NY
Абсолютно верно. И предъявить ничего нельзя
Size: a a a
2021 May 28
S
Приказы говорят «как» делать. Откуда необходимость вытекает? из модели угроз, которую каждая КО себе примет? Вот в этом и вопрос...
S
Вы принципиально не понимаете, что есть обязательные требования необходимые к выполнению вне зависимости от МУ?
Открываете, например, 21 приказ, смотрите меру ЗИС.3. Если у вас есть канал передачи за пределами КЗ, мера обязательна. МУ используете для уточнения, т.е. для тех мер, где не стоит "обязательный плюсик" для вашего УЗ.
Открываете, например, 21 приказ, смотрите меру ЗИС.3. Если у вас есть канал передачи за пределами КЗ, мера обязательна. МУ используете для уточнения, т.е. для тех мер, где не стоит "обязательный плюсик" для вашего УЗ.
АБ
Подход верный с точки зрения требований. Но он уничтожает саму идею моделирования угроз, если нельзя отказаться от обязательных мер при неактуальности угроз.
Какому уровню злоумышленника нужно будет раскапывать оптику между корпусами поликлиник? Стоимость информации, стоимость защиты с криптой и стоимость раскопок несопоставимы.
Какому уровню злоумышленника нужно будет раскапывать оптику между корпусами поликлиник? Стоимость информации, стоимость защиты с криптой и стоимость раскопок несопоставимы.
N
В обязательных требованиях не указано же прям "использование СКЗИ"
N
Эта тема вроде уже обсосана много раз: в целом обязательств нет, можно попробовать грамотно расписать как защищены данные и каналы и не использовать СКЗИ. И быть готовым отстоять это решение при проверках с учетом, что проверяющие в целом склонны считать, что в таких случаях СКЗИ все-таки нужно
S
Да, и я не понимаю до конца зачем шифровать Darkfaiber, поэтому и спрашиваю;)... ЗИС.3 говорит о том, что ПДн нужно защищать от раскрытия, модификации... Я же могу сослаться на саму технологию darkfaiber, типа она обеспечивает защиту бай дизайн.. ну и да, отстаивать это при проверке..
S
Или «убрать» ПДн в чистом виде из канала.
S
В обязательных требованиях ФСТЭК, да. Но СКЗИ это самая дешёвая реализация требования ЗИС.3. А в требованиях ФСБ сказано однозначно, если передаете данные за пределы КЗ, или выносите на флешке, необходимо использование криптографии.
S
С чего вы так решили? Ничего она не обеспечивает. Да и здравый смысл с нормативкой дружит не всегда.)))
N
Требования ФСБ используются, когда уже принято решение об использовании СКЗИ - они не регламентируют необходимость его использования
S
Согласен.
S
Это чушь. Живёт до первой проверки.
N
Про проверки написал, да. Также знаю случаи (не один), когда проверку пережило
АП
Как мне в свое время объясняли старшие товарищи, решение о том, что технология или СЗИ смогут защитить по требуемому уровню определяется по результатам испытаний (регулятором при рассмотрении результатов сертификации). Как и какими испытаниями подтвердить защищенность конкретной технологии?
S
Аргументируйте, пожалуйста, ссылкой на нормативку ФСБ
S
Вы перечень нормативных документов ФСБ по защите ПДн знаете?
Сколько там документов?
Сколько там документов?
S
Знаю, но найти не могу про скзи и шифрование:(
S
ЗИС.3 - отличный аргумент
Хотелось бы конкретики и по линии ФСБ, если можно
Хотелось бы конкретики и по линии ФСБ, если можно
S
Ок. Я пока на работу еду. Исполнение обязательного требования Зис.3 из 21 приказа ФСТЭК вы как себе представляете?