Автор: monk1818 | 97473 | 20.07.2018 10:33 |
to oko.
Стойте. помогите разобраться..... смотрите.....есть в 152 ФЗ требование дать оценку вреда. не беря в расчет методдокумент 2008, а смотря в 17 приказ ( а нам же никто не запрещает туда смотреть - даже если у нас ИСПДн) там в приложении №1 (определение класса защищенности ИС) - что УЗ определяется степенью возможного ущерба для обладателя иформации....и дальше по тексту (след. абзац) - что эта степень ущерба (как синоним слова "вред") определяет сам оператор экспертным методом. и она (степень ущерба) может быть: Высокой, средней или низкой......я исхожу из этого.... |
Автор: oko | 97485 | 20.07.2018 14:10 |
to monk1818
Если вы из этого исходите, то должны будете самостоятельно разработать (и, желательно, утвердить у регулятора, ага) методику переложения "оценки вреда субъекту ПДн" на существующую в методике 2008 "опасность реализации УБИ". Что же до 152-ФЗ, то, если грубо: - разработчики ФЗ решили ввести понятие "оценки вреда", но не объяснили его и решили, что уточнят в соответствующем ПП РФ; - соответствующее ПП РФ (1119, ага) тоже ничего конкретного не объяснило, только еще больше запутало, введя понятия угроз НДВ 1, 2 и 3 типов, "исходя из оценки вреда", ага; - ФСТЭК, ФСБ и РКН решили, что не обязаны (и это правда) комментировать решения Правительства РФ, поэтому в своих методиках и "оценку вреда", и "угрозы НДВ" как термин с необходимыми пояснениями не рассматривают, а отталкиваются от собственноручно введенной терминологии. Поэтому мой вам совет: - primo, работайте по Методике 2008 в части моделирования угроз; - secundo, не мешайте в кучу выжимки из разных методдокументов и приказов регулятора, если в их тексте нет на это конкретного указания. Если же у вас вопрос не относительно разработки ЧМУ, то поступайте как хотите. И что хотите пишите под этой "оценкой вреда". Нет норм, нет методик, нет утвержденных перечней - полная свобода действия каждому, чтобы никто обиженным не ушел, ага... ЗЫ Нормотворцы хитрые ребята. Понимают, что оценить ущерб субъекту ПДн без конкретики невозможно. Поэтому не парятся и скидывают данную задачу на плечи операторов. Чтобы потом можно было удачно карать за "неверное понимание" и "неверную оценку". Пустота правового поля как бы намекает... |
Автор: monk1818 | 97486 | 20.07.2018 14:40 |
to oko:
исходя из этого делаем вывод: для выполнения требований 152 ФЗ (об оценке вреда) - оцениваем самостоятельно ЛЮБЫЕ показатели (градации) и не паримся с обоснованием (все равно если регулятор оценивает по другому - придерутся) правильно я понял?) P/S 17 приказ упомянул в связи с тем, что там есть хоть какое-то мало-мальски понятие "ущерба" ( я просто рассматривал его как синоним понятия "вред") PS/S. благодарю Вас за грамотные и опытные советы. Такой вопрос: не поделитесь контактами (почта или месседжер?) интересно было бы пообщаться с Вами по тематике ИБ в свободное время. В любом случае еще раз спасибо! |
Автор: oko | 97496 | 20.07.2018 18:11 |
to monk1818
Я бы не парился вообще - один черт никто не сможет ни подтвердить, ни опровергнуть выводы по "оценке вреда" (если, конечно, не было аналогичных прецедентов)... 17 Приказ отставьте в сторону, если у вас не ГИС/МИС или не желание натянуть 17 Приказ на любую АС/ИС кроме чистой ИСПДн... Не переоценивайте, мои советы на форумах не много стоят. Аналогичный косяк с контактами - быстрее и четче уж на форуме отвечу, чем по почте-которая-парсится-раз-в-год... |
Автор: monk1818 | 97543 | 23.07.2018 09:39 |
to oko:
Философию развели) но еще такой момент.....вы абсолютно правы во всем....и фиг с этой оценкой вреда (ну оценим как нибудь типа экспертным методом) - скажите а как с этой оценкой жить то...т.е ну вот определили мы, что она высокая (к примеру) и если не брать в расчет 17 приказ то какие меры меры принимать в соответствии с ней? ладно, в 21 приказе есть требования в зависимости от типа угроз. а вот оценка вреда может как-то влиять на меры? я это к чему....не будет же этот протокол лежать и все....я так понял на основе этой оценки должны и меры защиты быть соответствующими (хоть и не указано какие) - или так и говорить, что мол оценку вреда произвели, но т.к. зависимость мер от оценки вреда в нормативке не регламентирована, то мы не ориентируемся на этот документ?)) |
Автор: oko | 97562 | 23.07.2018 13:24 |
to monk1818
ПП РФ 1119 же. Если провести параллель, то чем выше оценка вреда, тем серьезнее УБИ. По ПП РФ 1119 УБИ рассматриваются только в контексте НДВ (1, 2 и 3 тип), что автоматически влечет за собой изменение уровня защищенности и ворох доп.мероприятий по защите. Дальше уже по 21 Приказу ФСТЭК и 387 Приказу ФСБ... Но это все лирика и не стоит того, imho. Делайте как угодно - в практике еще не встречал организаций, которые бы либо вообще уделяли внимание "оценке вреда", либо делали это сколь-нибудь грамотно. И ничего, живут даже после проверок всех регуляторов вместе взятых... |
Просмотров темы: 4067