Автор: Salder | 42029 | 15.02.2013 09:44 |
Ребят, занялся активным изучением нормативных документов ФСБ по работе с СКЗИ в частности Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных". {ТТ}
В принципе вроде бы все понятно, кроме нескольких моментов/ Буду ОЧЕНЬ благодарен, если поможете мне в них разобраться. 1) п. 2.3 ТТ : >Разработка для каждой информационной системы персональных данных модели угроз безопасности персональных данных при их обработке< Не совсем понятно - это какая-то отдельная модель угроз или та же самая, что и для ФСТЭКа? 2) п. 2.7. ТТ: >Ответственные пользователи криптосредств должны иметь функциональные обязанности, разработанные в соответствии с настоящими Требованиями< Непонятно - можно ли администратора ИБ априори считать таким О.Пользователем или нужно отдельный Приказ о назначении, отдельная инструкция и т.п.? Т.е., например, в организации на одного сотрудника может оказаться навешанным: - Ответственный за обработку ПД (152-ФЗ) - Администратор ИБ - Системный администратор - Ответственный пользователь СКЗИ И для каждого будет своя инструкция, приказ (ну или в одном приказе, но разные позиции)? 3) п. 3.8 ТТ: >Пользователи криптосредств предусматривают также раздельное безопасное хранение действующих и резервных ключевых документов, предназначенных для применения в случае компрометации действующих ключевых документов.< - Что имеется ввиду под раздельным хранением? - И вообще не совсем понятно, для чего именно нужны дубликаты и их раздельное хранение: только для документов, подтверждающих сертификат пользователя или, и для самих контейнеров ключа, и для "бумажек"? - Раздельно - это как: разные сейфы что ли? - Если разные сейфы, то получается в режимном помещении д/б минимум два сейфа, а если сейфы будут в разных кабинетах, то оба будут режимными помещениями, так что ли? 4) п. 3.9 ТТ: >Аппаратные средства, с которыми осуществляется штатное функционирование криптосредств, а также аппаратные и аппаратно-программные криптосредства должны быть оборудованы средствами контроля за их вскрытием (опечатаны, опломбированы).< Не понятно, каждый ПК опечатывать? |
Автор: Прохожий | 42040 | 15.02.2013 13:03 |
2 Salder 42029
Уважаемый! Понимаете ФСБ совсем не умеет внятно доводить в своих документах что имеется в виду. Они предпочитают поднапустить туману - чтобы ученый не разобрался. Пишут они так как-будто считают что все имеют законченное высшее образование по шифрованию и наизусть знают наставление по Ш.работе - а это не так. 1. Не та модель угроз - у них в другой нетленке описано их собственное видение МУ 2. В каждой организации за эксплуатацию СКЗИ должно отвечать не менее 2Х человек специально обученных по курсу взлет-посадка (мин) иначе никак не реализовать правило две головы четыре глаза(руки) - один контролирует действия другого и свидетельствует их правильность (для суда) 3. Действующие хранятся в дежурной смене Резервные в дежурную смену не выдаются и хранятся отдельно у ответственного за действия при ЧП (начальника) 4. Да и не только ПК но и все что можно в них открыть и все подключенные к ним ВТСС Думаю написал внятно* Высказана моя личная интрптретация процитированных норм. Несите им деньги и обучитесь у их лицензиатов хотя бы взлету-посадке...иначе никак! |
Автор: FSBобещало | 42104 | 18.02.2013 12:53 |
Автор: Salder | 42135 | 19.02.2013 11:11 |
Я боюсь себе представить требования для ГТ и выше.
У мну вот еще вопрос, если можно: Информация о каждом ключевом носителе д/б занесена в соответствующий журнал и носителю д/б присвоен регистрационный номер. В примерах журналов номера выглядят примерно так: AB0Q-2353 Вопрос: есть какая-то специальная методика присвоения номеров или можно использовать любой номер который придет в голову или например s/n взять? |
Автор: Михаил | 42137 | 19.02.2013 11:35 |
2Salder
Если вы озадачились СКЗИ в связи с обработкой персональных данных, то я могу посоветовать следующее по оформлению МУ: Введите в вашу модель угроз, написанную по РД ФСТЭК пару отдельных разделов модель нарушителя и актуальные угрозы ФСБ, там опишите позиции, которые четко указаны в методических рекомендациях ФСБ по ПД, эта информации позволит вам обосновать применяемый класс криптографической защиты (как указано в Методических рекомендациях). |
Автор: Salder | 42148 | 19.02.2013 14:23 |
2Прохожий и Михаил
Спасибо за советы! А по поводу маркировки ключевых носителей флешек, не подскажите, пожалуйста? |
Автор: Прохожий | 42159 | 19.02.2013 16:02 |
2 Salder| 42148
В журнале, который ведется с любого номера - например 1 номера присваиваются последовательно дата за датой - это и есть ваши учетные номера, можете им присвоить свой индекс например CIC или НКИ - этот номер и индекс нанесите на каждый носитель методом травления или выжигания (чтобы не стиралось) или вешать на каждый МНИ бирку-пломбу со своим номером - их продают специализированные фирмы. номер присвоенный фирмой-разработчкиком проще в том же журнале записать в отдельной графе - но эти номера имеют разную индексность и значность - если его использовать будет винегрет (сложен поиск),да и идентификация будет затруднена. Проще одинаковые носители регистрировать в своем разделе этой книги учета (если это сложно - то не обязательно) К мнению Михаила присоединяюсь. Можете этот-же вопрос г. Тачкову задать как разработчику норм - его мейл приведен выше в пруфе - вот он обрадуется! Он уж решил что про него мы тут забыли и на нас и на свое обещание ЗАБИЛ болт... А мы помним и все ждем от него ОТКРОВЕНИЯ....уже на первый год |
Автор: Прохожий | 42160 | 19.02.2013 16:08 |
вот классно написано про терминологию
08:35 pm February 18th, 2013 Терминологические крайности Это ФСБ оказалось не по зубам - так и нету них официальной терминологии...ждем еще лет 20-30 а там глядишь и отомрет само... |
Автор: DEN | 51896 | 12.05.2014 12:20 |
Добрый день!
Наткнулся на такое требование ФСБ что для эксплуатации СКЗИ КС3 на АРМ должен быть установлен АПМДЗ Соболь (или др. аналог). Хотелось бы знать правда ли это и в каком нормативном документе установлено это требование? |
Автор: Игорь | 51898 | 12.05.2014 13:05 |
DEN,
у ФСБ вообще свой подход к защите и какие-то свои требования и нормативные документы, которых никто не видел. У нас в регионе недавно проводили проверку представители 8 центра ФСБ и выставили требование, что на АРМ с установленными СКЗИ должен быть и антивирус, сертифицированный ФСБ, а не ФСТЭК. Откуда такие требования - никто не объяснил. Должно быть и всё!!! |
Просмотров темы: 31244