Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Минюст обязал банки проводить пентесты и аудит кибербезопасности

13/08/2018

Банки обяжут соблюдать новые меры кибербезопасности, среди которых обязательными являются аудит информационной безопасности, различные тестирования на проникновение (пентесты), обязательная сертификация использованного программного обеспечения.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: Пред. 1 2 3 4 5 ... 14 След.
RSS
[ Закрыто ] П-1119 по ПДн, Постановление от 1 ноября 2012 г. №1119 Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных
Какая-то неудобная картинка у вас.
Вот намного понятнее:
http://sborisov.blogspot.ru/2012/09/2.html

Цитата
Гость пишет:
какого уровня защищености ПДн необходима: если в организации, есть ИСПДн в которых обрабатываются ПДн сотрудников (кадры и финансы) менее 1000 человек?
Какие ПДн? Если не биометрия, не специальные, не общедоступные, а, так сказать, Иные, то если актуальна Угроза-1 - 1 УЗ, Угроза-2 - 3 УЗ, Угроза-3 - 4 УЗ (см.табличку)

Цитата
Владимир пишет:
адежда на то, что отпадет необходимость применения сертифицированных СЗИ покинула нас)))

почему? как вы определили, что угрозы НДВ для вас актуальны?
так написано же что с 4 УЗ необходимо применение СЗИ прошедших оценку соответствие
то что "ждёмс", это понятно, я ещё с марта в режиме ожидания... что-то постановления поздновато выходят, я раньше ожидал) сейчас как "3Х комбо" долбанут под новый год...все доки придётся переделывать..со страхом думаю...
Цитата
Настя пишет:

Цитата
Владимир пишет:
адежда на то, что отпадет необходимость применения сертифицированных СЗИ покинула нас)))


почему? как вы определили, что угрозы НДВ для вас актуальны?

В Постановлении написано, что применение сертифицированных средств необходимо начиная с 4 уровня, а не, как предполагалось в проекте, со второго.
Только меня одного смущает или я не вижу, а где написано требование что оператор должен классифицировать ИСПДн? Посмотрел закон, нет упоминания про это, ПП1119 тоже нет упоминания. На основании чего тогда строить защиту? :):):)
Цитата
Tolian пишет:
Только меня одного смущает или я не вижу, а где написано требование что оператор должен классифицировать ИСПДн? Посмотрел закон, нет упоминания про это, ПП1119 тоже нет упоминания. На основании чего тогда строить защиту? :):):)
На основании модели угроз ))) Также определенные требования перечислены в 152ФЗ и соответственно УЗ в ПП1119.
Стоп, какая модель угроз? ничего не путаете? модель угроз это документ, требований о наличии которого отсутствуют, соответственно это к делу не относится. В ФЗ 152 говорится об угрозах но не о каком документе не говорится, это понятия принципиально разные.
Цитата
Tolian пишет:
Стоп, какая модель угроз? ничего не путаете? модель угроз это документ, требований о наличии которого отсутствуют, соответственно это к делу не относится. В ФЗ 152 говорится об угрозах но не о каком документе не говорится, это понятия принципиально разные.
Хорошо :) А как Вы планируете определять угрозы? Когда придет к Вам дядя из РКН и спросит: "А какие угрозы безопасности Пдн у Вас определены?" что Вы ему покажете?
Цитата
Владимир пишет:
Хорошо :) А как Вы планируете определять угрозы? Когда придет к Вам дядя из РКН и спросит: "А какие угрозы безопасности Пдн у Вас определены?" что Вы ему покажете?
Пока я этого не знаю, проверка ФСТЭКа только не давно прошла, на защиту по ПД они не смотрят, а смотрят на защиту гос.тайны.

Определить можно сейчас как угодно, написать документ за подписью одного из руководителей, Актуальные угрозы безопасности и написать пару слов. Для проверяющих, требование выполнено, а правильность как проверить, требований то нет.
Один из выходов для разработки документа приглашать лицензиата ФСТЭК и ФСБ (как мы сделали, сам документ чушь редкостная, но выхода нет )
Цитата
Tolian пишет:
Пока я этого не знаю, проверка ФСТЭКа только не давно прошла, на защиту по ПД они не смотрят, а смотрят на защиту гос.тайны.

Определить можно сейчас как угодно, написать документ за подписью одного из руководителей, Актуальные угрозы безопасности и написать пару слов. Для проверяющих, требование выполнено, а правильность как проверить, требований то нет.
Один из выходов для разработки документа приглашать лицензиата ФСТЭК и ФСБ (как мы сделали, сам документ чушь редкостная, но выхода нет )
1. Насчет ФСТЭК не согласен! У нас была проверка, смотрели и персональные данные, и достаточно тщательно.
2. По поводу документа "Актуальные угрозы". Существует методика определения актуальных угроз. Если документ выполнен по этой методике, то придираться к названию никто не будет. Но если Вы выполнили документ по методике, определили актуальные угрозы, почему не назвать документ Модель угроз? :-)
3. И, наконец, третий пункт. Изначально вопрос был: "На основании чего строить защиту?". Так вот вы сами и ответили на основании Актуальных угроз, как Вы их не назовите! А если защита строится не для реальной защиты, а для формальной, насколько я понимаю речь идет о гос. органе, то и актуальные угрозы могут быть "чушью редкостной", главное, чтобы были приняты меры для обеспечения невозможности реализации определенных угроз.
Раньше было требование о проведена классификация п.8 ПП781, теперь данного требования нет.
Не ту кнопку нажал п.6 ПП871
Блин, п.6 ПП781
Цитата
Tolian пишет:
Раньше было требование о проведена классификация п.8 ПП781, теперь данного требования нет.
Если честно не пойму вопроса! Было требование о проведении классификации, теперь нет! Теперь есть уровни защищенности! каждому уровню присваиваются требования. Выполнение требований = соблюдению ПП. Вопрос, кстати, остается *WOW* , т.к. отменили п.781, но, насколько я знаю, не отменили Трехсторонний приказ, определяющий классификацию, т.к. приказ также должен быть отменен равнозначным НПА. Есть мнение, что товарищи регуляторы изменят его, а не отменят.
Владимир пишет:
Цитата
Если честно не пойму вопроса! Было требование о проведении классификации, теперь нет! Теперь есть уровни защищенности! каждому уровню присваиваются требования.
Требования о том что ИСПДн должен присваиваться уровень защищенности где т.е. проведения классификации?
Цитата
Tolian пишет:
Владимир пишет:
Цитата
Если честно не пойму вопроса! Было требование о проведении классификации, теперь нет! Теперь есть уровни защищенности! каждому уровню присваиваются требования.
Требования о том что ИСПДн должен присваиваться уровень защищенности где т.е. проведения классификации?
Проведение классификации, как таковое с определением именно класса отсутствует. ПП 781 отменили, значит в обязательные требования на настоящий момент не могут вменить проведение классификации.
Теперь классификациии нет: проводим оценку угроз и устанавливаем соответствующий уровень (можно сказать степень) защищенности для их нейтрализации. Для обеспечения этого уровня необходимо выполнить ряд орг. и тех. (СЗИ) мер. А вот выбор этих СЗИ нужно будет делать по докам ФСБ и ФСТЭК. Ждемс эти доки.
Цитата
Сергей С. пишет:
Ждемс эти доки.
Новые документы все выходят и выходят. Хотя, конечно существенных изменений в защите они не несут, но вдруг...
Цитата
Сергей С. пишет:
проводим оценку угроз
Нет требований по как должно это выглядеть.



Цитата
Сергей С. пишет:
устанавливаем соответствующий уровень (можно сказать степень) защищенности для их нейтрализации
Как устанавливаем? В голове держим это? или составляем документ? требований об этом нет.
Я как руководитель организации, не важно какой, в голове решил будет она такого уровня и все. Это никто не может оспорить и потребовать документ об установленном уровне т.к. нет требования.
Цитата
Сергей С. пишет:
проводим оценку угроз
Нет требований по как должно это выглядеть.



Цитата
Сергей С. пишет:
устанавливаем соответствующий уровень (можно сказать степень) защищенности для их нейтрализации
Как устанавливаем? В голове держим это? или составляем документ? требований об этом нет.
Я как руководитель организации, не важно какой, в голове решил будет она такого уровня и все. Это никто не может оспорить и потребовать документ об установленном уровне т.к. нет требования.
Страницы: Пред. 1 2 3 4 5 ... 14 След.
Читают тему (гостей: 2, пользователей: 0, из них скрытых: 0)