Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

SIEM ОТ MCAFEE УСПЕШНО ПРОШЛА СЕРТИФИКАЦИЮ ФСТЭК РОССИИ

01/04/2015

McAfee Security Information and Event Management (версия 9.3) успешно прошла сертификационные испытания, результатом которых стал сертификат соответствия №3353 (от 18 февраля 2015), выданный ФСТЭК России.

Реклама

Партнеры

Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: 1 2 3 4 5 6 7 8 9 10 11 ... 34 След.
Статус ГОСТ Р 51624-2000 действующий?
Действующий, более того - необходимый для лицензии на ТЗКИ.
Статус ГОСТ Р 51624-2000 действующий?
Этот ГОСТ с пометкой ДСП, не удивительно, что порядочные базы его не публикуют ;)
Подключение информационной системы к сетям общего пользования, Есть или нет?
Цитата
Михаил пишет:
Так наверное в инструкциях должны быть хотя бы ссылки на разделы руководств средств защиты, чтобы пользователь знал в связи с чем и когда ему стоит его брать в руки. И ещё в этом случае хорошо бы указывать параметры, используемые при администрировании (IP-адреса, сетевые имена и пр. или хотя бы их словесное описание). Должно быть связующее звено между должностными инструкциями и техническими руководствами. Согласитесь, не на каждом объекте админ - квалифицированный специалист например по Secret Net, МЭ или IPS, который сам бы знал как и что ему в техническом плане делать.
Я думаю тут 2 препятствия:
1) % людей, тщательно изучающих инструкции стремится к 0
2) стремление к универсальности инструкции (по аналогии с законотворцами, которые не конкретизируют и обходятся общими формулировками или заменителями)
Подключение информационной системы к сетям общего пользования, Есть или нет?
Цитата
Михаил пишет:
И что после этого с такой документацией делать? ))
Так тут формуляры и руководства, прилагаемые к СЗИ должны применяться)
Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Цитата
Натали пишет:
Хорошо. У нас нет журнала учета паролей, его обязательно вести?
В случае ПДн для негос ресурсов это не обязательно, вроде best practice.
Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Достаточно и 1, главное его настроить согласно нормативке и модели угроз.
Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Изменения - если утверждались приказом, то и изменения приказом.
Если компьютер новый - то устанавливать СЗИ, вносить изменения в модель угроз (если прописан срок - обычно год). По идее у Вас во внутренних документах всё прописано должно быть, если интегратор серьёзно подходит к созданию документации.
Если аттестация была - то тут сложнее.
Изменено: Trotsky - 25.07.2012 10:21:25
Тупые вопросы, которые вы хотели, но боялись спросить, Разное
При необходимости внести изменения в перечень лиц (должностей), имеющих доступ к ИСПДн, матрицу доступа. Ознакомить пользователя со всеми локальными актами, которые подлежат ознакомлению под роспись, соглашение о сохранении конфиденциальности подписать с ним. Ну а в целом, нужно Ваши документы смотреть, как пароли выдаете (по запросу или без), нужно ли обучение с распиской и т.д. Это всё при условии, что АРМ, за который сядет новый пользователь уже защищен и входит в состав ИСПДн по документам.
Изменено: Trotsky - 25.07.2012 10:02:55
Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Всё же расписано
Если вкратце - лицензия на ТЗКИ, 5 человек в штате с вышкой по ИБ и 5 годами опыта по ИБ в трудовой.
Помещение и много клиентов, нужно ли разграничивать?
На лицо угроза несанкционированного доступа к ПДн клиентов по акустическому каналу, как вариант Вам придётся чётко декларировать какие-либо данные о клиентах вслух для проверки (как у нотариусов), что может быть рассмотрено как разглашение ПДн и повлечет за собой административное наказание на Вас, как на должностное лицо. Всё это бред конечно, но чем черт не шутит :D
Категории информации
Цитата
Александр пишет:
выделяют разные уровни конфиденциальности информации: - конфиденциальная (ПДн, КТ например) - ограниченного распространения (ДСП) - открытая
Это Вы где взяли?)
есть грубо говоря:
информация, отнесенная в установленном порядке к государственной тайне
конфиденциальная информация
открытая
тоже в порядке убывания.
Как Вы понимаете, оценка рисков нужна только для конфиденциальной информации, а тут уже масса её подвидов, пересечение интересов гос-ва, граждан и компании. Вообщем сложно всё это :)
Категории информации
Цитата
Александр пишет:
все ли перечисленные виды относятся к конфиденциальной? Или есть среди них ДСП?
ДСП - пометка(иногда говорят гриф), которая ставится на документах, содержащих информацию ограниченного доступа.
Цитата
Александр пишет:
а определение чувствительности информации, наряду с критичностью, используется кем-либо?
Если чувствительность связана с ущербом, наносимым при раскрытии - то это и есть деление по уровню конфиденциальности, или я Вас не понял :)
Категории информации
Вот тут почитайте.
Служебной тайны сегодня нет, проф. тайна делится на десятки видов и регуляторы тут проверки не проводят.
Цитата
Александр пишет:
егуляторов и 152-ФЗ, а всю остальную конфиденциалку - по методике NIST например, или ГОСТ 15408. Так?
Если коммерческую - то как хотите, а если "гос. информ. ресурсы" - то СТР-К.
Категории информации
Цитата
Александр пишет:
а как регуляторы отностяся к использованию NIST 800xxx вместо ГОСТ 15408 для оценки безопасности ИС?
Если не изменяет память, этот ГОСТ применяют только в области сертификации СЗИ, дальше его не продвинули.
Всё ведь зависит от категории информации, если у Вас КТ - то регуляторов нет, а если ПДн - будьте любезны по 781 ПП и вытекающим из него НПА.
Категории информации
Это смотрите ГОСТы и ISOшки по ИТ и ИБ, там много чего можно найти, регуляторов и законодательство все эти деления мало волнуют.
Категории информации
Цитата
Александр пишет:
какой регулятор или закон у нас определяет методику классификации\категорирования информации?
149-ФЗ и закон о гос. тайне - база. Далее отдельные ФЗ, подзаконные, НПА, НМД регуляторов. Указ президента 188 любят многие приплетать, как базу, но он таковым уже не является.
Цитата
Александр пишет:
Каковы критерии классификации: по уровням конфиденциальности, ценности, правам доступа, срокам хранения?
Классификация отталкивается от уровня конфиденциальности и ценности информации - АС (РД ФСТЭК и СТР-К), ИСПДн (приказ о классификации).
Вопросы слишком общие :)
Какие документы каких ведомств определяют классы, категории элементов ИТ-структуры (включая криптографию)
Есть классификация по классу защищенности СВТ и отсутствию НДВ, соответствующий РД ФСТЭК из сборника.
Думаю, это всё, что можно найти в открытых источниках.
Изменено: Trotsky - 26.07.2012 13:49:46
Шаблоны документов, запрещающие пользоваться сменными носителями на рабочих станциях с ИСПДн
Инструкция ведь для юзверей пишется, попроще нужно :)
Согласие на обработку ПДн, Требуется ли брать согласие на обработку с сотрудников собственной фирмы?
Цитата
Федор Сухарев пишет:
Цитата
Trotsky пишет:

Вам должны номер дела указать, или как то обосновать запрос, либо Вам самим нужно взять согласие взять с сотрудника. В противном случае прокуратура Вас и накажет в дальнейшем.

а чем это регулируется статья или еще что нибудь такое И обязательно ли запрос должен быть в оригинале ????
По оригиналу - не скажу, не сталкивался.
Основание для полиции - ст. 13,ч.1, п.4 закона "О полиции".
Если запрос мотивирован, с указанием дела или другим обоснованием, а не только со ссылкой на закон, то согласия не требуется (ст.6, ч.1.п.3 152-ФЗ и указанный ФЗ о Полиции)
Если запрос составлен не верно, но данные отослать сотрудник не против - то - статья 6, ч.1, п.1 и отсутствие прочих оснований, ст. 7 152-ФЗ.
Отрывок из судебной практики:
Цитата
В рамках исполнения запроса УБЭП УМВД России по Астраханской области от 12.07.2011 № 29/2557 были переданы персональные данные граждан <ФИО3> и <ФИО4> При этом необходимость представления персональных данных работников обуславливалась лишь ссылками в запросе на ст. 13 Федерального закона от 07.02.2011 № 3-ФЗ «О полиции», а также на ст. 6 Федерального закона от 12.08.1995 № 144-ФЗ «Об оперативно-розыскной деятельности». Вместе с тем, в запросе отсутствовало указание на необходимость получения таких сведений, основания запроса.
Согласие на обработку ПДн, Требуется ли брать согласие на обработку с сотрудников собственной фирмы?
Вам должны номер дела указать, или как то обосновать запрос, либо Вам самим нужно взять согласие взять с сотрудника. В противном случае прокуратура Вас и накажет в дальнейшем.
Страницы: 1 2 3 4 5 6 7 8 9 10 11 ... 34 След.