Оценка соответсвия СЗИ (или ПО) - Форум по вопросам информационной безопасности
Оценка соответсвия СЗИ (или ПО) - Форум по вопросам информационной безопасности
| Автор: 9STREB | 106518 | 24.05.2019 15:06 |
|
Добрый день, подскажите, согласно 19 статье 152ФЗ оператор обязан:
"2. Обеспечение безопасности персональных данных достигается, в частности: ......... 3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;" Дак вот, используем в организации windows 10, Ubuntu, Macos. Все лицензия. Кроме этого используем некоторые антивирусы (купленные без сертификата) и штатые средства Линукса для зашиты сети (netfilter, например). Как мне доказать, что данное ПО может использоваться и нейтрализует те или иные угрозы, а так же обеспечивает выполнение некоторых требований из базовых мер приказа 21? Мб какую-то бумажку издать? Могу ли я сам провести оценку? или могу ли я использовать ПО для нейтрализации угроз а не СЗИ, и как тогда подать это представителю РКН? Можно попросить у ФСТЭК бумажку оценку соответсвия на Windows например? без покупки сертифицированного издания? |
|
| Автор: oko | 106522 | 25.05.2019 10:16 |
|
to 9STREB
Вопрос не единожды мусолился на этом форуме и многих других (ispdn.ru, например), поищите... У ФСТЭК напрямую вряд ли, если вы не Газпром, ага: Primo, для таких вещей как раз придуманы "организации-лицензиаты ТЗКИ" по линии ФСТЭК, в частности (это если вы без криптографии защищаетесь); Secundo, ФСТЭК уже указывала позицию по этой стремной фразе из ФЗ и по другим стремным фразам из ПП РФ 1119 (про НДВ, в частности) - читайте открытые инфописьма на сайте ФСТЭК; Tertio, доказать-то можно все, что угодно, но весь вопрос в "ширине ряда случаев"... Фактически, позиция регуляторов простая: в защите ПДн Оператор берет на себя полную ответственность за собственные решения, ежели не пользуется чем-то, имеющем соответствующий документ регулятора (читай, сертифицированными СЗИ). Впрочем, при использовании подобных решений-с-документами тоже есть нюансы, например, корректность их применения, логика построения системы защиты и проч. ЗЫ Если netfilter на базе opensource ОС я бы еще протянул как МЭ для конкретной ИСПДн не выше 4 уровня защищенности (исходя из экономической целесообразности, например), то Win10 с ее телеметрией и постоянными 0-day и Ubuntu с ее магазином и другими любопытными особенностями - "в чистом виде" точно нет. Но это мое imho, встречаются *вырезано* безбашенные */вырезано* лицензиаты и с другим мнением. Главное, думать головой, а не отражением валюты в глазах, ага... |
|
| Автор: 9STREB | 106535 | 27.05.2019 07:25 |
|
to oko
Спасибо! |
|
| Автор: Alex | 106538 | 27.05.2019 09:51 |
|
>Как мне доказать
берёте соответствующее тому СрЗИ, которое хотите использовать, задание по безопасности и в форме приёмки оформляете. но я бы не стал с этим заморачиваться |
|
| Автор: Константин | 106539 | 27.05.2019 10:33 |
|
2 9STREB
Прошедшие оценку СЗИ нужны только в том случае если они используются для нейтрализации актуальных угроз. Если в модели угроз вы укажите, что угрозы не актуальны, то никаких прошедших оценку СЗИ не потребуется. |
|
| Автор: Alex | 106545 | 28.05.2019 10:10 |
|
>то никаких прошедших оценку СЗИ не потребуется
опасная рекомендация. если используются СрЗИ, то они должны пройти установленным порядком процедуру оценки соответствия. с этим можно спорить, но за собственный счёт и очень долго |
|
| Автор: Константин | 106550 | 28.05.2019 14:29 |
|
Каждый ли антивирус использующийся в ИСПДн является средством защиты информации?!
|
|
| Автор: oko | 106552 | 28.05.2019 19:12 |
|
to Константин
В системе, состоящей из шкафа и кучи бумаг, является скорее украшением, ага... Другое дело, что уже говорилось много раз: как построите свою Частную Модель Угроз, так и будет (если это, конечно, ИСПДн, а не ИСПДн+ГИС, ага)... *в сторону* Хотите, называйте Avast! "встроенной функцией ИСПДн, нейтрализующей УБИ без необходимости внедрения дополнительных мер и средств защиты"... Хотите, считайте для своей ИСПДн парольный вход в ОС "излишней мерой защиты, не требуемой в данной ИСПДн, исходя из принципов целесообразности и функциональности"... Хотите, переносите вычислительные ресурсы в облако по-бумагам-на-территории-РФ с абонплатой в 1 руб/мес "исходя из принципа экономичности"... Но как только грянет гром (не в виде проверки РКН/ФСТЭК/ФСБ, а в виде исковых заявлений недовольных граждан), креститься будет уже поздно... |
|
| Автор: WORM, MK | 106557 | 29.05.2019 11:12 |
|
"Но как только грянет гром (не в виде проверки РКН/ФСТЭК/ФСБ, а в виде исковых заявлений )"
И много гражданин поимеет от своего искового заявления? Кого сим ежом можно испугать? Боятся в основном регулятора, а на гражданина всем плевать. Тут вот внезапно обозначилась тенденция оформлять на граждан липовые ЭЦП и воровать у них квартиры. И что? Даже наша могучая ФСБ абсолютно спокойна на сей счет. |
|
Просмотров темы: 2065
Добавить сообщение
Copyright © 2018-2022, ООО "ГРОТЕК"