(495) 925-0049, ITShop интернет-магазин 229-0436, Учебный Центр 925-0049
  Главная страница Карта сайта Контакты
Поиск
Вход
Регистрация
Рассылки сайта
 
 
 
 
 

Методические рекомендации по разработке моделей угроз

Источник: blogspot

 



ФСБ опубликовала документ "Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности". Ссылка.

Документ  предназначен для   разработчиков отраслевых моделей угроз (коими в соответствии с ФЗ 152 могут быть ФОИВ, органы гос власти субъектов РФ, Банк России и др.).

В отношении операторов ИСПДн документ носит рекомендательный характер.

Документ включает несколько разделов. 
В разделе 1 перечисляется информация, которую необходимо включать в модель угроз при описании ИСПДн (общие сведения, объекты размещения, существующие меры защиты и так далее). В разделе 2 описываются случаи, когда необходимо применение СКЗИ и некоторые сопутствующие нюансы. Раздел 3 посвящен определению актуальных угроз (фактически предоставлено описание объектов атак и возможностей нарушителя по 378-му приказу ФСБ).
 
Ключевые, на мой взгляд, моменты документа:
  1. Случаи, при которых требуется использование СКЗИ: а) передача ПДн по незащищенным каналам связи (например, сети связи общего пользования) б) хранение ПДн на носителях, НСД к которым не может быть исключен другими методами.
  2. Если угрозы, которые могут быть нейтрализованы только с помощью СКЗИ (см. пункт выше) неактуальны, то данный документ не используется. 
  3. Чтобы объявить каналы связи защищенными без СКЗИ, то нужно провести  исследования  защищенности каналов связи  от НСД. Исследования проводятся организацией,  имеющей  право  проводить  такие исследования. 
  4. Нужно применять только сертифицированные СКЗИ.  А если нет пригодных сертифицированных СКЗИ ...  то просто они разрабатываются :) 
  5. Для разных сегментов ИСПДн можно использовать СКЗИ разных классов.Это хорошо, так как если оператору удастся занизить класс СКЗИ для пользовательских сегментов ИСПДн, то это позволит избежать затрат на использование АПМДЗ. 
  6. Отраслевая модель угроз согласуется с ФСБ и ФСТЭК. Частные модели угроз согласования с ФСБ не требуют.
  7. В приложении к документу - интереснейшая таблица с примерами обоснования отсутствия у нарушителя тех или иных возможностей. Таблица будет крайне полезна всем разработчикам моделей угроз и нарушителя.
Выводы: операторы ИСПДн и разработчики моделей угроз, несмотря на рекомендательный характер документа, смогут почерпнуть в нем много полезного. При правильном использовании, документ (и особенно таблица во вложении) может помочь оператору снизить требуемый класс СКЗИ. Насколько документ будет полезен разработчикам отраслевых моделей - судить не могу. Вопрос в том, когда последуют модели угроз, разработанные в соответствии с этим документом.


 Распечатать »
 Правила публикации »
  Обсудить материал в конференции Дискуссии и обсуждения общего плана »
Написать редактору 
 Рекомендовать » Дата публикации: 28.02.2019 
 

Магазин программного обеспечения   WWW.ITSHOP.RU
Symantec Ghost Solution Suite, License, 1-24 Devices
ABBYY Lingvo x6 Европейская Профессиональная версия, электронный ключ
Pinnacle Studio 18 Standard ESD. Электронный ключ.
IBM DOMINO COLLABORATION EXPRESS AUTHORIZED USER LICENSE + SW SUBSCRIPTION & SUPPORT 12 MONTHS
AutoCAD LT 2019 Commercial New Single-user ELD Annual Subscription PROMO
 
Другие предложения...
 
Курсы обучения   WWW.ITSHOP.RU
 
Другие предложения...
 
Магазин сертификационных экзаменов   WWW.ITSHOP.RU
 
Другие предложения...
 
3D Принтеры | 3D Печать   WWW.ITSHOP.RU
 
Другие предложения...
 
Новости по теме
 
Рассылки Subscribe.ru
Информационные технологии: CASE, RAD, ERP, OLAP
Безопасность компьютерных сетей и защита информации
CASE-технологии
Программирование на Microsoft Access
OS Linux для начинающих. Новости + статьи + обзоры + ссылки
СУБД Oracle "с нуля"
Новости мира 3D-ускорителей
 
Статьи по теме
 
Новинки каталога Download
 
Исходники
 
Документация
 
Обсуждения в форумах
Пишу программы на заказ профессионально (2309)
Пишу программы на заказ на языках Pascal (численные методы, списки, деревья, прерывания) под...
 
Надстройка "Поиск решения" MS Excel (6)
Помогите решить задачу с помощью " поиск решения" мука яйца ...
 
Ищу программиста для написания программы (22)
Ищу программиста ,владеющего Вижуал Бэйсик и программированием в Экселе, для написания...
 
Модульный метод создания сайтов (4)
Модульный метод создания (компоновки) сайтов на основе наборов типовых отлаженных функциональных...
 
Пишу программы на заказ для студентов (187)
Пишу для студентов на с, с++, паскаль в средах ms visual studio, qt, builder, borland c, delphi....
 
 
 



    
rambler's top100 Rambler's Top100