Страницы: < 1 2 3 4 5 6 7 8 9 10 >
Автор: oko | 109480 | 27.08.2021 23:29 |
to Денис
Ну, если исключить, то это уже буквоедство какое-то... Модель необходима для ИСПДн и КИИ согласно приведенным для них Приказам ФСТЭК. Так что при аттестации как минимум (даже меньше необходимого минимума, ага) следует проверить ее наличие, потому что ее отсутствие - явное нарушение требований, соответствие которым при аттестации и проверяется... |
Автор: WORM, МК | 109481 | 28.08.2021 18:05 |
"Модель необходима для ИСПДн и КИИ согласно приведенным для них Приказам ФСТЭК"
На в одном документе по защите ПДн слово "модель" не встречается ни разу. |
Автор: WORM, МК | 109482 | 28.08.2021 18:09 |
to Денис
" Для ИСПДн и ОКИИ не проверяем? Или тут не на наличие акцент, а на согласование? " ИСПДн и ОКИИ аттестовать не обязательно. Но если уж решили аттестовать, то что такое аттестация? Это подтверждение выполнения ТРЕБОВАНИЙ. Есть в требованиях по защите ОКИИ разработка МУ? Есть. Значит, проверяем. Есть в требованиях по защите ПДн требования разработать МУ? Нет. |
Автор: Денис (другой) | 109483 | 28.08.2021 20:39 |
to WORM.
* Есть в требованиях по защите ПДн требования разработать МУ? Нет. * Методика оценки угроз безопасности информации, 2021. Пункт 1.3. Да и в 2008 тоже самое было. Та вообще чисто под исдпн была сделана |
Автор: oko | 109484 | 29.08.2021 01:04 |
to WORM
Это типа прикол или подъем планки буквоедства на новый уровень? Так-то в 21 Приказе все крутится вокруг актуализации УБИ и выводов на этой основе. Конечно, можно кричать, что "раз слово <модель> не написано, значит можно без нее, а угрозы описывать в какой-нибудь <утвержденная-бумажка-по-актуализации-угроз-безопасности>, которая под Приказ 77 не подпадает" или, положим, "вы не понимаете, имеются в виду кривые-угрозы-НДВ-из-ПП-1119" или еще какую-нибудь лабуду, но... *в сторону* Одни нормативку пишут через задницу. Другие читают ее тем же местом или под нужным им соусом. Третьи СЗИ разрабатывают "чисто-конкретно-по-букве". Четвертые КСЗ проектируют из разряда "накидаем продукции с сертификатами". Пятые проверяют это все на уровне красивой бумажки. Шестые предлагают выделить отдельное рабочее место, его аттестовать, а работать как раньше в привычной системе без паролей и "вот-этой-вашей-безопасности"... Короче, если можешь, прости нас, Юра, мы однозначно... |
Автор: WORM, МК | 109485 | 29.08.2021 10:37 |
to Денис
Я написал "в требованиях". Методика оценки угроз не является ТРЕБОВАНИЯМИ по защите ПДн. Перечитайте определение понятия "аттестация". to oko т.е. когда я делаю свои выводы из буквы документов - я читаю нормативку через задницу. А когда Вы делаете свои - это истина. Правильно я понял? В приказе 21 все крутится не вокруг УБИ, а вокруг мер, уровня защищенности, структуры (состава) ИСПДн. Угрозы учитываются при уточнении набора мер, не более. А в виде какого документа я эти угрозы должен определить - приказ не пишет, это Вы сами придумали. |
Автор: WORM, МК | 109486 | 29.08.2021 10:48 |
Вообще, прочитав приказ 77, прихожу к выводу, что аттестовать то, что не подлежит обязательной аттестации (ОКИИ, ИСПДн, АСУ ТП) не следует ни в коем случае. Чтобы не наживать себе кучу лишнего геморроя.
Доки по аттестации объекта теперь нужно отправлять во ФСТЭК, и не факт, что им там все понравится. Объект включат в реестр аттестованных ОИ, т.е владелец объекта попадает в бюрократические жернова (не совсем адекватные). Наконец, если через 2 года во ФСТЭК не пришли протоколы контроля ОИ, аттестат могут аннулировать. Что, кроме геморроя и лишних расходов, получает владелец, решивший аттестовать ОКИИ или ИСПДн?? |
Автор: oko | 109487 | 29.08.2021 12:19 |
to WORM
Кажись, мы с вами не первый год пересекаемся, и давно понятно, что опус *в сторону* всегда в сторону и не касается контекста диалога напрямую. Так-то мне без разницы, кто и какие выводы делает. У каждого свое мнение, на которое каждый имеет право. Так что не агритесь, товарищ, момент про "задницу" не столько про вашу позицию "отсутствия слова модель"... Однако, Imho, не стоит плодить лишних сущностей на пустом месте и вносить сумятицу в и без того кривую нормативку. Перечеркивающую, в частности, необходимость ЧМУ в означенных ИС. Регулятор уже постарался за нас. А какая-нибудь "умная голова" почитает форум и потом начнет докапываться на конкретных объектах, "а зачем нам угрозы моделировать, если такого слова нет?", ага... С аттестацией того, что не указано в обязаловке в 77 Приказе, полностью согласен - это теперь лишний геморрой. Одна проблема: модуль экстрасенсорики подсказывает, что пройдет года три, прежде чем Заказчики (и их "добрые" консультанты) прекратят плодить ТЗ, в которых не будут рядом стоять понятия "ИСПДн" и "аттестация". Или ТЗ со сроками и масштабами работ "все, сразу и под ключ без промежуточных этапов". Вот это, imho, проблема в масштабах всей страны, которую 77 Приказ только усугубляет... |
Автор: oko | 109488 | 29.08.2021 12:45 |
to WORM
Ну и конкретики для... Вроде необходимость разработки "Модели угроз" определена в нормативке по КИИ только в 239 Приказе ФСТЭК. И касается это только значимых объектов КИИ, а не всех подряд... Что же до 21 Приказа и моделирования УБИ, то, конечно, "чисто по букве" выходит необходимость выбора мер защиты исключительно из актуальности 1, 2 или 3 типа угроз НДВ для ИСПДн согласно ПП РФ 1119. И, если так, то и БДУ идет нахер, и понятие "угрозы НДВ" каждый волен применять к своей ИСПДн на свое усмотрение (с легкой руки Правительства, ага), и результат в итоге получается из разряда "лишь бы было". И, главное, без грамотной ЧМУ нет необходимости что-то компенсировать или адапатировать в контексте реально возможных угроз (не тех, которые "НДВ") - так что выполняем необходимый минимум и радуемся жизни (особенно по трудозатратам, ага)... А утечки ПДн и дырявость КСЗ, не учитывающей фактического состояния дел, - это, понимаете ли, неизбежное зло. Зато все четко по требованиям, не подкопаешься... |
Автор: WORM, МК | 109489 | 29.08.2021 13:38 |
to oko
Смею предположить, что регулярные громкие утечки ПДн и мошенничество с ними происходят не из-за того, что кто-то их неправильно защитил, не выполнил приказ ФСТЭК и не написал МУ... Все гораздо прозаичнее. Проблема в том, что мы их обязаны предоставлять всем подряд и в огромном объеме. И аттестация всех на свете ИСПДн картину нисколько не изменит. Так что да, защищают их именно для того, чтобы "лишь бы было". И никакая ЧМУ, даже самая красивая, не поможет. Про угрозы упоминается даже в ГТ. И что? Много Вы видели там ЧМУ? И зачем она там нужна? |
Просмотров темы: 18026