Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

ФСБ: Национальному координационному центру по компьютерным инцидентам быть!

13/10/2018

Директор ФСБ России Александр Бортников распорядился создать государственный орган по борьбе с кибератаками. Текст соответствующего приказа размещен на официальном интернет-портале правовой информации.

Обучение

015.3. Системное администрирование операционной системы Astra Linux Special Edition. Специальный курс.
06 - 07 ноября 2018 года

002. Техническая защита информации. Способы и средства защиты информации от несанкционированного доступа.
12 - 16 ноября 2018 года

001. Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных. Курс согласован ФСТЭК России.
19 - 23 ноября 2018 года

026. Подготовка к CISSP и CISM (курс от профессионалов-практиков).
28 - 30 ноября 2018 года

036.2. Внедрение системы управления информационной безопасностью.
04 - 05 декабря 2018 года

036.3. Внутренний аудит СУИБ на соответствие требованиям международного стандарта ISO/IEC 27001:2013.
06 - 07 декабря 2018 года

015.1. Основы работы в операционной системе Astra Linux.
10 - 11 декабря 2018 года

015.2. Системное администрирование операционной системы Astra Linux Special Edition.
12 - 14 декабря 2018 года

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: 1 2 3 4 5 6 7 8 След.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Цитата
West пишет:
По моим вопросам может кто мнение выразить?
West

ИСПДн будет, так как данные паспорта относятся к 3 категории. Домыслы на тему баз данных паспортов и т.д. уже высказывались, но оспаривать что это ПДн никто не брался, так что в расчет брать не стоит.
Базу бухов от зарплатной можно не отделять - все зависит от того как определите цель обработки - если ведение бухгалтерии по предприятию (а это и кадры и остальные расчеты), то цели совместимы и все ок.
Все машины, на которых обрабатываются ПДн нужно защищать по макс классу тех ИСПДн в состав которых они входят.
Изменено: Ronin - 12.03.2012 11:36:33
Нужно ли использовать средства защиты?
В данном случае в разграничении прав в прикладных системах - 1С и МИС. Если в системе разграничение прав реализовано не сертифицированными средствами (для 1С есть специальная версия, а вот с МИС скорее всего будут проблемы), то для регуляторов доступ к ПДн может быть также и у тех сотрудников, которые имеют доступ к ИС, но вроде как не работают с ПДн (пищеблок например). Поэтому интегратор и предложил защитить все станции.
Предложенные варианты сегментирования сети и экранирования не работаю в данном случае, так как пропадет доступ для остальных ПК в целом, что неверно. Единственный вариант - реализовать разграничение доступа сертифицированными средствами - сертифицированной версией 1С и, если возможно,использовать разграничение доступа в МИС средствами сертифицированной СУБД. Если это не сделать, то нужно защищать все ПК, как Вам и было предложено.
[ Закрыто] Упрощение защиты
Почему с регистрацией сложно? Она реализуется в целом стандартными средствами (логи) СУБД или ПО. В ПП781 ведь не сказано, что журнал доступа реализуетсясертифицированными средствами защиты или что этот "журнал" относится к средствам защиты. Так что и нет смысла требовать его сертифицированность, а в 58 приказе про этот журнал не говорится и нужно hubcnhbhjdfnm доступ к ИСПДн в принципе, а это делается например SecretNet или сертиф. виндовс на АРМ.
[ Закрыто] Упрощение защиты
И все-таки, хотелось бы услышать предложения как иначе можно реализовать защиту в указанном случае (использование общего ПО и БД при обработке ПДн и без доступа к оным)? Все-таки пройдет ли вариант назначение равных прав всем? На каком основании возможны придирки регуляторов? Есть ли вообще возможность защиты в таком случае или обязательно нужно менять саму архитектуру?
[ Закрыто] Упрощение защиты
Цель может быть общая - ведение делопроизводства организации, например. Вот про целесообразность и основания доступа все верно, но ведь нигде не сказано, что у сотрудников должна быть явно обусловленная цель для доступа. Про организацию есть, а что и как внутри неё - уже нет, вроде как. Может быть забыл - поправьте, если так.
Опять же, если такой прием не годится, что как защищать приведенные в качестве примера системы? :) Ну нет таких средств защиты сертифицированных просто в природе, а систему перестраивать и нарушать бизнес-процессы ради прихоти регулятора никто не желает и это вполне обоснованно.
Ну и в продолжение темы: ок, мы принимаем равные права, издаем всем инструкции и памятки как защищать Пдн... а потом идем в модель угроз и смотрим: у нас равные права доступа, да ещё и у всех сотрудников, кто имеет АРМ... и тут возникает естественный вопрос - а от кого тогда защищаться?! Можно поставить периметровые средства защиты: МЭ и IDS, поставить антивирусы всем, а остальное прикрыть организационными мерами - ну просто посторонних людей не пускаем к АРМ: закрываем двери, сигнализации, пишем в инструкциях, что уборщицы и т.д. только в сопровождении. Вроде там ещё был журнал доступа к ПДн из 781ПП, но там опять же не сказано, что это средство защиты и что он должен быть сертифицирован, а записи в СУБД и так ведутся. То есть нам не нужно ставить будет ни МЭ внутри, ни прочие Секрет Неты в таком случае? Для организаций с небольшим составом СВТ, а также для тех, в которых в любом случае многие имеют доступ в централизованные базы такие решения могут оказаться очень уж привлекательными. Понятно дело, что регуляторы это воспримут в штыки, но вот если следовать бумагам, то проходит ли такой вариант формально?
[ Закрыто] Упрощение защиты
Ну о том и речь собственно говоря :) Небольшая хитрость в том, что по факту всем пользователям равные максимальны права в рамках должностных полномочий не нужны и в общем-то не даются, но для наших обожаемых контролеров на бумаге делаем их равными.
Алексей, да, сертифицированные варианты СУБД есть, например от MS SQL Server, но зачастую встречаются ИС, в которых разграничение доступа сделано на уровне прикладной системы (ERP), а она от единой системной учетки своей делает все запросы в СУБД, поэтому сертификация СУБД не решит проблему.
Ну а так-то понятно - закрыли всякими секретнетами и прочими МЭ АРМ, серверы загнали в один сегмент и на входе программно-аппаратный МЭ, дабы серваки не грузить ненужным ПО и в целом вопрос решен.
[ Закрыто] Упрощение защиты
Видел в форуме тему из серии "можно ли хитрить", где предлагалось заявлять не все компоненты ИСПДн. В развитие темы хотел бы поинтересоваться мнением по поводу другого финта ушами - в целом вроде как легитимного, но не совсем честного.
Допустим, есть ИСПДн, большая и сложная, пусть будет ERP например. В нем обрабатываются самые разные ПДн - сотрудников и заказчиков. И есть в этой системе разные модули для работе, к которым имеют доступ пользователей, например бухгалтерия и обработка заказов. И наборы ПДн в этих модулях различаются, то есть имеем ИСПДн с различными правами доступа и нужно это разграничение реализовывать сертифицированными средствами... но вот незадача - у нас прогрессивная компания и ERP не имеет сетифицированной версиии, да и постоянно совершенствуется, меняются бизнес-процессы и т.д., то есть её сертифицировать также нельзя. Возможно ли в таком случае написать везде официально, что у нас все пользователи имеют равные права доступа и уйти от требуемого разграничения на документах для регуляторов. При это м по факту оно конечно останется. Ну или как из такой ситуации выходить?
[ Закрыто] Совместная работа с ИСПДн
Возможны варианты, исходя из возможностей разграничения доступа в ИСПДн. Если есть централизованная СУБД, в которой мы сможем реализовать разграничение сертифицированными средствами, то делаем каждую организацию оператором и у каждой своя ИСПДн - АРМы + единый сервер. Организация, которая обслуживает сервер становится обработчиком по поручению и со всеми остальными заключает договора и получает ТЗКИ со всеми вытекающими. Кстати, она может взять на себя все функции по защите и ТЗКИ нужно будет получать только одной, а не всем (в курсе наверное, что ФСТЭК высказал мнение, что всем нужно).
Идем дальше, если случай более запущенный и у нас хитрая система с центральной СУБД и прикладным ПО, в котором разграничение прав никак не реализовать сертиф. средствами, например доступ из ПО системной учеткой к БД, а разграничение в ПО и его мы сертифицировать не сможем, так как проблемно, да оно ещё и меняется постоянно, то нужно будет изголяться. Мы попадаем на доступ с равными правами у всех участников данной ИСПДн. В таком случае придется плдить бумажки на тему обоюдных пеердач на обработку всех ПДн всем компаниям (с получением согласий и т.д., само-собой), получаем единую ИСПДн, к которой подключено несколько операторов. Назначаем опять же единого ответственного за защиту остальные - аутсорсинг на него, единая ТЗКИ и т.д. Основная проблема - обоснование необходимости передачи и уговоры клиентов. Можно сослаться на нужды, например, ведение общей базы клиентов с дочерними оргаизациями... хуже, если там своя бухгалтерия или кадры, но можно тоже что-то придумать попытаться. И второе - это собственность компонентов ИСПДн - в данном направлении я не уверен, что выделение ИСПДн и вся эта организация защиты пройдет с тем, что юридически СВТ принадлежат разным лицам.
Что можно сказать точно - такой подход вызовет явные претензии со стороны регуляторов, поэтому стоит довольно точно и выверенно посмотреть юристам что и как может пройти в соответствии с буквой закона. Сам пока не берусь судить, так как не юрист, поэтому делюсь как предположением.
[ Закрыто] Сертификация СЗИ, как разобраться подходит ли сертификат
ТС на тему CSP RVPN: как было уже сказано, вы рассматриваете СКЗИ, а они не сертифицируются и не соответствуют тому или иному классу ИСПДн - в данном случае необходимо ориентироваться на классы СКЗИ, которые соответствуют тому или иному нарушителю и угрозам, определенным в МУ по ФСБ соответственно, тот же упомянутый модуль имеет сертификат ФСБ по классу КС1/КС2.
[ Закрыто] Решение для защиты АС 1Г, ИСПДн К1 на основе виртуализации
Сертифицированный Windows не нужен в данной связке, так как все равно 1 класс и она не годится (и фикс) - оставьте один SecretNet. Аккорды основаны на платах, а если от угрозы недовренной загрузки можно избавиться, то можно и их не использовать, дабы не загромождать. Использовать разных вендоров в одной подсистеме тоже не лучшая идея. SecretNet на серверы Вы в каких целях ставите? у Вас там файловый сервер с разграничением доступа? Если да, то нужно, если нет, то можно убрать.
Остался за бортом важный вопрос межсетевого экранирования - нужно включить. Для такого проекта хорошо подойдет TrustAccess - и на виртуализацию и на подсистемы неплохо ложится - можете почитать брошюрки Кода Безопасности - там все красиво показано.
Выбор программного персонального межсетевого для защиты ИСПДн 1 класса, Столкнулся с проблемой отсутствия СЗИ такого типа
TrustAccess от Кода Безопасности и VipNet Custom от Infotecs подходят
Организационно-правовая защита, Для УК, ТСЖ и ЖСК
готов расширить перечень до более адекватного и за 18000 :D
Кстати, вот самое сложное в доках - перечень, уведомление и т.д. Неужели исполнитель берется адекватно изучить все заключаемые договоры, законодательные акты и нормативку, действующую в рамках деятельности Оператора и все это расписать верно для каждого оператора? Что-то сомневаюсь... про модели угроз и т.д. вообще молчу :oops:
[ Закрыто] ОБИ КСИИ, Ключевые системы информационной инфраструктуры
Не Евгений, но скажу - пока не изменились - май 2007
Оценка рисков ИБ, Оценка рисков ИБ согласно методики оценки рисков нарушения ИБ
Николай, может быть я не совсем корректно понял, но все же, сдается, Вы читаете не совсем корректно формулировку :)
перечень типов информационных активов организации БС РФ в целом - то есть организация в целом (целиком), а не перечень типов информационных активов. Далее рассматриваются для сравнения подразделения организации и отдельные процессы.
То есть для каждого из 3 возможных вариантов области оценки рисков мы должны рассмотреть весь перечень возможных критичных информационных ресурсов.
Контролируемая зона
Проложите провода под потолком/в коробах/в ином защищенном виде. Опять же - какова вероятность, что посетители смогут свободно ковыряться в ваших проводах и подключать к ним, скажем ноутбук... причем делать все это не вызывая вопросов? В общем с точки зрения СКЗИ я бы сделал угрозу неактуальной. Угрозу нарушения линий каналов передачи можно сделать актуальной, если провода не спрятаны - их могут оборвать и т.д. От съема ТКУИ наверное тоже можно отмахнуться - не будут посетители со специальными коробками ходить и снимать - поставить вероятность минимальную. В целом КЗ, даже из названия, - это не то место, где никого нет, кроме админов, а некоторая территория, на которой оператор может контролировать все происходящие действия. Как вариант - стоят камеры, есть ограничение физического доступа или сотрудники ходят и смотрят и могут выявить нарушение в оперативном режиме.
по оффу - можно (цель обработки фактически общая) и даже нужно, чтобы не плодить себе сложности.
Банковские технологические процессы, Есть у кого нибудь описание Банковского платежного технологического процесса или информационного?
Сергей С., Вы рассматриваете только с точки зрения Пдн, а вопрос звучал в общем ключе. Так что ходим, систематизируем информацию от сотрудников, занимающихся данными бизнес-процессами и пишем. Вряд ли кто-то здесь захочет делиться такими документами - на них потрачено или много своего времени или денег отдано интегратору, да и обычно они грифуются со всеми вытекающими.
Николай, попробуйте поспрашивать здесь: http://bankir.ru/dom/forumdisplay.php?f=143 там все-таки более специализированный форум.
изменения в закон о ПД
ВадимКа, вы усложняете некоторые понятия :) Если не заниматься буквоедством столь дотошно, то не все так плохо. Кстати, исходя из Ваших доводов на тему "запирание в сейф - хранение", то что тогда является блокированием? ;)
изменения в закон о ПД
Да нет, все нормально получается. Осуществление функции блокирования - это обработка. Ну банальный пример - для блокирования обработки списка сотрудников нам нужно его взять и положить в сейф и закрыть его. В ходе этих действий мы ведь переносим этот список, кладем его, запираем... Ну а как результат этих действий - временное прекращение обработки ПДн. Так что тут одно - это процесс, а второе - результат.
Юридические последствия
ВадимКа, нет, почему же, все было написано верно. Просто обработка может быть ещё и смешанная. То есть, если решения принимаются на основании исключительно автоматизированной обработки, то есть при принятии решений человек не участвует.
[ Закрыто] К3, Типовые решения для ИСПДн Класса 3
Нужно отдельно - берите Xspider 7.7 или Эшелоновский сканер (это как раз их форум 8) )
Страницы: 1 2 3 4 5 6 7 8 След.