Вопрос спецам по инф. без. Прокомментируйте вопросы/ответы. Просто мне интересно где ошибки. На профильном форуме по инф без, задавал, молчат.
1. Обязательна ли аттестация для ИСПДн? Почему?
Аттестация для ИСПДн обязательна.
В соответствии с Федеральным законом №152 «О персональных данных», статьи 18,1 и 19, аттестация ИСПДн обязательна для юридических лиц, индивидуальных предпринимателей и физических лиц, обрабатывающих персональные данные.
Федеральный закон №152 «О персональных данных», статьи 18,1 и 19, требуют от оператора выполнение требований закона. А именно, защиты и аттестации систем.
2. Какой на ваш взгляд правильный порядок разработки следующих документов
1) Модель угроз.
Необходимость разработки модели угроз регламентирована рядом нормативных документов. Например статья 19 закона №152-ФЗ «О персональных данных».
Первоначально необходимо определить:
1- описание информационной системы;
2 - структурно-функциональные характеристики;
3 - описание угроз безопасности информации;
4 - модель нарушителя;
5 - возможные уязвимости информационной системы;
6 - способы реализации угроз;
7- последствия от нарушения свойств безопасности информации;
2) Техническое задание на создание системы защиты персональных данных.
Для исключения возможности несанкционированного доступа к информации, обрабатываемой в системе оператора, приведения к соответствию процессов обеспечения безопасности защиты информации требованиям законодательства Российской Федерации, а также методических документов ФСТЭК России и ФСБ России. Документ должен учитывать перечень актуальных угроз безопасности информации Модели угроз системы заказчика.
3) Технический проект на создание системы защиты персональных данных.
Является завершающей стадией проектирования системы защиты информации. В документе описываются конкретные организационные и технические мероприятия, которые необходимо осуществить для той или иной меры из окончательного списка мер технического задания.
3. При разработке Технического задания на систему защиты персональных данных какими нормативными документами вы бы руководствовались?
Руководствуясь:
1 - ПП-1119
2 - Приказ ФСТЭК №21
3 - Приказ ФСТЭК №17
4 - Приказ ФСБ №378
4. При разработке Модели угроз для информационной системы персональных данных какими нормативными документами вы бы руководствовались?
Руководствуясь:
1 - Федеральный закон №152 «О персональных данных» п.1 п.2 ст.19
2 - ПП-1119
3 - Приказ ФСТЭК №21
4 - Приказ ФСТЭК №17
5 - Приказ ФСБ №378
6 - «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (ФСТЭК)»
7 - «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных" (ФСТЭК)»
5. При разработке Технического проекта на создание системы защиты персональных данных какими нормативными документами вы бы руководствовались?
1 - Федеральный закон №152 «О персональных данных»
2 - Приказ ФСТЭК №21
3 - Приказ ФСТЭК №17
4 - ПП-1119
5 - Приказ ФСБ №378
6. Опишите как бы вы рекомендовали потенциальному клиенту выполнить меру защиты ЗИС.3 «Обеспечение защиты персональных данных от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи»
Требования к реализации ЗИС.3: Оператором должна быть обеспечена защита
информации от раскрытия, модификации и навязывания (ввода ложной информации)
при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за
пределы контролируемой зоны.
Защита информации обеспечивается путем защиты каналов связи от
несанкционированного физического доступа (подключения) к ним и (или) применения в
соответствии с законодательством Российской Федерации средств криптографической
защиты информации или иными методами.
Требования защиты ЗИС.3 (Эшелонированная защита информационной автоматизированной системы) имеет смешанный тип.
Способы реализации:
1 - рекомендуемые: Организационные меры.
2 - возможные: Средства обнаружения/предотвращения вторжений / обнаружения атак (СОВ/СПВ/СОА), межсетевые экраны (МЭ).
Для реализации возможно применение некоторых продуктов:
InfoWatch ARMA (Firewall, Endpoint, Management)
7. Необходимо ли применять в обязательном порядке для ИСПДн сертифицированные средства защиты?
Приказ ФСТЭК №21 п.4 «Меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных».
В формулировке нет требования использования сертифицированных СЗИ. Т.к. Форм оценки соответствия несколько (добровольная или обязательная сертификация, декларирование соответствия). Сертификация – это лишь одна из них. Оператор может использовать несертифицированные средства, но нужно будет продемонстрировать регулятору при
проверке, что для них пройдена процедура оценки соответствия в какой-либо форме.
Приказ ФСТЭК №17 устанавливает требования к обеспечению безопасности информации ограниченного доступа в гос. информационных системах, при этом в п.5 подчеркивается, что при обработке ПДн в гос. информационных системах следует руководствоваться и ПП-1119. Приказ обязывает операторов гос. информационных систем использовать только сертифицированные СЗИ и получать пятилетний аттестат соответствия требованиям по защите информации.