Контакты
Подписка
МЕНЮ
Контакты
Подписка

Правильный подход к построению модели угроз - Форум по вопросам информационной безопасности

Правильный подход к построению модели угроз - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Страницы: 1 2 3 >

Автор: xel | 107216 17.09.2019 13:23
Добрый день, коллеги!Помогите правильно подойти к моделированию угроз. Тружусь в органе местного самоуправления, где имеется множество структурных подразделений, с множеством маленьких баз данных ПДн, ПДн хранятся на локальных ПК и в сетевых папках, обрабатывается все посредством MSoffice (word, excel). ПДн разных категорий, и обрабатываются в различных целях. Вопрос как правильно и оптимально подойти к моделированию, стоит ли каждую такую локальную, маленькую базу ПДн считать ИСПДн или как-то все объединить в одну ИСПДн?

Автор: xel | 107217 17.09.2019 13:26
Ну и вообще ПДн в word/excel можно признавать базой данных и далее признавать все это ИСПДн?

Автор: Alex | 107219 17.09.2019 14:26
>подойти к моделированию угроз

признать такую обработку без использования средств автоматизации (ПП №687), угрозы, связанные с автоматизированной обработкой не моделировать, принять необходимые организационные и технические меры, описанные в ПП № 687

Автор: oko | 107221 17.09.2019 15:12
*в сторону*
Если признать обработку ПДн в офисных приложениях на "каких-то" СВТ в составе "какой-то" сети "неавтоматизированной" - это не освободит от необходимости моделирования УБИ. Только правовая часть такого моделирования катится к черту, потому что де юре ИСПДн отсутствуют и, следовательно, методики моделирования УБИ к такой ситуации не пришьешь. Хотя из "какой-то" сети эти ПДн утекут только в путь, если не принять соответствующих чисто технических мер. ПП 687 на это как бы намекает, но...
imho, признавать авто/неавто обработку - надо советоваться с юристами. А моделирование и защиту следует реализовать для всей совокупности СВТ в целом (например, сделать сегмент СВТ из общей сети, на которых вообще хоть как-то присутствует обработка ПДн). И отталкиваться при этом от максимальных категории и объема обрабатываемых ПДн - читай, от наивысшего уровня защищенности. Например...

Автор: WORM, MK | 107222 17.09.2019 22:33
to oko,
А давайте и в ГТ отталкиваться от максимальной категории. Чего мелочиться? Сразу 1-я. А то мало ли что?

Автор: oko | 107224 18.09.2019 12:52
to WORM
Богу богово, кесарю кесарево (с)
К тому же, это было "например", исходя из принципа минимизации. Потому что модуль экстрасенсорики перегревается быстро, а бОльшая детализация уже выходит за рамки форумных советов, ага...

Автор: WORM, MK | 107225 18.09.2019 13:06
to xel
Определения ИСПДн в законе-152 ("совокупность ...") позволяет считать несколько или все ваши компьютеры одной ИСПДн. На нее можно оформить один пакет документов и одну модель угроз.
Правда, РКН не всегда согласен с таким подходом и может тупо настаивать на том, что разные цели обработки - разные ИСПДн, переубедить их не всегда удается.

Признать обработку неавтоматизированной здесь не получится никак: в законе дано определение, что такое автоматизированная обработка ПДн. Неавтоматизированная - это только для бумаги.

Так что попробуйте оформить бумажки на все ваше хозяйство, определив в них, что у вас одна ИСПДн в таком-то составе, обрабатывает такие-то ПДн, используется для выполнения таких-то задач...
На все это сделайте модель угроз, определите уровень защищенности и выполняйте меры защиты.

Автор: Any | 107229 18.09.2019 14:58
to xel
АРМ попадает под Базовую модель угроз ФСТЭК

6.1.Типовая модель угроз безопасности персональных данных,обрабатываемых в автоматизированных рабочих местах, не имеющих подключения к сетям связи общего пользования и (или) сетям международного информационного обмена

to WORM
Только бумаги? А что значит п.2 687-ПП?

2. Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.

Автор: 1 | 107231 18.09.2019 16:23
У меня такая же организация. Каждое подразделение имеет свою ИСПДн. Совместить их не получится, так как состав ПДН и цели обработки разные.

Автор: WORM, MK | 107232 18.09.2019 16:55
to Any
"А что значит п.2 687-ПП?"

Значит то, что постановление противоречит закону. Что главнее: закон или постановление?
Для роскомнадзора любой комп это ИСПДн.

Страницы: 1 2 3 >

Просмотров темы: 1005

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*