Для курса по персданным сваял типовой акт классификации ИСПДн. Это некоторая компиляция из разбросанных по Интернет примеров акта классификации.
Для курса по персданным сваял типовой акт классификации ИСПДн. Это некоторая компиляция из разбросанных по Интернет примеров акта классификации.
А есть уже живые примеры реакции проверяльщиков на предъявление подобных актов?
Подобных? Есть. Нормальная реакция. Именно этого — нет, я его недавно разработал 😉 Но т.к. форма акта классификации никем и нигде не определена, то я не вижу проблем с регуляторами.
Я не про конкретно эту, именно про подобные. С формой тоже понятно, меня интересовало не вызывает ли противодействие сам факт движения в этом направлении. ОК, ясно, новости хорошие.
Вызывает 😉 Но этот акт сделан в полном соответствии с ПП-781 и Приказом трех. Так что любые наезды можно спокойно блэкхолить 😉 Или просить правовое основание для пересмотра класса.
Так уж прям и в полном! Вот, например, у кого-нибудь 40 тысяч субъектов, но они в пределах организации — ну и как ваш проверяющий увидит, что третий класс присвоен обоснованно, если про пределы не упомянуто.
з.ы. А "виды ПДн" — это откуда?
о, про виды я уже сам вспомнил
А у меня нет третьего класса 😉 У меня все системы специальные 😉 Поэтому хоть в пределах всей РФ в целом 😉
В новой редакции документа ФСТЭК "Рекомендации…" порядок классификации уточнён… и специальным системам присваивается такой же класс как и типовым.
зы. только это противоречит приказу трёх. чем дальше, тем интересней)))
Анонимному: Посмотреть бы на эту редакцию 😉
Но если классификация такая же, то действительно вопросов возникает немало. Если и для типовых и для специальных систем будут одни и те же требования, то и Приказ трех теряет смысл, да и здравый смысл у ФСТЭК совсем пропал ;-( Если текущие требования "Основных мероприятий" оставят для типовых, а для спецсистем будут разработаны новые, то на чем они будут базироваться непонятно в принципе — выше гостайны у нас ничего нет, а текущие требования и то выше в ряде разделов. Если текущие требования отдадут под специальные, то когда же тогда выпустят требования для типовых?
ЗЫ. А речь идет именно о новой редакции, а не изменении текущей?
Для спец. систем никто ничего не будет разрабатывать. Они говорят мы дали вам требования по конфиденциальности ("Основные мероприятия"), а для целостности ПДн и доступности ИСПДн ищите сами, разрабатывайте модель угроз и их нетрализуйте.
зы. Это не новые документы, они просто изданы в твёрдом (зелёном, привет военным) переплёте с некоторыми изменениями. Так например уже в явном виде заданы требования по исп. во всех ИСПДн серт. СЗИ, на что они должны проходить серт. не указано. Если на треб. "Основных мероп…" то это бред)))
В подтверждении слов анонимного 1, у нас тоже появились новые версии документов ФСТЭК. В них исправлены грамматические и орфографические ошибки, уточнены вопросы классификации и написания моделей угроз для специальных систем, внесены изменения в классификационные признаки угроз базовой модели угроз.
Алексей, ваш Акт классификации крайне неудачен. Достаточно ожидаемо было, что классы типовых систем перейдут на специальные!
Анонимный 2
кстати, а почему оформление не по ГОСТу? Какие-то синие рамочки…
А почему оформление не по ГОСТу? Какие-то синие рамочки…
Анонимному 1: Ну если это не новые, а обновленные документы, то откуда оператор, уже их получивший, должен знать о них и соблюдать? Парадокс?
Анонимному 2: В чем неудачность акта? Он сделан точно по Приказу трех. Только вывод сделан таким, каким он мне кажется наиболее выгодным для оператора в текущих условиях.
Анонимному 3: А где написано, что должно быть по ГОСТу?
Всем анонимным: А кто может прислать эту обновленную версию для изучения? Обязуюсь не разглашать источник получения. Мой мейл: alukatsky at mail dot ru
Заранее благодарен
Нормальный акт. В методичке, которая приходила к нам весной примерно такой.
Mast'у: В методичке? В какой? От кого?
От нашего регионального ФСТЭК были рекомендации по работе с ПД в ИСПДн
Вау! Посмотреть бы 😉
Наш региональный ФСТЭК тоже издал методичку. Я на нее тогда особого внимания не обратил, заметив явное противоречие с приказом трех именно в вопросе типовых-специальных ИСПДн. Похоже опрометчиво 🙂
Доброго времени суток!
Расскажите, пожалуйста, новичку, как добывают ФСТЭК'овские методички? Как понять, кто является "региональным ФСТЭК" для Белгорода?
http://www.fstec.ru/_razd/_osn.htm
Вы имеете в виду, мне на этой страничке должен помочь пункт "Перечень территориальных органов, почтовые адреса, номера контактных телефонов"? А кроме заголовка я там больше ничего не вижу.
Или всё проще — "территориальный орган ФСТЭК" в моём случае находится в Москве?
Если вам нужны официальные документы, то звоните или пишите в московское управление. Если просто почитать, то и в Инет можно найти.
Класса специальная ИСПДН не существует, это её характеристика безопасности. Регуляторами установлены классы К1, К2… или АК1, АК2, и т.д.;)
Алексей, я сейчас формирую акт классификации в своей организации и интересно Ваше мнение по подходу к классификации ИСПДн изменилось? Есть ли комментарии регуляторов к подобным документам в ЦФО, ПФО, СЗФО?
Что значит не существует? Десятки проверок ФСТЭК подтверждают, что существует. Ведь документов, описывающих, как классифицировать спецсистемы до сих пор нет.
Классификация ИСПДн состоит из 2х этапов: сбор исх.данных и присвоение ИС класса (п.4 Положения о классификации). Т.е. если не присвоен класс значит классификация не проведена. С типовыми ИСПДн все понятно. Для специальных ИСПДн различают шесть классов информационных систем, также обозначаемых через АК1…АК6 (п.4.3 Методических рекомендаций по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, утверждены руководством 8 Центра
ФСБ России 21 февраля 2008 года № 149/5-144). Т.е. все есть.
Хотя со словом "характеристика" я погорячился, но специальная и типова это не классы ИСПДн. Определив ИСПДн как специальную (типовую) Вы определили только исходные данные и по факту (п.4 Положения) классификацию не провели.
Но здесь есть казус. Модель угроз по документам ФСБ строится только для специальных ИСПДн и только если для их безопасности используются СКЗИ, соответственно классы АК1,…АК6 предназначены только для них. А если СКЗИ не используются получаем ИС для которой не применимы классы типовой и специальной ИСПДн ;(
С учетом высокой вероятности реализации угрозы — получения рекомендации в акте комиссии ФСТЭК присвоить системе один из классов типовой ИСПДн (в независимости от типа ИСПДн) и большим гемо-ем с переделкой документов думаю присвоить специальной ИСПДн "гибридный" класс.
Юрий, между нами разница в том, что я видел уже несколько десятков актов классификации, прошедших ФСТЭК, которая не имела претензий к классу "специальный". А вы только в начале пути 😉
Что касается модели угроз ФСБ, то ее на практике вообще не применить, т.к. требуется знание информации из секретных документов, которые недоступны даже многим лицензиатам. Поэтому та же ФСБ говорит просто — пользуйтесь моделью ФСТЭК. Есть угроза нарушения конфиденциальности? Используйте СКЗИ. В абсолютном большинстве случаев модель нарушителя будет Н1/Н2. А всякие классы АК — это вообще ни о чем. На практике эта информация не применяется и знание этого класса никак не влияет на выбор СКЗИ по той же методике ФСБ.