Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

SIEM ОТ MCAFEE УСПЕШНО ПРОШЛА СЕРТИФИКАЦИЮ ФСТЭК РОССИИ

01/04/2015

McAfee Security Information and Event Management (версия 9.3) успешно прошла сертификационные испытания, результатом которых стал сертификат соответствия №3353 (от 18 февраля 2015), выданный ФСТЭК России.

Реклама

Партнеры

Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: Пред. 1 2 3 4 След.
Ответить
RSS
Типы актуальных угроз, Хотелось бы расставить все точки над И.
"..........и в иной форме". В иной. Что мне мешает оценить СЗИ в форме приемки?? В форме предварительных испытаний? Ничего....
Цитата
Андрей пишет:
А по поводу 330-ого... Бояться его не имеет смысла, но и без него хватает... Или не хватает, как считаете? Как оценивать соответствие будете?

Что до меня, то я все-таки остановлюсь на сертифицированных СЗИ :)
Просто мне обидно, что регуляторы игнорируют положения законодательства.....
Цитата
AlexG пишет:
Что до меня, то я все-таки остановлюсь на сертифицированных СЗИ
Просто мне обидно, что регуляторы игнорируют положения законодательства.....
Хахаха)) Аналогично :)
Вопрос уже давненько поднят. Издали бы уж какое-то письмо хотя бы, чтоб однозначно все понимали куда ветер дует.
Да и про актуальные угрозы НДВ в системном ПО, тоже методику хочу. Не вижу я пока способов объективно определить актуальность угрозы НДВ, не зря большинство под один тип АУ подгоняют... Не занимались этим вопросом?
Изменено: Андрей - 30.10.2013 14:45:37
Цитата
Андрей пишет:
Не вижу я пока способов объективно определить актуальность угрозы НДВ, не зря большинство под один тип АУ подгоняют... Не занимались этим вопросом?
Пока нет внятных рекомендаций регуляторов, определяем сами: угрозы неактуальны, тип 3 :)
Выпишу основные тезисы....

6. Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.
Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.
Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.
Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.
7. Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 Федерального закона "О персональных данных", и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона "О персональных данных".

Значит один пункт и одна статья, во исполнение которой есть НПА. Какие?...
п. 5 часть 1 статьи 18 ФЗ 152

1. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами. К таким мерам могут, в частности, относиться:

5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом;

Часть 5 статьи 19 ФЗ 152

5. Федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов, иные государственные органы в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки.

содержание, характер и способ... с учётом кашерности ещё бы добавили...
А где пределы полномочий органов власти прописаны?
Я вот не пойму НДВ к НСД приравняли или мне показалось? Т.е. стоит средство защиты от НСД, значит НДВ закрыли? :)
Цитата
Андрей пишет:
Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов , создающих актуальную опасность несанкционированного , в том числе случайного, доступа
Еще бы узнать, что такое актуальная опасность :)
Цитата
Андрей пишет:
Федеральные органы исполнительной власти , осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации , Банк России , органы государственных внебюджетных фондов , иные государственные органы в пределах своих полномочий принимают нормативные правовые акты , в которых определяют угрозы
Что-то федеральные органы, за редким исключением, нихрена не принимают нормативные акты. И, похоже, принимать не собираются. Скорее всего, каждый оператор будет моделировать свои угрозы самостоятельно.
Цитата
Андрей пишет:
А где пределы полномочий органов власти прописаны?
С этим, как раз, проблемы нет: для каждого гос. органа есть "Положение о ... (например, о ФСТЭК, о Роспотребнадзоре, о Роскомнадзоре, и т.п). Там все написано: функции, задачи, полномочия.
Цитата
AlexG пишет:

"Положение о ...
Спасибо, поищу... Но не думаю, что много чем поможет. Причём здесь скажем Министерство образования и защита персданных?... Какие они там имеют полномочия по защите ПДн?... Так и остальные операторы: вроде руки развязали (защищайте как хотите, но отвечайте за это), а потом выставили ряд требований и уже не получается защищать как-то иначе вне рамок требований. А отвечает всё-равно оператор, уже вдвойне.
Честно говоря упустил из внимания информационном сообщении ФСТЭК № 240/24/1701 от 4 мая 2012 года(http://fstec.ru/component/attachments/download/350)
Обязательная сертификация СЗИ для защиты персональных данных.
По поводу определения типа актуальных угроз такая мысль появилась.
Если к примеру на связи с интернетом поставить МЭ сертифицированный на НДВ (опять же не понятен уровень контроля НДВ, любой что ли).
Хотя конечно Windows может изнутри творить чудеса, и смысла в этом пожалуй нет, разве что в учёте пакетов можно быть уверенным.

Хотя вот интересные факты: http://lukatsky.blogspot.ru/2012/09/blog-post_26.html
(рекомендую почитать http://daily.sec.ru/publication.cfm?pid=40211 в частности ссылки внизу сообщения)

В процессорах intel обнаружили закладки http://www.xakep.ru/post/58104/?mid=566414
Изменено: Андрей - 10.12.2013 14:27:38
21 приказ:
Для обеспечения 1 и 2 уровней защищенности персональных данных, а также для обеспечения 3 уровня защищенности персональных данных в информационных системах, для которых к актуальным отнесены угрозы 2-го типа, применяются средства защиты информации, программное обеспечение которых прошло проверку не ниже чем по 4 уровню контроля отсутствия недекларированных возможностей.

Сеть крыть сертифицированным МЭ по НДВ. Локализовать гетерогенную винду и процессоры интел :)
Ругают регуляторов, отписки делают, а по сути, если помедитировать над документами выстраивается довольно стройная продуманная система. И методика кажись пока не нужна для данного вопроса, достаточно информационного сообщения для неверующих.
Изменено: Андрей - 10.12.2013 15:32:54
"Методика определения угроз безопасности информации в информационных системах" дождались уже в проекте
Цитата
Михаил Михайлов пишет:
"Методика определения угроз безопасности информации в информационных системах" дождались уже в проекте

Писал запрос во ФСТЭК. Ответили
Обращение по вопросу статуса методического документа «Методика определения угроз безопасности информации в информационных системах» в ФСТЭК России рассмотрено.
Проект методического документа «Методика определения угроз безопасности информации в информационных системах» был размещен на официальном сайте ФСТЭК России с целью общественного обсуждения и сбора замечаний и предложений по проекту указанного документа от специалистов в области информационной безопасности заинтересованных органов государственной власти и организаций.
В настоящее время проводится доработка проекта документа с учетом полученных замечаний и предложений.
Утверждение методического документа «Методика определения угроз безопасности информации в информационных системах» планируется до конца 2015 г.

У Лукацкого в твитере проходила информация что в первых числах ноября вступит в силу.
Пожскажите, пожалуйста, знающие люди!
Где скачать образец создания модель угроз. Времени дали 1 сутки!
Хэлп!
Цитата
Гость пишет:
Пожскажите, пожалуйста, знающие люди!
Где скачать образец создания модель угроз. Времени дали 1 сутки!
Хэлп!
Пишите в stertur@mail.ru с темой ОРД, пришлю
Цитата
Сергей Терехов пишет:
stertur@mail.ru
Сергей, благодарю!
Отправил.
casper mattresses prices casper wyoming mattress casper mattress stores find casper mattresses
bed casper casper mattress reviews mattress casper wyoming casper mattress location
casper discount codes casper com promo code code casper printable casper coupon
casper mattress coupon codes casper codes casper discount codes casper referral codes
casper mattress reviews 2017 casper mattress online casper com foam mattress casper memory foam mattress
casper mattress old mattress casper mattress review casper beds casper mattress review
caspers promo code caspers promo code free casper coupon code casper promo
casper codes caspers promo codes casper coupon codes casper coupon code
casper com mattress review casper bed mattress best bed casper mattress casper com mattress prices
casper mattress customer service casper mattress reviews 2017 casper twin mattress review casper com mattress prices
casper mattress discount casper coupons online casper discount code casper promo code
casper sleep promo code casper uk discount casper bed coupon code casper com coupon code
casper mattress specials casper mattress reviews 2016 mattress online casper casper
casper mattresse buy casper mattress casper mattress buy casper mattress reviews
coupons casper caspers discounts casper coupons promo code caspers
casper mattress coupon code coupon casper casper promo casper mattress coupon codes
Страницы: Пред. 1 2 3 4 След.
Ответить
Читают тему (гостей: 2, пользователей: 0, из них скрытых: 0)
Форма ответов
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку