Типовой акт классификации ИСПДн

Для курса по персданным сваял типовой акт классификации ИСПДн. Это некоторая компиляция из разбросанных по Интернет примеров акта классификации.

Типовой акт классификации специальной ИСПДн

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. Quiet Zone

    А есть уже живые примеры реакции проверяльщиков на предъявление подобных актов?

    Ответить
  2. Алексей Лукацкий

    Подобных? Есть. Нормальная реакция. Именно этого — нет, я его недавно разработал 😉 Но т.к. форма акта классификации никем и нигде не определена, то я не вижу проблем с регуляторами.

    Ответить
  3. Quiet Zone

    Я не про конкретно эту, именно про подобные. С формой тоже понятно, меня интересовало не вызывает ли противодействие сам факт движения в этом направлении. ОК, ясно, новости хорошие.

    Ответить
  4. Алексей Лукацкий

    Вызывает 😉 Но этот акт сделан в полном соответствии с ПП-781 и Приказом трех. Так что любые наезды можно спокойно блэкхолить 😉 Или просить правовое основание для пересмотра класса.

    Ответить
  5. Ригель

    Так уж прям и в полном! Вот, например, у кого-нибудь 40 тысяч субъектов, но они в пределах организации — ну и как ваш проверяющий увидит, что третий класс присвоен обоснованно, если про пределы не упомянуто.
    з.ы. А "виды ПДн" — это откуда?

    Ответить
  6. Ригель

    о, про виды я уже сам вспомнил

    Ответить
  7. Алексей Лукацкий

    А у меня нет третьего класса 😉 У меня все системы специальные 😉 Поэтому хоть в пределах всей РФ в целом 😉

    Ответить
  8. Анонимный

    В новой редакции документа ФСТЭК "Рекомендации…" порядок классификации уточнён… и специальным системам присваивается такой же класс как и типовым.

    зы. только это противоречит приказу трёх. чем дальше, тем интересней)))

    Ответить
  9. Алексей Лукацкий

    Анонимному: Посмотреть бы на эту редакцию 😉

    Но если классификация такая же, то действительно вопросов возникает немало. Если и для типовых и для специальных систем будут одни и те же требования, то и Приказ трех теряет смысл, да и здравый смысл у ФСТЭК совсем пропал ;-( Если текущие требования "Основных мероприятий" оставят для типовых, а для спецсистем будут разработаны новые, то на чем они будут базироваться непонятно в принципе — выше гостайны у нас ничего нет, а текущие требования и то выше в ряде разделов. Если текущие требования отдадут под специальные, то когда же тогда выпустят требования для типовых?

    ЗЫ. А речь идет именно о новой редакции, а не изменении текущей?

    Ответить
  10. Анонимный

    Для спец. систем никто ничего не будет разрабатывать. Они говорят мы дали вам требования по конфиденциальности ("Основные мероприятия"), а для целостности ПДн и доступности ИСПДн ищите сами, разрабатывайте модель угроз и их нетрализуйте.

    зы. Это не новые документы, они просто изданы в твёрдом (зелёном, привет военным) переплёте с некоторыми изменениями. Так например уже в явном виде заданы требования по исп. во всех ИСПДн серт. СЗИ, на что они должны проходить серт. не указано. Если на треб. "Основных мероп…" то это бред)))

    Ответить
  11. Анонимный

    В подтверждении слов анонимного 1, у нас тоже появились новые версии документов ФСТЭК. В них исправлены грамматические и орфографические ошибки, уточнены вопросы классификации и написания моделей угроз для специальных систем, внесены изменения в классификационные признаки угроз базовой модели угроз.

    Алексей, ваш Акт классификации крайне неудачен. Достаточно ожидаемо было, что классы типовых систем перейдут на специальные!

    Анонимный 2

    Ответить
  12. Анонимный

    кстати, а почему оформление не по ГОСТу? Какие-то синие рамочки…

    Ответить
  13. Анонимный

    А почему оформление не по ГОСТу? Какие-то синие рамочки…

    Ответить
  14. Алексей Лукацкий

    Анонимному 1: Ну если это не новые, а обновленные документы, то откуда оператор, уже их получивший, должен знать о них и соблюдать? Парадокс?

    Анонимному 2: В чем неудачность акта? Он сделан точно по Приказу трех. Только вывод сделан таким, каким он мне кажется наиболее выгодным для оператора в текущих условиях.

    Анонимному 3: А где написано, что должно быть по ГОСТу?

    Всем анонимным: А кто может прислать эту обновленную версию для изучения? Обязуюсь не разглашать источник получения. Мой мейл: alukatsky at mail dot ru

    Ответить
  15. Алексей Лукацкий

    Заранее благодарен

    Ответить
  16. M

    Нормальный акт. В методичке, которая приходила к нам весной примерно такой.

    Ответить
  17. Алексей Лукацкий

    Mast'у: В методичке? В какой? От кого?

    Ответить
  18. M

    От нашего регионального ФСТЭК были рекомендации по работе с ПД в ИСПДн

    Ответить
  19. Алексей Лукацкий

    Вау! Посмотреть бы 😉

    Ответить
  20. zabrodin

    Наш региональный ФСТЭК тоже издал методичку. Я на нее тогда особого внимания не обратил, заметив явное противоречие с приказом трех именно в вопросе типовых-специальных ИСПДн. Похоже опрометчиво 🙂

    Ответить
  21. Andy_AiF

    Доброго времени суток!
    Расскажите, пожалуйста, новичку, как добывают ФСТЭК'овские методички? Как понять, кто является "региональным ФСТЭК" для Белгорода?

    Ответить
  22. Алексей Лукацкий

    http://www.fstec.ru/_razd/_osn.htm

    Ответить
  23. Andy_AiF

        Вы имеете в виду, мне на этой страничке должен помочь пункт "Перечень территориальных органов, почтовые адреса, номера контактных телефонов"? А кроме заголовка я там больше ничего не вижу.
        Или всё проще — "территориальный орган ФСТЭК" в моём случае находится в Москве?

    Ответить
  24. Алексей Лукацкий

    Если вам нужны официальные документы, то звоните или пишите в московское управление. Если просто почитать, то и в Инет можно найти.

    Ответить
  25. Юрий

    Класса специальная ИСПДН не существует, это её характеристика безопасности. Регуляторами установлены классы К1, К2… или АК1, АК2, и т.д.;)
    Алексей, я сейчас формирую акт классификации в своей организации и интересно Ваше мнение по подходу к классификации ИСПДн изменилось? Есть ли комментарии регуляторов к подобным документам в ЦФО, ПФО, СЗФО?

    Ответить
  26. Алексей Лукацкий

    Что значит не существует? Десятки проверок ФСТЭК подтверждают, что существует. Ведь документов, описывающих, как классифицировать спецсистемы до сих пор нет.

    Ответить
  27. Юрий

    Классификация ИСПДн состоит из 2х этапов: сбор исх.данных и присвоение ИС класса (п.4 Положения о классификации). Т.е. если не присвоен класс значит классификация не проведена. С типовыми ИСПДн все понятно. Для специальных ИСПДн различают шесть классов информационных систем, также обозначаемых через АК1…АК6 (п.4.3 Методических рекомендаций по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, утверждены руководством 8 Центра
    ФСБ России 21 февраля 2008 года № 149/5-144). Т.е. все есть.
    Хотя со словом "характеристика" я погорячился, но специальная и типова это не классы ИСПДн. Определив ИСПДн как специальную (типовую) Вы определили только исходные данные и по факту (п.4 Положения) классификацию не провели.

    Ответить
  28. Юрий

    Но здесь есть казус. Модель угроз по документам ФСБ строится только для специальных ИСПДн и только если для их безопасности используются СКЗИ, соответственно классы АК1,…АК6 предназначены только для них. А если СКЗИ не используются получаем ИС для которой не применимы классы типовой и специальной ИСПДн ;(

    Ответить
  29. Юрий

    С учетом высокой вероятности реализации угрозы — получения рекомендации в акте комиссии ФСТЭК присвоить системе один из классов типовой ИСПДн (в независимости от типа ИСПДн) и большим гемо-ем с переделкой документов думаю присвоить специальной ИСПДн "гибридный" класс.

    Ответить
  30. Алексей Лукацкий

    Юрий, между нами разница в том, что я видел уже несколько десятков актов классификации, прошедших ФСТЭК, которая не имела претензий к классу "специальный". А вы только в начале пути 😉

    Что касается модели угроз ФСБ, то ее на практике вообще не применить, т.к. требуется знание информации из секретных документов, которые недоступны даже многим лицензиатам. Поэтому та же ФСБ говорит просто — пользуйтесь моделью ФСТЭК. Есть угроза нарушения конфиденциальности? Используйте СКЗИ. В абсолютном большинстве случаев модель нарушителя будет Н1/Н2. А всякие классы АК — это вообще ни о чем. На практике эта информация не применяется и знание этого класса никак не влияет на выбор СКЗИ по той же методике ФСБ.

    Ответить