Контакты
Подписка
МЕНЮ
Контакты
Подписка

Обоснование наличия администратора безопасности ИСПДн - Форум по вопросам информационной безопасности

Обоснование наличия администратора безопасности ИСПДн - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Страницы: < 1 2 3 4 5 6 >

Автор: Игорь | 53100 20.08.2014 14:12
Dmitriy, Prominform | 53098

Ликбез по поводу функций администратора безопасности и требований к ИС можно было не проводить. Все это прекрасно представляют и к чему Вы привели все эти пункты непонятно. Вопрос состоял совершенно в другом - обоснование со ссылками на НМД наличия в штате данной должности.
Sekira дал исчерпывающий ответ и обсуждать более нечего

Автор: sekira | 53102 20.08.2014 14:58
Для Дмитрия.

"Аттестация ИСПДн осуществляется по приказу ФСТЭК от 11.02.2013г. №17"
Это где такое написано?

"оценка соответствия выполняется по приказу ФСТЭК от 18.02.2013г. № 21"
И здесь поподробнее!? Номер пункта НМД и название где такое написано!?

"Зачастую не смотря на наличие ЭВМ обработка происходит без средств автоматизации"
ФЗ 152 ст. 3 4) автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
В топку ППр !!

"Администратор защиты (Security administrator)"
Администратор информационной безопасности????

"Чем занимается администратор по безопасности?"
Где написано чем он должен (обязан!) заниматься!!? Остальное ИМХО.



Автор: Ученик, ООО | 53104 21.08.2014 00:04
Про должностные обязанности... Есть такой нормативный документ. Называется: Единый квалификационный справочник должностей руководителей, специалистов и служащих, раздел Квалификационные характеристики должностей руководителей и специалистов по обеспечению безопасности информации в ключевых системах информационной инфраструктуры, противодействию техническим разведкам и технической защите информации, утв. приказом минздравсоцразвития рф от 22 апреля 2009 г. N 205.
Должность: Администратор по обеспечению безопасности информации.

Автор: sekira | 53105 21.08.2014 07:16
С учетом написанного выше ...

3. Квалификационные характеристики могут применяться в качестве нормативных документов или служить основой для разработки должностных инструкций, содержащих конкретный перечень должностных обязанностей работников с учетом особенностей организации производства, труда и управления, а также их прав и ответственности. При необходимости должностные обязанности, включенные в квалификационную характеристику определенной должности, могут быть распределены между несколькими исполнителями.
При разработке должностных инструкций допускается уточнение перечня работ, которые свойственны соответствующей должности в конкретных организационно-технических условиях, и установление требований к необходимой специальной подготовке работников.
4. Квалификационная характеристика каждой должности имеет три раздела: "Должностные обязанности", "Должен знать", "Требования к квалификации".
В разделе "Должностные обязанности" установлены основные трудовые функции, которые могут быть поручены полностью или частично работнику, занимающему данную должность, с учетом технологической однородности и взаимосвязанности работ, позволяющих обеспечить оптимальную специализацию служащих."

То есть не должен !
А как решите при организации в своей организации (простите за каламбур..:))) ... справочник вам в помощь.

Автор: Дмитрий, Prominform | 53129 21.08.2014 14:44
Для sekira:
1. Читайте приказ ФСТЭК № 17 п.17 " Аттестация информационной системы и ввод её в действие". Если у вас система не государственная, но обрабатывает государственные информационные ресурсы, то аттестация по СТР-К (основание СТР-К п. 2.3).
2. Читайте приказ №21. ФСТЭК п.6. Какие документы и как должны быть оформлены - читайте нормативные документы ФСТЭК России, Роскомнадзора и ФСБ России.
3. Откройте Руководящий документ "Защита от несанкционированного доступа к информации. Термины и определения", утвержден решением председателя Гостехкомиссии России от 30 марта 1992 года. и прочитайте определение кто такой Администратор защиты (безопасности)( Security administrator)
4. Не поленитесь открыть постановление правительства № 687 от 15 сентября 2008 года и прочитать внимательно пункт 1 и пункт 2 этого действующего документа.

Автор: sekira | 53133 21.08.2014 15:56
"1. Читайте приказ ФСТЭК № 17 п.17 " Аттестация информационной системы и ввод её в действие". Если у вас система не государственная, но обрабатывает государственные информационные ресурсы, то аттестация по СТР-К (основание СТР-К п. 2.3). "
Приказ 17 для ИС ГИС не для ИСПДН!

"2. Читайте приказ №21. ФСТЭК п.6. Какие документы и как должны быть оформлены - читайте нормативные документы ФСТЭК России, Роскомнадзора и ФСБ России."
В приказе 21 и в "нормативные документы ФСТЭК России, Роскомнадзора и ФСБ России" ни слова о порядке проведения "оценки соответствия"!

"3.прочитайте определение кто такой Администратор защиты"
Прочитал а теперь кто такой "Администратор информационной безопасности" (автор темы про него спрашивал) и причем тут "администратор защиты" И как связаны РД НСД ФСТЭК и ИСПДн?

" Не поленитесь открыть постановление правительства № 687 от 15 сентября 2008 года и прочитать внимательно пункт 1 и пункт 2 этого действующего документа"

Не поленился прочитать выше...
В целях реализации Федерального закона "О персональных данных" Правительство Российской Федерации постановляет:...
ФЗ первичен ППр его исполняет. Если правительство написало ахинею то в соответствии с неахинеей в ФЗ ахинею правительства я исполнять не обязан!


Автор: Дмитрий, Prominform | 53146 22.08.2014 09:57
Для sekira:
1. Из приказа № 17: п.5 "При обработке в государственной информационной системе информации, содержащей персональные данные, настоящие Требования применяются наряду с требованиями к защите персональных данных при их обработке в информационных системах персональных данных, ..."
п.6 "По решению обладателя информации (заказчика) или оператора настоящие Требования могут применяться для защиты информации, содержащейся в негосударственных информационных системах."
2. О том как проводится оценка эффективности реализованной защиты или оценка защищенности (что в принципе одно и тоже) можно рассказать, только это тема отдельной лекции. Для получения таких знаний обращаются к учебным заведениям, которые проводят курсы по защите информации. У меня же такой лицензии на оказание образовательных услуг нет.
3. Автор темы спрашивал о Администраторе безопасности. Согласно терминологии Администратор безопасности и Администратор защиты одно и то-же. А будет в штате отдельная должность, или обязанности администратора безопасности будут возложены на одного из сотрудников организации (прошедшего курсы повышения квалификации) - это решать руководителю организации - оператора.
4. Откройте и прочитайте ФЗ.152 (раз на него ссылаетесь) статью 4, пункты 3 и 4.
так вот согласно международным документам (международной конвенции) по защите персональных данных есть только два способа обработки информации: не автоматический (с участием человека) и автоматический (без участия человека). Из-за неточности перевода в свое время и была путаница с "четверокнижием". (Было указано автоматический, автоматизированный и не автоматический.) С выходом ПП №1119 введены требования к обработке ПДн в ИСПДн. А особенности обработки без использования средств автоматизации указаны нормативно-правовым документом - Постановлением Правительства 687. Данным постановлением подробно разъясняется в каких случаях обработка рассматривается как "без использования средств автоматизации", и какие предъявляются требования.При чем при рассмотрении ИСПДн необходимо пользоваться обоими документами. Редко встречается автоматизированная обработка в чистом виде. В основном идет "смешанная". Так что ахинеи нет.

Автор: Дмитрий, Prominform | 53147 22.08.2014 10:34
Для sekira (продолжение):
"И как связаны РД НСД ФСТЭК и ИСПДн?"
А, простите, на основании каких документов и методик вы будете оценивать выполнение требований к системе защиты от несанкционированного доступа? В нашей стране есть один регулятор, который разработал соответствующие документы. Создаваемая система защиты должна соответствовать действующим ГОСТам и требованиям, предъявляемым регуляторами.
Федеральная служба по техническому и экспортному контролю (ФСТЭК России) — федеральный орган исполнительной власти России, осуществляющий реализацию государственной политики, организацию межведомственной координации и взаимодействия, специальные и контрольные функции в области государственной безопасности.
Персональные данные являются разновидностью конфиденциальной информации (в случае если они не отнесены к ГТ). В связи с этим требования к защите ПДн предъявляются согласно ПП1119 и ПП687, а методики оценки соответствия берутся согласно СТР-К. Исключением является использование криптографии.

Автор: sekira | 53149 22.08.2014 11:00
"По решению обладателя информации (заказчика) или оператора настоящие Требования могут применяться"
МОГУТ!! Я о чем и говорю. Но не должны! А вы написали должны!

"О том как проводится оценка эффективности"
Все перепутали "оценки соответствия" не "оценка эффективности".

Пр 21 п. 6. Оценка эффективности!! реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию.
И..
ФЗ 152 ст 18 п1 пп 4) осуществление внутреннего контроля и (или) аудита соответствия!!!обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;
cт 19 п. 1
3) применением прошедших в установленном порядке процедуру оценки соответствия!!! средств защиты информации;
4) оценкой эффективности !!! принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных.

Понятно почему вопрос теперь возник?

"Согласно терминологии Администратор безопасности и Администратор защиты одно и то-же."
Это вы так решили? Где это закреплено? Смысл в том что нигде об этом я и говорю. Все решает оператор, требований иметь администратора защиты или администратора безопасности нет! Как и нет требований что он должен делать! Все решается оператором для каждого конкретного случая.

"Откройте и прочитайте ФЗ.152 (раз на него ссылаетесь) статью 4, пункты 3 и 4. "
Почитал. п. 3 не противоречит ст.3 п.п 4)
по п.4
Конвенция
о защите физических лиц при автоматизированной обработке персональных данных
(Страсбург, 28 января 1981 г.)
ст 2 п с. "автоматическая обработка" включает следующие операции, если они полностью или частично осуществляются с применением автоматизированных средств: накопление данных, проведение логических или/и арифметических операций с такими данными, их изменение, стирание, восстановление или распространение;
Где противоречия с ст.3 п.п 4)?
Так что ППр с ахинеей опять идет лесом ФЗ первичен!



Автор: sekira | 53150 22.08.2014 11:07
"А, простите, на основании каких документов и методик вы будете оценивать выполнение требований к системе защиты от несанкционированного доступа? "

Все смешалось люди кони.
Для ИСПДн ФЗ 152, ППр 1119, Приказ 21 - в них требования к защите НСД.
РД НСД АС ФСТЭК никоим образом не касается ИСПДН!!
Хотите как оператор что бы касалось пожалуйста но НЕОБЯЗАНЫ!

"а методики оценки соответствия берутся согласно СТР-К "
Да где такое написано?
СТР-К - методичка для оператора ИСПДн которую он может почитать надосуге. Выполнять ее он не обязан!
Еще раз не "оценки соответстия" а оценки эффективности принимаемых мер по обеспечению безопасности персональных данных.

"Создаваемая система защиты должна соответствовать действующим ГОСТам и требованиям, предъявляемым регуляторами."
ГОСТам нет читайте ФЗ "О техническом регулировании".
Требованиям регуляторов да если есть требования в ФЗ или ППр выполнять требования регуляторов. В ФЗ 152 и ППр 1119 есть отсыл к Приказу 21.
И все ни к РД ни к СТР-К отсыла нет!

Страницы: < 1 2 3 4 5 6 >

Просмотров темы: 35919

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*