Контакты
Подписка
МЕНЮ
Контакты
Подписка

Аттестация ИСПДн - Форум по вопросам информационной безопасности

Аттестация ИСПДн - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Страницы: 1 2 3 4 >

Автор: Автор | 62199 07.04.2016 11:48
Добрый день.

По мере работы появился вопрос. До выхода приказа ФСТЭК 21 ИСПДн аттестовывались как АС. Можно ли сейчас аттестовать ИСПДн как АС? Или потребуется по 21 приказу аттестацию проводить?

Автор: oko | 62202 07.04.2016 12:09
Приветствую!
1. Как АС нельзя. Читайте Постановление Правительства 1119 и следом (в части выполнения требований и норм) 21 Приказ ФСТЭК. Классифицируйте по "уровню защищенности".
2. Аттестация не обязательна, допускается контроль защищенности. Только регулятор не указал, чьими силами допустимо его производить (вернее указал, но в кулуарах мнение иное ходит). Таким образом, не имея в штате организации-владельца ИСПДн специалистов в области ИБ/ЗИ будет сложно доказать ФСТЭК отсутствие необходимости в привлечении сторонних организаций-лицензиатов. А, следовательно, проще провести аттестационные испытания. Допустимо в форме контроля без обязательной выдачи "Аттестата соответствия" со всеми его ограничениями (особенно ограничениями сроков эксплуатации до следующей аттестации - пресловутые 3 года).

Автор: Автор | 62228 08.04.2016 03:53
В ПП 1119 пункте 17 написано, что контроль должен проводится не реже 1 раза в 3 года.

"Допустимо в форме контроля без обязательной выдачи "Аттестата соответствия" " - вот по этому пункту хотел бы уточнить. А как заказчики подтвердят, что они правильно осуществляют защиту ПДн? Или им хватит ОРД, которые все их уязвимости и прочие неприятности закрывают?

Автор: oko | 62236 08.04.2016 10:12
Да, в тему контроля забыл про ограничения по времени, аналогичные аттестации.
Фактически, законодатель не указал способ оценки (контроля) защищенности. Приказ ФСТЭК №21, п. 6. Те же 3 года, но нет явной оговорки про аттестацию (как, например, в 17 Приказе по ГИС). Поэтому и сказал ранее, что вопрос о привлечении сторонних организаций и тем более проведении оценки в форме аттестации - решается самостоятельно со всеми вытекающими. В некоторых регионах страны представители ФСТЭК явно настаивают на проведении аттестации с выдачей именно "Аттестата соответствия". Чтобы было проще и привычнее. Хотя в принципе по тому же 21 приказу контроль проводится либо Заказчиком самостоятельно, либо с привлечением организаций-лицензиатов.
В случае самостоятельного проведения оценки - сборник ОРД (Техпаспорт, матрицы доступа, инструкции, приказы, акты) + Модель угроз + Заключение внутренней комиссии о том, что реализованные мероприятия ЗИ в данной ИСПДн соответствуют требованиям ПП 1119, Приказа 21 и также нейтрализуют все актуальные для ИСПДн угрозы из "Модели угроз..."
Прошла пара месяцев

Автор: Игорь Александров | 64042 29.06.2016 08:42
По МЕТОДИКЕ ОПРЕДЕЛЕНИЯ АКТУАЛЬНЫХ УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ

Если у меня сегмент сети организации выходит пересылает ПДн в головной орган по криптошлюзу, который еще и МЭ, можно ли считать, по таблице 1 вышеуказанного документа - ИСПДн, физически отделенная от сети общего пользования?
Рабочие места не имеют доступ к сети интернет. Весь трафик идет по криптошлюзу.

Автор: oko | 64069 29.06.2016 13:29
to Игорь Александров
Физически отделенная - это все-таки отсутствие фактических линий и каналов связи с сетями общего пользования. МЭ и всякого рода однонаправленные шлюзы - это разделение не на физическом уровне. Т.е. сбой или умышленное изменение в фильтрах (правилах), и "привет Интернет!"...
С другой стороны, как я понимаю, вопрос касается составления Модели угроз. Тогда, при условии сертификации КШ и МЭ по НДВ + отсутствия ситуации "его поддерживают/конфигурируют люди с кривыми руками" - все угрозы сетевых взаимодействий можно считать неактуальными. Разве что стоит детально описать вероятность атак из Головного органа по туннелю КШ в вашу ИСПДн...
Прошла пара недель

Автор: А. Б. | 64264 12.07.2016 05:01
Здравствуйте.
Для аттестации сетки, где обрабатывается ПДн, по требованиям 21 приказа ФСТЭК нужен межсетевой экран. Можно ли использовать встроенные межсетевые экраны Dallas Lock 8.0-K ?
Или обязательно установка МЭ на сервере?

Автор: oko | 64269 12.07.2016 12:30
to А.Б.
Приветствую!
Если у версия DL8.0-K с сертификатом на МЭ 3 класса, то можно и их. Вопрос, можно ли использовать СЗИ без сертификатов - долгий и мучительный, ага (не будем его сейчас рассматривать)...
Но все зависит от того, к каким сетям и как производится подключение? В целом, решает Модель угроз. Нет актуальных нарушителей/угроз из внутренней сети, а ИСПДн имеет одноточечный выход в тот же Интернет - ставить МЭ на сервер-шлюз доступа к Интернет. Имеются актуальные нарушители/угрозы во внутренней сети и/или многоточечный выход во внешние сети (Интернет, выделенные сети других организаций, даже своя внутренняя ЛВС без обработки ПДн) - защищаем каждую машину (раб.станцию, сервер) своим межсетевым экраном.

Автор: Dfg | 64314 14.07.2016 20:52
Oko а почему долгий и мучительный, если есть письмо Фтэка объясняющee что такое оценка соответствия )

Автор: oko | 64317 14.07.2016 21:37
to Dfg
Потому что, как показывает практика, представители ФСТЭК зачастую сами не читают данные письма, а скоропалительные решения выносят. Что оные мучения и вызывает...

Страницы: 1 2 3 4 >

Просмотров темы: 13679

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*