Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Особенности аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции (работ, услуг), поставляемой по гособоронзаказу.

12/08/2019 

08 мая 2019 г. утверждены новые Правила аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции работ, услуг), поставляемой по государственному оборонному заказу (постановление Правительства Российской Федерации от 30 апреля 2019 г. № 548).

Новые Правила аккредитации кардинально меняют сложившуюся систему не только аккредитации, но и сертификации СМК предприятий, работающих в области государственного оборонного заказа.

Реклама





Партнеры





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: Пред. 1 2 3 4 5 ... 15 След.
Ответить
RSS
СТО БР ИББС, Вопросы для тех кто руководствуется отраслевыми стандартами в защите
Пишу план проведения самоценки ИБ, в нем необходимо указать:
2. Цели проведения самооценки
С целями ясно, это-
определение уровня соответствия ИБ организации БС РФ требованиям СТО БР ИББС-1.0 по направлениям оценки:
•текущий уровень ИБ организации;
•менеджмент ИБ организации;
•уровень осознания ИБ организации.
(куда и включены все покащатели)
3. Объекты и деятельность, подвергающиеся самооценки ИБ
Здесь что написать по существу!?
Деятельность в области обеспечения ИБ?
Какие объекты указать?
Спасибо!
Цитата
Николай пишет:
Деятельность в области обеспечения ИБ?
ИМХО это тех. и орг. меры
Цитата
Николай пишет:
Какие объекты указать?
ИС и персонал
Вопрос такой, нужно ли Банку в уведомлении для РКН в "Категории персональных данных" добалять "сведения о состоянии здоровья", ведь отдел кадров обрабатывает больничные листы итп, где указывается КОД болезни, причем расшифровка кодов в открытом доступе.
И еще такой вопрос, раз эти листы обрабатываются без использования средств автоматизации, то классифицировать эти системы не нужно, значит можно и указать?
Я бы сведения о состоянии здоровья не указывал. Эти сведения не обрабатываются, только факт: болел с ... по...То, что существует теоретическая возможность по коду определить заболевание ничего не значит, оператор этого не делает и доказать обратное невозможно.
Принято ли документально руководством организации решение об использовании сети Интернет для производственной и (или) собственной хозяйственной деятельности, в котором явно перечислены цели использования сети Интернет?

Сеть Интернет используется давно, документального решения нет и не было я думаю до этого не у кого, как у вас это оформлено?
Может просто написать в Положении по использовании сети интернет что нибудь типо: В организации было принято решение об использовании сети интернет в целях - .... Использование Интернета) запрещено не в рамках установленных целей.
Будет ли это документально оформленое решение? ведь положение будет утверждено высшим руководством!
А что мешает сделать приказ об использовании? Ну и что, что давно используете?
Можно и приказ сделать не спорю!) Спасибо за комментарий!Сергей С.,
По СТО БР ИББС-1.0-2010 Установка/изменение по в АБС (сервера и раб.станции пользователей) должна регистрироваться в журналах.Таким образом для политики обеспечения ИБ у пользователей не должно быть прав администратора. + Любое ПО перед утановкой необходимо проверять на наличие вирусов, и после установки так же, причем регистрировать все необходимо в журнале! + уполномоченный сотрудник в области обеспечения ИБ должен контролировать установку/изменение ПО (в том числе и антивирусных средств), контроль соответствие ПО определенному перечню, контроль за ведение анивирусной защиты и т п, как производится физически этот контроль, просто выборочно проверять приходить, или может есь какие либо программные решения?
Установка и изменение ПО производится не часто и зафиксировать это в журнале не сложно. А вот с антивирусом даже не знаю, нужно ли фиксировать на бумаге (в журнале) ежедневное (а то и чаще) обновление баз? А периодическое обновление модулей? Все-ж на автомате. Или логов достаточно, только прописать в положении по антивирусной защите их легитимность в качестве журнала, а в плане контроля ИБ - периодическую проверку настроек антивируса и факта, что обновления проводились в соответствии с этими настройками.
контролирующее подразделение ведь тоже должно вести журнал, в котором необходимо будет контролировать, соответствует ли состав ПО на ЭВМ перечню, если конечно есть паспорта ЭВМ. Либо если нет паспорта эвм, должен быть список предустановленного ПО, ну а остальное установленное ПО должно быть установлено на основании служебки (которую отправляют руководители подразделений в управление информационных технологий).Либо можно еще как то по другому организовать работу по контролю?
Всем добрый день (утро/вечер). Появилась необходимость добавить в Положение по использовании сети Интернет перечень защитных мер и порядок их использования для осуществления почтового обмена через сеть Интернет:
Может кто - нибудь скинуть их, придумать защитные меры можно, но вот что значит порядок их использования... Помогите с пунктом пожалуйста!
Помогите сформулировать Цель использования сети Интернет в Банке. Я думаю она везде одна и та же! спасибо!
Для ведения дистанционного банковского обслуживания, получения и распространения информации, связанной с банковской деятельностью (путем создания информационного web-сайта), информационно-аналитической работы в интересах Банка, обмена почтовыми сообщениями, а также ведения собственной хозяйственной деятельности
Пункт 7.6.1 СТО!)
Скажите как расшифровывается СТО БР ИББС это ведь аббревиатура?
СТандарты Отраслевые Банка России Информационная Безопасность Банковской Системы
На сколько мне известно стандарты БР ИББС скоро изменятся. Что в них будут включать - изменения "всемиизвестного" фз-152, ФЗ-149 и т.д. Больше всего интересует 2 вещи:
В стандарты внесут изменения ФЗ-161 "О национальной платежной системе", чего можно от этого ожидать?
Так же хотят включить стандарт PCI DSS - стандарт безопасности данных индустрии платёжных карт, в состав комплекса БР ИББС, чего можно ожидать от него!?Спасибо
Отвечу сам себе!) http://www.connect.ru/article.asp?id=10343

Российские перспективы PCI DSS
16 июня в Москве прошла Межбанковская конференция «Вопросы применения и соответствия стандартам PCI DSS/PA DSS», организованная Ассоциацией российских банков (АРБ) и Сообществом пользователей стандартов Банка России (ABISS) при официальной поддержке Центрального банка Российской Федерации и организационной поддержке компаний «Авангард Центр» и «ФортКонсалт».

С 1 января 2011 г. вступила в силу новая версия стандарта – PCI DSS 2.0, к январю 2012 г. все участники индустрии платежных карт должны перейти на эту версию. Об этом напомнил в своем видеовыступлении Джереми Кинг, европейский директор PCI Security Standards Council (PCI SSC). «Хорошая новость», по его словам, состоит в том, что версия 2.0 не содержит принципиальных изменений по сравнению с предыдущей версией, в ней содержатся лишь ряд уточнений и разъяснений существующих требований, а также некоторые изменения проверочных процедур. Он отметил, что Совет PCI SSC стремится сделать стандарт более действенным, понятным и простым для использования. Для этого Совету необходимо получать обратную связь от организаций, непосредственно вовлеченных в процессы карточных транзакций, и г-н Кинг призвал российских участников рынка активнее включаться в работу PCI SSC.

Джереми Кинг подчеркнул, что стандарт касается не только технологий, в сфере его внимания все составляющие деятельности организации, в том числе люди и бизнес-процессы. Выполнение требований стандарта существенно повышает безопасность платежных транзакций, однако сам по себе стандарт PCI DSS не является инструментом обеспечения безопасности, это скорее инструмент воздействия на риски безопасности через управление и контроль. Такое понимание стандарта в области информационной безопасности совпадает с видением Банка России. Главное управление безопасности и защиты информации Банка России считает внедрение стандарта PCI DSS важным направлением, которое оказывает существенное влияние на реальную безопасность банковских операций, как отметил заместитель начальника ГУБ и ЗИ ЦБ РФ А.П. Курило. Поэтому сейчас рассматривается возможность включения PCI DSS в комплекс стандартов Банка России (БР ИББС). Данный вопрос уже достаточно глубоко проработан, и принципиальных ограничений для решения такой задачи нет.

Г-н Курило также рассказал о деятельности, которую ведет Банк России в области развития нормативной базы. Был образован специальный технический комитет по стандартизации – ТК 122 («Стандартизация финансовых операций»), в его составе пять подкомитетов – «Безопасность финансовых (банковских) операций», «Технологии операций на финансовых рынках», «Технологии основных финансовых (банковских) операций», «Пластиковые карты и иные розничные банковские услуги» и «Мобильные платежи». Все работы, связанные с совершенствованием и развитием Комплекса стандартов БР ИББС, переносятся из ТК 362 («Защита информации») в ТК 122. В настоящее время формируется состав участников нового комитета.

Кроме того, готовится к выпуску документ, посвященный защите персональных данных с использованием криптосредств (ранее такие же требования были выработаны в отношении не криптографических методов защиты). Проблема заключается не в стойкости криптографических средств, а в способах их применения, поэтому важно урегулировать механизмы использования и управления ключами сертификатов.

Комплекс стандартов Банка России, независимо от того, останется он ведомственным или станет государственным, носит рекомендательный характер. И в этом есть определенная проблема с точки зрения обеспечения информационной безопасности банковской деятельности. В прошлом году было выпущено так называемое «письмо шестерых» (ЦБ РФ, АРБ, Ассоциации «Россия», ФСТЭК, Роскомнадзора, ФСБ), которое рекомендует организациям банковской сферы принять комплекс документов в области стандартизации Банка России, сделав их для себя обязательными, и руководствоваться ими при проведении работ по защите персональных данных, банковской и коммерческой тайны. В результате о своем намерении присоединиться к системе стандартов БР ИББС заявили практически все российские кредитные организации. Примерно половина из них начали следовать стандартам, около половины из них уже провели оценку и самооценку соответствия.

В соответствии с новым законом «О национальной платежной системе» (закон принят Госдумой и должен быть подписан Президентом) Банку России предстоит установить требования в области защиты информации при осуществлении переводов денежных средств и контролировать их соблюдение. По словам докладчика, закон «будет требовать определенной настройки», а для этого необходимо накопить соответствующую практику законоприменения.

Начальник отдела методологии обеспечения безопасности информационных ресурсов Банка России В.П. Харламов рассказал о результатах работы по сравнению требований стандартов Банка России и PCI DSS. Область применения PCI DSS шире, чем СТО БР ИББС, как по территории действия, как и по охвату сфер экономики. Требования PCI DSS весьма подробны, в то время как требования СТО БР ИББС относятся к более высокому уровню. Детальное рассмотрение требований PCI DSS показывает, что они практически полностью отражены в СТО БР ИББС.

Возможный путь взаимоувязки двух стандартов видится примерно следующим:

1) Банк России вносит в СТО БР ИББС положение о том, что организации БС РФ, использующие в своей деятельности технологию платежных карт, должны выполнять требования PCI DSS, которые включаются в Комплекс БР ИББС в статусе рекомендаций в области стандартизации (РС);

2) аудиторы (аудиторская группа) аккредитуются в соответствии с требованиями руководящих документов PCI SSC;

3) процесс оценки соответствия требованиям PCI DSS осуществляется в соответствии с руководящими документами PCI SSC;

4) результат соответствия стандарту PCI DSS оформляется в соответствии с руководящими документами PCI SSC;

5) общая оценка соответствия организации БС РФ требованиям СТО БР ИББС будет зависеть от выполнения пунктов 2–4.

Однако для реализации такой схемы необходимо иметь согласованный с PCI SSC русский перевод стандарта PCI DSS (сегодня аудиторы, как сообщил, например, представитель компании «Информзащита», пользуются англоязычным текстом стандарта, хотя и составляют отчет для заказчика на русском языке). Задача перевода осложняется тем, что стандарт развивается, соответственно работа по согласованию русско- и англоязычных текстов должна вестись постоянно. Кроме того, требования PCI DSS в части шифрования данных платежных карт должны быть согласованы с ФСБ России. Статусом QSA (Qualified Security Assessor), дающим право оказывать услуги по проведению сертификации на соответствие стандарту PCI DSS, на сегодня обладают всего шесть российских компаний (по данным Ассоциации российских членов Европей), что явно недостаточно. Банк России намерен содействовать тому, чтобы организации Сообщества ABISS были аккредитованы в соответствии с требованиями руководящих документов PCI SSC в существенно большем объеме.

Очевидно, что для решения указанных задач PCI SSC должен сделать определенные шаги навстречу. Тем более что интерес сторон здесь взаимный: повышая безопасность российской банковской системы, Банк России будет одновременно способствовать продвижению PCI DSS в России и соответственно укреплению позиций PCI SSC.

На конференции было также подробно рассказано о требованиях программ VISA Account Information Security (AIS) и MasterCard Site Data Protection (SDP), которые фокусируются на обеспечении соответствия участников этих платежных систем стандартам PCI DSS и PA DSS (защита платежных приложений). Представители компаний, занимающихся консалтингом и аудитом в соответствии со стандартами PCI DSS/PA DSS («КАБЕСТ», КРОК, «Информзащита», LETA и др.), рассмотрели практические аспекты внедрения стандартов. Время, которое требуется на получение участником индустрии платежных карт сертификата соответствия стандарту PCI DSS, обычно составляет от полугода до года. Уже на стадии принятия решения о внедрении стандарта действуют факторы, обусловливающие успех проекта. Среди них – внимательное прочтение текста документов (как оригинальной версии стандарта, так и дополнений к нему, в первую очередь глоссария и Navigation PCI DSS, а также документов VISA и MasterCard); наличие совместной проектной команды, в которую включены представители фирмы-консультанта и все заинтересованные стороны со стороны заказчика (не только департамент пластиковых карт, но и подразделения ИТ и ИБ); готовность заказчика проводить необходимые изменения в уже существующей системе. А после получения сертификата важно не забывать о необходимости его поддержки – в первую очередь устранять замечания аудиторов и регулярно проводить сканирования сети и тесты на проникновение.
Me and this article, sititng in a tree, L-E-A-R-N-I-N-G!
3JH1K6 fzbzmidenbbe
для Николая.не знаю пригодится или нет.но как таковой перечень защитных мер по использованию почты не делал.защитные меры это ознакомление работников с инструкцией или политикой.
Другие меры должно выполнять ПО антивир, файрволл, антиспам,блокиратор атак и тп.и админ)
Грубо говоря.Можно прописать требования что должны быть установлены такие то средства защиты для работы в сети, убедиться что работают и тогда приступать.
Настоящая политика определяет правила использования корпоративной электронной почты в Компании.

Сотруднику запрещается:
 Использовать корпоративную электронную почту для рассылки материалов экстремистского, расистского, *WOW* и криминального характера.
 Использовать корпоративную электронную почту для осуществления массовой рассылки электронной корреспонденции.
 Использовать ящики электронной почты, созданные на внешних Интернет-ресурсах таких как www.gmail.com, www.mail.ru и т.п. для выполнения должностных обязанностей.
 Пересылать исполняемые файлы (с расширениям .exe, .com, .jar, .msi, .bat и др.).
 Пересылать на внешние адреса электронной почты конфиденциальные данные без применения средств шифрования.
 Пересылать сообщения, содержащие вложения, размер которых превышает ??? Мб.
 Использовать учетную запись другого сотрудника для пересылки сообщений от чужого имени.
 Пересылать «письма-счастья», содержащие просьбу о пересылке другим адресатам.

Сотруднику не рекомендуется:
 Переходить по ссылкам в письмах из ненадежных источников.
 При ответе на письмо, содержащее вложения, оставлять их в теле сообщения в случае отсутствия в этом явной необходимости.
 Пересылать сообщения с пустой темой письма.
 Включать адресатов в поле “скрытая копия” (bcc).
 Изменять чье-либо электронное сообщение без четкого указания того, какая часть сообщения была изменена.

Сотруднику рекомендуется:
 Регулярно проверять электронную почту (не реже чем).
 Быть вежливым.
 С аккуратностью пользоваться опцией «ответить всем» для исключения возможности пересылки сообщения ошибочным адресатам.
 В случае, если отсутствует возможность проверить электронную почту в течение более чем одного рабочего дня, использовать функцию автоответа с указанием альтернативных средств связи.
 Регулярно перемещать входящие и исходящие письма в локальный почтовый архив.
 В случае если автор письма обращается к адресату с просьбой предпринять какие-нибудь действия, влекущие за собой передачу следующих данных: имя учетной записи пользователя, пароль, персональные данные сотрудника (имя, фамилия, номер паспорта, дата рождения, адрес), номер кредитной карты, предпринять необходимые действия для выяснения подлинности отправителя письма и правомерности подобной просьбы.

Компания оставляет за собой право:
 Предоставлять информацию о содержании электронных сообщений сотрудников Компании правоохранительным органам в случаях, предусмотренных законодательством Российской Федерации.
Страницы: Пред. 1 2 3 4 5 ... 15 След.
Ответить
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку