Контакты
Подписка
МЕНЮ
Контакты
Подписка

Как определить класс СКЗИ для ГИС без ПДн? - Форум по вопросам информационной безопасности

Как определить класс СКЗИ для ГИС без ПДн? - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Автор: Деся | 102087 18.09.2018 18:20
Здравствуйте!

Подскажите, пожалуйста, какими нормативными документами ФСБ руководствоваться при определении класса СКЗИ, используемых для защиты ГИС, в которой не обрабатываются персональные данные, но только лишь служебная тайна?

Могу я, например, для защиты ГИС класса К1 использовать СКЗИ класса КС1 и если нет, то почему? Как на это посмотрит регулятор?

Понимаю, что по тому же 378-му Приказу это будет не правильно, но ведь применение данного нормативного документа в случае отсутствия обработки персональных данных будет не обязательным.

Автор: oko | 102128 19.09.2018 17:37
to Деся
ФСТЭК и ФСБ до сих пор официально не свели воедино свои представления о нарушителях (свои классификаторы, разумеется). Поэтому де юре в вашей ИС могут быть актуальны нарушители со "средним потенциалом" по ФСТЭК и класса Н1 по ФСБ. В таком случае применяете КС1 (или выше) СКЗИ, исходя из Н1 класса нарушителя. И никто пока вам противного слова не скажет, если, конечно, класс нарушителя по ФСБ вы умышленно не занизили...
Исторически, если для защиты ИС применяются СКЗИ, то принято делать две модели: Модель угроз по ФСТЭК и Модель нарушителя по ФСБ. В последней модели и идет анализ с выбором результирующего класса нарушителя и, соответственно, требуемого класса применяемых криптосредств...
Сам класс нарушителя по ФСБ выбирается, исходя из предполагаемых его возможностей, а также ценности защищаемой информации. Для полного понимания картины "нарушитель - СКЗИ" читайте 378 Приказ ФСБ, старую методику ФСБ 149/54-144 за 2008 г. по ПДн и новую методику ФСБ за 2015 г. по ПДн...

Автор: Деся | 102146 20.09.2018 10:54
Спасибо Вам за ответ! Но получается так:

Классификации нарушителей по классам Н1-Н6 давно нет в связи с отменой методики ФСБ 149/54-144 от 2008г. и В связи с отменой данной методики нет и необходимости разрабатывать модель нарушителя по ФСБ.

Потенциал нарушителей вещь не до конца ясная и ее суть раскрывается только в неутвержденной методике по моделированию угроз ФСТЭК. Связи потенциала нарушителей с классами СКЗИ опять же никакой нет - нет соответствующих нормативных документов.

378 Приказ, методика ФСБ за 2015 г. - эти документы относятся исключительно к ПДн, но в нашей ГИС нету ПДн.

В этом весь и вопрос - нужно ли пытаться скрестить ужа с ежом (ПДн с ГИС, в которой нет ПДн) и не лучше ли следовать букве закона / упирать на отсутствие такой буквы и просто выбрать тот класс СКЗИ, который посчитаем нужным?

Автор: oko | 102149 20.09.2018 11:15
to Деся
Primo, классификация Н1-Н6 как была, так и осталась. Методика 2008 отменена, но классы не изменились. Поэтому и рекомендую ее к прочтению, чтобы знать взаимосвязь нарушителей с классами СКЗИ...
Secundo, ФСТЭК к СКЗИ не имеет отношения. Поэтому де юре "их нарушитель", не обязательно должен совпадать с "нарушителем-по-ФСБ-для-СКЗИ". В этом и проблема, и отдушина. Поэтому, используя СКЗИ в своей ИС (любой), нужна-таки модель нарушителя по ФСБ...
Tertio, для ГИС ФСБ не написала конкретную методику *вырезано* потому что нет ФЗ, классификацию ГИС определила ФСТЭК, а это другая контора, и вообще, пусть сами теперь расхлебывают */вырезано*. Следовательно, модель нарушителя оформляется для конкретной ИС конкретными людьми на свое усмотрение. Но соотношение "возможности нарушителя => класс нарушителя => необходимый класс СКЗИ" неизменно. И просто так выбрать любые СКЗИ для своей ИС, внедрить их и радоваться жизни не получится. Должно быть обоснование. Иначе при проверках регулятора можно заработать втык от "экспертов". Вот такое у нас законодательство, ага...

Автор: Деся | 102151 20.09.2018 11:55
Вы не могли бы пояснить по этому моменту - "классификация Н1-Н6 как была, так и осталась. "Методика 2008 отменена, но классы не изменились. Поэтому и рекомендую ее к прочтению, чтобы знать взаимосвязь нарушителей с классами СКЗИ..."
Возможно, я где-то что-то упускаю из виду - хотелось бы разобраться.
Если классификация осталась, то в каком нормативном документе она закреплена? Если этот документ имеет гриф ДСП и к нему нет доступа, то мы ведь не обязаны им руководствоваться.

Автор: oko | 102171 20.09.2018 17:03
to Деся
Если вы лицензиат ФСБ, то должны сами все прекрасно знать...
Если вы эксплуатант ИС, которому вменили разработать ЧМУ или подобрать нужные СКЗИ, то писать и придумывать можете что хотите и на базе любой подвернувшейся под руку документации, ссылаясь или не ссылаясь на отсутствие утвержденных источников, - без привлечения лицензиата все подобные действия с позиции ФСБ ликвидными не будут (особенно внедрение СКЗИ, ага)...
Если вам "чисто для себя", то ответ уже привел - читайте Методику 2008 (и проводите параллели с 378 Приказом и Методикой 2015), ее положения отменены в части описания, но подход "выбор СКЗИ, исходя из класса нарушителя" и классификаторы нарушителей и СКЗИ никуда не делись. К слову, до появления Методики 2008 информацию по классам нарушителей и СКЗИ (более-менее детальную) получить было, мягко говоря, очень сложно (если вы, конечно, не ходите в 8 Центр как к себе домой, ага)...

ЗЫ Проблема в том, что ФСБ мало интересуют КОНФИ-объекты. ГИС, по всей видимости, тоже. И методику отдельную для ГИС и других ИС, не имея четкого ФЗ или указания Правительства РФ, ФСБ делать не будет. Вот и приходится крутиться как можем. Ссылаться на Методики 2008/2015 ПДн в случае с ГИС, конечно, глупо. Но, imho, никто вас за такую отсылку не поругает. Потому что де факто подходы одинаковы, а де юре... скажем так, наши законы и регуляторы в особенности любят создавать ситуации с "подвешенным состоянием", чтобы позже в любой момент времени их трактовать в свою пользу, ага...

Просмотров темы: 3883

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*