Контакты
Подписка
МЕНЮ
Контакты
Подписка

Оценка вреда - Форум по вопросам информационной безопасности

Оценка вреда - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Страницы: < 1 2

Автор: monk1818 | 97473 20.07.2018 10:33
to oko.
Стойте. помогите разобраться..... смотрите.....есть в 152 ФЗ требование дать оценку вреда. не беря в расчет методдокумент 2008, а смотря в 17 приказ ( а нам же никто не запрещает туда смотреть - даже если у нас ИСПДн) там в приложении №1 (определение класса защищенности ИС) - что УЗ определяется степенью возможного ущерба для обладателя иформации....и дальше по тексту (след. абзац) - что эта степень ущерба (как синоним слова "вред") определяет сам оператор экспертным методом. и она (степень ущерба) может быть: Высокой, средней или низкой......я исхожу из этого....

Автор: oko | 97485 20.07.2018 14:10
to monk1818
Если вы из этого исходите, то должны будете самостоятельно разработать (и, желательно, утвердить у регулятора, ага) методику переложения "оценки вреда субъекту ПДн" на существующую в методике 2008 "опасность реализации УБИ".
Что же до 152-ФЗ, то, если грубо:
- разработчики ФЗ решили ввести понятие "оценки вреда", но не объяснили его и решили, что уточнят в соответствующем ПП РФ;
- соответствующее ПП РФ (1119, ага) тоже ничего конкретного не объяснило, только еще больше запутало, введя понятия угроз НДВ 1, 2 и 3 типов, "исходя из оценки вреда", ага;
- ФСТЭК, ФСБ и РКН решили, что не обязаны (и это правда) комментировать решения Правительства РФ, поэтому в своих методиках и "оценку вреда", и "угрозы НДВ" как термин с необходимыми пояснениями не рассматривают, а отталкиваются от собственноручно введенной терминологии.
Поэтому мой вам совет:
- primo, работайте по Методике 2008 в части моделирования угроз;
- secundo, не мешайте в кучу выжимки из разных методдокументов и приказов регулятора, если в их тексте нет на это конкретного указания.
Если же у вас вопрос не относительно разработки ЧМУ, то поступайте как хотите. И что хотите пишите под этой "оценкой вреда". Нет норм, нет методик, нет утвержденных перечней - полная свобода действия каждому, чтобы никто обиженным не ушел, ага...

ЗЫ Нормотворцы хитрые ребята. Понимают, что оценить ущерб субъекту ПДн без конкретики невозможно. Поэтому не парятся и скидывают данную задачу на плечи операторов. Чтобы потом можно было удачно карать за "неверное понимание" и "неверную оценку". Пустота правового поля как бы намекает...

Автор: monk1818 | 97486 20.07.2018 14:40
to oko:
исходя из этого делаем вывод:
для выполнения требований 152 ФЗ (об оценке вреда) - оцениваем самостоятельно ЛЮБЫЕ показатели (градации) и не паримся с обоснованием (все равно если регулятор оценивает по другому - придерутся) правильно я понял?)

P/S 17 приказ упомянул в связи с тем, что там есть хоть какое-то мало-мальски понятие "ущерба" ( я просто рассматривал его как синоним понятия "вред")

PS/S. благодарю Вас за грамотные и опытные советы. Такой вопрос: не поделитесь контактами (почта или месседжер?) интересно было бы пообщаться с Вами по тематике ИБ в свободное время.
В любом случае еще раз спасибо!

Автор: oko | 97496 20.07.2018 18:11
to monk1818
Я бы не парился вообще - один черт никто не сможет ни подтвердить, ни опровергнуть выводы по "оценке вреда" (если, конечно, не было аналогичных прецедентов)...
17 Приказ отставьте в сторону, если у вас не ГИС/МИС или не желание натянуть 17 Приказ на любую АС/ИС кроме чистой ИСПДн...
Не переоценивайте, мои советы на форумах не много стоят. Аналогичный косяк с контактами - быстрее и четче уж на форуме отвечу, чем по почте-которая-парсится-раз-в-год...

Автор: monk1818 | 97543 23.07.2018 09:39
to oko:
Философию развели) но еще такой момент.....вы абсолютно правы во всем....и фиг с этой оценкой вреда (ну оценим как нибудь типа экспертным методом) - скажите а как с этой оценкой жить то...т.е ну вот определили мы, что она высокая (к примеру) и если не брать в расчет 17 приказ то какие меры меры принимать в соответствии с ней? ладно, в 21 приказе есть требования в зависимости от типа угроз. а вот оценка вреда может как-то влиять на меры?
я это к чему....не будет же этот протокол лежать и все....я так понял на основе этой оценки должны и меры защиты быть соответствующими (хоть и не указано какие) - или так и говорить, что мол оценку вреда произвели, но т.к. зависимость мер от оценки вреда в нормативке не регламентирована, то мы не ориентируемся на этот документ?))

Автор: oko | 97562 23.07.2018 13:24
to monk1818
ПП РФ 1119 же. Если провести параллель, то чем выше оценка вреда, тем серьезнее УБИ. По ПП РФ 1119 УБИ рассматриваются только в контексте НДВ (1, 2 и 3 тип), что автоматически влечет за собой изменение уровня защищенности и ворох доп.мероприятий по защите. Дальше уже по 21 Приказу ФСТЭК и 387 Приказу ФСБ...
Но это все лирика и не стоит того, imho. Делайте как угодно - в практике еще не встречал организаций, которые бы либо вообще уделяли внимание "оценке вреда", либо делали это сколь-нибудь грамотно. И ничего, живут даже после проверок всех регуляторов вместе взятых...

Страницы: < 1 2

Просмотров темы: 4067

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*