технические каналы утечки информации - Форум по вопросам информационной безопасности

Подскажите куда пропали «Сборник временных методик оценки защищенности конфиденциальной информации от утечки по техническим каналам»? Нет ни в одном перечне ФСТЭК. Как их получить лецензиату? если они не актуальны на какие документы ссылаться при проведение специальных обследований.

Инфа от ФСТЭК.
- Сборники случайно удалили из перечня документации. Вернут при первой правке перечня. Сборники действующие, лицензию без них не получить скорей всего. У лицензиата они должны быть. Ибо это единственный документ в своем роде.

Как получить:
Не помню откуда именно этот перечень идет. Толи стандартинформ, толи институт ФСТЭК в Воронеже.

Мы в своё время получали эти документы через запрос в территориальное управление ФСТЭК.

to Денис
Не вводите в заблуждение, не случайно а целенаправленно при публичном обсуждении Приказа № 77 в письменных ответах четко транслировано - при аттестациях технические каналы от утечки информации не рассматриваются. Простой правкой перечня не отделаются - так как Приказ № 77 признан Минюстом, а СТР-К нет, а посему он выпал из правового поля "Аттестация объектов информатизации"

"при публичном обсуждении Приказа № 77 в письменных ответах четко транслировано - при аттестациях технические каналы от утечки информации не рассматриваются"
Это только слова... в требованиях самого регулятора 17, 21 приказах подсистема ТКУИ есть ... и слова что для своей системы вы их не рассматриваете писать надо.

"Приказ № 77 признан Минюстом, а СТР-К нет, а посему он выпал из правового поля "Аттестация объектов информатизации"
Опять не совсем так .Что вы понимаете под "выпал из правового поля"? Он и ранее не согласован был Минюстом.
Часть соискателей лицензии до сих пор аттестуют свои автономные АС для лицензий под требования СТР-К, а для ЗП вообще других требований нет! ФСТЭК принимает документы на ЗП и при получении лицензий по ТЗКИ на АС. При желании Заказчика лицензиат вполне легитимо может использовать СТР-К для рассмотрения ТКУИ и при аттестации АС по требованиям РД НСД и СТР-К - информ. сообщение ФСТЭК от 11 апреля 2022 г. N 240/24/1950.

to Аноним:

> так как Приказ № 77 признан Минюстом, а СТР-К нет, а посему он выпал из правового поля "Аттестация объектов информатизации"

Не понятно введенное понятие - правовое поле "Аттестация объектов информатизации". У регулятора и НМД такой термин не встречал.
Наверное, в узком смысле под этим понятием понимается правовое поле, суженное до круга НМД, регулирующих процедуру оценки соответствия в форме аттестации. По сути речь сводится только к Порядку, утвержденному приказом ФСТЭК России от 29.04.2021 № 77. Но упомянутые Вами "публичные обсуждения Приказа № 77" также не проходили регистрацию в Минюсте России?! Не говоря уже обо всех официальных разъяснениях, в выпускаемых ФСТЭК России информационных письмах.
Если указанное понятие толковать в широком смысле, то высказанный тезис вынуждает исключать ряд документов ФСТЭК России (Гостехкомиссии России) используемых на практике, но не прошедших регистрацию в Минюсте России: "Методика оценки УБИ" (2021 г.), "Меры защиты информации в ГИС" (2014 г.), "Базовая модель угроз..." (2008 г.), разные профили защиты, которые учитываются при сертификации АВЗ, СОВ... (вместе с заданиями по безопасности, ТУ, формулярами), СТР-К, РД АС, РД МЭ, РД СВТ и много других.
Уж больно мудрёный термин...

to sekira:

> ... в требованиях самого регулятора 17, 21 приказах подсистема ТКУИ есть ... и слова что для своей системы вы их не рассматриваете писать надо

Формально ни в Требованиях, утвержденных приказом ФСТЭК от 11.02.2013 № 17, ни в Составе и содержании мер, утвержденных приказом ФСТЭК от 18.02.2013 № 21, никакой подсистемы ТКУИ нет. Есть мера ЗТС.1, но требования к ней для указанных в документах классов защищенности ГИС и уровней защищенности ПДн не предъявляются. Кроме меры ЗТС.1 в документах есть "куча" других мер, которые определены регулятором и к которым требования также не предъявляются. Их все "надо рассматривать" или выборочно только меру ЗТС.1? Не вижу большого смысла писать в документах всё то, чего в системе нет и к чему требования не предъявлены (если только это не чьи-нибудь личные пожелания).
Необходимость защищать информацию от утечки по ТКУИ и оценивать эти каналы возникнет только в случае, если владелец (оператор) ГИС/ИСПДн отнесет угрозу утечки по данному каналу к числу актуальных и в своем техническом задании на создание СЗИ предъявит требование к выполнению меры ЗТС.1. Тут наравне с другими предъявленными мерами защиты: и реализация и описание мер должны быть.

"оценивать эти каналы возникнет только в случае, если владелец (оператор) ГИС/ИСПДн отнесет угрозу утечки по данному каналу к числу актуальных и в своем техническом задании на создание СЗИ предъявит требование к выполнению меры ЗТС.1."
Спасибо за уточнения именно это я и хотел сказать...

to Аноним.

Не вводите в заблуждение.

Вы проводить замеры для ЗП как собрались?
Только лишь временные методики регламентируют это. Поэтому ФСТЭК мне лично говорил, что методики удалены случайно.