SelectVim
@SelectVim
Юрист. Интересуюсь IT. Для души :-)

Как определить тип угрозы персональным данным?

Возникла необходимость привести в нормальный вид отношения с персональными данными в некой компании. С бумажной работой проблемы нет. Но бумажки сильно зависят от технической стороны вопроса. А техника упирается в постановление правительство РФ № 1119 от 01.11.2012, где для определения необходимого уровня безопасности требуется сначала определить тип угрозы.

Цитата.
Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.
Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.
Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе


Проблема в том, что этот тип нужно определить самостоятельно. Но как это сделать не описывается. Что нужно сделать для достижения уровня безопасности всё подробно расписано. А тип?

С моей непрофессиональной точки зрения всё должно быть 1-го типа. Потому что это угрозы от ОС. А всё крутится на ОС. Конечно, это вывод неверный. Но на верный вывод нормативки не нашёл. Встречал упоминание о необходимости сертификации ПО у ФСТЭК. В том числе на Тостере. Но напрямую это нигде не написано. Да и я не очень понимаю, зачем нужна сертификация для официально продаваемой через официальных дилеров лицензионной Винды.

Коллеги, подскажите, что и куда копать.
  • Вопрос задан
  • 165 просмотров
Решения вопроса 1
Protos
@Protos
Начинаю изучать мир, пока это все.
Если вы используете лицензионное ПО скачанное с официальных сайтов, а не repack-и, вы не устанавливаете софт разработанный правительством другой страны, в целом используете распространенно ПО разработчик которого его постоянно обновляет, ПО вам разрабатываемое сторонними компаниями разрабатывается по договору с nda, вы выполняете тестирование такого ПО, вы не представляете интерес другим государствам, то пишите что не актуальны для вас угрозы 2го типа.
Если вы используете и обновляете системное ПО (ОС, BIOS, микрокод микроконтроллеров), не используйте ноунейм сетевое оборудование (используете проверенное оборудование Cisco), ну и т.п., или наоборт используете только ПО в оторое продается условно ограниченному набору ЮЛ, то пишите что вам не актуальны угрозы 1го типа
Получается вам актуальны угрозы 3го типа.
Ответ написан
Пригласить эксперта
Ответы на вопрос 1
vvpoloskin
@vvpoloskin
Инженер связи
В соответствии с методикой.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы