Как сделать модель угроз ИСПДн по требованиям ФСБ и ФСТЭК одновременно - Форум по вопросам информационной безопасности
Как сделать модель угроз ИСПДн по требованиям ФСБ и ФСТЭК одновременно - Форум по вопросам информационной безопасности
| Автор: Мегаполис | 12505 | 23.08.2009 16:28 |
|
ИСПДн 2 класса, ПДн передаются по VPN в несколько внешних организаций.
Документы ФСТЭК более-менее понятны (непонятен только "показатель опасности" - по какому критерию разделять негативные и очень негативные), а документы ФСБ смахивают на какой-то плохо скомпонованный учебник, букв много, конкретики мало. Поделитесь пожалуйста опытом по методике объединения требований ФСТЭК и ФСБ к моделям, и по структуре документа, который должен получиться. |
|
| Автор: Мегаполис | 12506 | 23.08.2009 16:32 |
|
Пдн во внешние организации отправляются по почте, единой ИСПДн с ними нет, т.е. как я понимаю - у меня локальная ИСПДн, в которой необходимо применять криптографические средства.
|
|
| Автор: Username | 12540 | 25.08.2009 07:04 |
|
>>Документы ФСТЭК более-менее понятны (непонятен только "показатель опасности" - по какому критерию разделять негативные и очень негативные), а документы ФСБ смахивают на какой-то плохо скомпонованный учебник, букв много, конкретики мало.<<
судя по Вашим речам- Вам ОПРЕДЕЛЕННО требуется новый сотрудник- либо специалист по информационной безопасности, либо начальник отдела безопасности. Ни в одном из ваших постов конкретно не указан вопрос, на который вы хотите получить ответ. |
|
| Автор: Прохожий | 12568 | 26.08.2009 12:31 |
|
Параллельно и одновременно - никак.
Только последовательно. 1. Выполнить требования ФСТЭК и сдать 2.Выполнить требования ФСБ, ссылаясь на выполнение требований ФСТЭК Капкан для того и ставился чтобы дичи было побольше. КТО ВИНОВАТ - Что ты устал? |
|
| Автор: Мегаполис | 12669 | 01.09.2009 09:25 |
|
Username:
"Ни в одном из ваших постов конкретно не указан вопрос, на который вы хотите получить ответ." Мой вопрос указан в названии темы, вполне конкретно. И далее я его уточнил - "Поделитесь пожалуйста опытом по методике объединения требований ФСТЭК и ФСБ к моделям, и по структуре документа, который должен получиться." Например, до конца не ясно, это должна быть одна модель угроз, или две, или можно и так и так делать. Прохожий: Спасибо за ваше мнение. |
|
| Автор: sc63 | 12670 | 01.09.2009 09:39 |
|
Делать придется две модели, можно это сделать одним документом т.к. структура моделей ФСБ и ФСТЭК не пересекаются. И в конце этого документа указать, какие угрозы наиболее опасны и по какому из разделов (типа сводной таблицы). Потом это легче перенести в ТЗ на ЗИ.
|
|
| Автор: Василь | 12675 | 01.09.2009 11:19 |
|
>>> Делать придется две модели
Обоснуйте. |
|
| Автор: sc63 | 12679 | 01.09.2009 11:32 |
|
Василь, метод. ФСБ, стр.13, п. 2.4
|
|
| Автор: IvanovSV, УСЗН по г.Ураю | 12900 | 07.09.2009 08:12 |
|
>Вам ОПРЕДЕЛЕННО требуется новый сотрудник
А расскажите мне, где брать новых сотрудников бюджетным организациям? Штатная численность организации к примеру 22 человека. Вы серьезно думаете, что им дадут новую штатную единицу? Может и дадут. Вы за 12 тысяч рублей пойдете работать? Будут на вас висеть функции электронщика. И безопасность. |
|
Прошло несколько месяцев
| Автор: Breghnev | 20526 | 05.07.2010 08:47 |
|
2 sc63
Из п. 2.4 стр. 13 Методических рекомендаций ФСБ как раз следует, что модель угроз будет одна. Либо исключительно на основании документов ФСТЭК (если нет криптухи), либо используются методики ФСТЭК и ФСБ. При этом в случае, если угрозы "перекрываются" (возникает одна и та же угроза по обеим методикам ФСБ и ФСТЭК), то выбирается более опасная. Таким образом можно не защищаться от одной угрозы дважды, если писать единую модель угроз. P.S. В частных случаях для формирования МУ используется только методика ФСБ, но это явно не наш случай. |
|
Страницы: 1 2 >
Просмотров темы: 19309
Добавить сообщение
Copyright © 2018-2022, ООО "ГРОТЕК"