Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Новости проекта

Отраслевые новости

Угрозы

Преступления

Наказания

Партнеры


Журнал "Information Security"

Каталог "IT-Security"

Рекламодателям

Сотрудничество


Материалы

Форум

ITSec Weekly

Календарь

Публикации

Подписка

Контакты

Ссылки

Партнеры

Мероприятия

 
    ФСТЭК России на конференции "Персональные данные": задавайте вопросы

ФСТЭК России на конференции "Персональные данные": задавайте вопросы


21.08.2008

ФСТЭК России на конференции "Персональные данные" задавайте вопросы

В рамках конференции "Персональные данные" (Москва, 24 сентября) представители ФСТЭК России проведут практический семинар "Методика классификации специальных информационных систем персональных данных; порядок сертификации и аттестации информационных систем".

К выступлению на данном семинаре приглашены также представители ФСБ России.

В.В.Селин, начальник Управления ФСТЭК, подтвердил готовность представителей службы ответить в рамках семинара на заранее присланные участниками вопросы.

Благодарим первых заинтересованных участников, сформулировавших перечень вопросов для ФСТЭК:

- Антона Картамышева, инженера научно-исследовательского сектора Курского государственного технического университета, который, в частности, предоставил нам список цитат, понимание которых может быть неоднозначным, из документов по классификации и защите персональных данных;

- Виталия Мытько, начальник отдела СА и ЗИ территориального фонда обязательного медицинского страхования Саратовской области, приславшего следующий список вопросов:

1. Необходима ли сертификация операционной системы, установленной на компьютере, обрабатывающем персональные данные? И что делать организациям, у которых нет достаточных средств для этого (например, бюджетным)? Является ли сертификация ПО обязательной при лицензировании деятельности по технической защите конфиденциальных данных?

2. Какой класс защиты рекомендован для систем, обрабатывающих персональные данные, - 1Г или другой?

3. Термин "служебная информация" пока не определен. Но "служебная информация" может содержать "персональные данные". Как их разграничить?

4. До сих пор не ясно, являются ли "персональные данные" частью "конфиденциальной информации" или их следует выделять в самостоятельный гриф доступа?

5. Будет ли дорабатываться СТР-К в соответствии с ГОСТ 17799-2005 и указами Президента?

6. Некоторые организации в силу своего финансового положения (ТСЖ, поликлиники и т.д.) не смогут выполнить все требования по безопасности персональных данных, регламентируемые ФСТЭК. Как им быть?

У вас тоже есть вопросы к Федеральной службе по техническому и экспортному контролю? Направляйте их программному директору конференции "Персональные данные" Марии Калугиной (kalugina@groteck.ru), а мы их адресуем представителям ФСТЭК России.


Обсуждение

Автор: Морозов Вадим, Информзащита Воронеж | 25-08-2008 20:13

Какая предусмотрена законодательством РФ реальная ответственность физических и юридических лиц за нарушение закона о "Персональных данных"

Автор: serge331, | 26-08-2008 18:57

Как и в вопросе с конфиденциальной информацией в целом - "по усмотрению руководства".

Автор: Рудых Наталья, Центральный округ администрации города | 27-08-2008 07:32

1. Вышел ряд законодательных и нормативных документов, регламентирующий порядок обеспечения безопасности ПДн, в то же время ни в одном документе не увидела ссылку на СТРиК. Учитывая, что вся конфиденциальная информация . обрабатываяемая администрацией округа включает только персональные сведения, должна ли организация проводить мероприятия по защите информации в соотвествии с СТРиК (аттестация локальной сети и т.д.), и сколько теперь нужно перечней ; утвержденных руководителем -конфиденциальной информай. персональных данных, сколько списков лиц. допускается ли объединение указаннывх документов в одном и т.д.
2. В одной локальной сети работает 3 юридических лица - необходимо ли каждому юр. лицу готовить свой пакет документации или можно обойтись сводным у владельца сети.
3. Возможно ли размещение в одном помещении ПК, обрабатывающих конфиденциальную информацию, подключенных к специально выделенной сети , и ПК, подключенных к сети "общего доступа", в которой необрабатывается конфиденциальная информация и имеется выход в Интернет.
4. Допустимо ли проводка в одном кабель-канале кабеля для ПК, обрабаытвающих конфиденциальную информацию и для ПК, на которых информация не обрабатывается; допустимо ли размещение в одной серверной двух серверов (сооствественно для конфиденциальной информации и нет).
5. В каком случае необходимо дополнительно сертифицировать ФСЭК устанавливаемое операционное обеспечение ( операционную систему, Office)
6. ВОЗМОЖНО ЛИ УЧАСТИЕ В КОНФЕРЕНЦИИ ЗАОЧНО : С ПРЕДОСТАВЛЕНИЕМ МАТЕРИАЛОВ КОНФЕРЕНЦИИ И ОТВЕТАМИ НА ЗАДАННЫЕ ВОПРОСЫ

Автор: serge331, | 27-08-2008 09:28

Уважаемая Наталья!

Тем и ценны 781 постановление Правительства 4 нормативно-методических документа ФСТЭК, что они фактически и практически выделяют ПД из перечня конфиденциальной информации 188 Указа Президента и , следовательно, не требуют выполнения "всего" СТР-К. Процедура классификации ИСПДн прописана там же. А из этого следуют и модель угроз и т.д.
2. В соответствии с теми же документами ответственным за безопасность обработки ПДн является оператор, т.е. ФОИВ, юр или физлицо, определяющее цели и характер обработки ПДн. Значит.....
3. Допускается. Но может потребоваться упоминание при аттестации - надо смотреть конкретно.
4. Аналогично п.3.
5. Требования к АРМ для обработки "конфиы" изложены в нормативных документах ФСТЭК. При этом аттестации средств ОС не требуется, а требуется использование сертифицированных средств защиты - НСД и т.п.

6 Всякое участие в конференциях должно иметь практический смысл. В Вашем случае лучше всего обратиться к специалистам, чтобы не допускать "детских болезней", о чем предупреждал классик марксизма. Надумаете - обращайтесь.
С искренним пожеланием успехов,
Сергей.

Автор: Yanbakov T., госслужба | 27-08-2008 14:22

1. Два вопроса по поводу аттестации ИСПДн.
В соответствии с п.3.11. "Основных мероприятий по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных" утвержденных Заместителем директора ФСТЭК России 15 февраля
2008 г. для ИСПДн 1, 2 класса (обязательно), 3 класса (при необходимости) проводится аттестация по требованиям безопасности
информации

Вопрос: Распространяется ли действие требований "Положения по аттестации объектов информатизации по требованиям безопасности информации" утвержденного председателем Государственной технической комиссии при Президенте Российской Федерации 25 ноября 1994 г. на порядок проведения аттестации указанных ИСПДн?

Также в п.3.11. указано, что для 3 класса может проводится оценка соответствия путем - декларирования соответствия.

Вопрос:Каким образом проводится декларирование соответствия ИСПДн 3 класса (какой порядок, чем определяется)?

2.Вопрос о использовании сертифицированных средств защиты информации (СЗИ) в ИСПДн.

Во 2 абзаце п.3.3 "Основных мероприятий по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных" утвержденных Заместителем директора ФСТЭК России 15 февраля 2008 г. указано, что СЗИ применяемые в ИСПДн, в установленном порядке проходят процедуру оценки соответствия, включая сертификацию на соответствие требованиям по безопасности информации. В то же время в п.4 "Мероприятия по техническому обеспечению безопасности персональных данных только для ИСПДн 1 класса есть требование о необходимости использования сертифицированных средств защиты (п.4.2.4,п.4.2.7,п.4.2.10.- подсистема обеспечения целостности).

Также в п.4.3. есть требование о необходимости обеспечения соответствующего уровня контроля отсутствия недекларированных возможностей для средств защиты информации в ИСПДн.

Вопрос:
Достаточно ли для обеспечения защиты персональных данных в ИСПДн 2 и 3 классов использовать средство защиты имеющее только сертификат на отсутствие недекларированных возможностей по 4 уровню контроля (достаточно для конфиденциальной информации) в соответствии с РД "Защита от НСД к информации.Часть 1.Программное обеспечение средств защиты информации.Классификация по уровню контроля отсутствия недекларированных возможностей" от 4 июня 1999 г. № 114? Если недостаточно, то какие еще
сертификаты необходимы?

3. Вопрос о сертификации программного обеспечения ИСПДн в на отсутствие недекларированных возможностей.

В п.4.2 "Основных мероприятий по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных" утвержденных Заместителем директора ФСТЭК России 15 февраля2008 г есть
требование о необходимости сертификации программного обеспечения ИСПДн на отсутствие недекларированных возможностей для всех классов ИСПДн.

Вопрос:
В соответствии с какими требованиями будет проводится сертификация программного обеспечения на отсутствие недекларированных возможностей, если учитывать, что существующий порядок сертификации в соответствии с РД "Защита от НСД к информации.Часть 1.Программное обеспечение средств защиты информации.Классификация по уровню контроля отсутствия недекларированных
возможностей" от 4 июня 1999 г. № 114 распространяется только на средства защиты информации?

Автор: dima, Company | 27-08-2008 15:18

"...только на средства защиты информации?" - см. п. 5 http://www.fstec.ru/_razd/_serto.htm

Автор: virus, ООО "БББ" (www.bizsecurity.ru) | 27-08-2008 16:31

1. Имеет ли право лицензиат СКЗИ проводить аттестацию ИСПДн.

2. Чем руководствоваться при аттестации ИСПД? Нормативно-методическими документами по безопасности персональных данных и частной модели угроз?
Можно ли, если это отдельно не оговорено требованиями, исключить в модели угроз технические каналы утечки?

3. Необходимо ли иметь сертификаты проверок на НДВ для антивирусных средств, систем обнаружения вторжений и систем анализа защищенности, используемых совместно с ИСПДн.

4. Можно ли в соответствии с п.4.5.1 "Основных мероприятий..." использовать серийные технические средства совместно с необходимыми СЗИ, вместо серийно выпускаемых в защищенном исполнении технических средств.

5. В последнем абзаце п.4.2 "Основных мероприятий..." сказано, что должен проводиться контроль на наличие недекларированых возможностей в программном и программно-аппаратном обеспечении. Вместе с тем, п.4.3 говорит о проведении проверок на НДВ только в СЗИ. Как необходимо действовать в этом случае при создании СЗПДн? Необходимо отметить, что, как правило, крупные ИСПДн не являются законченным программным продуктом - в них постоянно вносятся изменения, что затрудняет сертифицировать программное обеспечение ИСПДн.

6. "Основные мероприятия..." предписывают организовывать управление доступом к потокам информации на основе меток конфиденциальности (мандатный доступ).
Большинство ИСПДн 1-го класса используют промышленные СУБД (Oracle, MSSQL), которые не обеспечивают мандатный доступ. Использование сертифицированных СУБД влечет значительные трудовые и финансовые затраты, сомнительную производительность и надежность ИСПДн в целом. Возможно ли в данном случае организовать управление потоками информации на основе меток конфиденциальности не ко всем существующим потокам в ИСПДн? Можно ли реализовать механизм мандатного доступа на уже используемой СУБД без сертификации?

Автор: Yanbakov T, госслужба | 27-08-2008 16:36

Речь идет только о сертификации по НДВ.
В РД по НДВ четко определена область сертификации.
http://www.fstec.ru/_razd/_ispo.htm
РД по НДВ, абзац 1.

Автор: serge331, | 27-08-2008 17:18

Ну вы, блин, даете!

Вы, господа, посмотрите внимательно на первую страничку цитируемых Вами документов ФСТЭК. Там типа ограничительной по доступу отметки нету чтоль?

Автор: virus, | 27-08-2008 17:21

Ну, и что...вы считаете, что кто-то что-то разгласил? тем более что цитат ни где нету, а только вольный пересказ. ФСТЭК сам рекомендует разрабатывать свои внутреннии положения на копировании абзацев из СТРК-к например.

Автор: Yanbakov T, госслужба | 27-08-2008 18:27

К сожалению данная ограничительная пометка сейчас никак не подкреплена соответствующими законодательными актами.
Наверное уже лет 8 как ждем закон о Служебной тайне.
Как выйдет, так сразу можно будет применять ст.13.14 Административного кодекса - от 500 до 1000 р для физ. лиц.

Автор: Наталья Рудых, администрации | 28-08-2008 10:01

Конференция в Москве? мы на Дальнем Востоке. Если бы организовывались выездные по регионам конференции, семинары и практическое обучение на курсах (именно для непродвинутых), то думаю было бы очень хорошо. Посмотрите как здорово раскрутили систему обучения и повышения квалификации по теме "Государственные и муниципальные закупки" по 2-3 семинаре в год по регионам и все окпается. Правда там штрафы повыше...

Автор: serge331, | 28-08-2008 10:34

Уважаемая Наталья!
Обучение - это хорошо, но в данной области все едут учиться в Москву или Питер. Со своей стороны посоветую, именно посоветую, т.к. не сотрудник подобной фирмы, ЦБИ или Маском. У ЦБИ даже гостиница есть с "немосковскими" ценами. Удачи!

Автор: Владимир, ИТ-компания | 01-09-2008 15:06

Во-первых, присоединяюсь к вопросам virus - очень точные и очень нужные вопросы. Прошу все-таки ответить на них.

Кроме того, прошу ответить на ряд моих вопросов

1)Какие сертифицированные антивирусы под Win XP порекомендуете (что-то по требованиям я не вижу, чтобы распространенные антивирусы подходили)?

2) Для однопользовательской ИСПД 3 класса достаточно будет в качестве подсистемы управления доступом, целостности и регистрации и учета использовать соответствующим образом сконфигурированную сертифицированную Win XP или что-то еще понадобится?

3) Какие сертифицированные системы обнаружения сетевых атак, использующие как сигнатурные методы, так и методы выявления аномалий, Вы бы рекомендовали использовать?

4) На основании чего определяется при определении уровня актуальности угрозы, что принятых мер обеспечения безопасности недостаточно ?

5) Какие требования будут предъявляться к подсистеме регистрации и учета при аттестации в части реализации требования Постановления №781 "Запросы пользователей информационной системы на получение персональных данных..., а также факты предоставления персональных данных по этим запросам регистрируются автоматизированными средствами информационной системы в электронном журнале обращений. " Что и в каком объеме должно регистрироваться?

6) Можно ли использовать СТР-К и игнорировать чрезмерно жесткие (и нереальные поэтому) требования в документах про ПД, если они противоречат тому, что написано в СТР-К?

Автор: serge331, | 01-09-2008 16:30

Уважаемый Владимир!

Любой лицензиат ФСТЭК или ФСБ ответит на Ваши вопросы. Все ответы содержатся в упомянутых Вами документах и на сайте ФСТЭК.

Автор: virus, | 01-09-2008 17:39

Владимир, на ваши вопросы считаю так:
1. Касперский например - у него есть сертифкат на НДВ ( а как еще антивирусроверять)
2. Достаточно. Судя по "4 документам", но не по ПП 781 - для ИСПДн 3-класса можно не использовать сертифицированные СЗИ
4) Не совсем понятно что имели ввиду...как определяется, что технические решения реализованные для минимизации выбранной частной модели недостаточны? Это будут проверять контролирующие органы в рамках своей компитенции (если до такого дойдет). Вам главное согласовать с заказчиком модель угроз (т.е. чтоб заказчик утвердил эту модель). главное чтоб выполнялись минимальные требования "Основных мероприятий..."
5. В техническом проекте (или ТЗ) это необходимо оговорить. Досточтоно определить кто посылал запрос, когда, и какой это был запрос.
6. Как мне рекомендовали в нашем региональной управлении ФСТЭК - необходимо руководствоваться "4 документами", если чего -то не хватает в них - СТР-К.

Автор: virus, | 01-09-2008 17:55

4) Об этом скзаано в 781 ПП: Достаточность принятых мер по обеспечению безопасности персональных данных при их обработке в информационных системах оценивается при проведении государственного контроля и надзора.

Автор: Иван, Завод | 02-09-2008 09:02

Добрый день.
В локальной сети из 40 машин есть 6 компьютеров,которые обрабатывают перс.данные и под эти компы идет свой сервер с 1С:предприятие.
В отдельную локалку персональные данные,увы,не выделить.
Как быть в такой ситуации?
К тому же будет фактическое подключение к интернету через почтовый сервер,но пользователям доступ будет закрыт.Есть аппаратный межсетевой фаервол,но сертифицировать его нереально,дешевле выйдет купить два таких же,но уже сертифицированных.Прокатит декларирование соответствия?

Для Владимир, ИТ-компания
д-р Веб 4.44 - все сертификаты есть.

Автор: Mike, | 02-09-2008 09:45

to Иван, Завод

Если не секрет, о каком МЭ речь? Откуда вывод о запредельной цене сертификации?

Автор: Владимир, ИТ-компания | 02-09-2008 11:21

Спасибо virus за конкретные ответы !
Проблема только в том, что (далее комментарии к моим вопросам)
1) я посмотрел требования из 4 документов к администрированию антивируса и вижу, что Касперский им НЕ удовлетворяет. Поэтому и спросил. Если я не прав, прошу подробно объяснить ;-)
4) вопрос по одному из 4 документов - методике определения актуальности. Именно этот параметр будет определять в конечном счете возможность не учитывать ту или иную угрозу в своей частной модели угроз. Но как он определяется (пол-палец-потолок???)???


Обсуждение на форуме


Добавить комментарий

Автор:
Компания:
E-mail:
Уведомлять о новых сообщениях в этой теме да
нет
Текст сообщения:
Введите код:









Реклама на сайте

ПОИСК

СВЕЖИЙ НОМЕР
ПОДПИСКА НА НОВОСТИ

 

 

 

 

Рейтинг@Mail.ru

Яндекс цитирования

Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Бесплатная подписка | Форум | Контакты | Ссылки | О чем этот сайт

Copyright © 2003-2013, ООО "Гротек"
Использование материалов сайта возможно при указании активной гиперссылки на главную страницу этого сайта. Ссылка должна выглядеть так: Itsec.Ru.