Автор: Деся | 102087 | 18.09.2018 18:20 |
Здравствуйте!
Подскажите, пожалуйста, какими нормативными документами ФСБ руководствоваться при определении класса СКЗИ, используемых для защиты ГИС, в которой не обрабатываются персональные данные, но только лишь служебная тайна? Могу я, например, для защиты ГИС класса К1 использовать СКЗИ класса КС1 и если нет, то почему? Как на это посмотрит регулятор? Понимаю, что по тому же 378-му Приказу это будет не правильно, но ведь применение данного нормативного документа в случае отсутствия обработки персональных данных будет не обязательным. |
Автор: oko | 102128 | 19.09.2018 17:37 |
to Деся
ФСТЭК и ФСБ до сих пор официально не свели воедино свои представления о нарушителях (свои классификаторы, разумеется). Поэтому де юре в вашей ИС могут быть актуальны нарушители со "средним потенциалом" по ФСТЭК и класса Н1 по ФСБ. В таком случае применяете КС1 (или выше) СКЗИ, исходя из Н1 класса нарушителя. И никто пока вам противного слова не скажет, если, конечно, класс нарушителя по ФСБ вы умышленно не занизили... Исторически, если для защиты ИС применяются СКЗИ, то принято делать две модели: Модель угроз по ФСТЭК и Модель нарушителя по ФСБ. В последней модели и идет анализ с выбором результирующего класса нарушителя и, соответственно, требуемого класса применяемых криптосредств... Сам класс нарушителя по ФСБ выбирается, исходя из предполагаемых его возможностей, а также ценности защищаемой информации. Для полного понимания картины "нарушитель - СКЗИ" читайте 378 Приказ ФСБ, старую методику ФСБ 149/54-144 за 2008 г. по ПДн и новую методику ФСБ за 2015 г. по ПДн... |
Автор: Деся | 102146 | 20.09.2018 10:54 |
Спасибо Вам за ответ! Но получается так:
Классификации нарушителей по классам Н1-Н6 давно нет в связи с отменой методики ФСБ 149/54-144 от 2008г. и В связи с отменой данной методики нет и необходимости разрабатывать модель нарушителя по ФСБ. Потенциал нарушителей вещь не до конца ясная и ее суть раскрывается только в неутвержденной методике по моделированию угроз ФСТЭК. Связи потенциала нарушителей с классами СКЗИ опять же никакой нет - нет соответствующих нормативных документов. 378 Приказ, методика ФСБ за 2015 г. - эти документы относятся исключительно к ПДн, но в нашей ГИС нету ПДн. В этом весь и вопрос - нужно ли пытаться скрестить ужа с ежом (ПДн с ГИС, в которой нет ПДн) и не лучше ли следовать букве закона / упирать на отсутствие такой буквы и просто выбрать тот класс СКЗИ, который посчитаем нужным? |
Автор: oko | 102149 | 20.09.2018 11:15 |
to Деся
Primo, классификация Н1-Н6 как была, так и осталась. Методика 2008 отменена, но классы не изменились. Поэтому и рекомендую ее к прочтению, чтобы знать взаимосвязь нарушителей с классами СКЗИ... Secundo, ФСТЭК к СКЗИ не имеет отношения. Поэтому де юре "их нарушитель", не обязательно должен совпадать с "нарушителем-по-ФСБ-для-СКЗИ". В этом и проблема, и отдушина. Поэтому, используя СКЗИ в своей ИС (любой), нужна-таки модель нарушителя по ФСБ... Tertio, для ГИС ФСБ не написала конкретную методику *вырезано* потому что нет ФЗ, классификацию ГИС определила ФСТЭК, а это другая контора, и вообще, пусть сами теперь расхлебывают */вырезано*. Следовательно, модель нарушителя оформляется для конкретной ИС конкретными людьми на свое усмотрение. Но соотношение "возможности нарушителя => класс нарушителя => необходимый класс СКЗИ" неизменно. И просто так выбрать любые СКЗИ для своей ИС, внедрить их и радоваться жизни не получится. Должно быть обоснование. Иначе при проверках регулятора можно заработать втык от "экспертов". Вот такое у нас законодательство, ага... |
Автор: Деся | 102151 | 20.09.2018 11:55 |
Вы не могли бы пояснить по этому моменту - "классификация Н1-Н6 как была, так и осталась. "Методика 2008 отменена, но классы не изменились. Поэтому и рекомендую ее к прочтению, чтобы знать взаимосвязь нарушителей с классами СКЗИ..."
Возможно, я где-то что-то упускаю из виду - хотелось бы разобраться. Если классификация осталась, то в каком нормативном документе она закреплена? Если этот документ имеет гриф ДСП и к нему нет доступа, то мы ведь не обязаны им руководствоваться. |
Автор: oko | 102171 | 20.09.2018 17:03 |
to Деся
Если вы лицензиат ФСБ, то должны сами все прекрасно знать... Если вы эксплуатант ИС, которому вменили разработать ЧМУ или подобрать нужные СКЗИ, то писать и придумывать можете что хотите и на базе любой подвернувшейся под руку документации, ссылаясь или не ссылаясь на отсутствие утвержденных источников, - без привлечения лицензиата все подобные действия с позиции ФСБ ликвидными не будут (особенно внедрение СКЗИ, ага)... Если вам "чисто для себя", то ответ уже привел - читайте Методику 2008 (и проводите параллели с 378 Приказом и Методикой 2015), ее положения отменены в части описания, но подход "выбор СКЗИ, исходя из класса нарушителя" и классификаторы нарушителей и СКЗИ никуда не делись. К слову, до появления Методики 2008 информацию по классам нарушителей и СКЗИ (более-менее детальную) получить было, мягко говоря, очень сложно (если вы, конечно, не ходите в 8 Центр как к себе домой, ага)... ЗЫ Проблема в том, что ФСБ мало интересуют КОНФИ-объекты. ГИС, по всей видимости, тоже. И методику отдельную для ГИС и других ИС, не имея четкого ФЗ или указания Правительства РФ, ФСБ делать не будет. Вот и приходится крутиться как можем. Ссылаться на Методики 2008/2015 ПДн в случае с ГИС, конечно, глупо. Но, imho, никто вас за такую отсылку не поругает. Потому что де факто подходы одинаковы, а де юре... скажем так, наши законы и регуляторы в особенности любят создавать ситуации с "подвешенным состоянием", чтобы позже в любой момент времени их трактовать в свою пользу, ага... |
Просмотров темы: 5868