Автор: sekira | 93897 | 30.05.2018 19:24 |
"служебная информация" как писалось ранее. Значит необходимо делать АКТ и классифицировать как 1Г."
Это где то написано? В обяз? |
Автор: Alex | 94067 | 31.05.2018 13:28 |
> Все таки тогда получается, что у нас будет "служебная информация" как писалось ранее
постарайтесь уйти от этого термина, будет не только проще защищать, но и не будет терминологической путаницы |
Автор: Goblin | 94068 | 31.05.2018 13:50 |
Так в итоге то что получаем?) Я еще больше запутался, если уйти от терминологии то вся инфа которая гуляет не кому не нужна и надо защитить только ИСПДн, а остальное тогда не регламентировано.
|
Автор: Alex | 94081 | 31.05.2018 15:53 |
>что получаем?
с ИСПДн всё ясно. переходим к иной информации ограниченного доступа. нужно понять, хочет ли собственник информации (в общем случае, гендиректор) её защищать, если да, то выбор для коммерческой организации невелик - это коммерческая тайна в понимании 98-ФЗ с известными ограничениями и понятными принципами её защиты (149-ФЗ, 98-ФЗ, руководящий документ "АС. Защита от НСД. Классификация АС..." по классу 1Г). |
Автор: Alex | 94086 | 31.05.2018 15:59 |
в догонку
>остальное тогда не регламентировано и в этом случае можно реализовать базовый набор мер для (автоматизированных) систем, в которых обрабатывается информация с различной степенью конфиденциальности (некорректный, но понятный термин), с разными уровнями доступа пользователей и обработки информации в (автоматизированной(-ую)) системе(-у) и доступом к телекоммуникационным сетям. короче, 1Г :) |
Автор: sekira | 94090 | 31.05.2018 18:55 |
"выбор для коммерческой организации невелик"
17 приказ забыли, если хочется то можно и его приплести и уйти от РД НСД. "...6. По решению обладателя информации (заказчика) или оператора настоящие Требования могут применяться для защиты информации, содержащейся в негосударственных информационных системах..." "постарайтесь уйти от этого термина, будет не только проще защищать" Я же сказал раньше что проблема в этом (что , зачем и от чего защищаем), "уход от термина" не решение проблемы. |
Автор: oko | 94097 | 31.05.2018 23:24 |
*в сторону*
Нагородили так, что хочется разом разрубить этот узел тов. Гордия... to Goblin Классифицируйте свою ИСПДн - присвойте ей определенный уровень защищенности (как? см. открытую литературу и этот форум, ага)... Оцените возможный ущерб от блокирования / уничтожения / изменения / кражи остальной "непонятно-что-но-надо-бы-защитить-наверное" информации ограниченного доступа (ИОД). Примерно так оцените, "мало" / "средне" / "много". При этом сразу соответствующие сегменты появятся: ИОД "дебита-кредита" организации, хранящаяся в СУБД, явно критичнее (в период отчетности, ага), чем ИОД на машине "мастера чистоты". Или наоборот, ага. Специфику вы знаете куда лучше нас... В итоге по 17 Приказу получите класс защищенности для своих сегментов, обрабатывающих ИОД. Берите по максимуму. Сравнивайте с уровнем защищенности ИСПДн. Берите по максимуму... Читайте требования 17 Приказа. Думайте, чем их выполнять в вашей организации. Читайте методдокументы ФСТЭК (Проект методики 2015, Меры защиты 2014). Расписывайте и применяйте. Даю подсказку: если не гос.организация, то можете со спокойной душой и чистой совестью обходить вопросы, связанные с внедрением именно сертифицированных СЗИ и СКЗИ (процентах в 70-80 случаев, ага). Особенно, если ИОД своя собственная и с государственным ресурсом никак не связанная... И не забудьте это все зафиксировать (особенно перечень ИОД, сегменты и места ее обработки, лиц допущенных и т.п.), утвердить у руководителя и довести "про ответственность" всем связанным с ИОД сотрудникам... Чуть позже расширьте свой тезаурус понятием "режим коммерческой тайны" и всем, что с ним связано. И постепенно внедряйте подходящие элементы режимных, организационных и технических мероприятий. Про анализ уязвимостей и периодический контроль (с целью внесения изменений) всего вышеизложенного тоже не забывайте... А про СТР-К забудьте. И про АС забудьте. Хватит уже пользоваться материалами прошлого тысячелетия. Не то, чтобы они были плохими и неудобными (напротив, ага), но тенденция, знаете ли, вещь весьма специфическая. Не ровен час... |
Автор: Мимопроходящий | 94106 | 01.06.2018 09:37 |
" А про СТР-К забудьте. И про АС забудьте. Хватит уже пользоваться материалами прошлого тысячелетия. Не то, чтобы они были плохими и неудобными (напротив, ага), но тенденция, знаете ли, вещь весьма специфическая. Не ровен час..."
Чтобы забыть, надо основание, например, его отмена (приказ, постановление, решение и тому подобное) по мне дак проще использовать РД НСД и СТР-К, нежели 17 Приказ. Да и проверяющих с прошлого тысячелетия еще навалом |
Автор: Мимопроходящий | 94108 | 01.06.2018 11:20 |
И еще момент...
В гос. организации необходимо создать АС, а именно ПЭВМ, на которой будут готовиться документы, скажем Акты, с пометкой "Для служебного пользования". Данные акты нужны только для внутреннего обращения. По 149-ФЗ не нашел пункт, на основании которого можно назвать данную АС , читай ИС, государственной ИС (ГИС). А, следовательно, и требования 17 Приказа необязательны. Или я в чём-то не прав? |
Автор: Alex | 94114 | 01.06.2018 13:38 |
>"уход от термина" не решение проблемы
согласен, много терминологической путаницы в исходном сообщении, гадаем на кофейной гуще. >17 приказ забыли нет, не забыл, но с т.з. минимизации затрат и достижения минимально необходимого заданного уровня защищённости, достаточно введения режима КТ и выполнения требований по защиты КТ. (disclaim - этот вариант подходит только для коммерческих организациий, являющихся собственниками информации :)) |
Просмотров темы: 5922