Контакты
Подписка
МЕНЮ
Контакты
Подписка

технические каналы утечки информации - Форум по вопросам информационной безопасности

технические каналы утечки информации - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Автор: Андрей | 110011 27.05.2022 09:33
Подскажите куда пропали «Сборник временных методик оценки защищенности конфиденциальной информации от утечки по техническим каналам»? Нет ни в одном перечне ФСТЭК. Как их получить лецензиату? если они не актуальны на какие документы ссылаться при проведение специальных обследований.

Автор: Денис | 110018 27.05.2022 15:17
Инфа от ФСТЭК.
- Сборники случайно удалили из перечня документации. Вернут при первой правке перечня. Сборники действующие, лицензию без них не получить скорей всего. У лицензиата они должны быть. Ибо это единственный документ в своем роде.

Как получить:
Не помню откуда именно этот перечень идет. Толи стандартинформ, толи институт ФСТЭК в Воронеже.
Прошло около недели

Автор: VM | 110039 07.06.2022 06:40
Мы в своё время получали эти документы через запрос в территориальное управление ФСТЭК.
Прошла пара недель

Автор: Аноним | 110077 19.06.2022 08:22
to Денис
Не вводите в заблуждение, не случайно а целенаправленно при публичном обсуждении Приказа № 77 в письменных ответах четко транслировано - при аттестациях технические каналы от утечки информации не рассматриваются. Простой правкой перечня не отделаются - так как Приказ № 77 признан Минюстом, а СТР-К нет, а посему он выпал из правового поля "Аттестация объектов информатизации"

Автор: sekira | 110080 20.06.2022 07:09
"при публичном обсуждении Приказа № 77 в письменных ответах четко транслировано - при аттестациях технические каналы от утечки информации не рассматриваются"
Это только слова... в требованиях самого регулятора 17, 21 приказах подсистема ТКУИ есть ... и слова что для своей системы вы их не рассматриваете писать надо.

"Приказ № 77 признан Минюстом, а СТР-К нет, а посему он выпал из правового поля "Аттестация объектов информатизации"
Опять не совсем так .Что вы понимаете под "выпал из правового поля"? Он и ранее не согласован был Минюстом.
Часть соискателей лицензии до сих пор аттестуют свои автономные АС для лицензий под требования СТР-К, а для ЗП вообще других требований нет! ФСТЭК принимает документы на ЗП и при получении лицензий по ТЗКИ на АС. При желании Заказчика лицензиат вполне легитимо может использовать СТР-К для рассмотрения ТКУИ и при аттестации АС по требованиям РД НСД и СТР-К - информ. сообщение ФСТЭК от 11 апреля 2022 г. N 240/24/1950.

Автор: CM | 110082 20.06.2022 09:57
to Аноним:

> так как Приказ № 77 признан Минюстом, а СТР-К нет, а посему он выпал из правового поля "Аттестация объектов информатизации"

Не понятно введенное понятие - правовое поле "Аттестация объектов информатизации". У регулятора и НМД такой термин не встречал.
Наверное, в узком смысле под этим понятием понимается правовое поле, суженное до круга НМД, регулирующих процедуру оценки соответствия в форме аттестации. По сути речь сводится только к Порядку, утвержденному приказом ФСТЭК России от 29.04.2021 № 77. Но упомянутые Вами "публичные обсуждения Приказа № 77" также не проходили регистрацию в Минюсте России?! Не говоря уже обо всех официальных разъяснениях, в выпускаемых ФСТЭК России информационных письмах.
Если указанное понятие толковать в широком смысле, то высказанный тезис вынуждает исключать ряд документов ФСТЭК России (Гостехкомиссии России) используемых на практике, но не прошедших регистрацию в Минюсте России: "Методика оценки УБИ" (2021 г.), "Меры защиты информации в ГИС" (2014 г.), "Базовая модель угроз..." (2008 г.), разные профили защиты, которые учитываются при сертификации АВЗ, СОВ... (вместе с заданиями по безопасности, ТУ, формулярами), СТР-К, РД АС, РД МЭ, РД СВТ и много других.
Уж больно мудрёный термин...

to sekira:

> ... в требованиях самого регулятора 17, 21 приказах подсистема ТКУИ есть ... и слова что для своей системы вы их не рассматриваете писать надо

Формально ни в Требованиях, утвержденных приказом ФСТЭК от 11.02.2013 № 17, ни в Составе и содержании мер, утвержденных приказом ФСТЭК от 18.02.2013 № 21, никакой подсистемы ТКУИ нет. Есть мера ЗТС.1, но требования к ней для указанных в документах классов защищенности ГИС и уровней защищенности ПДн не предъявляются. Кроме меры ЗТС.1 в документах есть "куча" других мер, которые определены регулятором и к которым требования также не предъявляются. Их все "надо рассматривать" или выборочно только меру ЗТС.1? Не вижу большого смысла писать в документах всё то, чего в системе нет и к чему требования не предъявлены (если только это не чьи-нибудь личные пожелания).
Необходимость защищать информацию от утечки по ТКУИ и оценивать эти каналы возникнет только в случае, если владелец (оператор) ГИС/ИСПДн отнесет угрозу утечки по данному каналу к числу актуальных и в своем техническом задании на создание СЗИ предъявит требование к выполнению меры ЗТС.1. Тут наравне с другими предъявленными мерами защиты: и реализация и описание мер должны быть.

Автор: sekira | 110083 20.06.2022 11:26
"оценивать эти каналы возникнет только в случае, если владелец (оператор) ГИС/ИСПДн отнесет угрозу утечки по данному каналу к числу актуальных и в своем техническом задании на создание СЗИ предъявит требование к выполнению меры ЗТС.1."
Спасибо за уточнения именно это я и хотел сказать...

Автор: Денис | 110085 21.06.2022 02:58
to Аноним.

Не вводите в заблуждение.

Вы проводить замеры для ЗП как собрались?
Только лишь временные методики регламентируют это. Поэтому ФСТЭК мне лично говорил, что методики удалены случайно.

Просмотров темы: 804

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*