(495) 925-0049, ITShop интернет-магазин 229-0436, Учебный Центр 925-0049
  Главная страница Карта сайта Контакты
Поиск
Вход
Регистрация
Рассылки сайта
 
 
 
 
 

Методические рекомендации по разработке моделей угроз

Источник: blogspot

 



ФСБ опубликовала документ "Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности". Ссылка.

Документ  предназначен для   разработчиков отраслевых моделей угроз (коими в соответствии с ФЗ 152 могут быть ФОИВ, органы гос власти субъектов РФ, Банк России и др.).

В отношении операторов ИСПДн документ носит рекомендательный характер.

Документ включает несколько разделов. 
В разделе 1 перечисляется информация, которую необходимо включать в модель угроз при описании ИСПДн (общие сведения, объекты размещения, существующие меры защиты и так далее). В разделе 2 описываются случаи, когда необходимо применение СКЗИ и некоторые сопутствующие нюансы. Раздел 3 посвящен определению актуальных угроз (фактически предоставлено описание объектов атак и возможностей нарушителя по 378-му приказу ФСБ).
 
Ключевые, на мой взгляд, моменты документа:
  1. Случаи, при которых требуется использование СКЗИ: а) передача ПДн по незащищенным каналам связи (например, сети связи общего пользования) б) хранение ПДн на носителях, НСД к которым не может быть исключен другими методами.
  2. Если угрозы, которые могут быть нейтрализованы только с помощью СКЗИ (см. пункт выше) неактуальны, то данный документ не используется. 
  3. Чтобы объявить каналы связи защищенными без СКЗИ, то нужно провести  исследования  защищенности каналов связи  от НСД. Исследования проводятся организацией,  имеющей  право  проводить  такие исследования. 
  4. Нужно применять только сертифицированные СКЗИ.  А если нет пригодных сертифицированных СКЗИ ...  то просто они разрабатываются :) 
  5. Для разных сегментов ИСПДн можно использовать СКЗИ разных классов.Это хорошо, так как если оператору удастся занизить класс СКЗИ для пользовательских сегментов ИСПДн, то это позволит избежать затрат на использование АПМДЗ. 
  6. Отраслевая модель угроз согласуется с ФСБ и ФСТЭК. Частные модели угроз согласования с ФСБ не требуют.
  7. В приложении к документу - интереснейшая таблица с примерами обоснования отсутствия у нарушителя тех или иных возможностей. Таблица будет крайне полезна всем разработчикам моделей угроз и нарушителя.
Выводы: операторы ИСПДн и разработчики моделей угроз, несмотря на рекомендательный характер документа, смогут почерпнуть в нем много полезного. При правильном использовании, документ (и особенно таблица во вложении) может помочь оператору снизить требуемый класс СКЗИ. Насколько документ будет полезен разработчикам отраслевых моделей - судить не могу. Вопрос в том, когда последуют модели угроз, разработанные в соответствии с этим документом.


 Распечатать »
 Правила публикации »
  Обсудить материал в конференции Дискуссии и обсуждения общего плана »
Написать редактору 
 Рекомендовать » Дата публикации: 28.02.2019 
 

Магазин программного обеспечения   WWW.ITSHOP.RU
Panda Global Protection - ESD версия - на 1 устройство - (лицензия на 1 год)
ARCHICAD 21, локальная лицензия на 12 месяцев
ZBrush 4R6 Win Commercial Single License ESD
Oracle Data Access Components (ODAC) Standard single license
Microsoft Visual Studio Professional w/MSDN AllLng Software Assurance OLP 1 License No Level Qualified
 
Другие предложения...
 
Курсы обучения   WWW.ITSHOP.RU
 
Другие предложения...
 
Магазин сертификационных экзаменов   WWW.ITSHOP.RU
 
Другие предложения...
 
3D Принтеры | 3D Печать   WWW.ITSHOP.RU
 
Другие предложения...
 
Новости по теме
 
Рассылки Subscribe.ru
Информационные технологии: CASE, RAD, ERP, OLAP
Безопасность компьютерных сетей и защита информации
Программирование на Microsoft Access
CASE-технологии
Компьютерный дизайн - Все графические редакторы
СУБД Oracle "с нуля"
ЕRP-Форум. Творческие дискуссии о системах автоматизации
 
Статьи по теме
 
Новинки каталога Download
 
Исходники
 
Документация
 
Обсуждения в форумах
Разработка устройств на микроконтроллерах (2)
Профессиональный программист. Основная специализация: МИКРОКОНТРОЛЛЕРЫ, АССЕМБЛЕР для любых...
 
Пишу программы на заказ профессионально (2965)
Пишу программы на заказ на языках Pascal (численные методы, списки, деревья, прерывания) под...
 
Подключение JavaScript (305)
Всем привет! Я подключаю JavaScript нижеприведенным образом. Код: <script...
 
Как восстановить рабочий стол? Помогите срочно надо! (3)
Windows 7 максимальная. В учетной записи сменила пароль и выключила комп, после включения...
 
Пять возможностей Windows, о которых вы могли не знать (5)
пыщпыщ
 
 
 



    
rambler's top100 Rambler's Top100