Контакты
Подписка
МЕНЮ
Контакты
Подписка

Документы по ИБ - Форум по вопросам информационной безопасности

Документы по ИБ - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Страницы: < 1 2 3 4 >

Автор: sekira | 93897 30.05.2018 19:24
"служебная информация" как писалось ранее. Значит необходимо делать АКТ и классифицировать как 1Г."
Это где то написано? В обяз?

Автор: Alex | 94067 31.05.2018 13:28
> Все таки тогда получается, что у нас будет "служебная информация" как писалось ранее

постарайтесь уйти от этого термина, будет не только проще защищать, но и не будет терминологической путаницы

Автор: Goblin | 94068 31.05.2018 13:50
Так в итоге то что получаем?) Я еще больше запутался, если уйти от терминологии то вся инфа которая гуляет не кому не нужна и надо защитить только ИСПДн, а остальное тогда не регламентировано.

Автор: Alex | 94081 31.05.2018 15:53
>что получаем?

с ИСПДн всё ясно. переходим к иной информации ограниченного доступа.
нужно понять, хочет ли собственник информации (в общем случае, гендиректор) её защищать, если да, то выбор для коммерческой организации невелик - это коммерческая тайна в понимании 98-ФЗ с известными ограничениями и понятными принципами её защиты (149-ФЗ, 98-ФЗ, руководящий документ "АС. Защита от НСД. Классификация АС..." по классу 1Г).

Автор: Alex | 94086 31.05.2018 15:59
в догонку

>остальное тогда не регламентировано

и в этом случае можно реализовать базовый набор мер для (автоматизированных) систем, в которых обрабатывается информация с различной степенью конфиденциальности (некорректный, но понятный термин), с разными уровнями доступа пользователей и обработки информации в (автоматизированной(-ую)) системе(-у) и доступом к телекоммуникационным сетям. короче, 1Г :)

Автор: sekira | 94090 31.05.2018 18:55
"выбор для коммерческой организации невелик"
17 приказ забыли, если хочется то можно и его приплести и уйти от РД НСД.

"...6. По решению обладателя информации (заказчика) или оператора настоящие Требования могут применяться для защиты информации, содержащейся в негосударственных информационных системах..."

"постарайтесь уйти от этого термина, будет не только проще защищать"
Я же сказал раньше что проблема в этом (что , зачем и от чего защищаем), "уход от термина" не решение проблемы.

Автор: oko | 94097 31.05.2018 23:24
*в сторону*
Нагородили так, что хочется разом разрубить этот узел тов. Гордия...

to Goblin
Классифицируйте свою ИСПДн - присвойте ей определенный уровень защищенности (как? см. открытую литературу и этот форум, ага)...
Оцените возможный ущерб от блокирования / уничтожения / изменения / кражи остальной "непонятно-что-но-надо-бы-защитить-наверное" информации ограниченного доступа (ИОД). Примерно так оцените, "мало" / "средне" / "много". При этом сразу соответствующие сегменты появятся: ИОД "дебита-кредита" организации, хранящаяся в СУБД, явно критичнее (в период отчетности, ага), чем ИОД на машине "мастера чистоты". Или наоборот, ага. Специфику вы знаете куда лучше нас...
В итоге по 17 Приказу получите класс защищенности для своих сегментов, обрабатывающих ИОД. Берите по максимуму. Сравнивайте с уровнем защищенности ИСПДн. Берите по максимуму...
Читайте требования 17 Приказа. Думайте, чем их выполнять в вашей организации. Читайте методдокументы ФСТЭК (Проект методики 2015, Меры защиты 2014). Расписывайте и применяйте. Даю подсказку: если не гос.организация, то можете со спокойной душой и чистой совестью обходить вопросы, связанные с внедрением именно сертифицированных СЗИ и СКЗИ (процентах в 70-80 случаев, ага). Особенно, если ИОД своя собственная и с государственным ресурсом никак не связанная...
И не забудьте это все зафиксировать (особенно перечень ИОД, сегменты и места ее обработки, лиц допущенных и т.п.), утвердить у руководителя и довести "про ответственность" всем связанным с ИОД сотрудникам...
Чуть позже расширьте свой тезаурус понятием "режим коммерческой тайны" и всем, что с ним связано. И постепенно внедряйте подходящие элементы режимных, организационных и технических мероприятий. Про анализ уязвимостей и периодический контроль (с целью внесения изменений) всего вышеизложенного тоже не забывайте...
А про СТР-К забудьте. И про АС забудьте. Хватит уже пользоваться материалами прошлого тысячелетия. Не то, чтобы они были плохими и неудобными (напротив, ага), но тенденция, знаете ли, вещь весьма специфическая. Не ровен час...

Автор: Мимопроходящий | 94106 01.06.2018 09:37
" А про СТР-К забудьте. И про АС забудьте. Хватит уже пользоваться материалами прошлого тысячелетия. Не то, чтобы они были плохими и неудобными (напротив, ага), но тенденция, знаете ли, вещь весьма специфическая. Не ровен час..."
Чтобы забыть, надо основание, например, его отмена (приказ, постановление, решение и тому подобное) по мне дак проще использовать РД НСД и СТР-К, нежели 17 Приказ. Да и проверяющих с прошлого тысячелетия еще навалом

Автор: Мимопроходящий | 94108 01.06.2018 11:20
И еще момент...
В гос. организации необходимо создать АС, а именно ПЭВМ, на которой будут готовиться документы, скажем Акты, с пометкой "Для служебного пользования". Данные акты нужны только для внутреннего обращения. По 149-ФЗ не нашел пункт, на основании которого можно назвать данную АС , читай ИС, государственной ИС (ГИС). А, следовательно, и требования 17 Приказа необязательны.
Или я в чём-то не прав?

Автор: Alex | 94114 01.06.2018 13:38
>"уход от термина" не решение проблемы

согласен, много терминологической путаницы в исходном сообщении, гадаем на кофейной гуще.

>17 приказ забыли

нет, не забыл, но с т.з. минимизации затрат и достижения минимально необходимого заданного уровня защищённости, достаточно введения режима КТ и выполнения требований по защиты КТ. (disclaim - этот вариант подходит только для коммерческих организациий, являющихся собственниками информации :))

Страницы: < 1 2 3 4 >

Просмотров темы: 5922

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*