Автор: Автор | 62199 | 07.04.2016 11:48 |
Добрый день.
По мере работы появился вопрос. До выхода приказа ФСТЭК 21 ИСПДн аттестовывались как АС. Можно ли сейчас аттестовать ИСПДн как АС? Или потребуется по 21 приказу аттестацию проводить? |
Автор: oko | 62202 | 07.04.2016 12:09 |
Приветствую!
1. Как АС нельзя. Читайте Постановление Правительства 1119 и следом (в части выполнения требований и норм) 21 Приказ ФСТЭК. Классифицируйте по "уровню защищенности". 2. Аттестация не обязательна, допускается контроль защищенности. Только регулятор не указал, чьими силами допустимо его производить (вернее указал, но в кулуарах мнение иное ходит). Таким образом, не имея в штате организации-владельца ИСПДн специалистов в области ИБ/ЗИ будет сложно доказать ФСТЭК отсутствие необходимости в привлечении сторонних организаций-лицензиатов. А, следовательно, проще провести аттестационные испытания. Допустимо в форме контроля без обязательной выдачи "Аттестата соответствия" со всеми его ограничениями (особенно ограничениями сроков эксплуатации до следующей аттестации - пресловутые 3 года). |
Автор: Автор | 62228 | 08.04.2016 03:53 |
В ПП 1119 пункте 17 написано, что контроль должен проводится не реже 1 раза в 3 года.
"Допустимо в форме контроля без обязательной выдачи "Аттестата соответствия" " - вот по этому пункту хотел бы уточнить. А как заказчики подтвердят, что они правильно осуществляют защиту ПДн? Или им хватит ОРД, которые все их уязвимости и прочие неприятности закрывают? |
Автор: oko | 62236 | 08.04.2016 10:12 |
Да, в тему контроля забыл про ограничения по времени, аналогичные аттестации.
Фактически, законодатель не указал способ оценки (контроля) защищенности. Приказ ФСТЭК №21, п. 6. Те же 3 года, но нет явной оговорки про аттестацию (как, например, в 17 Приказе по ГИС). Поэтому и сказал ранее, что вопрос о привлечении сторонних организаций и тем более проведении оценки в форме аттестации - решается самостоятельно со всеми вытекающими. В некоторых регионах страны представители ФСТЭК явно настаивают на проведении аттестации с выдачей именно "Аттестата соответствия". Чтобы было проще и привычнее. Хотя в принципе по тому же 21 приказу контроль проводится либо Заказчиком самостоятельно, либо с привлечением организаций-лицензиатов. В случае самостоятельного проведения оценки - сборник ОРД (Техпаспорт, матрицы доступа, инструкции, приказы, акты) + Модель угроз + Заключение внутренней комиссии о том, что реализованные мероприятия ЗИ в данной ИСПДн соответствуют требованиям ПП 1119, Приказа 21 и также нейтрализуют все актуальные для ИСПДн угрозы из "Модели угроз..." |
Автор: Игорь Александров | 64042 | 29.06.2016 08:42 |
По МЕТОДИКЕ ОПРЕДЕЛЕНИЯ АКТУАЛЬНЫХ УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ
Если у меня сегмент сети организации выходит пересылает ПДн в головной орган по криптошлюзу, который еще и МЭ, можно ли считать, по таблице 1 вышеуказанного документа - ИСПДн, физически отделенная от сети общего пользования? Рабочие места не имеют доступ к сети интернет. Весь трафик идет по криптошлюзу. |
Автор: oko | 64069 | 29.06.2016 13:29 |
to Игорь Александров
Физически отделенная - это все-таки отсутствие фактических линий и каналов связи с сетями общего пользования. МЭ и всякого рода однонаправленные шлюзы - это разделение не на физическом уровне. Т.е. сбой или умышленное изменение в фильтрах (правилах), и "привет Интернет!"... С другой стороны, как я понимаю, вопрос касается составления Модели угроз. Тогда, при условии сертификации КШ и МЭ по НДВ + отсутствия ситуации "его поддерживают/конфигурируют люди с кривыми руками" - все угрозы сетевых взаимодействий можно считать неактуальными. Разве что стоит детально описать вероятность атак из Головного органа по туннелю КШ в вашу ИСПДн... |
Автор: А. Б. | 64264 | 12.07.2016 05:01 |
Здравствуйте.
Для аттестации сетки, где обрабатывается ПДн, по требованиям 21 приказа ФСТЭК нужен межсетевой экран. Можно ли использовать встроенные межсетевые экраны Dallas Lock 8.0-K ? Или обязательно установка МЭ на сервере? |
Автор: oko | 64269 | 12.07.2016 12:30 |
to А.Б.
Приветствую! Если у версия DL8.0-K с сертификатом на МЭ 3 класса, то можно и их. Вопрос, можно ли использовать СЗИ без сертификатов - долгий и мучительный, ага (не будем его сейчас рассматривать)... Но все зависит от того, к каким сетям и как производится подключение? В целом, решает Модель угроз. Нет актуальных нарушителей/угроз из внутренней сети, а ИСПДн имеет одноточечный выход в тот же Интернет - ставить МЭ на сервер-шлюз доступа к Интернет. Имеются актуальные нарушители/угрозы во внутренней сети и/или многоточечный выход во внешние сети (Интернет, выделенные сети других организаций, даже своя внутренняя ЛВС без обработки ПДн) - защищаем каждую машину (раб.станцию, сервер) своим межсетевым экраном. |
Автор: Dfg | 64314 | 14.07.2016 20:52 |
Oko а почему долгий и мучительный, если есть письмо Фтэка объясняющee что такое оценка соответствия )
|
Автор: oko | 64317 | 14.07.2016 21:37 |
to Dfg
Потому что, как показывает практика, представители ФСТЭК зачастую сами не читают данные письма, а скоропалительные решения выносят. Что оные мучения и вызывает... |
Просмотров темы: 18440