Личные блоги

21 приказ ФСТЭК

Ну вот, появился новый документ по персональным данным, и сразу же всё ИБ сообщество дружно начинает высказываться на тему «что такое хорошо и что такое плохо». Пожалуй, вставлю и я несколько слов.
Документ мне очень понравился и прежде всего вот чем:
  • наконец-то отменен 58 приказ, вводивший мутное положение о защите ПДн;
  • меры защиты перечислены и они достаточно конкретны;
  • модель угроз теперь всему голова и да здравствуют компенсационные меры;
  • можно широко трактовать оставшиеся референсные меры.
О последних я и хочу высказаться.
  1. Ограничение программной среды. Это и отбор админских прав и контроль за установленным ПО и запрет на установку неразрешенного ПО.
  2. Обеспечение доступности. При желании сюда можно отнести и бесперебойное питание, и отказоустойчивые кластеры, и даже непрерывность бизнеса.
  3. Защита среды виртуализации. Наконец то можно смело обосновывать, покупать и внедрять разные Veeam’ы и vGate’ы.
  4. Защита технических средств. Хорошо ложится банальная опечатка корпусов, раздача персоналу RFIDкарт.
  5. Выявление инцидентов. Прямо говорится про предупреждение инцидентов, а значит обучение персонала, оно же повышение осведомленности в вопросах ИБ.
  6. Управление конфигурациями. Оно же ChangeManagement. Сложная тема и очень мало кто ей серьезно занимается.
  7. А если этого всего мало, то для контроля защищенности Pentestсамое оно.
Единственное, что омрачает новое ПП это сертификации на классы защиты, на недекларированные возможности, но в п.4 говорится, что это не очень обязательно, т.к. «Меры по обеспечению безопасности персональных данных реализуются в том числепосредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных».
Вот и получается, какие такие угрозы безопасности я не могу парировать без сертифицированных СЗИ? Скорее всего, таких угроз будет не так уж и много. СКЗИ не в счет, т.к. это отдельная тема. А значит всё как обычно, пишем модель угроз, в которой показываем актуальность или неактуальность конкретных угроз безопасности и делаем вывод, что сертифицированные СЗИ не нужны.



или введите имя


28.02.2014 16:41:58
Передача ПДн через интернет
Здравствуйте,
Скажите требование комитета по здравоохранению о предоставлении ежедневной сводки по летальности(умерших) через интернет (на почтовый ящик yandex.ru)в открытом доступе правомерно?
На какие документы можно сослаться,что передавать ПДн нужно по защищенным каналам связи в 152 законе этого нет?
Если это умершие это ведь не отменяет обязанность защищать ПДн(их ПДн могут нанести ущерб родственникам)?
Ссылка
Anonymous
04.03.2014 03:32:58
Миф № 6: сертифицирован – значит защищен. Это не совсем так. Правильной была бы формулировка: продукт сертифицирован – значит соответствует тем или иным требованиям. При этом потребитель должен четко понимать, на соответствие чему именно сертифицировано средство защиты, чтобы убедиться, действительно ли в ходе проведения испытаний проверялись характеристики продукта, которые интересуют заказчика.
Если испытания продукта проводились на соответствие техническим условиям, то в сертификате это соответствие будет зафиксировано, но при этом потребитель, не прочитав технические условия на продукт, в принципе не может определить, какие характеристики проверялись, что создает предпосылки для обмана неквалифицированного потребителя. Аналогичным образом наличие сертификата на отсутствие недекларированных возможностей ничего не говорит о функциональных возможностях продукта.
Очень важно ознакомиться с ограничениями на использование продукта, которые указаны в технических условиях: конкретные операционные среды и платформы, режимы работы, конфигурации, применение дополнительных средств защиты и др. Например, сертификат на некоторые версии операционных систем Windows и МСВС действителен только с модулем доверенной загрузки. Почти все сертификаты на внешние средства защиты действительны только для конкретных версий ОС, а в ограничениях на использование ряда средств доверенной загрузки указывается, что должна быть обеспечена физическая защита компьютера. Известен курьезный случай, когда в ограничениях одного устаревшего средства защиты было указано, что Windows должна работать только в командном режиме.
Ссылка
Шауро Евгений
04.03.2014 06:40:26
Спасибо за столь подробный комментарий. Вы совершенно правильно все пишите.
Ссылка