Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

SIEM ОТ MCAFEE УСПЕШНО ПРОШЛА СЕРТИФИКАЦИЮ ФСТЭК РОССИИ

01/04/2015

McAfee Security Information and Event Management (версия 9.3) успешно прошла сертификационные испытания, результатом которых стал сертификат соответствия №3353 (от 18 февраля 2015), выданный ФСТЭК России.

Реклама

Партнеры

Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1 2 3 4 5 ... 14 След.
Ответить
RSS
ФСТЭК - не обманули, Проект приказа по ПДн
Проект
Интересный документ)
Первое впечатление:
1. Установить, что настоящий приказ применяется для обеспечения безопасности персональных данный во вновь создаваемых (модернизируемых) информационных системах персональных данных.
А что такое модернизация? Продление лицензии на антивирус считать таковой?
2. Оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации - без комментариев.
3. По решению оператора (уполномоченного лица) оценка достаточности выбранных и реализованных в системе защиты персональных данных организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах может осуществляться в рамках аттестации информационной системы.
Хоть тут аттестация не обязательна.
Мде, подключил к инету к3 - получи 1 или 2 класс со всеми вытекающими :( Теперь сидет и ждать новых сертификатов на продукты? Или будет выпущен документ, разясняющий конвертацию сертификатов.
Бтв, сертифицированная vmware стоит за 3к$. Хорошо, конечно, что фстэк беспокоиться о виртуализации и облаках. Но мелких организациям, типа моей, придется слезать с халявных proxmox и hyperv, и будет дешевле все перевести на физику.
Цитата
Сергей С. пишет:
аттестация не обязательна
Да, данный пункт обрадовал однозначно :) Хотя бы уточнили.

Для проведения работ по обеспечению безопасности персональных данных при их обработке в информационных системах операторами и (или) уполномоченными лицами в соответствии с законодательством Российской Федерации могут привлекаться организации, имеющие лицензию на деятельность по технической защите конфиденциальной информации.


Отсюда, интересно, следует, что организации не должны привлекаться, а МОГУТ? :)
Так и раньше, что не говорили бы интеграторы, оператор мог саммостоятельно обеспечивать защиту испдн
Еще хотелось бы отметить данный пункт:
"Для обеспечения 1 и 2 уровня защищенности персональных данных в информационных системах персональных данных, а также 3 уровня защищенности персональных данных в информационных системах, в которых определены в качестве актуальных угрозы 2-го типа или которые подключены к информационно-телекоммуникационным сетям международного информационного обмена, должны применяться средства защиты информации не ниже 4 класса защиты (5 класса защищенности средств вычислительной техники)."
Не такие уж драконовские меры-то. Раньше требования повыше были. Не понравилось, что в данном пункте - для обеспечения в ИСПДн, подключенных к сетям 3-го УЗ применяются те же СЗИ, что для 1-го и 2-го УЗ.
Цитата
Андрей пишет:
Так и раньше, что не говорили бы интеграторы, оператор мог саммостоятельно обеспечивать защиту испдн
Мочь-то он мог, но прямые подтверждения были только в устной форме, а тут вроде как документ. Но опять же, как и раньше, напрямую ничего не сказано, опять же косвенные догадки.
Еще "порадовал" п.12 - это требования к СЗИ: либо 4,5,6 класс защиты (пока профили защиты есть только для СОВ и антивируса) либо 5,6 класс защищенности СВТ - никакой сертификации по ТУ и проча :(
Сергей С., Сергей, а что значит СОВ? Пардон, но не понял. И о каких профилях защиты идет речь?
Цитата
Владимир пишет:
Сергей С., Сергей, а что значит СОВ? Пардон, но не понял. И о каких профилях защиты идет речь?

СОВ - системы обнаружения вторжений. Сертифицируются по требованиям соответствующего руководящего документа. Введено 12 профилей защиты для СОВ: половина для гос. тайны, половина для КТ.
Цитата
Сергей С. пишет:
Хоть тут аттестация не обязательна.

В сущности, все остается без изменений: для гос. информационных систем будет прописана обязательная аттестация (есть соответствующий проект приказа ФСТЭК), для остальных - "может осуществляться".
Теперь ФСТЭК любой компьютер, находящийся в гос. органе, будет причислять к лику государственных информационных систем.
AlexG да с чего бы они любой АРМ "причисляли к лику" ГИС, есть официальный реестр ГИСов http://www.rsoc.ru/it/register/
Изменено: Влдаислав - 11.12.2012 02:57:15
что-то я в доке не увидел какого класса СЗИ должны использоваться в ИС УЗ 1, в которых в качестве актуальных определены угрозы первого типа.
4 класс защиты или 5 класс защищенности СВТ
Цитата
Влдаислав пишет:
в ИС УЗ 1
В проекте не рассматриваются уровни 1 и 2 по актуальным угрозам. Зависимость актуальных угроз влияет только на СЗИ для УЗ 3.
Изменено: Владимир - 11.12.2012 11:31:10
проверка роскомнадзора прийдет в феврале 2013, интересно, что будут требовать ? модель угроз, уровень защищенности, сзпдн, пара приказов по назначению ответственных ? или все по старому ? контора государственная....
Цитата
Влдаислав пишет:
AlexG да с чего бы они любой АРМ "причисляли к лику" ГИС, есть официальный реестр ГИСов http://www.rsoc.ru/it/register/
Хе. Есть еще ФЗ-149 с его расплывчатыми формулировками. Не забывайте о региональных ИС, так же относящихся к ГИС.
Изменено: AlexG - 11.12.2012 21:05:10
Но в любом случае для любой ГИС, будь то региональная или федеральная, должно быть распоряжение о её организации, или что-то подобное...без этого документа, думаю, никакой ФСТЭК не сможет ничего доказать..
Уважаемые коллеги, давайте вернемся к обсуждению проекта , планы проверок к теме не относятся.
Страницы: 1 2 3 4 5 ... 14 След.
Ответить
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку