Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Минюст обязал банки проводить пентесты и аудит кибербезопасности

13/08/2018

Банки обяжут соблюдать новые меры кибербезопасности, среди которых обязательными являются аудит информационной безопасности, различные тестирования на проникновение (пентесты), обязательная сертификация использованного программного обеспечения.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1 2 3 4 След.
RSS
[ Закрыто ] Новое Положение ФСТЭК. Методы и способы защиты ПДн
ФСТЭК выпустил новую версию требований по защите ПДн - приказ от 5.02.2010 № 58 "Об утверждении положения о методах и средствах защиты информации в ИСПДн"

Нет ни слова про лицензирование, аттестацию и сертификацию. Однако, как все-таки понимать следующую строчку документа?

"использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия"
Это значит, что средства защиты должны иметь сертификат соответствия ФСТЭК и ФСБ (последнее для криптографии), собственно как и было раньше
Этот документ 1 марта 2010 года вступил в полную силу. Он также зарегистрирован в Минюсте. Эпохальное событие ;) !
И тогда, все будет так, как должно было бы быть..., даже если будет наоборот...
Это на замену четырехкнижию, или в дополнение? Как думаете?
Цитата
Сергей пишет:
ФСТЭК выпустил новую версию требований по защите ПДн - приказ от 5.02.2010 № 58 "Об утверждении положения о методах и средствах защиты информации в ИСПДн"

а ссылочку не подскажете, чтоб скачать и почитать?
http://www.consultant.ru/online/base/?req=doc;base=LAW;n=97942
на сайте ФСТЭка почему его нет?
Усе, уже не надо, нашел сам. Извините =)
а где-нибудь есть официальное указание на то, какие документы данное положение заменяет?!
Ни чего пока не ясно.
Сертификацию СЗи отсавили - или есть другие способы оценки соответсвия?
Четверокнижие не отменили, собственно аттестация была в нём.
Да, это положение выше четверокнижия, но ведь в законе тоже ни чего нет про аттестацию, как и в этом положении.
Даже про лицензии, толком не прописанно. ИМХА-надо ждать что будет с четверокнижием - отменять - значит ни аттестации ни лицензирования, не отменят- полный зоопарк.
Цитата
Олька пишет:
Это значит, что средства защиты должны иметь сертификат соответствия ФСТЭК и ФСБ (последнее для криптографии), собственно как и было раньше
Методами и способами защиты информации от несанкционированного доступа являются:
использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия

То есть только для НСД, а антивирусную защиту и межсетевые экраны можно использовать несертифицированные???
Изменено: Антон - 02.03.2010 10:47:39
Ну антивиры тоже имеют сертификаты, каспер например имеет и сертификат ФСТЭК и ФСБ, д-р Веб только ФСТЭК, МЭ тоже сертифицируются. ИМХО - лучше брать имеющие сертификат.
ФСТЭК выпустил новую версию своих требований по защите ПДн - приказ от 5.02.2010 № 58 "Об утверждении положения о методах и средствах защиты информации в ИСПДн" (в Консультанте и в Гаранте). Он утвержден директором ФСТЭК и зарегистрирован в МинЮсте 19 февраля.
Учитывая легитимность этого документа (и нелигитимность четверокнижия), основание выпуска этого приказа (тоже во исполнение пп-781) и срок выпуска этого приказа (он более новый, чем четверокнижие), а также исходя из общих норм права, можно сделать вывод, что приказ № 58 пришел на замену (а не в дополнение) предыдущих документов ФСТЭК по теме персданных.
Второй приятный момент в документе - отсутствие требований лицензирования, аттестации и применения сертифицированных СЗИ. Последние нужны только для ИСПДн 1-го класса и только в части отсутствия НДВ.

http://lukatsky.blogspot.com/2010/03/blog-post.html
Это пока лишь неподтвержденные предположения Лукацкого.
Прошу прощения за неверную информацию вот

http://company.drweb.com/licenses_and_certificates/

http://www.kaspersky.ru/certificates?year=2009
Цитата
Андрей [Пилотов] пишет:
Это пока лишь неподтвержденные предположения Лукацкого.

Я и не говорю что это факт. Просто по моему все очевидно. Но это Россия, всего можно ожидать =)
Цитата
Антон пишет:
Цитата
Олька пишет:
Это значит, что средства защиты должны иметь сертификат соответствия ФСТЭК и ФСБ (последнее для криптографии), собственно как и было раньше
Методами и способами защиты информации от несанкционированного доступа являются:
использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия

То есть только для НСД, а антивирусную защиту и межсетевые экраны можно использовать несертифицированные???
НСД (НЕСАНКЦИОНИРОВАННЫЙ ДОСТУП) может осуществляться несколькими путями:
-Нарушитель включил комп, сел за него, подобрал пароль вот вам и НСД
-А может осуществляться и по сети, причем по он может быть реализван с использованием умелых ручек взломщика, а может с использованием вредоносных программ(переборщик паролей, эксплойт, троян и т.д.)
Если я правильно понимаю, то по своей сути и НСДшка, и Межсетевой экран, и Анитивирус всё это средства защиты от НСД.
Составляю модели угроз, при этом использую уникальный способ гадания сетевыми картами (долго, дорого)
согласна с Дмитрием. все эти средства можно рассматривать как защиту от нсд.
что же касается сертификации, то в соответствии с Постановлением Правительства РФ «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»:
a. п.2 «…. Технические и программные средства должны удовлетворять устанавливаем в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.»
b. п.5 «Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия.»
c. п.18 «Результаты оценки соответствия и (или) тематических исследований средств защиты информации … оцениваются в ходе экспертизы, осуществляемой ФСТЭК и ФСБ РФ в пределах их полномочий.»
Цитата
Гость пишет:
Цитата
Андрей [Пилотов] пишет:

Это пока лишь неподтвержденные предположения Лукацкого.

Я и не говорю что это факт. Просто по моему все очевидно. Но это Россия, всего можно ожидать =)

Вотименна! :)
У нас к сожалению всем очевидное порой не является действительным. И до этого утвержденного Минюстом 58-го приказа мы все пользовались (и пользуемся) противоречивым слепленным наскоро "4-книжием", являющимся по сути внутренним документом ФСТЭК. Который еще в прошлом году предполагалось покупать за деньги.
Цитата
Андрей [Пилотов] пишет:
Вотименна!
У нас к сожалению всем очевидное порой не является действительным. И до этого утвержденного Минюстом 58-го приказа мы все пользовались (и пользуемся) противоречивым слепленным наскоро "4-книжием", являющимся по сути внутренним документом ФСТЭК. Который еще в прошлом году предполагалось покупать за деньги.

Согласен, попросту говоря, слепили 4-книжие, задумались о том что на практике реализовать закон - не выполнимая задача, как для некоторых Операторов (например Министерство здравоохранения с их огромным количеством К1 просто не потянет такие расходы), так и для аттестующих и для сертифицирующих сторон. Решили упростить через П№58, чем еще больше всех запутали... похоже что все сведется к такому - "вы уж сами что-нибудь сделайте, как считаете нужным для угроз по вашему актуальных, а мы потом придем проверим, или не проверим".
имхо конечно
Страницы: 1 2 3 4 След.
Читают тему (гостей: 2, пользователей: 0, из них скрытых: 0)