Автор: Arihon | 67244 | 05.12.2016 07:26 |
Всем привет, у меня огромная проблема, работаю а администрации поселка, не какого отношения к ЗИ не имею. Но после прошедшей проверки и возложения штрафа на мое доблестное начальство на меня возложили функции по защите информации, а я ну полный 0 в этой теме. Люде добрые помоги решить 2 задачи буду рад любой помощи и информации.
1) определение угроз безопасности информации, формирование на их основе модели угроз. 2) Разработка на основе модели угроз системы защиты информации, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты информации, предусмотренных для соответствующего класса информационных систем общего пользования. буду рад любой помощи!!!! |
Автор: o-lo-lo | 67249 | 05.12.2016 14:41 |
Классифицировали то как, вашу АС? или вы на бумажке работаете?)
Хм, у вас наверно автономка? под перечень попали в ходе проверки? под обязательную аттестацию попадаете или нет? Все от класса вашего зависит! И вас еще должны отправить на обучение, на вас не имеют право возлагать такие обязанности, еще штраф выпешут, начальству привет! |
Автор: Arihon | 67254 | 06.12.2016 01:02 |
Да тут такое дело, во время самой проверки я отсутствовал, но мне вручи постановление о назначении административного наказания, в нем доходящего объяснены все нарушения, по государственной тайне у нас все норм. проверку прошли идеально а вот на счет систем общего пользования выдали список нарушений. На обучение отправят но это будет только ближе к лету, а исправлять все надо в ближайшее время, нет у нас не автономка все объединены в локалку. это все что я пока в этом знаю.
|
Автор: 111 | 67262 | 06.12.2016 20:22 |
Arihon, я понимаю, что спрашиваю невозможное, но можно ли здесь обезличенно (затерев или не написав) конкретные названия, личные данные, привести полный перечень нарушений.
Понимаю, что у нас всё устроено также. Есть и бухгалтерия и отдел кадров и прочие документы, немного относящиеся к ДСП. Всё объединено в локалку, со всех мест есть интернет. Корпоративная почта на ПОЧТА.RU. Что у нас не так?... |
Автор: oko | 67264 | 07.12.2016 00:30 |
to 111
*в сторону* пожалуй, все не так, начиная с корпоративной почты (если она, конечно, не по дико продуманному договору с хостером в части политики ИБ)... Если чуть более серьезно - посмотрите требования тех же 21 и 17 (ДСП же?) приказов ФСТЭК. Прикиньте класс/уровень защищенности ИС. И прикиньте, чем у вас это все закрыто/реализовано. А заодно пробегитесь по "бумажной части" (всякие Положения, приказы и проч. организационно-распорядительная документация). Ответ станет намного яснее... |
Автор: Arihon | 67265 | 07.12.2016 01:50 |
Выдержка из постановления:
25 октября 2016 г. установлено что в нарушении п. 12 Требований №416/489 в администрации муниципального образования городской округ ............ : 1) определение угроз безопасности информации, формирование на их основе модели угроз Не выполнено 2) разработка на основе моделей угроз системы защиты информации, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты информации , предусмотренных для соответствующего класса информационных систем общего пользования Не выполнена. 3) проверка готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации Не выполнено. 4) установка и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией Не выполнено 5) обучение лиц, использующих средства защиты информации информации, применяемые в информационной системе общего пользования, правилам работы с ними Не выполнено 6) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним Не ведется 7) контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией, Не осуществляется. 8) описание системы их защиты Отсутствует 9) разбирательства и составление заключений по фактам несоблюдения условий использования средств защиты информации, которые могут привести к нарушению безопасности информации или другим нарушениям, снижающим уровень защищенности информации системы общего пользования, разработка и принятие мер по предотвращению возможных опасных последствий подобных нарушений Не проводились. Эти нарушения нам выдвинула проверка от ФСБ России, с 2008 года в направлении защиты информации не каких действий администрация поселка не принимала вообще, нет даже банальной ежегодной отчетности. Прошёлся по всей "бумаге" которая есть в нашей администрации, множество постановлений, приказов, распоряжений. Все дотированы 2008 годом, постановления пересылаемые нам с области оседали в неизвестной мне папке и удалялись в неизвестном же мне направлении, в итоге, я не имею абсолютно нечего и начинать приходиться все с 0. корпоративной почты у нас нет, нечто подобное только в приемной администрации, так у каждого сотрудника в обязательном порядке свой почтовый ящик. |
Автор: Arihon | 67266 | 07.12.2016 01:55 |
У нас 11 отделов все используют персональные данные, ну плюс используют СУФД, СМЭВ, Бюджет-смарт Контур. Ну и все это в локалке. Считай все тоже самое.
|
Автор: Arihon | 67267 | 07.12.2016 02:17 |
Спасибо что откликнулись.
|
Автор: vitalivs | 67276 | 07.12.2016 09:29 |
Arihon
В вашем случае речь о защите информации в информационной системе "общего пользования". Требования, по которым вам предъявляют претензии, изложены в Приказе ФСБ РФ N 416, ФСТЭК РФ N 489 от 31.08.2010 "Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования". Думаю, есть смысл начать с его изучения. |
Автор: oko | 67277 | 07.12.2016 09:34 |
to Arihon
Начните с: 1. Классификации своей ИСПДн. В ходе классификации возможно разбить ее на сегменты и каждый сегмент (с меньшим уровнем защищенности) защитить отдельно (будет легче и дешевле). 2. Определения всех машинных ресурсов, хранящих, передающих и обрабатывающих (служащих как средство обработки) ПДн. 3. Определения всех сотрудников, которым доступ к ПДн необходим во имя исполнения служебных обязанностей. 4. Определения всех уже используемых СЗИ и/или СКЗИ. Если ФСБ приходила, то уже должна была указать, какие СКЗИ у вас используются в ненадлежащем виде и с невыполнением требований по их эксплуатации. На базе собранной информации распишите условную Частную модель угроз. Лучше всего запросить шаблон или Общую модель у вышестоящей организации или другой муниципальной администрации, уже прошедшей подобную проверку. Только копировать ее не под шаблон, а разбираться в сути написанного (надеюсь, более-менее грамотно написанного). Также ознакомьтесь с Базовой моделью угроз и методикой определения актуальных угроз за 2008 г. ФСТЭК России. Ознакомьтесь с требованиями ПП 1119 и Приказа 21 ФСТЭК. Посмотрите, какие из требований у вас выполняются, а какие нет. Подтяните соответствующие (или обоснуйте их неактуальность в Модели угроз). Ознакомьтесь с требованиями Роскомнадзора в части сопроводительных бумаг. Положения, приказы, перечни и инструкции, которые должны быть у вас разработаны. При условии наличия СКЗИ для защиты ПДн в вашей ИС - ознакомьтесь с 378 Приказом ФСБ России и методикой ФСБ России по ПДн за 2015 г. Все указанные документы есть в открытом доступе в Сети. После всего этого - внедряйте СЗИ/СКЗИ там, где необходимо (не защищено) и приглашайте организацию-лицензиата ФСБ/ФСТЭК для проведения контроля и выдачи экспертного заключения (можно и в форме Аттестата соответствия). Или, если нет сил/желания/времени разбираться самостоятельно - просто объявляйте конкурс на работы по защите информации в части ПДн, составляйте ТЗ (примеров много в Сети, но опять-таки не следует работать под копирку) и "ждите в гости" лицензиатов. Повезет - все сделают как надо (и фактическую защиту, и бумаги). Не повезет - прикроют вас ворохом бумаг, явно расходящихся с реальностью, до следующей серьезной проверки... |
Просмотров темы: 10399