(495) 925-0049, ITShop интернет-магазин 229-0436, Учебный Центр 925-0049
  Главная страница Карта сайта Контакты
Поиск
Вход
Регистрация
Рассылки сайта
 
 
 
 
 

Методические рекомендации по разработке моделей угроз

Источник: blogspot

 



ФСБ опубликовала документ "Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности". Ссылка.

Документ  предназначен для   разработчиков отраслевых моделей угроз (коими в соответствии с ФЗ 152 могут быть ФОИВ, органы гос власти субъектов РФ, Банк России и др.).

В отношении операторов ИСПДн документ носит рекомендательный характер.

Документ включает несколько разделов. 
В разделе 1 перечисляется информация, которую необходимо включать в модель угроз при описании ИСПДн (общие сведения, объекты размещения, существующие меры защиты и так далее). В разделе 2 описываются случаи, когда необходимо применение СКЗИ и некоторые сопутствующие нюансы. Раздел 3 посвящен определению актуальных угроз (фактически предоставлено описание объектов атак и возможностей нарушителя по 378-му приказу ФСБ).
 
Ключевые, на мой взгляд, моменты документа:
  1. Случаи, при которых требуется использование СКЗИ: а) передача ПДн по незащищенным каналам связи (например, сети связи общего пользования) б) хранение ПДн на носителях, НСД к которым не может быть исключен другими методами.
  2. Если угрозы, которые могут быть нейтрализованы только с помощью СКЗИ (см. пункт выше) неактуальны, то данный документ не используется. 
  3. Чтобы объявить каналы связи защищенными без СКЗИ, то нужно провести  исследования  защищенности каналов связи  от НСД. Исследования проводятся организацией,  имеющей  право  проводить  такие исследования. 
  4. Нужно применять только сертифицированные СКЗИ.  А если нет пригодных сертифицированных СКЗИ ...  то просто они разрабатываются :) 
  5. Для разных сегментов ИСПДн можно использовать СКЗИ разных классов.Это хорошо, так как если оператору удастся занизить класс СКЗИ для пользовательских сегментов ИСПДн, то это позволит избежать затрат на использование АПМДЗ. 
  6. Отраслевая модель угроз согласуется с ФСБ и ФСТЭК. Частные модели угроз согласования с ФСБ не требуют.
  7. В приложении к документу - интереснейшая таблица с примерами обоснования отсутствия у нарушителя тех или иных возможностей. Таблица будет крайне полезна всем разработчикам моделей угроз и нарушителя.
Выводы: операторы ИСПДн и разработчики моделей угроз, несмотря на рекомендательный характер документа, смогут почерпнуть в нем много полезного. При правильном использовании, документ (и особенно таблица во вложении) может помочь оператору снизить требуемый класс СКЗИ. Насколько документ будет полезен разработчикам отраслевых моделей - судить не могу. Вопрос в том, когда последуют модели угроз, разработанные в соответствии с этим документом.


 Распечатать »
 Правила публикации »
  Обсудить материал в конференции Дискуссии и обсуждения общего плана »
Написать редактору 
 Рекомендовать » Дата публикации: 28.02.2019 
 

Магазин программного обеспечения   WWW.ITSHOP.RU
ESET NOD32 Secure Enterprise newsale for 26 user, лицензия на 1 год
КОМПАС-3D v17 Home
Allround Automation PL/SQL Developer - 5 user license
SmartBear QAComplete Concurrent User Subscription License - On Premise (1 Year Subscription)
Oracle Database Personal Edition Named User Plus Software Update License & Support
 
Другие предложения...
 
Курсы обучения   WWW.ITSHOP.RU
 
Другие предложения...
 
Магазин сертификационных экзаменов   WWW.ITSHOP.RU
 
Другие предложения...
 
3D Принтеры | 3D Печать   WWW.ITSHOP.RU
 
Другие предложения...
 
Новости по теме
 
Рассылки Subscribe.ru
Информационные технологии: CASE, RAD, ERP, OLAP
Безопасность компьютерных сетей и защита информации
CASE-технологии
Программирование на Microsoft Access
Реестр Windows. Секреты работы на компьютере
СУБД Oracle "с нуля"
Adobe Photoshop: алхимия дизайна
 
Статьи по теме
 
Новинки каталога Download
 
Исходники
 
Документация
 
Обсуждения в форумах
Поиск рабочих зеркал МарафонБет (8)
На сегодняшний день, просторы интернета позволяют нам легко найти зеркало на Марафон для входа в...
 
Нормальные казино в 2021 году (24)
После долгих поисков все таки смог найти хорошие игровухи, хотя и ушла куча времени, пока я...
 
Управление медиафайлами (1)
Обратите внимание на вот эту платформу https://picvario.ru для хранения, поиска и...
 
Ищу программиста для написания программы (84)
Ищу программиста ,владеющего Вижуал Бэйсик и программированием в Экселе, для написания...
 
Глюки ModelMart и BPwin - не сохраняется модель (5)
Уж и не знаю что у них там произошло, но вот уже час бьюсь над тем, что модель ПЕРЕСТАЛА...
 
 
 



    
rambler's top100 Rambler's Top100