Повышение класса защищенности - Форум по вопросам информационной безопасности

Адрес документа: http://lib.itsec.ru/forum.php?sub=18652&from=0

К списку тем | Добавить сообщение


Автор: Кирилл | 94539 11.06.2018 17:04
Всем здрасте! Сразу оговариваю я студент, поэтому не серчайте за задаваемый вопрос. В данным момент не могу понять, определил уровень защищенности (УЗ-4) ПДн согласно ПП 1119, далее определил что ИС имеет 3-й класс защищённости (К3) согласно 17-му приказу ФСТЭК.

Обратил внимание на информационное сообщение ФСТЭК, в котором говорится что, «если определенный в установленном порядке уровень защищенности персональных данных выше, чем установленный класс защищенности государственной информационной системы, то осуществляется повышение класса». Далее открыл 17 Приказ обратился к п.27, понял что ничего не понял.

Суть вопроса, нужно ли мне повышать класс защищенности либо понижать уровень защищенности, если да, то какими методами оперировать.

Автор: Tarakan | 94542 11.06.2018 17:39
Нужна фактура.
твоя ИСПДн также является и ГИСом?
Весь смысл инф.сообщения ФСТЭК в том, что если твоя ИС является и ИСПДн и ГИС, то следует применять наибольший класс защиты.

Автор: Кирилл | 94543 11.06.2018 17:57
to Tarakan

Да все верно, у меня ГИС ИСПДн, так как есть наличие ПДн.

Автор: Кирилл | 94546 11.06.2018 20:04
Разъяснение вопроса актуально

Автор: oko | 94552 11.06.2018 22:57
to Кирилл
Дык, тов. Tarakan вам все уже объяснил. Если ИС обрабатывает разнородную ИОД, которая категорируется по-разному, то результирующий класс/уровень защищенности ИС выбирается "по-максимуму". Т.е. в вашем случае "подтягивание" класса защищенности ИС не требуется: первично определено, что ИСПДн у вас 4 уровня, а ГИС 3. Следовательно, рассматриваете свою ИС как ГИС 3 класса (со всеми обязательными требованиями 17 Приказа, см. таблицу) + добавляете разделы 21 Приказа (см. таблицу), актуальные для ИСПДн У4, которых нет в 17 Приказе для ГИС К3. В целом, требования 17 Приказа "перекрывают" требования 21, но есть исключения...
И про актуализацию угроз безопасности не забывайте. Проведите моделирование угроз ПДн (см. методику 2008, сайт ФСТЭК России) и, при желании, угроз иной ИОД, которая циркулирует в вашей ИС (см. Проект методики 2015, сайт ФСТЭК России). По результатам оного моделирования решите: какие-то требования 17/21 Приказов могут оказаться не нужными (даже базисные, помеченные "+"), какие-то придется добавить (из тех, что не помечены), какие-то имеющиеся (базисные) усилить (см. методику Меры защиты информации в ГИС, 2014, сайт ФСТЭК России)...

Автор: Кирилл | 94561 12.06.2018 05:43
to oko

Спасибо вам огромное, очень доходчиво объясняете, и много полезного узнал с ваших комментарий на форуме

Просмотров темы: 2414


Copyright © 2004-2019, ООО "ГРОТЕК"

Rambler's Top100 Rambler's Top100