Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

AppChecker’ом по Бляйхенбахеру

01/04/2019


Эксперты НПО «Эшелон» в результате исследования открытых программных проектов выявили критическую угрозу для интернет-приложений – возможность проведения атаки Бляйхенбахера! В настоящее время самым эффективным средством для заблаговременного предупреждения данной атаки является статический анализатор кодов AppChecker!

Обучение

002. Техническая защита информации. Способы и средства защиты информации от несанкционированного доступа.
24 - 28 июня 2019 года

026. Подготовка к CISSP и CISM (курс от профессионалов-практиков).
15 - 17 июля 2019 года

003. Тестирование на проникновение: технологии хакеров для аудита информационной безопасности.
5 - 7 августа 2019 года

006. Разработка безопасного ПО в соответствии с требованиями ГОСТ Р 56939­-2016.
5 - 7 августа 2019 года

039. Межсетевое экранирование и обнаружение сетевых атак. Администрирование ПАК «РУБИКОН».
12 - 13 августа 2019 года

010. Администрирование SIEM-системы КОМРАД.
14 - 15 августа 2019 года

016.1. Основы администрирования Astra Linux SE 1.6.
19 - 21 августа 2019 года

016.2. Системное администрирование, сервисы и сетевые приложения в Astra Linux SE 1.6.
22 - 26 августа 2019 года

016.3. Администрирование комплекса средств защиты и Astra Linux Directory в Astra Linux SE 1.6.
27 - 29 августа 2019 года

016.4. Администрирование Astra Linux SE 1.6: работа в смешанных сетях.
2 - 4 сентября 2019 года 

Реклама





Партнеры





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: Пред. 1 ... 4 5 6 7 8 ... 10 След.
Ответить
RSS
Образцы(шаблоны) основных документов, регламентирующих обработку ПД.
И вовсе он не убрал)) Вот ссылочка прямая :-) http://miac-omsk.ru/it/obzor_detail.php?ID=2090 Пользуемся, обсуждаем, вносим предложения.

2 Michail: Ничего для коллег не жалко ;-)

2 Alekzander: Ваша необоснованная критика очень напоминает коммерческую заинтересованность в сфере защиты ИСПДн ;-) А "сырые" шаблоны, тем временем, с успехом прошли проверку РКН на практике. ;-) Конечно, это не эталон совершенства, можете отнестись к этой "рыбе" как к "пище для размышлений". Аргументируйте, пожалуйста, Вашу точку зрения.

2ALL: Дамы и Господа, скачали - не молчите,обоснованная критика приветствуется, давайте обсудим подготовку документов. Вносите Ваши предложения, выкладывайте свою "рыбу".
опасность - это какой ущерб будет нанесен при реализации угрозы. может ли быть нанесен значительный ущерб субъектам, если обрабатываются ПДн 2 категории?
Георгий, документы супер, жаль не обнаружил там "регламент разграничения прав доступа", а в целом такой пакет документов сейчас мало еще у кого есть...
>ГОСТь

"какой ущерб будет нанесен при реализации угрозы" - это оценка риска! хотя и вероятности реализации угрозы не хватает...

"Опасность — это возможность возникновения обстоятельств, при которых материя, поле, информация или их сочетание могут таким образом повлиять на сложную систему, что это приведёт к ухудшению или невозможности ее функционирования и развития из википедии. что тут не ясного не пойму. а защитные меры в данном случае влияют на эту самую опасность. если их нету опасность высокая если они есть но не совсем в полном объеме то средняя если они реализованы в полном объеме то низкая.

ну если число субъектов при этом больше 100000 то могут)))да и в общем случае некоторые интеграторы относят систему к классу не на основании таблички а на основаннии предполагаемого ущерба лукацкий где то писал про это на своем блоге....так что на практике все может быть
http://www.inside-zi.ru/pages/metodiki.html
Такими дисками никто не сталкивался?:)
:)
Диск, Специалист объекта информатизации по технической защите информации: по данной ссылке цена 1280 руб, открыв его содержание уже другая 1848 руб.
Да, действительно... Кстати, в середине этой ветки форума есть обсуждение "Положения о порядке защиы и проведения работ по защите информации", но конкретных примеров так никто и не нашел. В соответствии с СТР-К данное положение должно включать в себя:
- порядок определения защищаемой информации;
- порядок привлечения подразделений предприятия, специализированных сторонних организаций к разработке и эксплуатации объектов информатизации и СЗИ, их задачи и функции на различных стадиях создания и эксплуатации объекта информатизации;
- порядок взаимодействия всех занятых в этой работе организаций, подразделений и специалистов;
- порядок разработки, ввода в действие и эксплуатацию объектов информатизации;
- ответственность должностных лиц за своевременность и качество формирования требований по технической защите информации, за качество и научно-технический уровень разработки СЗИ.
Вроде бы все понятно, а вот описать все это не могу
Уважаемые коллеги! Подскажите являются ли специальными такие ИСПДн как: "1:С предприятие", "клиент-Сбербанк", "BGBilling" (в ней генерируются логины и пароли для абонентов для выхода в статистику). необходимо ли написание для вышеперечисленных ИСПДН модели угроз?
заранее признателен.
Цитата
Дмитрий вЕЛИЧКО пишет:
Уважаемые коллеги! Подскажите являются ли специальными такие ИСПДн как: "1:С предприятие", "клиент-Сбербанк", "BGBilling" (в ней генерируются логины и пароли для абонентов для выхода в статистику). необходимо ли написание для вышеперечисленных ИСПДН модели угроз?
заранее признателен.
Являются в том случае, если в них надо обеспечить какой-либо показатель безопасности помимо конфиденциальности
И тогда, все будет так, как должно было бы быть..., даже если будет наоборот...
Цитата
Анатолий М пишет:
Цитата
Дмитрий вЕЛИЧКО пишет:
Уважаемые коллеги! Подскажите являются ли специальными такие ИСПДн как: "1:С предприятие", "клиент-Сбербанк", "BGBilling" (в ней генерируются логины и пароли для абонентов для выхода в статистику). необходимо ли написание для вышеперечисленных ИСПДН модели угроз?
заранее признателен.
Являются в том случае, если в них надо обеспечить какой-либо показатель безопасности помимо конфиденциальности
Анатолий М знаю что Вы гуру в написании модель угроз. Но прошу описать, что Вы пытались сказать по поводу обеспечить какой-либо показатель безопасности помимо конфиденциальности". Что именно Вы вкладываете в понятие " какой-либо показатель безопасности"? Показатель опасности угрозы я понимаю)))
Цитата
Дмитрий вЕЛИЧКО пишет:
Анатолий М знаю что Вы гуру в написании модель угроз. Но прошу описать, что Вы пытались сказать по поводу обеспечить какой-либо показатель безопасности помимо конфиденциальности". Что именно Вы вкладываете в понятие " какой-либо показатель безопасности"? Показатель опасности угрозы я понимаю)))
Я не гуру в написании моделей, я тоже только учусь :) .
Теперь по тексту. Посмотрите еще раз внимательно приказ 3-х. В нем оговаривается, что типовые информационные системы - это те ИСПД, в которых надо обеспечить только конфиденциальность ПД, а специальные, это те, в которых необходимо обеспечить еще, например, целостность, доступность, защиту от несанкционированных модификации, блокирования, копирования, распространения, уничтожения. Короче какой-нибудь еще из этих показателей или все скопом, помимо конфиденциальности. Конечно, как большинство людей, которые столкнулись с этой "персональной" проблемой, я тоже считаю, что большинство ИСПД в нашей стране как раз специальные. Мы в любом случае должны обеспечивать целостность и достоверность данных, защищать их от распространения и т.д., то есть регуляторы, получается так, фактически заставляют нас делать свои ИСПД именно специальными (достаточно вспомнить о технических мерах защиты на что они направлены).
В своем посте я имел ввиду именно это. Просто такое слово первым пришло на ум :)
И тогда, все будет так, как должно было бы быть..., даже если будет наоборот...
Этот вопрос уже поднимался
«Методические рекомендации по обеспечению безопасности персональных данных»
«В соответствии с решением МВК от 02 апреля 2009 г. Управлением ФСТЭК России по Уральскому федеральному округу разработаны «Методические рекомендации по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах».
Распространение «Методических рекомендаций по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах» организациям - лицензиатам ФСТЭК России будет проведено на заседании Координационно-методического совета организаций-лицензиатов ФСТЭК России и ФСБ России, расположенных в пределах Уральского федерального округа 24-25 июня 2009 г.

С 4хкнижия практически сняли граф "ДСП" - кто знает, к этому документу это применительно? В доступе его гд еможно найти?
с методических рекоммендаций по методическим рекоммендациям дсп не сняли он исключительно регионального уровня ..если хотите достать взломайте лукацкого у него он есть :)
на официальном сайте ФСТЭК www.fstec.ru все документы со снятыми грифами ДСП,за исключением базовой модели угроз.там нет того,что касается ТКУИ.
Добрый день! Разъясните пожалуйст такой момент. В техническом паспорте на объект ВТ в перечне используемых программных средств некоторых шаблонов есть колонка № лицензии (сертификата). Что понимается под лицензией в этом случает - номер лицензии на право использования ПО, т.е. подтверждение легальности ПО, или сертификация ФСТЭКом ? В шаблоне смоленского паспорта например внесен Product Key и серийный номер.
Здравствуйте.
Извеняюсь, если чего не понимаю, но по моему, перечень угроз на сайте небезызвестной Смоленской администрации не совсем соответствует 4РД.
Может кто-нибудь подскажет конкретный перечень угроз, т.к. в базовой модели всё достаточно размыто, а выдумывать их с потолка тоже как-то не совсем правильно
Цитата
Гость пишет:
Может кто-нибудь подскажет конкретный перечень угроз, т.к. в базовой модели всё достаточно размыто, а выдумывать их с потолка тоже как-то не совсем правильно
А посмотрите по ГТ. Там исчерпывающий перечень имеется. Можно еще почитать РД2 ФСБ, там тоже есть дополнения.
И тогда, все будет так, как должно было бы быть..., даже если будет наоборот...
здравствуйте! объясните пожалуйста 2 момента:
1) каким это образом меры противодействия снижают опасность? по-моему они влияют только на вероятность реализации угрозы...
2) как читать основные меропритяия? например, какие требования будут в подсистеме обеспечения целостности 1 класса при многопольз.режиме с разными правами? ( а)все что для 2 класса с многопольз. разн.правами + дополнительные; или б) такие как для 2 класса с многопольз. и равными правами + доп.) ???
AHHA

1) меры противодействия == меры защиты, чем выше защита тем ниже опасность... разве не логично? внимательнее читайте методику определения актуальныъ угроз..
2) ( а)все что для 2 класса с многопольз. разн.правами + дополнительные;
ну и каша у вас в голове...
Страницы: Пред. 1 ... 4 5 6 7 8 ... 10 След.
Ответить
Читают тему (гостей: 2, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку