Контакты
Подписка
МЕНЮ
Контакты
Подписка

Разработка системы защиты - Форум по вопросам информационной безопасности

Разработка системы защиты - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Страницы: 1 2 >

Автор: smbd, 123 | 92184 30.04.2018 14:22
Вообщем так вышло, что нужно разработать систему защиты уже умеющийся ИС.
С каких документов начать (как правильно классифицировать ИС, какие требования необходимо соблюсти и т.д.) ?

Автор: C, C | 92189 30.04.2018 18:44
Как правило, начинают с документов, определяющих правовой режим информации, подлежащей защите в ИС: гостайна, персональные данные, служебная, конфиденциальная и иная тайна. И только затем переходят к классификации ИС. Стоит обратить внимание, что предметом разработки является СЗИ (система защиты информации), т.е защищается не ИС, а информация в ИС. Отсюда и выстраивайте свою работу.

Автор: smbd, 123 | 92199 01.05.2018 08:22
Окей, определили тип данных - персональные данные (специальная категория).
А дальше жесть как она есть - постановление 1119 объясняет как определить класс защищенности и накладывает очень мутные требования к их защите. Смотрим 17 приказ ФСТЭК - и опа, классов уже не 4, а 3 и определяются они совершенно иным способом.
И что из этого выбирать ?

Автор: smbd, 123 | 92200 01.05.2018 08:44
С классом и уровнем вроде разобрался.
Остался вопрос требований к средствам защиты, какие еще документы помимо 17 приказа почитать ?

Автор: smbd, 123 | 92203 01.05.2018 09:06
Забыл добавить, информационная система государственная.
Правильно ли я понимаю, что мне достаточно выполнить требования 17/21 приказов ?

Автор: С, С | 92204 01.05.2018 09:06
Если у Вас персональные данные, то комплектом нормативной документации, образующиеся в развитие Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных". На мой взгляд, пока в этой отрасли больше правовых вопросов, нежели технических. Поэтому лучше покопайтесь в Консультанте или Гаранте по данной проблематике.
Если у Вас не ГИС (Приказ ФСТЭК № 17, о котором Вы говорите, именно под них), то лучше использовать приказ ФСТЭК России от 18.02.2013 № 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" (Зарегистрировано в Минюсте России 14.05.2013 № 28375).

Автор: oko | 92215 01.05.2018 23:53
to smbd
Курсы повышения квалификации и постоянная практика спасут. И дело здесь не в запредельной сложности (для простых смертных, ага) работ по ЗИ/ИБ, а в том, что защита ИС/АС "по закону" имеет х*рову гору нюансов, которые в режиме форума с 0 никто вам не растолкует...

Автор: Dfg | 92281 02.05.2018 11:13
//C
Стоит обратить внимание, что предметом разработки является СЗИ (система защиты информации), т.е защищается не ИС, а информация в ИС. Отсюда и выстраивайте свою работу.//

Уже не универсально, ведь может быть и КИИ. А там на первом месте может быть система.

// smbd
Правильно ли я понимаю, что мне достаточно выполнить требования 17/21 приказов ?//

А может и 239.

Автор: smbd | 92289 02.05.2018 15:08
>> Курсы повышения квалификации и постоянная практика спасут
Ирония в том, что это дипломный проект и я в теории без пяти минут "квалифицированный специалист".
А на практие - учили всему что только можно, но только не этому (может быть, я пропустил мимо ушей и должен был это изучать самостоятельно ?:D).
Поэтому хочется увидеть хотя бы приблизительный алгоритм последовательности действий.

Автор: C, C | 92293 02.05.2018 17:05
> Уже не универсально, ведь может быть и КИИ. А там на первом месте может быть система.

Но даже у системы сначала необходимо выделить объекты защиты (сведения, отражающие те или иные существенные параметры системы), иначе "границ защиты не понять, аршином общим не измерить, у ней особенная стать - в защиту можно только верить".

Страницы: 1 2 >

Просмотров темы: 4340

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*