Контакты
Подписка
МЕНЮ
Контакты
Подписка

Определение УЗ - Форум по вопросам информационной безопасности

Определение УЗ - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Автор: Secspecial, "Информзащита" | 107382 17.10.2019 17:12
Если имеется база данных, аттестованная по УЗ 2 у одного юр.лица, и другие юр.лица хотят подключаться к ней, обязательно ли иметь УЗ 2 "другим" юр.лицам? И как здесь работает логика?
1) Делать разные ИСПДн везде, УЗ определено по 1119.
2) Делать одну ИСПДн, поскольку "другие" юр. лица используют ПДн из базы данных, а потому, и УЗ 2 будет везде. Нормально ли в этом варианте то, что юр. лица здесь разные?

Заранее благодарю.

Автор: oko | 107383 17.10.2019 21:50
to Secspecial
ИСПДн одна, потому что база одна. Сегменты же ИСПДн должны соответствовать требованиям не ниже УЗ, установленного для всей ИСПДн в целом. Если эти сегменты имеют полный доступ ко всей базе ПДн. Иначе - раздельная классификация, начиная с УЗ2 (в вашем случае) и ниже...

*в сторону*
То ЕВРААС дилетантские вопросы задает, то Информзащита. Страшно, товарищи...

Автор: WORM, MK | 107387 18.10.2019 10:47
" Сегменты же ИСПДн должны соответствовать требованиям не ниже УЗ, установленного для всей ИСПДн в целом. Если эти сегменты имеют полный доступ ко всей базе ПДн."

Не совсем согласен. Если исходить из этого, то какой смысл определять УЗ сегментов?? Одна ИСПДн, одна МУ, один УЗ. Зачем городить огород?

А если сегмент защищается по-своему (т.к. у него свой хозяин), то на него пишется своя МУ, тип угроз может быть иным (все в наших руках, да), и УЗ может быть свой.

Автор: oko | 107392 18.10.2019 13:53
to WORM
Классификация зависит от: категории ПДн, объема ПДн и актуального уровня угроз НДВ. В случае сегментирования, когда есть "условный ЦОД" с полной базой ПДн, в других сегментах:
- категория не может быть "выше", т.е. при обработке в ЦОД биометрии, в сегменте не может быть специальных ПДн;
- объем не может быть больше (круче совокупной баз в ЦОД могут быть только горы, ага);
- вот угрозы НДВ могут быть "серьезнее, но...
С угрозами НДВ до сих пор законодательная дыра. Вряд ли кто-то рискнет актуализировать 1 тип при 2 типе в ЦОД. Таким макаром - если это реально сегмент, а не самостоятельная ИСПДн, обменивающаяся с ЦОД - придется и в ЦОД актуализировать другой тип НДВ. Принцип комплексности, ага...
Так что при равных прочих: сегмент никогда не выше, чем ЦОД. Исключение: хотелки регуляторов по конкретным объекта, а также "особые случаи" размещения сегмента за пределами РФ. Что, по понятным причинам, не вписывается в нашу ситуацию...

Автор: oko | 107393 18.10.2019 13:57
*в догонку*
И смысл сегментирования как раз в том, чтобы снизить УЗ (и, следовательно, требования безопасности) в оконечных сегментах относительно ЦОД, если это допустимо и оправдано...

ЗЫ вместо ЦОД правильнее было бы писать "Центр" (типа корневая, главная часть ИСПДн с общим объемом БД), чтобы не путать народ. Не доглядел сразу...

Автор: WORM, MK | 107394 18.10.2019 14:25
to oko

Теперь согласен, я ж про это и писал: либо попробовать сделать УЗ сегмента ниже, либо незачем огород городить и выделять какие-то сегменты.

Автор: WORM, MK | 107395 18.10.2019 14:29
В догонку:
Пару месяцев назад я задавал вопрос сотруднику (точнее, сотруднице) ФСТЭК, который занимается рассмотрением МУ: "что я должен написать в МУ, чтобы ФСТЭК согласился с неактуальностью угроз НДВ?"
Получил ответ: "Укажите, что используется лицензионное, легальное ПО, поддерживаемое производителем, этого достаточно".

От себя добавлю: можно еще приписать "В ИС не обрабатывается ГТ".

Автор: oko | 107397 19.10.2019 01:22
to WORM
Про отсутсвие обработки ГТ в ИС - хоть в чем-то сходятся общие правила обоих регуляторов...

Автор: Secspecial, Информзащита | 107426 25.10.2019 10:31
Oko, тогда как правильно определить сегмент испдн и самостоятельную испдн, ведущую обмен с БД. Допустим, больницы по области и общий ЦОД. Больницы везде разные, ЦОД один, возможно, и БД одна,если не разделена по целям обработки. И как тут определять, больницы сегмент аттестованного цода, в котором есть бд с пдн, к которой конектятся все больницы или испдн в каждой больнице своя? Тогда получается по вашей логике, испдн состоит только из армов? А цод сам почему в другом месте, у него другое кз, принадлежит другому лицу.

P.S: вместо того, чтобы уходить в сторону, советую для начала вникнуть в вопрос, а не гнуть пальцы.

Автор: oko | 107430 25.10.2019 17:04
to Secspecial
Суть вашего вопроса: <имеется база данных, аттестованная по УЗ 2 у одного юр.лица, и другие юр.лица хотят подключаться к ней> - делать разные ИСПДн/УЗ?

Суть моего ответа: поскольку база ПДн одна, постольку ИСПДн одна, разбитая на сегменты - "условный ЦОД" юр.лица владельца БД и ИС других юр.лиц с УЗ не выше, чем УЗ "условного ЦОД" (читай, ИСПДн в целом)...

Внезапные нюансы про <...возможно, и БД одна,если не разделена по целям обработки...> рекомендуется озвучивать сразу, а не пост-фактум в режиме "да не морочьте голову"...

Сегмент - это часть ИСПДн (например, совокупность АРМ, промежуточных БД и прогарммных средств, принадлежащая другому юр.лицу, но обрабатывающая те же ПДн с теми же целями, что и центральная часть ИСПДн), на которую распространяются некоторые требования ИБ, установленные владельцем БД ПДн, исходя из УЗ всей ИСПДн в целом. Никто не предлагает подключаемые АРМ выделять в отдельную ИСПДн, а потом ее неизвестно как подвязывать к "головной". Перечитайте внимательнее ответы...

ЗЫ Пальцы никто не гнет - клапана, бывает, гнет, если ремень ГРМ рвется...

Просмотров темы: 240

К списку тем | Добавить сообщение



Добавить сообщение

Автор:
Компания:
E-mail:
Уведомлять о новых сообщениях в этой теме да
нет
Текст сообщения:
Введите код: