Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Минюст обязал банки проводить пентесты и аудит кибербезопасности

13/08/2018

Банки обяжут соблюдать новые меры кибербезопасности, среди которых обязательными являются аудит информационной безопасности, различные тестирования на проникновение (пентесты), обязательная сертификация использованного программного обеспечения.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: Пред. 1 2 3 След.
Ответить
RSS
как составить модель угроз?
Цитата
Дмитрий Свидин пишет:
Читайте само ПП-504 - оно распространяется сугубо на ЮЛ и ИП.
Если так, то логично предположить, что это ПП распространяется на ЮЛ и ИП, у которых ТЗКИ является одним из видов предпринимательской деятельности (т.е. которые зарабатывают на ТЗКИ прибыль).
Иначе лицензию должно получать каждое ЮЛ или ИП, имеющие множество собственных информационных ресурсов с разными правами доступа к ним.
Цитата
Kutyrs пишет:
Если так, то логично предположить, что это ПП распространяется на ЮЛ и ИП, у которых ТЗКИ является одним из видов предпринимательской деятельности.
В этом и есть главная загвоздка с ТЗКИ. В законе о лицензировании нет таких исключений, к сожалению...
Grand Securities - исполнение Закона "О персональных данных"
Здрасте.
ЕСТЬ У КОГО-НИБУДЬ ПРИМЕР СОСТАВЛЕНИЯ ЧАСТНОЙ МОДЕЛИ УГРОЗ ПО СТАНДАРТУ "БР ИББС-2.4-2010 ОТРАСЛЕВАЯ ЧАСТНАЯ МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ПДн ПРИ ИХ ОБРАБОТКЕ В ИСПДн ОРГАНИЗАЦИЙ БС РФ"

ПОЖАЛУЙСТА, ОЧЕЕЕЕЕНЬ НАДО
первый раз делаю, НУ ПОДСКАЖИТЕ ХОТЬ ОДНО.
НА ДОЛИ ДЛЯ ЧАСТНОЙ, ОНА ЖЕ СПЕЦИАЛЬНАЯ (ПОТОМУ ЧТО БС ) МОДЕЛИ УГРОЗ ОЦЕНИВАТЬ РИСКИ ПО "БР ИББС-2.2-2009 МЕТОДИКА ОЦЕНКИ РИСКОВ НАРУШЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ"
И КАК ЭТО ДЕЛАТЬ ?
КУДА ВСЕ БЕЗОПАСНКИ ПРОПАЛИ :?: :(
Цитата
Алексей пишет:
первый раз делаю, НУ ПОДСКАЖИТЕ ХОТЬ ОДНО.
НА ДОЛИ ДЛЯ ЧАСТНОЙ, ОНА ЖЕ СПЕЦИАЛЬНАЯ (ПОТОМУ ЧТО БС ) МОДЕЛИ УГРОЗ ОЦЕНИВАТЬ РИСКИ ПО "БР ИББС-2.2-2009 МЕТОДИКА ОЦЕНКИ РИСКОВ НАРУШЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ"
И КАК ЭТО ДЕЛАТЬ ?
КУДА ВСЕ БЕЗОПАСНКИ ПРОПАЛИ

Все безопасники деньги зарабатывают как раз тем, что разрабатывают модели, проводят аудиты (в том числе и по СТО БР, проводят анализ рисков и т.д. :)
Цитата
Александр Луговой пишет:
Подскажите плиз кто знает, как составить модель угроз по предприятию точного приборостроения, класс 3.
Может есть какие програмные комплексы типа WinDoc ПД,? а то он платный ! 12000р !!! А если составлять в ручную, то может кто знает где посмотреть образец хотябы....

заранее спасибо !

http://www.ispdnaudit.ru/download.php
Огромная просьба. Если кто-нибудь будет приобретать программу «ИСПДн Аудит», то, пожалуйста, в комментарии к оплате укажите мой PIK: 215385. И вы получите скидку, и мне перечислять пару рублей. Подробности здесь: http://www.ispdnaudit.ru/program/28.html.

Заранее благодарю.
Но ведь программа сделана по старой версии закона и старым подзаконникам. Надо ли ее покупать?
Цитата
Анатолий пишет:
Но ведь программа сделана по старой версии закона и старым подзаконникам. Надо ли ее покупать?

Что имеется введу под словами "старые подзаконники"?
Цитата
Алексей пишет:
первый раз делаю, НУ ПОДСКАЖИТЕ ХОТЬ ОДНО.
НА ДОЛИ ДЛЯ ЧАСТНОЙ, ОНА ЖЕ СПЕЦИАЛЬНАЯ (ПОТОМУ ЧТО БС ) МОДЕЛИ УГРОЗ ОЦЕНИВАТЬ РИСКИ ПО "БР ИББС-2.2-2009 МЕТОДИКА ОЦЕНКИ РИСКОВ НАРУШЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ"
И КАК ЭТО ДЕЛАТЬ ?
КУДА ВСЕ БЕЗОПАСНКИ ПРОПАЛИ
Как это нужно делать - составляете общую для всех выделенных в организации информационных активов модель угроз (модель нарушителя), далее производите оценку рисков, на основе выделенных информационных активов (объектов среды) и модели угроз. Получаете список "допустимых - недопустимых" угроз, по сути это и будет частная модель угроз с актуальными угрозами возле ктоторых стоит слово Недопустимый.
Николай, по ч.5,6 ст. 19 составлять модель угроз прерогатива: Федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов, иные государственные органы...
...ассоциации, союзы и иные объединения операторов ...
Сергей С., согласен, но это только с 27го, что если анализ рисков делать нужно а модели нет!) Стандарты менять тоже будут.
Берите целиком РС - 2.4
Сергей С., а что за РС - 2.4?
Банковский стандарт "Отраслевая модель угроз организаций банковской системы РФ"
РС 2.4 поидее относится только к безопасности персональных данных!
Скажите, пожалуйста, так нужна ли лицензия ФСТЭКа для организации технической защиты персональных данных в своей организации? Или просто нужно использовать программное обеспечение,которое имеет лицензию от ФСТЭКа?
По букве закона - нужна.
Цитата
Сергей пишет:
Скажите, пожалуйста, так нужна ли лицензия ФСТЭКа для организации технической защиты персональных данных в своей организации? Или просто нужно использовать программное обеспечение,которое имеет лицензию от ФСТЭКа?
На проектирование системы защиты необходима лицензия ТЗКИ.
ПО, имеющее лицензию ФСТЭК России - это что-то новое, видимо имелось в виду лицензионное ПО, реализующее функционал средств защиты информации, прошедшее в установленном порядке оценку соответствия в системе сертификации ФСТЭК России.
По лицензировани - смотри новый ФЗ О лицензировании 99-ФЗ и проект нового ПП http://www.fstec.ru/_licen/prpost3.rtf
Изменено: Дмитрий Левиев - 22.08.2011 10:35:38
Цитата
Александр пишет:
Что имеется введу под словами "старые подзаконники"?

Старые подзаконники это ПП, приказы и др. написанные в соответствии с предыдущей редакцией ФЗ-152 но не соответствующие новой редакции. Как уже неоднократно писалось все они должны быть приведены в соответствие с новым ФЗ.
Страницы: Пред. 1 2 3 След.
Ответить
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку