Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Новости проекта

Отраслевые новости

Угрозы

Преступления

Наказания

Партнеры


Журнал "Information Security"

Каталог "IT-Security"

Рекламодателям

Сотрудничество


Материалы

Форум

ITSec Weekly

Календарь

Публикации

Подписка

Контакты

Ссылки

Партнеры

Мероприятия

 
    Повышение класса защищенности - Форум по вопросам информационной безопасности

Форум по вопросам информационной безопасности

Повышение класса защищенности

К списку тем | Добавить сообщение


Автор: Кирилл | 94539 11.06.2018 17:04
Всем здрасте! Сразу оговариваю я студент, поэтому не серчайте за задаваемый вопрос. В данным момент не могу понять, определил уровень защищенности (УЗ-4) ПДн согласно ПП 1119, далее определил что ИС имеет 3-й класс защищённости (К3) согласно 17-му приказу ФСТЭК.

Обратил внимание на информационное сообщение ФСТЭК, в котором говорится что, «если определенный в установленном порядке уровень защищенности персональных данных выше, чем установленный класс защищенности государственной информационной системы, то осуществляется повышение класса». Далее открыл 17 Приказ обратился к п.27, понял что ничего не понял.

Суть вопроса, нужно ли мне повышать класс защищенности либо понижать уровень защищенности, если да, то какими методами оперировать.

Автор: Tarakan | 94542 11.06.2018 17:39
Нужна фактура.
твоя ИСПДн также является и ГИСом?
Весь смысл инф.сообщения ФСТЭК в том, что если твоя ИС является и ИСПДн и ГИС, то следует применять наибольший класс защиты.

Автор: Кирилл | 94543 11.06.2018 17:57
to Tarakan

Да все верно, у меня ГИС ИСПДн, так как есть наличие ПДн.

Автор: Кирилл | 94546 11.06.2018 20:04
Разъяснение вопроса актуально

Автор: oko | 94552 11.06.2018 22:57
to Кирилл
Дык, тов. Tarakan вам все уже объяснил. Если ИС обрабатывает разнородную ИОД, которая категорируется по-разному, то результирующий класс/уровень защищенности ИС выбирается "по-максимуму". Т.е. в вашем случае "подтягивание" класса защищенности ИС не требуется: первично определено, что ИСПДн у вас 4 уровня, а ГИС 3. Следовательно, рассматриваете свою ИС как ГИС 3 класса (со всеми обязательными требованиями 17 Приказа, см. таблицу) + добавляете разделы 21 Приказа (см. таблицу), актуальные для ИСПДн У4, которых нет в 17 Приказе для ГИС К3. В целом, требования 17 Приказа "перекрывают" требования 21, но есть исключения...
И про актуализацию угроз безопасности не забывайте. Проведите моделирование угроз ПДн (см. методику 2008, сайт ФСТЭК России) и, при желании, угроз иной ИОД, которая циркулирует в вашей ИС (см. Проект методики 2015, сайт ФСТЭК России). По результатам оного моделирования решите: какие-то требования 17/21 Приказов могут оказаться не нужными (даже базисные, помеченные "+"), какие-то придется добавить (из тех, что не помечены), какие-то имеющиеся (базисные) усилить (см. методику Меры защиты информации в ГИС, 2014, сайт ФСТЭК России)...

Автор: Кирилл | 94561 12.06.2018 05:43
to oko

Спасибо вам огромное, очень доходчиво объясняете, и много полезного узнал с ваших комментарий на форуме

Просмотров темы: 223

К списку тем | Добавить сообщение



Добавить сообщение

Автор:
Компания:
E-mail:
Уведомлять о новых сообщениях в этой теме да
нет
Текст сообщения:
Введите код:









Реклама на сайте

ПОИСК

СВЕЖИЙ НОМЕР
ПОДПИСКА НА НОВОСТИ

 

 

 

 

Рейтинг@Mail.ru

Яндекс цитирования

Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Бесплатная подписка | Форум | Контакты | Ссылки | О чем этот сайт

Copyright © 2003-2013, ООО "Гротек"
Использование материалов сайта возможно при указании активной гиперссылки на главную страницу этого сайта. Ссылка должна выглядеть так: Itsec.Ru.