Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Минюст обязал банки проводить пентесты и аудит кибербезопасности

13/08/2018

Банки обяжут соблюдать новые меры кибербезопасности, среди которых обязательными являются аудит информационной безопасности, различные тестирования на проникновение (пентесты), обязательная сертификация использованного программного обеспечения.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1
RSS
[ Закрыто ] Недокументированные возможности в прикладном / системном ПО
Прошу прощения, если схожий вопрос уже обсуждался.
В случае наличия в составе ИСПДн недокументированных возможностей в прикладном / системном ПО, требуется ли предпринимать какие-либо действия по "документации", или оставляем все как есть и устанавливаем аттестованную защиту (антивирус и т.п.)
Спасибо!
Цитата
Елена пишет:
В случае наличия в составе ИСПДн недокументированных возможностей в прикладном / системном ПО, требуется ли предпринимать какие-либо действия по "документации", или оставляем все как есть и устанавливаем аттестованную защиту (антивирус и т.п.)
Недокументированные возможности могут содержаться не в составе ИСПДн, а в программном обеспечении ИСПДн.
Самым главным "действием" является оценка актуальности угроз наличия НДВ в ПО. Наличие такого рода актуальных угроз повлияет на выбор мер по защите персональных данных (в соответствии с документом, который вскоре будет утвержден). Если неактуальны, защищать ПДн все равно нужно, но требования к мерам защиты будут мягче. Поэтому, пользуясь методическими документами ФСТЭК, лучше сделать их неактуальными.

По поводу "устанавливаем аттестованную защиту" - для защиты ПДн нужно применять сертифицированные (а не аттестованные) СЗИ.
AlexG, да, я оговорилась) Конечно, в составе ПО. Значит, с "недокументированными возможностями" можно ничего не делать, верно? Далее ставим сертифицированную защиту и...
Как быть с оценкой соответствия средств защиты информации?
в продолжение: думается, что ее проводит лицензиат РКН по ТЗКИ, или я ошибаюсь?
Хочется спросить, обязательна ли аттестация АРМ и помещений?
Благодарю!
Цитата


Елена пишет:
Значит, с "недокументированными возможностями" можно ничего не делать, верно? Далее ставим сертифицированную защиту и...
Как быть с оценкой соответствия средств защиты информации?

в продолжение: думается, что ее проводит лицензиат РКН по ТЗКИ, или я ошибаюсь?
Хочется спросить, обязательна ли аттестация АРМ и помещений?
Благодарю!

Судя по проекту нового рук. документа (см. на сайте ФСТЭК), с угрозами НДВ "можно ничего не делать", просто само их наличие предъявляет более высокие требования к мерам по защите ПДн.

Оценка соответствия СЗИ проводится в форме их сертификации. Т.е. Ваша задача - применять только сертифицированные СЗИ.

Лицензиаты РКН здесь не при чем. Деятельность по ТЗКИ лицензирует ФСТЭК. Лицензиаты ФСТЭК могут, если на то будет Ваше желание, построить Вам систему защиты ПДн и аттестовать ее. Но атестация ИСПДн - дело добровольное и вряд ли стоит этим заниматься.

Аттестация АРМ и помещений в любом случае не требуется (если конечно, у Вас, кроме перс. данных, нет еще какой-нибудь "служебной тайны" )
AlexG, спасибо огромное! Все предельно ясно)
Страницы: 1
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)