Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

AppChecker’ом по Бляйхенбахеру

01/04/2019


Эксперты НПО «Эшелон» в результате исследования открытых программных проектов выявили критическую угрозу для интернет-приложений – возможность проведения атаки Бляйхенбахера! В настоящее время самым эффективным средством для заблаговременного предупреждения данной атаки является статический анализатор кодов AppChecker!

Обучение

002. Техническая защита информации. Способы и средства защиты информации от несанкционированного доступа.
24 - 28 июня 2019 года

026. Подготовка к CISSP и CISM (курс от профессионалов-практиков).
15 - 17 июля 2019 года

003. Тестирование на проникновение: технологии хакеров для аудита информационной безопасности.
5 - 7 августа 2019 года

006. Разработка безопасного ПО в соответствии с требованиями ГОСТ Р 56939­-2016.
5 - 7 августа 2019 года

039. Межсетевое экранирование и обнаружение сетевых атак. Администрирование ПАК «РУБИКОН».
12 - 13 августа 2019 года

010. Администрирование SIEM-системы КОМРАД.
14 - 15 августа 2019 года

016.1. Основы администрирования Astra Linux SE 1.6.
19 - 21 августа 2019 года

016.2. Системное администрирование, сервисы и сетевые приложения в Astra Linux SE 1.6.
22 - 26 августа 2019 года

016.3. Администрирование комплекса средств защиты и Astra Linux Directory в Astra Linux SE 1.6.
27 - 29 августа 2019 года

016.4. Администрирование Astra Linux SE 1.6: работа в смешанных сетях.
2 - 4 сентября 2019 года 

Реклама





Партнеры





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Форум » Общие вопросы по информационной безопасности
Страницы: 1 2 След.
Ответить
RSS
Категории информации
#1
31.07.2012 10:48:48
Доброго дня,
какой регулятор или закон у нас определяет методику классификации\категорирования информации?

Каковы критерии классификации: по уровням конфиденциальности, ценности, правам доступа, срокам хранения?

Кто какие критерии использует и чего требует закон\регулятор?
E-mail
   Цитировать
#2
31.07.2012 11:14:27
Цитата
Александр пишет:
какой регулятор или закон у нас определяет методику классификации\категорирования информации?
149-ФЗ и закон о гос. тайне - база. Далее отдельные ФЗ, подзаконные, НПА, НМД регуляторов. Указ президента 188 любят многие приплетать, как базу, но он таковым уже не является.
Цитата
Александр пишет:
Каковы критерии классификации: по уровням конфиденциальности, ценности, правам доступа, срокам хранения?
Классификация отталкивается от уровня конфиденциальности и ценности информации - АС (РД ФСТЭК и СТР-К), ИСПДн (приказ о классификации).
Вопросы слишком общие :)
E-mail
Цитировать
#3
31.07.2012 15:09:32
а для ИТ активов? информационные, программные, физические, сервисы...
E-mail
Цитировать
#4
31.07.2012 15:15:49
Это смотрите ГОСТы и ISOшки по ИТ и ИБ, там много чего можно найти, регуляторов и законодательство все эти деления мало волнуют.
E-mail
Цитировать
#5
31.07.2012 15:24:47
ответы слишком общие :)
http://www.fstec.ru/_spravs/_spec.htm - даты разработки радуют
Изменено: Александр - 31.07.2012 15:28:14
E-mail
Цитировать
#6
31.07.2012 15:31:55
а как регуляторы отностяся к использованию NIST 800xxx вместо ГОСТ 15408 для оценки безопасности ИС?
E-mail
Цитировать
#7
31.07.2012 15:36:50
Классификации и категорирования информации, если она не относится к ПДн и гос. тайне - проводите как хотите. Есть стандарты международные (семейство ISO 27000, Common Criteria - ISO 15408) и российские (ГОСТ Р ИСО/МЭК 15408-1(2,3)-2008) как пример.
Есть отраслевые стандарты, например СТО БР ИББС для банков. Это регулируется Центробанком.
В общем случае читайте 149-ФЗ
E-mail
Цитировать
#8
31.07.2012 16:05:09
Цитата
Александр пишет:
а как регуляторы отностяся к использованию NIST 800xxx вместо ГОСТ 15408 для оценки безопасности ИС?
жду официального ответа на письмо...
E-mail
Цитировать
#9
31.07.2012 16:15:42
Цитата
Александр пишет:
а как регуляторы отностяся к использованию NIST 800xxx вместо ГОСТ 15408 для оценки безопасности ИС?
Если не изменяет память, этот ГОСТ применяют только в области сертификации СЗИ, дальше его не продвинули.
Всё ведь зависит от категории информации, если у Вас КТ - то регуляторов нет, а если ПДн - будьте любезны по 781 ПП и вытекающим из него НПА.
E-mail
Цитировать
#10
31.07.2012 16:32:15
виды конфиденциальной информации:
- ПДн
- КТ
- служебная тайна
- профессиональная тайна

например, есть ИС, в составе которой есть ИСПДн. ИСПДн защищаем в соответствии с требованиями регуляторов и 152-ФЗ, а всю остальную конфиденциалку - по методике NIST например, или ГОСТ 15408. Так?
E-mail
Цитировать
#11
31.07.2012 16:34:35
ст 9 149-ФЗ "Федеральными законами устанавливаются условия отнесения информации к сведениям, составляющим коммерческую тайну, служебную тайну и иную тайну, обязательность соблюдения конфиденциальности такой информации, а также ответственность за ее разглашение."
Какими законами, подскажите?
E-mail
Цитировать
#12
31.07.2012 16:42:41
Вот тут почитайте.
Служебной тайны сегодня нет, проф. тайна делится на десятки видов и регуляторы тут проверки не проводят.
Цитата
Александр пишет:
егуляторов и 152-ФЗ, а всю остальную конфиденциалку - по методике NIST например, или ГОСТ 15408. Так?
Если коммерческую - то как хотите, а если "гос. информ. ресурсы" - то СТР-К.
E-mail
Цитировать
#13
31.07.2012 16:45:17
отлично, спасибо!
E-mail
Цитировать
#14
31.07.2012 16:59:15
Цитата
Trotsky пишет:
Вот тут почитайте.
все ли перечисленные виды относятся к конфиденциальной? Или есть среди них ДСП?
E-mail
Цитировать
#15
31.07.2012 17:24:39
а определение чувствительности информации, наряду с критичностью, используется кем-либо?
E-mail
Цитировать
#16
01.08.2012 09:26:37
Цитата
Александр пишет:
все ли перечисленные виды относятся к конфиденциальной? Или есть среди них ДСП?
ДСП - пометка(иногда говорят гриф), которая ставится на документах, содержащих информацию ограниченного доступа.
Цитата
Александр пишет:
а определение чувствительности информации, наряду с критичностью, используется кем-либо?
Если чувствительность связана с ущербом, наносимым при раскрытии - то это и есть деление по уровню конфиденциальности, или я Вас не понял :)
E-mail
Цитировать
#17
01.08.2012 11:16:38
выделяют разные уровни конфиденциальности информации:
- конфиденциальная (ПДн, КТ например)
- ограниченного распространения (ДСП)
- открытая

сверху вниз - ее ценность\критичность уменьшается
критичность пригодится при оценке рисков для определения потенциального ущерба
Изменено: Александр - 01.08.2012 11:17:35
E-mail
Цитировать
#18
01.08.2012 11:18:12
чувствительность не равна критичности
E-mail
Цитировать
#19
01.08.2012 11:21:00
Цитата
Александр пишет:
чувствительность не равна критичности
наверное, имеется ввиду чувствительная инфа = гос тайна
E-mail
Цитировать
#20
02.08.2012 09:38:34
Цитата
Александр пишет:
выделяют разные уровни конфиденциальности информации: - конфиденциальная (ПДн, КТ например) - ограниченного распространения (ДСП) - открытая
Это Вы где взяли?)
есть грубо говоря:
информация, отнесенная в установленном порядке к государственной тайне
конфиденциальная информация
открытая
тоже в порядке убывания.
Как Вы понимаете, оценка рисков нужна только для конфиденциальной информации, а тут уже масса её подвидов, пересечение интересов гос-ва, граждан и компании. Вообщем сложно всё это :)
E-mail
Цитировать
 
Страницы: 1 2 След.
Ответить
Читают тему (гостей: 3, пользователей: 0, из них скрытых: 0)
BBCode   Правила
Форма ответов
 
Текст сообщения*
:) ;) :D 8) :( :| :cry: :evil: :o :oops: :{} :?: :!: :idea:
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку