Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

SIEM ОТ MCAFEE УСПЕШНО ПРОШЛА СЕРТИФИКАЦИЮ ФСТЭК РОССИИ

01/04/2015

McAfee Security Information and Event Management (версия 9.3) успешно прошла сертификационные испытания, результатом которых стал сертификат соответствия №3353 (от 18 февраля 2015), выданный ФСТЭК России.

Реклама

Партнеры

Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: Пред. 1 2 3 4 5 6 След.
Ответить
RSS
Подключение информационной системы к сетям общего пользования, Есть или нет?
А зачем типовые формы? Нужны сами документы.
Цитата
Сергей С. пишет:
А зачем типовые формы? Нужны сами документы.
Типовые формы - это просто как пример. Я имел ввиду, как раз необходимость составления самих документов: матрица доступа, акт установки средств защиты, описание конфигурации и топологии и т.д... Как я понял, всё перечисленное нужно?
Можно сделать описание технологического процесса в рамках которого обрабатываются ПДн, где и указать уровни доступа пользователей в ИСПДн - перечни должностеий имеющих доступ, Перечень ПО, топологию, как и какая инфа и куда ходит(по сети или на флешках-тогда их регать в журнале), на основании этого дока разработать инструкции админу и пользователям!И достаточно наверное)
Цитата
Николай пишет:
Можно сделать описание технологического процесса в рамках которого обрабатываются ПДн, где и указать уровни доступа пользователей в ИСПДн - перечни должностеий имеющих доступ, Перечень ПО, топологию, как и какая инфа и куда ходит(по сети или на флешках-тогда их регать в журнале), на основании этого дока разработать инструкции админу и пользователям!И достаточно наверное)
Наверное? :) Вы хотите сказать, то, что я написал выше в явном виде не нужно?
- Матрица доступа сотрудников к сведениям конфиденциального характера.
- Акт установки средств защиты информации.
- Описание конфигурации и топологии.
- Схема расположения объекта информатизации относительно границы КЗ, размещения АС и ЗП относительно контролируемой зоны, схем коммуникаций и электропитания объекта, топологической схемы.
- Технический паспорт информационной системы персональных данных.
- Заключение о готовности СЗИ к эксплуатации.
- Акт ввода автоматизированной системы/ИСПДн в эксплуатацию.
- Перечень программного обеспечения автоматизированной системы/ИСПДн.
- Уровень подготовки персонала по ИБ.
Хотелось бы узнать поточнее про эти документы. Может, для кого-то они не обязательны?
Для того чтобы они были обязательны - должны быть конкретные требования - обоснуйте их обязательное наличие (укажите на требования) - и с вами никто спорить не будет!
У меня все в описании технологического процесса и в двух инструкциях. (не берем в расчет положение по обработке и защите ПДн(ФЗ152), положение по обработке пдн работников (ТК), регламент обработки запросов(ФЗ152)...)
Многое можно объединить:
Акт установки СЗИ + Заключение о готовности СЗИ = Акт ввода СЗИ в эксплуатацию.
Описание конфигурации и топологии+ схема расположения+перечень ПО=Паспорт ИСПДн.
Остальное норм.
По моему акт ввода в эксплуатацию по СТРК (значит для ПДн его не нужно)
Цитата
Николай пишет:
значит для ПДн его не нужно
ИМХО акт ввода в эксплуатацию нужен для любого объекта (ИС, АРМ, СЗИ, здание, станок ...), даже по бухгалтерии амортизация начинается с этого момента.
Подскажите ещё, в какой документ писать список установленного ПО?
Паспорт ИСПДн
Сергей, можете в паспорт вписать, можете в описание технологического процесса, можете вообще в руководство администратора. Главное, чтобы содержание было, не так важно в каком оно будет документе. Достаточно руководствоваться здравым смыслом. Лучше всего, если вы представите себя на месте пользователей и админов ИСПДн и сделать так, чтобы им было удобно пользоваться докой и она была исчерпывающей, т.е. по ней мог получить всю необходимую информацию новый человек, не знакомый с системой. Я к примеру видел комплект документации с инструкциями админов и пользователй. Обязанности-то там их прописаны, а вот документа с описанием того, как технически им выполнять эти обязанности по администрированию и пользованию средствами защиты, нигде не было. И что после этого с такой документацией делать? ))
Цитата
Михаил пишет:
И что после этого с такой документацией делать? ))
Так тут формуляры и руководства, прилагаемые к СЗИ должны применяться)
Так наверное в инструкциях должны быть хотя бы ссылки на разделы руководств средств защиты, чтобы пользователь знал в связи с чем и когда ему стоит его брать в руки. И ещё в этом случае хорошо бы указывать параметры, используемые при администрировании (IP-адреса, сетевые имена и пр. или хотя бы их словесное описание). Должно быть связующее звено между должностными инструкциями и техническими руководствами. Согласитесь, не на каждом объекте админ - квалифицированный специалист например по Secret Net, МЭ или IPS, который сам бы знал как и что ему в техническом плане делать.
Михаил, Согласен с вами полностью!
Цитата
Михаил пишет:
Так наверное в инструкциях должны быть хотя бы ссылки на разделы руководств средств защиты, чтобы пользователь знал в связи с чем и когда ему стоит его брать в руки. И ещё в этом случае хорошо бы указывать параметры, используемые при администрировании (IP-адреса, сетевые имена и пр. или хотя бы их словесное описание). Должно быть связующее звено между должностными инструкциями и техническими руководствами. Согласитесь, не на каждом объекте админ - квалифицированный специалист например по Secret Net, МЭ или IPS, который сам бы знал как и что ему в техническом плане делать.
Я думаю тут 2 препятствия:
1) % людей, тщательно изучающих инструкции стремится к 0
2) стремление к универсальности инструкции (по аналогии с законотворцами, которые не конкретизируют и обходятся общими формулировками или заменителями)
Вы же понимаете, что это аргументы только для разработчика документации, который не хочет лишний раз заморачиваться, но это уже говорит о качестве его работы.
Изменено: Михаил - 08.08.2012 21:56:45
Подскажите на счёт сменных носителей. Возят флешку с Пд с филиала в управление. Это где должно отражаться?
достаточно инструкции пользователя, чтоб не копировал, не терял и всё такое, или ещё где-то? Флешка отмечена в журнале носителей. И так же на флешке передают ещё с двух сторонних организаций ПДн (договора с ними есть, но там про флешку ничего не сказано).
Изменено: Сергей - 10.08.2012 08:06:17
Цитата
Сергей пишет:
Подскажите на счёт сменных носителей. Возят флешку с Пд с филиала в управление. Это где должно отражаться?

достаточно инструкции пользователя, чтоб не копировал, не терял и всё такое, или ещё где-то? Флешка отмечена в журнале носителей. И так же на флешке передают ещё с двух сторонних организаций ПДн (договора с ними есть, но там про флешку ничего не сказано).
Если нет угрозы хищения или утери флешки, то инструкции достаточно (оргмеры по защите). Если угроза актуальна, то нужны доп. меры (как минимум, пароль на флешку, а надежнее зашифровать).
AlexG, а если нам с другой конторы носят на флешках ПД, с ними договор какой-то должен быть?
Если оператор - другая контора, а вам они поручили обработку ПДн, то это их головная боль.
Страницы: Пред. 1 2 3 4 5 6 След.
Ответить
Читают тему (гостей: 3, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку