетесь, то этот данный отказ будет чреват для вас последствиями. |
|
| Автор: Автор, компания | 57265 | 29.05.2015 11:49 |
|
Какими последствиями и на основании чего?
|
|
Страницы: 1 2 >
Просмотров темы: 5244
Добавить сообщение
Copyright © 2018-2022, ООО "ГРОТЕК"