Модель нарушителя ФСБ - Форум по вопросам информационной безопасности
Модель нарушителя ФСБ - Форум по вопросам информационной безопасности
| Автор: Незнайка | 93751 | 25.05.2018 12:13 |
|
Доброго дня! Подскажите, нужна ли организации при разработке модели нарушителя безопасности информации ( где будем определять возможности нарушителя по НМД ФСБ России и класс СКЗИ) для внешних Заказчиков - лицензия ФСБ? и вдогонку такой же вопрос -по модели угроз безопасности по НМД ФСТЭК - требуется ли лицензия ФСТЭК России?
|
|
| Автор: sekira | 93753 | 25.05.2018 12:42 |
|
ППр 79 д) работы и услуги по проектированию в защищенном исполнении:
средств и систем информатизации; ППр 313 Приложение № 1 2. Разработка защищенных с использованием шифровальных (криптографических) средств информационных систем. |
|
| Автор: ustav | 93754 | 25.05.2018 12:46 |
|
1. Лицензия ФСБ - нет (читаем Приложение к ПП-313);
2. Лицензия ФСТЭК - да (4б ПП-79). |
|
| Автор: ustav | 93755 | 25.05.2018 12:52 |
|
2 sekira: Опередили ;)
Разработка Моделей - необходимый этап для начала "проектирования". Но не само проектирование (встраивание). |
|
| Автор: sekira | 93758 | 25.05.2018 13:31 |
|
"Разработка Моделей - необходимый этап для начала "проектирования". Но не само проектирование (встраивание)"
А это где то написано или имхо? Почему для ФСТЭК да для ФСБ нет? п. 6.3.1 ГОСТ Р 51583-2014 Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения. Методика 14 февраля 2008 г. Методика предназначена для использования при проведении работ по обеспечению безопасности персональных данных ... Мет. рекомендации ФСБ РФ 21.02.2008 N 149/54-144 2.3. В соответствии с п. 12 Положения необходимым условием разработки системы защиты персональных данных является формирование модели угроз безопасности персональных данных (далее - модель угроз). 2.5. В случае использования в информационной системе криптосредств при необходимости к формированию модели угроз могут привлекаться лицензиаты ФСБ России, являющиеся разработчиками криптосредств или специализированными организациями, проводящими тематические исследования криптосредств. |
|
| Автор: oko | 93775 | 26.05.2018 18:44 |
|
to sekira
Как бы Методичка 2008 ФСБ утратила силу давно () и на ее место пришла Методика 2015 (тоже давно). Которая, конечно, только для госов обязательная, а для коммерсов "целесообразна", но мы-то с вами знаем эти "целесообразности" "другого" регулятора, ага... И ни в 378 Приказе, ни в Методике 2015 нет обязаловки привлечения лицензиатов на этапе моделирования нарушителей и угроз. Лицензиат привлекается (лицензия требуется): - при внедрении существующих СКЗИ; - при разработке новых требуемых СКЗИ; - при контроле (в любом виде) корректности встраивания и эксплуатации СКЗИ. ПП РФ 1119 также молчит про лицензии. Лицензии нужны только в рамках периодического контроля защищенности ИСПДн и то, по желанию/возможностям оператора. Приказ 21 ФСТЭК - аналогичная позиция... Прикол в том, что и для госов по 17 Приказу ФСТЭК тоже есть приписка о лицензии "при необходимости"... Материалы ФСТЭК по лицензированию тоже молчат про случай именно "моделирования угроз". Аналогично и по ФСБ-линии. Можно, конечно, попытаться и натянуть на глобус (аля "моделирование угроз как неотъемлимая часть технической защиты информации в современном мире"), но... Короче, вывод напрашивается сам собой: для конфи-объектов при моделировании угроз (особенно, если это не Базовая модель в рамках гос-учреждения/ведомства/министерства/линии) можно обойтись без лицензирования. "Для себя" так тем более... Ситуацию с моделированием угроз и нарушителей в ГТ комментировать не буду. Темна вода в облацех (с), ага... |
|
| Автор: oko | 93776 | 26.05.2018 18:46 |
|
*в сторону*
Зато мимо ОКЗ и вороха журналов/инструкций все равно никак де юре не пройдешь. Обожаю наше законодательство, наших регуляторов, их экспертов и это самое "экспертное мнение", ага... |
|
| Автор: sekira | 93782 | 27.05.2018 08:04 |
|
"Короче, вывод напрашивается сам собой"
Вы не учли что организация сторонняя и собирается брать за это деньги. Это конкретные услуги в области защиты информации. Лицензируются они или нет регуляторами вопрос открытый и требует расширенной трактовки регулятора по запросу. Остальное все только попытка не найти в документах а значит и не лицензируется (странная логика). Еще раз фразы только в ППр по лицензированию трактовать их до каждого шпунтика никто не будет. Мои фразы были только в противовес тезиса "Разработка Моделей - необходимый этап для начала "проектирования". Но не само проектирование (встраивание)". Трактовки ППр 79 д) работы и услуги по проектированию в защищенном исполнении: средств и систем информатизации; ППр 313 Приложение № 1 2. Разработка защищенных с использованием шифровальных (криптографических) средств информационных систем с нконкретикой под на работы по созданию обязательной документации для ИСПДн от регуляторов как вы правильно сказали нет, но это не значит что не нужно лицензирование этого вида работ. |
|
| Автор: oko | 93783 | 27.05.2018 12:55 |
|
to sekira
Согласен, что белое пятно и "я тебя не вижу - значит, тебя нет" - это не повод, но... Моделирование угроз хоть и ключевой этап разработки системы защиты ИСПДн/ГИС, однако в ней не прописываются конкретные меры защиты, принимаемые в ИС для ликвидации актуальных (подчеркиваю) угроз. На это существует Техпроект КСЗИ. Который уже лицензируется, ага... Плюс, тот же "другой регулятор" пишет у себя черным по белому, что для ЧМУ согласование с ФСБ не требуется (только в случае БМУ/НПА). Т.е. ФСБ глубоко плевать, кто там будет что разрабатывать - лишь бы был документ. Со ФСТЭК по соседней ветке форума мы этот вопрос уже решали. imho (основанное на наблюдениях и опыте) - им тоже до лампочки ЧМУ каких-нибудь частных и гос.контор "малой руки" - только БМУ... Следовательно, ни явно по закону, ни по факту для моделирования угроз и нарушителей не нужны лицензии регуляторов. В конце концов, сводник документов открытый - ознакомиться и попробовать оформить ЧМУ может любой желающий, ага... |
|
| Автор: sekira | 93784 | 27.05.2018 15:56 |
|
"На это существует Техпроект КСЗИ. Который уже лицензируется, ага..."
Это не факт. Мнение регулятора в отмененных документах другое. Лицензируется или нет "конкретика" должна быть от регулятора... А не имхо. Я кардинально против тезиса -"Разработка Моделей - необходимый этап для начала "проектирования". Но не само проектирование (встраивание)". Создание модели часть неотъемлемая часть создания системы защиты конкретного объекта. Обследование тогда тоже не лицензируется? Оно ведь еще раньше! "что для ЧМУ согласование с ФСБ не требуется" Это тоже мимо... и не отвечает на вопрос входит ли создание модели угроз в "работы и услуги по проектированию в защищенном исполнении средств и систем информатизации". "В конце концов, сводник документов открытый" Открытость не говорит о нелицензируемости, 17 открытый 21 открытый РД НСД открыто и т.д. и что? "ни по факту для моделирования угроз и нарушителей не нужны лицензии регуляторов" юридически вопрос решается только письмом регулятору и ответом на него - искать зацепки в НМД бесполезно. Тезис модель угроз не этап пректирование мимо. У меня нет юридических доводов и у вас нет остановимся на "Согласен, что белое пятно". Пусть вопрошающий делает на свой страх и риск или пишет (звонит) регуляторам. |
|
Страницы: 1 2 >
Просмотров темы: 4932
Добавить сообщение
Copyright © 2018-2022, ООО "ГРОТЕК"