Автор: smbd, 123 | 92184 | 30.04.2018 14:22 |
Вообщем так вышло, что нужно разработать систему защиты уже умеющийся ИС.
С каких документов начать (как правильно классифицировать ИС, какие требования необходимо соблюсти и т.д.) ? |
Автор: C, C | 92189 | 30.04.2018 18:44 |
Как правило, начинают с документов, определяющих правовой режим информации, подлежащей защите в ИС: гостайна, персональные данные, служебная, конфиденциальная и иная тайна. И только затем переходят к классификации ИС. Стоит обратить внимание, что предметом разработки является СЗИ (система защиты информации), т.е защищается не ИС, а информация в ИС. Отсюда и выстраивайте свою работу.
|
Автор: smbd, 123 | 92199 | 01.05.2018 08:22 |
Окей, определили тип данных - персональные данные (специальная категория).
А дальше жесть как она есть - постановление 1119 объясняет как определить класс защищенности и накладывает очень мутные требования к их защите. Смотрим 17 приказ ФСТЭК - и опа, классов уже не 4, а 3 и определяются они совершенно иным способом. И что из этого выбирать ? |
Автор: smbd, 123 | 92200 | 01.05.2018 08:44 |
С классом и уровнем вроде разобрался.
Остался вопрос требований к средствам защиты, какие еще документы помимо 17 приказа почитать ? |
Автор: smbd, 123 | 92203 | 01.05.2018 09:06 |
Забыл добавить, информационная система государственная.
Правильно ли я понимаю, что мне достаточно выполнить требования 17/21 приказов ? |
Автор: С, С | 92204 | 01.05.2018 09:06 |
Если у Вас персональные данные, то комплектом нормативной документации, образующиеся в развитие Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных". На мой взгляд, пока в этой отрасли больше правовых вопросов, нежели технических. Поэтому лучше покопайтесь в Консультанте или Гаранте по данной проблематике.
Если у Вас не ГИС (Приказ ФСТЭК № 17, о котором Вы говорите, именно под них), то лучше использовать приказ ФСТЭК России от 18.02.2013 № 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" (Зарегистрировано в Минюсте России 14.05.2013 № 28375). |
Автор: oko | 92215 | 01.05.2018 23:53 |
to smbd
Курсы повышения квалификации и постоянная практика спасут. И дело здесь не в запредельной сложности (для простых смертных, ага) работ по ЗИ/ИБ, а в том, что защита ИС/АС "по закону" имеет х*рову гору нюансов, которые в режиме форума с 0 никто вам не растолкует... |
Автор: Dfg | 92281 | 02.05.2018 11:13 |
//C
Стоит обратить внимание, что предметом разработки является СЗИ (система защиты информации), т.е защищается не ИС, а информация в ИС. Отсюда и выстраивайте свою работу.// Уже не универсально, ведь может быть и КИИ. А там на первом месте может быть система. // smbd Правильно ли я понимаю, что мне достаточно выполнить требования 17/21 приказов ?// А может и 239. |
Автор: smbd | 92289 | 02.05.2018 15:08 |
>> Курсы повышения квалификации и постоянная практика спасут
Ирония в том, что это дипломный проект и я в теории без пяти минут "квалифицированный специалист". А на практие - учили всему что только можно, но только не этому (может быть, я пропустил мимо ушей и должен был это изучать самостоятельно ?:D). Поэтому хочется увидеть хотя бы приблизительный алгоритм последовательности действий. |
Автор: C, C | 92293 | 02.05.2018 17:05 |
> Уже не универсально, ведь может быть и КИИ. А там на первом месте может быть система.
Но даже у системы сначала необходимо выделить объекты защиты (сведения, отражающие те или иные существенные параметры системы), иначе "границ защиты не понять, аршином общим не измерить, у ней особенная стать - в защиту можно только верить". |
Просмотров темы: 4340