вторник, 6 ноября 2012 г.

Про Постановление Правительства 1119

В сентябре делал заметку по проектам Постановлений об Уровнях защищенности и Требованиях к защите. Сейчас после выхода обобщенного Постановления решил привести обе таблицы в соответствие с ним.
Типы:
Уровень
Тип
Категория
Принадлежность
Количество
1
I (НДВ в СПО)
Специальная
-
-
Биометрия
-
-
Иные
-
-
II (НДВ в ППО)
Специальные
Не сотрудники
Более 100 000
2
I (НДВ в СПО)
Общедоступные
-
-
II (НДВ в ППО)
Специальные
Сотрудники
-
Специальные
Не сотрудники
Менее 100 000
Биометрия
-
-
Общедоступные
Не сотрудники
Более 100 000
Иные
Не сотрудники
Более 100 000
III (нет НДВ)
Специальные
Не сотрудники
Более 100 000
3
II (НДВ в ППО)
Общедоступные
Сотрудники
-
Общедоступные
Не сотрудники
Менее 100 000
Иные
Сотрудники
-
Иные
Не сотрудники
Менее 100 000
III (нет НДВ)
Специальные
Сотрудники
-
Специальные
Не сотрудники
Менее 100 000
Биометрия
-
-
Иные
Не сотрудники
Более 100 000
4
III (нет НДВ)
Общедоступные
-
-
Иные
Сотрудники
-
Иные
Не сотрудники
Менее 100 000

Меры:
Уровень
Меры
4
-        физическая безопасность помещений;
-        сохранность носителей ПДн;
-        перечень лиц, имеющих доступ к ПДн;
-        применение СЗИ, прошедших оценку соответствия (Было на Уровне 2).
3
Дополнительно:
-        назначить ответственного за безопасность ПДн.
2
Дополнительно:
-        доступ к логам только сотрудников оператора (Было на Уровне 3).
1
Дополнительно:
-        логирование изменений прав доступа;
-        создание структурного подразделения ответственного за ИБ.
-
Лицензия ТЗКИ для защиты своей организации по-прежнему не нужна.

Отдельно хочу пройтись по замечанию Алексея Лукацкого на счет контролируемой зоны. Читаем пункт 13:
а) организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
Ну и ставьте себе на здоровье хоть по полицейскому возле каждого сервера ИСПДн. А кто мешает растянуть контролируемую зону, чтобы она вышла за физические пределы помещений и распространилась на мобильные устройства сотрудников? Напишем модель угроз, по которой на мобильные устройства будут передаваться (отображаться) минимальное количество ПДн, с которыми и будет работать:  пограничник, банковский/страховой агент и кто угодно еще. И поставим необходимые СЗИ на планшеты для защиты передаваемой по каналу связи и отображаемой на экране информации. Да хоть и сертифицированные, о чем должны думать уже производители этих самых СЗИ.
Я лично считаю, что одним росчерком пера нельзя подавить прогресс и развитие технологий, поэтому к пониманию и выполнению требований нужно тоже подходить творчески.

12 комментариев:

  1. Ты можешь на планшет поставить сертифицированные СКЗИ? Ну-ка пример в студию.

    ОтветитьУдалить
    Ответы
    1. Судя по заверениям сотрудников Инфотекса Випнет 3.2 Сертицицирован и может устанавливаться на мобильные устройства. На Ифоны ставится с обратимым джейлбреком.
      "Сертификат ФСБ России СФ/114-1971 на соответствие изделия «Программный комплекс «ViPNet Client iOS» требованиям ГОСТ 28147-89, ГОСТ Р 34.11-94 и требованиям ФСБ России к средствам криптографической защиты информации класса КС1."

      Удалить
    2. http://www.securitycode.ru/products/kontinent_t-10/

      Удалить
  2. Этот комментарий был удален автором.

    ОтветитьУдалить
  3. Пусть производители сами договариваются с Эплом и прочими. Я лично ничего не имею против сертификации, даже такой, какова она есть сейчас. Будут разные Mobile Iron сертфиицированы - значит их и будем ставить для управления мобильной инфраструктурой. IMHO

    ОтветитьУдалить
  4. Прошу прощения, что встреваю в спор мэтров, но вот:
    http://www.infotecs.ru/press/news/15/7641/
    И вот:
    http://www.securitycode.ru/company/news/2012-10-17-Kontinent-T-10/

    ОтветитьУдалить
  5. Там в обоих случая джейлбрейк.

    ОтветитьУдалить
  6. Какой джейлбрейк на Андроиде?

    ОтветитьУдалить
  7. Про эплы речь. С андроидами как раз все понятно, только не пользуются они спросом по понятным причинам.

    ОтветитьУдалить
  8. Если не затруднит, просьба детализировать по каким понятным причинам не пользуются спросом "андроиды" (ваше мнение) и чем настолько кардинально лучше "эплы". Сопоставление по критериям функциональности, безопасности.

    Увы, без подписи.

    ОтветитьУдалить
  9. Подскажите, а трехглавым теперь получается не пользуемся?но его же еще не отменили? или и классы и уровни защищенности определяем паралельно?

    ОтветитьУдалить
  10. Приказ трех теперь находится в подвешенном состоянии т.к. вышестоящий документ сменился, а от утвердивших его первых двух органов сейчас ждем очередной ход конем.

    ОтветитьУдалить