Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Минюст обязал банки проводить пентесты и аудит кибербезопасности

13/08/2018

Банки обяжут соблюдать новые меры кибербезопасности, среди которых обязательными являются аудит информационной безопасности, различные тестирования на проникновение (пентесты), обязательная сертификация использованного программного обеспечения.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: Пред. 1 2 3 След.
Ответить
RSS
Сертификация ОС windows xp
А вот МЭ - похоже нельзя. Для них свои требования "... межсетевые экраны".
Андре, это я читал. Просто хочется прояснить для себя, что еще нужно навесить сверху на сервер и рабочие станции? По МЭ уже понял - нужен сторонний сертифицированный. Один на сеть или распределенный - это уже другой вопрос, который зависит от конкретной ситуации. Сертифицированный антивирус - тоже понятно. Что еще нужно для К3? Шифровать трафик между сервером и АРМами ведь не нужно, если все в пределах КЗ? Средства обнаружения вторжений нужны? Может что-то еще?
Цитата
Алексей пишет:
Сертифицированный антивирус - тоже понятно.
Требований нет антивирус и все (сертифицированый или нет неважно, написоно что он должен быть, только для класса К1, соответствующее 4 уровню контроля отсутствия недекларированных возможностей).

Цитата
Алексей пишет:
Шифровать трафик между сервером и АРМами ведь не нужно, если все в пределах КЗ
Про шифрование это на усмотрение оператора.[CODE][/CODE]
Цитата
Tolian пишет:
Требований нет антивирус и все (сертифицированый или нет неважно
Является ли антивирус СЗИ? ИМХО - является, отсюда сертифицированный.
Алексей,
Так в Приложение к Приказу ФСТЭК России от 5 февраля 2010 г. N 58 все расписано, что нужно иметь
Сертифицированная Windows закрывает требования по аутентификации пользователей, регистрации действий пользователей, а при использовании надстроек вроде XP_Check - контроля целостности СЗИ.

НО! ОС необходимо настроить в соответствии с "Рекомендациями"

Встроенный МЭ Windows не сертифицирован, возможно использование MS ISA Server 2006, если, конечно, он ещё продаётся.
точнее не просто аутентификации, а разграничения прав пользователей.
Цитата
Anonimous пишет:
точнее не просто аутентификации, а разграничения прав пользователей
Самое смешное, что несертифицированная делает тоже самое.
Цитата
Сергей С. пишет:
Цитата
Anonimous пишет:
точнее не просто аутентификации, а разграничения прав пользователей
Самое смешное, что несертифицированная делает тоже самое.

Делает, но требования не закрывает... :(
Какие требования? По обязательному применению сертифицированных СЗИ не закрывает, но к реальной защите это отношения не имеет.
Цитата
Сергей С. пишет:
Какие требования? По обязательному применению сертифицированных СЗИ не закрывает, но к реальной защите это отношения не имеет.

РКН будет бумажки проверять.

Если уж на то пошло, то сертифицированная Windows даёт возможность получения сертифицированных обновлений.
По крайней мере только благодаря задержке с выпуском совсем кривые обновления отфильтруются
А у Microsoft бывали косяки с обновлениями.
Появляется новая угроза - задержка обновлений безопасности в связи с необходимостью их сертификации. :D
Обновления для корпоратива (для WSUS сервера) выходят с некоторой задержкой относительно розницы, чтобы на ширпотребе провести бета2-тестирование на миллионах пользователей, и только потом пустить в бизнес.

Так что задержка даже двойная получается :D
Цитата
Сергей С. пишет:
Появляется новая угроза - задержка обновлений безопасности в связи с необходимостью их сертификации.

Насколько мне известно, срок проведения инспекционного контроля обновлений Майкрософт минимален и не имеет "аналогов".

Обычно все СЗИ сертифицируют сборками или версиями, а обновления, закрывающие уязвимости, не сертифицируют вовсе. Правда со временем предлагается приобретение новой версии продукта...
В майкрософте все обновления безопасности выходят ежемесячно и бесплатно.


ПС: Если будут еще вопросы по сертифицированному Майкрософт - готов ответить.
Изменено: Иван Калашников - 25.07.2011 09:57:05
Свои пять копеек на сертифицированные ОС. Приобретая сертифицированную ось единственное, что мы получаем это бумажку которая позволяет выполнить требование по оценке соотвествия установленным порядком.
По факту это та же самая ось, с документацией в которой описаны рекомендованные Microsoft шаблоны безопасности, для рабочих станций и серверов с повышенными требованиями к обеспечению безопасности. Плюс необходимость получения обновлений из другого источника с пометками обязательно не обязательно к установке (по большому счету любой грамотный сисадмин, после прочтения сведений о фиксах и патчах в обновлении способен самостоятельно сделать вывод об необходимости срочной установки обновления, или о том, что установку данного пакета проводить вообще не нужно).
Вопрос к юристам. ФЗ о техрегулировании:оценка соответствия - прямое или косвенное определение соблюдения требований, предъявляемых к объекту;
Я ставлю несертифицироанные СЗИ (тот же антивир) и внутренним актом устанавливаю, что в связи с тем, что у вендора есть аналогичный сертифицированный антивир, то и мой косвенно соответствует требованиям.
Цитата
Максим пишет:
Свои пять копеек на сертифицированные ОС. Приобретая сертифицированную ось единственное, что мы получаем это бумажку которая позволяет выполнить требование по оценке соотвествия установленным порядком.
По факту это та же самая ось, с документацией в которой описаны рекомендованные Microsoft шаблоны безопасности, для рабочих станций и серверов с повышенными требованиями к обеспечению безопасности. Плюс необходимость получения обновлений из другого источника с пометками обязательно не обязательно к установке (по большому счету любой грамотный сисадмин, после прочтения сведений о фиксах и патчах в обновлении способен самостоятельно сделать вывод об необходимости срочной установки обновления, или о том, что установку данного пакета проводить вообще не нужно).

РКН проверяет только "бумажки", ФСТЭК только СЗИ, а ФСБ только СКЗИ

у ФСТЭК и ФСБ других дел немало, чтобы бегать по ПДн проверки учинять, а РКН этим вопросом занят напрямую, так что решайте сами.
Ох я бы так не горячился по поводу ФСТЭК. За последний год были проверки ФСТЭК по персональным данным, были и комплексные проверки по принципу, гостайну уже защищать научились поэтому основной напор на ПДн. Проверки были как госорганов так и крупных коммерческих компаний.
Обьясните мне непонятливому ), зачем вообще преобретать сертификат соответсвия? Если есть лицензия и официальный дистрибутив. ФСТЭК выдал сертификат тем самым утвердив что винду можно использовать как СЗИ. Котролеры все об этом знают. Мне останется только настроить винду в соответсвии с требованиями по безопасности и винда станет сертифицированой.
Зачем покупать копию бумажки я непойму.
Цитата
Roha пишет:
зачем вообще преобретать сертификат соответсвия
Закон требует, чтобы СЗИ прошли оценку соответствия, сертификат подтверждает это соответствие.
Страницы: Пред. 1 2 3 След.
Ответить
Читают тему (гостей: 3, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.