Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Минюст обязал банки проводить пентесты и аудит кибербезопасности

13/08/2018

Банки обяжут соблюдать новые меры кибербезопасности, среди которых обязательными являются аудит информационной безопасности, различные тестирования на проникновение (пентесты), обязательная сертификация использованного программного обеспечения.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1 2 3 След.
RSS
[ Закрыто ] ФСТЭК - не обманули, Проект приказа по ПДн
Проект
Интересный документ)
Первое впечатление:
1. Установить, что настоящий приказ применяется для обеспечения безопасности персональных данный во вновь создаваемых (модернизируемых) информационных системах персональных данных.
А что такое модернизация? Продление лицензии на антивирус считать таковой?
2. Оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации - без комментариев.
3. По решению оператора (уполномоченного лица) оценка достаточности выбранных и реализованных в системе защиты персональных данных организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах может осуществляться в рамках аттестации информационной системы.
Хоть тут аттестация не обязательна.
Мде, подключил к инету к3 - получи 1 или 2 класс со всеми вытекающими :( Теперь сидет и ждать новых сертификатов на продукты? Или будет выпущен документ, разясняющий конвертацию сертификатов.
Бтв, сертифицированная vmware стоит за 3к$. Хорошо, конечно, что фстэк беспокоиться о виртуализации и облаках. Но мелких организациям, типа моей, придется слезать с халявных proxmox и hyperv, и будет дешевле все перевести на физику.
Цитата
Сергей С. пишет:
аттестация не обязательна
Да, данный пункт обрадовал однозначно :) Хотя бы уточнили.

Для проведения работ по обеспечению безопасности персональных данных при их обработке в информационных системах операторами и (или) уполномоченными лицами в соответствии с законодательством Российской Федерации могут привлекаться организации, имеющие лицензию на деятельность по технической защите конфиденциальной информации.


Отсюда, интересно, следует, что организации не должны привлекаться, а МОГУТ? :)
Так и раньше, что не говорили бы интеграторы, оператор мог саммостоятельно обеспечивать защиту испдн
Еще хотелось бы отметить данный пункт:
"Для обеспечения 1 и 2 уровня защищенности персональных данных в информационных системах персональных данных, а также 3 уровня защищенности персональных данных в информационных системах, в которых определены в качестве актуальных угрозы 2-го типа или которые подключены к информационно-телекоммуникационным сетям международного информационного обмена, должны применяться средства защиты информации не ниже 4 класса защиты (5 класса защищенности средств вычислительной техники)."
Не такие уж драконовские меры-то. Раньше требования повыше были. Не понравилось, что в данном пункте - для обеспечения в ИСПДн, подключенных к сетям 3-го УЗ применяются те же СЗИ, что для 1-го и 2-го УЗ.
Цитата
Андрей пишет:
Так и раньше, что не говорили бы интеграторы, оператор мог саммостоятельно обеспечивать защиту испдн
Мочь-то он мог, но прямые подтверждения были только в устной форме, а тут вроде как документ. Но опять же, как и раньше, напрямую ничего не сказано, опять же косвенные догадки.
Еще "порадовал" п.12 - это требования к СЗИ: либо 4,5,6 класс защиты (пока профили защиты есть только для СОВ и антивируса) либо 5,6 класс защищенности СВТ - никакой сертификации по ТУ и проча :(
Сергей С., Сергей, а что значит СОВ? Пардон, но не понял. И о каких профилях защиты идет речь?
Цитата
Владимир пишет:
Сергей С., Сергей, а что значит СОВ? Пардон, но не понял. И о каких профилях защиты идет речь?

СОВ - системы обнаружения вторжений. Сертифицируются по требованиям соответствующего руководящего документа. Введено 12 профилей защиты для СОВ: половина для гос. тайны, половина для КТ.
Цитата
Сергей С. пишет:
Хоть тут аттестация не обязательна.

В сущности, все остается без изменений: для гос. информационных систем будет прописана обязательная аттестация (есть соответствующий проект приказа ФСТЭК), для остальных - "может осуществляться".
Теперь ФСТЭК любой компьютер, находящийся в гос. органе, будет причислять к лику государственных информационных систем.
AlexG да с чего бы они любой АРМ "причисляли к лику" ГИС, есть официальный реестр ГИСов http://www.rsoc.ru/it/register/
Изменено: Влдаислав - 11.12.2012 02:57:15
что-то я в доке не увидел какого класса СЗИ должны использоваться в ИС УЗ 1, в которых в качестве актуальных определены угрозы первого типа.
4 класс защиты или 5 класс защищенности СВТ
Цитата
Влдаислав пишет:
в ИС УЗ 1
В проекте не рассматриваются уровни 1 и 2 по актуальным угрозам. Зависимость актуальных угроз влияет только на СЗИ для УЗ 3.
Изменено: Владимир - 11.12.2012 11:31:10
проверка роскомнадзора прийдет в феврале 2013, интересно, что будут требовать ? модель угроз, уровень защищенности, сзпдн, пара приказов по назначению ответственных ? или все по старому ? контора государственная....
Цитата
Влдаислав пишет:
AlexG да с чего бы они любой АРМ "причисляли к лику" ГИС, есть официальный реестр ГИСов http://www.rsoc.ru/it/register/
Хе. Есть еще ФЗ-149 с его расплывчатыми формулировками. Не забывайте о региональных ИС, так же относящихся к ГИС.
Изменено: AlexG - 11.12.2012 21:05:10
Но в любом случае для любой ГИС, будь то региональная или федеральная, должно быть распоряжение о её организации, или что-то подобное...без этого документа, думаю, никакой ФСТЭК не сможет ничего доказать..
Уважаемые коллеги, давайте вернемся к обсуждению проекта , планы проверок к теме не относятся.
Страницы: 1 2 3 След.
Читают тему (гостей: 2, пользователей: 0, из них скрытых: 0)