В сентябре
делал заметку по проектам Постановлений об Уровнях защищенности и Требованиях к защите.
Сейчас после выхода обобщенного Постановления решил привести обе таблицы в соответствие с
ним.
Типы:
|
Уровень
|
Тип
|
Категория
|
Принадлежность
|
Количество
|
|
1
|
I (НДВ в СПО)
|
Специальная
|
-
|
-
|
|
Биометрия
|
-
|
-
|
||
|
Иные
|
-
|
-
|
||
|
II (НДВ в
ППО)
|
Специальные
|
Не сотрудники
|
Более 100 000
|
|
|
2
|
I (НДВ в СПО)
|
Общедоступные
|
-
|
-
|
|
II (НДВ в
ППО)
|
Специальные
|
Сотрудники
|
-
|
|
|
Специальные
|
Не сотрудники
|
Менее 100 000
|
||
|
Биометрия
|
-
|
-
|
||
|
Общедоступные
|
Не сотрудники
|
Более 100 000
|
||
|
Иные
|
Не сотрудники
|
Более 100 000
|
||
|
III (нет НДВ)
|
Специальные
|
Не сотрудники
|
Более 100 000
|
|
|
3
|
II (НДВ в
ППО)
|
Общедоступные
|
Сотрудники
|
-
|
|
Общедоступные
|
Не сотрудники
|
Менее 100 000
|
||
|
Иные
|
Сотрудники
|
-
|
||
|
Иные
|
Не сотрудники
|
Менее 100 000
|
||
|
III (нет НДВ)
|
Специальные
|
Сотрудники
|
-
|
|
|
Специальные
|
Не сотрудники
|
Менее 100 000
|
||
|
Биометрия
|
-
|
-
|
||
|
Иные
|
Не сотрудники
|
Более 100 000
|
||
|
4
|
III (нет НДВ)
|
Общедоступные
|
-
|
-
|
|
Иные
|
Сотрудники
|
-
|
||
|
Иные
|
Не сотрудники
|
Менее 100 000
|
Меры:
|
Уровень
|
Меры
|
|
4
|
-
физическая безопасность помещений;
-
сохранность носителей ПДн;
-
перечень лиц, имеющих доступ к ПДн;
-
применение СЗИ,
прошедших оценку соответствия (Было на Уровне 2).
|
|
3
|
Дополнительно:
-
назначить ответственного за безопасность ПДн.
|
|
2
|
Дополнительно:
-
доступ к логам
только сотрудников оператора (Было на Уровне 3).
|
|
1
|
Дополнительно:
-
логирование изменений прав доступа;
-
создание структурного подразделения
ответственного за ИБ.
|
|
-
|
Лицензия ТЗКИ для защиты своей организации по-прежнему не нужна.
|
Отдельно хочу
пройтись по замечанию Алексея Лукацкого на счет контролируемой зоны. Читаем
пункт 13:
а) организация режима обеспечения безопасности помещений, в
которых размещена информационная система, препятствующего возможности
неконтролируемого проникновения или пребывания в этих помещениях лиц, не
имеющих права доступа в эти помещения;
Ну и ставьте
себе на здоровье хоть по полицейскому возле каждого сервера ИСПДн. А кто мешает
растянуть контролируемую зону, чтобы она вышла за физические пределы помещений
и распространилась на мобильные устройства сотрудников? Напишем модель угроз,
по которой на мобильные устройства будут передаваться (отображаться)
минимальное количество ПДн, с которыми и будет работать: пограничник, банковский/страховой агент и кто
угодно еще. И поставим необходимые СЗИ на планшеты для защиты передаваемой по
каналу связи и отображаемой на экране информации. Да хоть и сертифицированные,
о чем должны думать уже производители этих самых СЗИ.
Я лично считаю,
что одним росчерком пера нельзя подавить прогресс и развитие технологий,
поэтому к пониманию и выполнению требований нужно тоже подходить творчески.
Ты можешь на планшет поставить сертифицированные СКЗИ? Ну-ка пример в студию.
ОтветитьУдалитьСудя по заверениям сотрудников Инфотекса Випнет 3.2 Сертицицирован и может устанавливаться на мобильные устройства. На Ифоны ставится с обратимым джейлбреком.
Удалить"Сертификат ФСБ России СФ/114-1971 на соответствие изделия «Программный комплекс «ViPNet Client iOS» требованиям ГОСТ 28147-89, ГОСТ Р 34.11-94 и требованиям ФСБ России к средствам криптографической защиты информации класса КС1."
http://www.securitycode.ru/products/kontinent_t-10/
УдалитьЭтот комментарий был удален автором.
ОтветитьУдалитьПусть производители сами договариваются с Эплом и прочими. Я лично ничего не имею против сертификации, даже такой, какова она есть сейчас. Будут разные Mobile Iron сертфиицированы - значит их и будем ставить для управления мобильной инфраструктурой. IMHO
ОтветитьУдалитьПрошу прощения, что встреваю в спор мэтров, но вот:
ОтветитьУдалитьhttp://www.infotecs.ru/press/news/15/7641/
И вот:
http://www.securitycode.ru/company/news/2012-10-17-Kontinent-T-10/
Там в обоих случая джейлбрейк.
ОтветитьУдалитьКакой джейлбрейк на Андроиде?
ОтветитьУдалитьПро эплы речь. С андроидами как раз все понятно, только не пользуются они спросом по понятным причинам.
ОтветитьУдалитьЕсли не затруднит, просьба детализировать по каким понятным причинам не пользуются спросом "андроиды" (ваше мнение) и чем настолько кардинально лучше "эплы". Сопоставление по критериям функциональности, безопасности.
ОтветитьУдалитьУвы, без подписи.
Подскажите, а трехглавым теперь получается не пользуемся?но его же еще не отменили? или и классы и уровни защищенности определяем паралельно?
ОтветитьУдалитьПриказ трех теперь находится в подвешенном состоянии т.к. вышестоящий документ сменился, а от утвердивших его первых двух органов сейчас ждем очередной ход конем.
ОтветитьУдалить