Оценка вреда - Форум по вопросам информационной безопасности

to oko.
Стойте. помогите разобраться..... смотрите.....есть в 152 ФЗ требование дать оценку вреда. не беря в расчет методдокумент 2008, а смотря в 17 приказ ( а нам же никто не запрещает туда смотреть - даже если у нас ИСПДн) там в приложении №1 (определение класса защищенности ИС) - что УЗ определяется степенью возможного ущерба для обладателя иформации....и дальше по тексту (след. абзац) - что эта степень ущерба (как синоним слова "вред") определяет сам оператор экспертным методом. и она (степень ущерба) может быть: Высокой, средней или низкой......я исхожу из этого....

to monk1818
Если вы из этого исходите, то должны будете самостоятельно разработать (и, желательно, утвердить у регулятора, ага) методику переложения "оценки вреда субъекту ПДн" на существующую в методике 2008 "опасность реализации УБИ".
Что же до 152-ФЗ, то, если грубо:
- разработчики ФЗ решили ввести понятие "оценки вреда", но не объяснили его и решили, что уточнят в соответствующем ПП РФ;
- соответствующее ПП РФ (1119, ага) тоже ничего конкретного не объяснило, только еще больше запутало, введя понятия угроз НДВ 1, 2 и 3 типов, "исходя из оценки вреда", ага;
- ФСТЭК, ФСБ и РКН решили, что не обязаны (и это правда) комментировать решения Правительства РФ, поэтому в своих методиках и "оценку вреда", и "угрозы НДВ" как термин с необходимыми пояснениями не рассматривают, а отталкиваются от собственноручно введенной терминологии.
Поэтому мой вам совет:
- primo, работайте по Методике 2008 в части моделирования угроз;
- secundo, не мешайте в кучу выжимки из разных методдокументов и приказов регулятора, если в их тексте нет на это конкретного указания.
Если же у вас вопрос не относительно разработки ЧМУ, то поступайте как хотите. И что хотите пишите под этой "оценкой вреда". Нет норм, нет методик, нет утвержденных перечней - полная свобода действия каждому, чтобы никто обиженным не ушел, ага...

ЗЫ Нормотворцы хитрые ребята. Понимают, что оценить ущерб субъекту ПДн без конкретики невозможно. Поэтому не парятся и скидывают данную задачу на плечи операторов. Чтобы потом можно было удачно карать за "неверное понимание" и "неверную оценку". Пустота правового поля как бы намекает...

to oko:
исходя из этого делаем вывод:
для выполнения требований 152 ФЗ (об оценке вреда) - оцениваем самостоятельно ЛЮБЫЕ показатели (градации) и не паримся с обоснованием (все равно если регулятор оценивает по другому - придерутся) правильно я понял?)

P/S 17 приказ упомянул в связи с тем, что там есть хоть какое-то мало-мальски понятие "ущерба" ( я просто рассматривал его как синоним понятия "вред")

PS/S. благодарю Вас за грамотные и опытные советы. Такой вопрос: не поделитесь контактами (почта или месседжер?) интересно было бы пообщаться с Вами по тематике ИБ в свободное время.
В любом случае еще раз спасибо!

to monk1818
Я бы не парился вообще - один черт никто не сможет ни подтвердить, ни опровергнуть выводы по "оценке вреда" (если, конечно, не было аналогичных прецедентов)...
17 Приказ отставьте в сторону, если у вас не ГИС/МИС или не желание натянуть 17 Приказ на любую АС/ИС кроме чистой ИСПДн...
Не переоценивайте, мои советы на форумах не много стоят. Аналогичный косяк с контактами - быстрее и четче уж на форуме отвечу, чем по почте-которая-парсится-раз-в-год...

to oko:
Философию развели) но еще такой момент.....вы абсолютно правы во всем....и фиг с этой оценкой вреда (ну оценим как нибудь типа экспертным методом) - скажите а как с этой оценкой жить то...т.е ну вот определили мы, что она высокая (к примеру) и если не брать в расчет 17 приказ то какие меры меры принимать в соответствии с ней? ладно, в 21 приказе есть требования в зависимости от типа угроз. а вот оценка вреда может как-то влиять на меры?
я это к чему....не будет же этот протокол лежать и все....я так понял на основе этой оценки должны и меры защиты быть соответствующими (хоть и не указано какие) - или так и говорить, что мол оценку вреда произвели, но т.к. зависимость мер от оценки вреда в нормативке не регламентирована, то мы не ориентируемся на этот документ?))

to monk1818
ПП РФ 1119 же. Если провести параллель, то чем выше оценка вреда, тем серьезнее УБИ. По ПП РФ 1119 УБИ рассматриваются только в контексте НДВ (1, 2 и 3 тип), что автоматически влечет за собой изменение уровня защищенности и ворох доп.мероприятий по защите. Дальше уже по 21 Приказу ФСТЭК и 387 Приказу ФСБ...
Но это все лирика и не стоит того, imho. Делайте как угодно - в практике еще не встречал организаций, которые бы либо вообще уделяли внимание "оценке вреда", либо делали это сколь-нибудь грамотно. И ничего, живут даже после проверок всех регуляторов вместе взятых...