Комментарии 15
Добрый день.
Хотелось бы задать несколько вопросов для саморазвития.
1) Можете поделиться с общественностью составом применяемых средств защиты информации? Особенно интересуют опыт применения решений для защиты гипервизоров.
2) В приведенных схемах защита от DDoS применена только для защиты каналов обеспечивающих работу ВМ заказчиков, для канала управления (ваши админы) такой защиты нет. Почему?
Хотелось бы задать несколько вопросов для саморазвития.
1) Можете поделиться с общественностью составом применяемых средств защиты информации? Особенно интересуют опыт применения решений для защиты гипервизоров.
2) В приведенных схемах защита от DDoS применена только для защиты каналов обеспечивающих работу ВМ заказчиков, для канала управления (ваши админы) такой защиты нет. Почему?
п.4 Меры по обеспечению безопасности персональных данных реализуются в том числе
посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия.
Как оформляете этот пункт для УЗ3 21 приказа, если не применяете сертифицированные СЗИ?
посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия.
Как оформляете этот пункт для УЗ3 21 приказа, если не применяете сертифицированные СЗИ?
Во-первых, согласно ФЗ «О техническом регулировании» подтверждение соответствия может проводиться не только в форме сертификации. Во-вторых, для защиты персональных данных не всегда должны применяться сертифицированные СЗИ. В п.4 Приказа ФСТЭК 21 указано: «Меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных».
**Во-первых, согласно ФЗ «О техническом регулировании» подтверждение соответствия может проводиться не только в форме сертификации**
Вот и спрашиваю по какой форме у Вас сделано и оформленно.
**Приказа ФСТЭК 21 указано… применение средств… в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных***
Это вообще к вопросу не относится, это про модель угроз и СЗИ вообще. Актуальны атаки из Интернета, ставим МЭ, у нас автономка и угроза не актуальна, не ставим МЭ.
Вот и спрашиваю по какой форме у Вас сделано и оформленно.
**Приказа ФСТЭК 21 указано… применение средств… в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных***
Это вообще к вопросу не относится, это про модель угроз и СЗИ вообще. Актуальны атаки из Интернета, ставим МЭ, у нас автономка и угроза не актуальна, не ставим МЭ.
Тут предлагаем обратиться к 330 постановлению правительства. Но снова обращаем внимание на п.4 Приказа ФСТЭК 21: СЗИ, прошедшие процедуру оценки соответствия применяются для нейтрализации актуальных угроз безопасности персональных данных. Т.е. реализовывать базовый и адаптивный базовый набор мер теоретически можно и без применения СЗИ, прошедших процедуру оценки соответствия.
Если вы оказываете услугу, то у вас все должно быть и по документам идеально. За это клиент платит деньги. Странно видеть у Вас неуверенность и слово «теоретически пойдёт и так».
Обратимся к фз152 ст.19.п.2.6
«Безопасность ПДн обеспечивается применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации»
Все точка.
Что подразумевал ФСТЭК вводя слово «в случае» я уже выше расписал. У фстэк нет полномочий переписывать федеральные законы а они этого и не делали.
2. По поводу пресловутой оценки соответствия.
184-ФЗ «О техническом регулировании» говорит нам о следующих оценках соотвествия — обязательная сертификация, добровольная сертификация, декларирование соответствия), приемка и ввод в эксплуатацию, иные формы)… О этом же упоминает фстэк в некоторых своих рассылках.
Если честно, рассчитывал увидеть у Вас проработанный со фстэк, вариант «приемка и ввод в эксплуатацию» Это был бы прекрасный прецедент и пример для многих компаний с 3 УЗ. Увы не увидел.
Обратимся к фз152 ст.19.п.2.6
«Безопасность ПДн обеспечивается применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации»
Все точка.
Что подразумевал ФСТЭК вводя слово «в случае» я уже выше расписал. У фстэк нет полномочий переписывать федеральные законы а они этого и не делали.
2. По поводу пресловутой оценки соответствия.
184-ФЗ «О техническом регулировании» говорит нам о следующих оценках соотвествия — обязательная сертификация, добровольная сертификация, декларирование соответствия), приемка и ввод в эксплуатацию, иные формы)… О этом же упоминает фстэк в некоторых своих рассылках.
Если честно, рассчитывал увидеть у Вас проработанный со фстэк, вариант «приемка и ввод в эксплуатацию» Это был бы прекрасный прецедент и пример для многих компаний с 3 УЗ. Увы не увидел.
Подскажите, а какие виды оценки соответствия СЗИ официально признает ФСТЭК кроме как сертификация (тем более если есть $ертифицированные аналоги)?
Для периметра сегмента «Защищенный» у вас написано, что используется просто VPN, а не VPN с шифрованием ГОСТ, как для сегмента «Закрытый», а также то, что он удовлетворяет Приказу №21 и там могут размещаться ИСПДн. Нет ли тут опечатки, ведь требование применять шифрование ГОСТ (при передаче данных через публичные сети и сети провайдеров) должно применяться ко всем ИСПДн, государственных структур и частных компаний также.
Да, вы абсолютно правы, это опечатка. Сейчас исправим. Спасибо за внимательность!
Нет, вообще, опечатки не было, всё верно. Объясняем: при необходимости организуется ГОСТ шифрование, это не проблема. Но в нашем сегменте «Защищенный» могут размещаться еще системы, не являющиеся ИСПДн (например, обычные коммерческие системы). Тут требование по сертифицированным СКЗИ (ГОСТ VPN) не применимо.
Вообще 378 приказ фсб ясно говорит, что если есть ПДн, то пожалуйста применяйте СКЗИ конкретного класса. КС1, КС2 и т.д
Классы вы сами не можете назначать, это уполномоченного делать только ФСБ в форме обязательной сертификации. Крипта у нас жестко зарегулированна. Так что ваш сегмент «Защищенный» для ИСПДн не легитимен.
Для Коммерции пожалуйста.
Классы вы сами не можете назначать, это уполномоченного делать только ФСБ в форме обязательной сертификации. Крипта у нас жестко зарегулированна. Так что ваш сегмент «Защищенный» для ИСПДн не легитимен.
Для Коммерции пожалуйста.
У нас есть модель нарушителя для каждого сегмента, в каждой модели определены возможности нарушителей и имеется вывод о классе необходимых к применению криптосредств для защиты ПДн. Соответственно, клиентам, которые размещают в нашем облаке свои ИСПДн, предоставляются сертифицированные ФСБ России СКЗИ для организации ГОСТ VPN.
При этом есть клиенты, которые размещают в нашем облаке системы, не являющиеся ИСПДн. Соответственно, обработки ПДн нет, а значит, защиту каналов связи они могут организовывать, как они считают правильным.
В итоге получаем следующее: те, у кого есть ПДн, защищают каналы связи с использованием ГОСТ VPN, те, у кого нет ПДн, защищают, как считают правильным.
Все действия по удаленному администрированию облачной платформы осуществляются через ГОСТ VPN, как показано на схеме в статье.
Полагаем, из таблички в статье это было не очевидно. Надеемся, это пояснение поможет.
При этом есть клиенты, которые размещают в нашем облаке системы, не являющиеся ИСПДн. Соответственно, обработки ПДн нет, а значит, защиту каналов связи они могут организовывать, как они считают правильным.
В итоге получаем следующее: те, у кого есть ПДн, защищают каналы связи с использованием ГОСТ VPN, те, у кого нет ПДн, защищают, как считают правильным.
Все действия по удаленному администрированию облачной платформы осуществляются через ГОСТ VPN, как показано на схеме в статье.
Полагаем, из таблички в статье это было не очевидно. Надеемся, это пояснение поможет.
госзаказчики интуитивно понимают, что облачные технологии (в частности гособлако) им необходимы
А зачем необходимо, не подскажете? «Интуитивно» для госкомпании — «ой» как звучит!
А в гособлаке такое же раздолбайство царит, как в госконторах?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Как мы помогаем быстро аттестоваться по требованиям ИБ тем, кто переезжает в облако