вторник, 22 ноября 2011 г.

СОИБ. Проектирование. Приказ Минкомсвязи №221. Защита СЭД

Минкомсвязи выпустил приказ "Об утверждении Требований к информационным системам электронного документооборота федеральных органов исполнительной власти, учитывающих в том числе необходимость обработки посредством данных систем служебной информации ограниченного распространения". За наводку спасибо СергеюЕрохину.

Приказ состоит из трех частей: 1. Общие положения; 2. Описание технологических процессов функционирования системы электронного документооборота (СЭД); 3. Требования к информационной безопасности СЭД.


В первой части приводятся требования к доступности, надежности и требуется защищенность от НСД не ниже класса 1Г.
Во второй части приводятся функциональные требования к СЭД.
Наиболее интересна третья часть. Требуются следующие основные мероприятия:
Необходимая подсистема ИБ
Пункт приказа, являющийся основанием
Сертификация СЗИ в явном виде (а не оценка соответствия)
21
Провести классификацию системы по требуемым уровням защищенности
22
Выполнить требования ГОСТ Р 51275-2006, который не имеет в себе требований. Возможно имелась ввиду разработка аналитического обоснования с учетом этого ГОСТ
23
Внедрить использовать ролевую модель доступа (пользователь, администратор)
26, 27, 28, 29, 30

По непонятным причинам, роль администратора ИБ не предусмотрена. Назначением прав занимается администратор СЭД.
Из технических требований второго раздела вытекает необходимость следующих подсистем ИБ:
Необходимая подсистема ИБ
Пункт приказа, являющийся основанием
Управления доступом
24, 26, 27, 28, 29
Регистрации событий
24
Резервного копирования и восстановления
31, 32
Межсетевого экранирования
25

четверг, 17 ноября 2011 г.

СЗПДн. Эксплуатация. Услуги по технической защите ПДн


Нет единого мнения в том, нужна ли Оператору ПДн лицензия на ТЗКИ при защите  ПДн, обрабатываемых у Оператора. Одни сделали вывод, что лицензия для собственных нужд не нужна. Другие посчитали, что лицензия нужна и получили её. Третьи определили что лицензия нужна или возможно нужна, но не стали её получать, а решили вместо этого воспользоваться услугами лицензиата.
Рассмотрим последний вариант. Для Организации это возможность как сэкономить на содержании большого штата специалистов, так и дополнительная гарантия при взаимодействии с Регулятором. ФСТЭК РФ на семинарах и конференциях активно предлагает заключать договора с лицензиатами. Но тут у меня возникает вопрос, какого объема услуг достаточно с точки зрения ФСТЭК?
Я встречал такой договор в котором в основную абонентскую плату никаких услуг не включено, кроме удаленных консультаций. В случае критической необходимости по дополнительному соглашению могут привлекаться специалисты Лицензиата за дополнительную плату. Такой договор устраивает ФСТЭК?
А встречались наоборот варианты, где в каждом чихе участвовали специалисты Лицензиата. В том числе установке или изменении конфигурации средств.
Посмотрим определение из ПП об утверждении «Положения о лицензировании  деятельности по технической защите конфиденциальной информации»:
“2. Под технической защитой конфиденциальной информации понимается комплекс мероприятий и (или) услуг по ее защите от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней.”
Оператор внедряет СЗПДн = комплекс мероприятий по защите ПДн от НСД, состоит из организационных мероприятий и мероприятий по использованию СЗИ.
Возьмем оргмеры. Среди таких мер будут например меры по ограничению входа на контролируемую территорию, контроль нахождения сотрудников в помещениях. Получается, что служба охраны занимается технической защитой ПДн?  И её надо отдавать на аутсорсинг лицензиату.
Другими оргмерами по защите ПДн могут быть – допуск сотрудников Оператора к обработке ПДн и учет таких сотрудников. Тот кто ведет такой учет, тоже технической защитой ПДн.
Возьмем самые простые случаи с СЗИ:
·        Добавить пользователя,
·        Заблокировать пользователя,
·        Разблокировать пользователя,
·        Проверить флешку на вирусы,
·        Проверить журналы межсетевого экрана или того-же антивируса
·        Дать доступ пользователю в Интернет и много другое.
Всё это относится к технической защиты КИ. Соответственно организациям решившим подстраховаться от ФСТЭК, придется отдавать все такие мероприятия на аутсорсинг.