Контакты
Подписка
МЕНЮ
Контакты
Подписка

Оценка соответсвия СЗИ (или ПО) - Форум по вопросам информационной безопасности

Оценка соответсвия СЗИ (или ПО) - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Автор: 9STREB | 106518 24.05.2019 15:06
Добрый день, подскажите, согласно 19 статье 152ФЗ оператор обязан:
"2. Обеспечение безопасности персональных данных достигается, в частности:
.........
3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;"

Дак вот, используем в организации windows 10, Ubuntu, Macos. Все лицензия. Кроме этого используем некоторые антивирусы (купленные без сертификата) и штатые средства Линукса для зашиты сети (netfilter, например).

Как мне доказать, что данное ПО может использоваться и нейтрализует те или иные угрозы, а так же обеспечивает выполнение некоторых требований из базовых мер приказа 21?
Мб какую-то бумажку издать? Могу ли я сам провести оценку? или могу ли я использовать ПО для нейтрализации угроз а не СЗИ, и как тогда подать это представителю РКН?

Можно попросить у ФСТЭК бумажку оценку соответсвия на Windows например? без покупки сертифицированного издания?

Автор: oko | 106522 25.05.2019 10:16
to 9STREB
Вопрос не единожды мусолился на этом форуме и многих других (ispdn.ru, например), поищите...
У ФСТЭК напрямую вряд ли, если вы не Газпром, ага:
Primo, для таких вещей как раз придуманы "организации-лицензиаты ТЗКИ" по линии ФСТЭК, в частности (это если вы без криптографии защищаетесь);
Secundo, ФСТЭК уже указывала позицию по этой стремной фразе из ФЗ и по другим стремным фразам из ПП РФ 1119 (про НДВ, в частности) - читайте открытые инфописьма на сайте ФСТЭК;
Tertio, доказать-то можно все, что угодно, но весь вопрос в "ширине ряда случаев"...
Фактически, позиция регуляторов простая: в защите ПДн Оператор берет на себя полную ответственность за собственные решения, ежели не пользуется чем-то, имеющем соответствующий документ регулятора (читай, сертифицированными СЗИ). Впрочем, при использовании подобных решений-с-документами тоже есть нюансы, например, корректность их применения, логика построения системы защиты и проч.

ЗЫ Если netfilter на базе opensource ОС я бы еще протянул как МЭ для конкретной ИСПДн не выше 4 уровня защищенности (исходя из экономической целесообразности, например), то Win10 с ее телеметрией и постоянными 0-day и Ubuntu с ее магазином и другими любопытными особенностями - "в чистом виде" точно нет. Но это мое imho, встречаются *вырезано* безбашенные */вырезано* лицензиаты и с другим мнением. Главное, думать головой, а не отражением валюты в глазах, ага...

Автор: 9STREB | 106535 27.05.2019 07:25
to oko
Спасибо!

Автор: Alex | 106538 27.05.2019 09:51
>Как мне доказать

берёте соответствующее тому СрЗИ, которое хотите использовать, задание по безопасности и в форме приёмки оформляете. но я бы не стал с этим заморачиваться

Автор: Константин | 106539 27.05.2019 10:33
2 9STREB
Прошедшие оценку СЗИ нужны только в том случае если они используются для нейтрализации актуальных угроз.
Если в модели угроз вы укажите, что угрозы не актуальны, то никаких прошедших оценку СЗИ не потребуется.

Автор: Alex | 106545 28.05.2019 10:10
>то никаких прошедших оценку СЗИ не потребуется

опасная рекомендация. если используются СрЗИ, то они должны пройти установленным порядком процедуру оценки соответствия. с этим можно спорить, но за собственный счёт и очень долго

Автор: Константин | 106550 28.05.2019 14:29
Каждый ли антивирус использующийся в ИСПДн является средством защиты информации?!

Автор: oko | 106552 28.05.2019 19:12
to Константин
В системе, состоящей из шкафа и кучи бумаг, является скорее украшением, ага...
Другое дело, что уже говорилось много раз: как построите свою Частную Модель Угроз, так и будет (если это, конечно, ИСПДн, а не ИСПДн+ГИС, ага)...

*в сторону*
Хотите, называйте Avast! "встроенной функцией ИСПДн, нейтрализующей УБИ без необходимости внедрения дополнительных мер и средств защиты"...
Хотите, считайте для своей ИСПДн парольный вход в ОС "излишней мерой защиты, не требуемой в данной ИСПДн, исходя из принципов целесообразности и функциональности"...
Хотите, переносите вычислительные ресурсы в облако по-бумагам-на-территории-РФ с абонплатой в 1 руб/мес "исходя из принципа экономичности"...
Но как только грянет гром (не в виде проверки РКН/ФСТЭК/ФСБ, а в виде исковых заявлений недовольных граждан), креститься будет уже поздно...

Автор: WORM, MK | 106557 29.05.2019 11:12
"Но как только грянет гром (не в виде проверки РКН/ФСТЭК/ФСБ, а в виде исковых заявлений )"

И много гражданин поимеет от своего искового заявления? Кого сим ежом можно испугать? Боятся в основном регулятора, а на гражданина всем плевать.
Тут вот внезапно обозначилась тенденция оформлять на граждан липовые ЭЦП и воровать у них квартиры. И что? Даже наша могучая ФСБ абсолютно спокойна на сей счет.


Просмотров темы: 1260

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*