Для курса по персданным сваял типовой акт классификации ИСПДн. Это некоторая компиляция из разбросанных по Интернет примеров акта классификации.
Я стараюсь в последнее время не писать о законодательстве
На Магнитке традиционно проводилась закрытая сессия
Чтобы плавно войти в рабочий ритм, традиционно публикую
Спецоперация спецоперацией, а нормативка по расписанию.
Последние недели в СМИ стала раскручиваться история
Что-то подзатянул я с выпуском дайджеста —
А есть уже живые примеры реакции проверяльщиков на предъявление подобных актов?
Подобных? Есть. Нормальная реакция. Именно этого — нет, я его недавно разработал 😉 Но т.к. форма акта классификации никем и нигде не определена, то я не вижу проблем с регуляторами.
Я не про конкретно эту, именно про подобные. С формой тоже понятно, меня интересовало не вызывает ли противодействие сам факт движения в этом направлении. ОК, ясно, новости хорошие.
Вызывает 😉 Но этот акт сделан в полном соответствии с ПП-781 и Приказом трех. Так что любые наезды можно спокойно блэкхолить 😉 Или просить правовое основание для пересмотра класса.
Так уж прям и в полном! Вот, например, у кого-нибудь 40 тысяч субъектов, но они в пределах организации — ну и как ваш проверяющий увидит, что третий класс присвоен обоснованно, если про пределы не упомянуто.
з.ы. А "виды ПДн" — это откуда?
о, про виды я уже сам вспомнил
А у меня нет третьего класса 😉 У меня все системы специальные 😉 Поэтому хоть в пределах всей РФ в целом 😉
В новой редакции документа ФСТЭК "Рекомендации…" порядок классификации уточнён… и специальным системам присваивается такой же класс как и типовым.
зы. только это противоречит приказу трёх. чем дальше, тем интересней)))
Анонимному: Посмотреть бы на эту редакцию 😉
Но если классификация такая же, то действительно вопросов возникает немало. Если и для типовых и для специальных систем будут одни и те же требования, то и Приказ трех теряет смысл, да и здравый смысл у ФСТЭК совсем пропал ;-( Если текущие требования "Основных мероприятий" оставят для типовых, а для спецсистем будут разработаны новые, то на чем они будут базироваться непонятно в принципе — выше гостайны у нас ничего нет, а текущие требования и то выше в ряде разделов. Если текущие требования отдадут под специальные, то когда же тогда выпустят требования для типовых?
ЗЫ. А речь идет именно о новой редакции, а не изменении текущей?
Для спец. систем никто ничего не будет разрабатывать. Они говорят мы дали вам требования по конфиденциальности ("Основные мероприятия"), а для целостности ПДн и доступности ИСПДн ищите сами, разрабатывайте модель угроз и их нетрализуйте.
зы. Это не новые документы, они просто изданы в твёрдом (зелёном, привет военным) переплёте с некоторыми изменениями. Так например уже в явном виде заданы требования по исп. во всех ИСПДн серт. СЗИ, на что они должны проходить серт. не указано. Если на треб. "Основных мероп…" то это бред)))
В подтверждении слов анонимного 1, у нас тоже появились новые версии документов ФСТЭК. В них исправлены грамматические и орфографические ошибки, уточнены вопросы классификации и написания моделей угроз для специальных систем, внесены изменения в классификационные признаки угроз базовой модели угроз.
Алексей, ваш Акт классификации крайне неудачен. Достаточно ожидаемо было, что классы типовых систем перейдут на специальные!
Анонимный 2
кстати, а почему оформление не по ГОСТу? Какие-то синие рамочки…
А почему оформление не по ГОСТу? Какие-то синие рамочки…
Анонимному 1: Ну если это не новые, а обновленные документы, то откуда оператор, уже их получивший, должен знать о них и соблюдать? Парадокс?
Анонимному 2: В чем неудачность акта? Он сделан точно по Приказу трех. Только вывод сделан таким, каким он мне кажется наиболее выгодным для оператора в текущих условиях.
Анонимному 3: А где написано, что должно быть по ГОСТу?
Всем анонимным: А кто может прислать эту обновленную версию для изучения? Обязуюсь не разглашать источник получения. Мой мейл: alukatsky at mail dot ru
Заранее благодарен
Нормальный акт. В методичке, которая приходила к нам весной примерно такой.
Mast'у: В методичке? В какой? От кого?
От нашего регионального ФСТЭК были рекомендации по работе с ПД в ИСПДн
Вау! Посмотреть бы 😉
Наш региональный ФСТЭК тоже издал методичку. Я на нее тогда особого внимания не обратил, заметив явное противоречие с приказом трех именно в вопросе типовых-специальных ИСПДн. Похоже опрометчиво 🙂
Доброго времени суток!
Расскажите, пожалуйста, новичку, как добывают ФСТЭК'овские методички? Как понять, кто является "региональным ФСТЭК" для Белгорода?
http://www.fstec.ru/_razd/_osn.htm
Вы имеете в виду, мне на этой страничке должен помочь пункт "Перечень территориальных органов, почтовые адреса, номера контактных телефонов"? А кроме заголовка я там больше ничего не вижу.
Или всё проще — "территориальный орган ФСТЭК" в моём случае находится в Москве?
Если вам нужны официальные документы, то звоните или пишите в московское управление. Если просто почитать, то и в Инет можно найти.
Класса специальная ИСПДН не существует, это её характеристика безопасности. Регуляторами установлены классы К1, К2… или АК1, АК2, и т.д.;)
Алексей, я сейчас формирую акт классификации в своей организации и интересно Ваше мнение по подходу к классификации ИСПДн изменилось? Есть ли комментарии регуляторов к подобным документам в ЦФО, ПФО, СЗФО?
Что значит не существует? Десятки проверок ФСТЭК подтверждают, что существует. Ведь документов, описывающих, как классифицировать спецсистемы до сих пор нет.
Классификация ИСПДн состоит из 2х этапов: сбор исх.данных и присвоение ИС класса (п.4 Положения о классификации). Т.е. если не присвоен класс значит классификация не проведена. С типовыми ИСПДн все понятно. Для специальных ИСПДн различают шесть классов информационных систем, также обозначаемых через АК1…АК6 (п.4.3 Методических рекомендаций по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, утверждены руководством 8 Центра
ФСБ России 21 февраля 2008 года № 149/5-144). Т.е. все есть.
Хотя со словом "характеристика" я погорячился, но специальная и типова это не классы ИСПДн. Определив ИСПДн как специальную (типовую) Вы определили только исходные данные и по факту (п.4 Положения) классификацию не провели.
Но здесь есть казус. Модель угроз по документам ФСБ строится только для специальных ИСПДн и только если для их безопасности используются СКЗИ, соответственно классы АК1,…АК6 предназначены только для них. А если СКЗИ не используются получаем ИС для которой не применимы классы типовой и специальной ИСПДн ;(
С учетом высокой вероятности реализации угрозы — получения рекомендации в акте комиссии ФСТЭК присвоить системе один из классов типовой ИСПДн (в независимости от типа ИСПДн) и большим гемо-ем с переделкой документов думаю присвоить специальной ИСПДн "гибридный" класс.
Юрий, между нами разница в том, что я видел уже несколько десятков актов классификации, прошедших ФСТЭК, которая не имела претензий к классу "специальный". А вы только в начале пути 😉
Что касается модели угроз ФСБ, то ее на практике вообще не применить, т.к. требуется знание информации из секретных документов, которые недоступны даже многим лицензиатам. Поэтому та же ФСБ говорит просто — пользуйтесь моделью ФСТЭК. Есть угроза нарушения конфиденциальности? Используйте СКЗИ. В абсолютном большинстве случаев модель нарушителя будет Н1/Н2. А всякие классы АК — это вообще ни о чем. На практике эта информация не применяется и знание этого класса никак не влияет на выбор СКЗИ по той же методике ФСБ.