Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

В России хотят создать мегарегулятора информационной безопасности, взяв пример с США

18/11/2017

В рамках реализации программы «Цифровая экономика» предлагается определить единый госорган, ответственный за требования к средствам информационной безопасности.

Реклама

Партнеры

Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: 1
Сертификат для ESET
Ну это уже вопрос непосредственно к продавцам... в принципе на 200 машин сумма должна получиться кругленькая :)
Сертификат для ESET
Они правы. На одну организацию достаточно одного комплекта дистрибутив с сертифицированным ПО + формуляр.
Сертификат для ESET
Если в конце ссылки убрать закрывающуюся скобку, то все работоспособно 8)
Сайт разработчика вряд ли будет неверным) Многие вендоры в свете ФЗ о ПДн начинают кричать о сертификации и соответствии данному ФЗ еще на этапе получения выписки о прохождении сертификации (до получения сертификата). Я думаю, ESET - не исключение! :)
Сертификат для ESET
Судя по информации с сайта производителя и из реестра сертифицированных средств защиты с сайта ФСТЭК (http://fstec.ru/_doc/reestr_sszi/_reestr_sszi.xls) - нет, он не имеет сертификатов. Самое правильное решение - следить за новостями на сайте производителя. После получения сертификата производитель явно об этом радостно сообщит. Пользуйтесь открытыми источниками! :)
Пароли, настройки СЗИ и коммерческая тайна, Относить или нет?
Цитата
Сергей С. пишет:
330 ПП в студию, гриф ДСП не легитимен smile:!: smile:)
Поправка: ДСП - это не гриф, это пометка :!:
Пароли, настройки СЗИ и коммерческая тайна, Относить или нет?
Согласен, в законах ничего не найти. Но есть Указ Президента РФ от 06.03.1997 N 188 "Об утверждении перечня сведений конфиденциального характера":
<...>
3. Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна).
<...>
Опять же в ГК РФ понятия служебной тайны нет, законов нет. Коллизия, однако :!:

Как вариант, сослаться на противоречивость законов и наличие вышеупомянутого мной документа + перечня + к тому несмотря на всю эту противоречивость говорить о полной открытости всей информации не подпадающей под гос. тайну и ПДн просто-напросто нельзя.
Пароли, настройки СЗИ и коммерческая тайна, Относить или нет?
Тот же 149-ФЗ:
Статья 16. Защита информации

1. Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:
1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
2) соблюдение конфиденциальности информации ограниченного доступа,
<...>
4. Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:
1) предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;
2) своевременное обнаружение фактов несанкционированного доступа к информации;
3) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;
<...>

Таким образом можно заявить, что во исполнение данного закона для обеспечения защиты информации используется организационная мера, сводящаяся к применению вышеуказанного постановления.

Конечно, это не инструкция к действию, но возможность обоснования введения таких мер.
Разумеется, тут необходимо уточнять у регуляторов, насколько правомерно использование такого подхода, т.к. практика показывает, что в разных регионах регуляторы имеют различные мнения по трактовке законодательства и подзаконников.
Пароли, настройки СЗИ и коммерческая тайна, Относить или нет?
Цитата
Izzet пишет:
Получается, что отнесение к КТ паролей и настроек СЗИ все же полезно. Однако режим КТ предполагает нанесение грифа. Вот только каким образом можно нанести гриф на пароль доступа (если он хранится только в голове) или на файлы конфигураций - не совсем понятно...
Пароли можно передавать пользователям на бумажных носителях с нанесением соответствующих грифов конфиденциальности, а файлы конфигурации хранить на каких-либо носителях также с нанесением грифов.

Цитата
Сергей С. пишет:
А как быть госам и муниципалам в отсутствии закона о служебной тайне? Ограничить доступ к информации (кроме ГТ и ПДн) они не имеют права.
Госам можно ориентироваться на Постановление от 3 ноября 1994 г. N 1233. Они могут ограничить доступ к информации, определив ее как служебную информацию ограниченного распространения и нанося на такие документы пометку "Для служебного пользования"
Изменено: Николай - 04.10.2011 15:05:08
Пароли, настройки СЗИ и коммерческая тайна, Относить или нет?
Если в организации такая информация отнесена к конфиденциальной (ком. тайна), то сотрудника можно привлечь по ст. 13.14 КоАП. Если друг воспользовался этими данными и нанес ущерб организации, то можно квалифицировать как ст. 272 п. 1 УК РФ, а можно привлечь и обоих по той же статье, но п.2.
Борьба с Teamviewer
Честно говоря, на практике не сталкивался, но как вариант, запрещать запуск приложения используя возможности каких-либо СЗИ, в т.ч. антивирусов (контроль приложений).
Сертификация антивирусов ФСБ и ФСТЭК
Антивирусы сертифицируются ФСБ для того, чтобы эти же антивирусы потом и использовать в ФСБ и аналогичных структурах. Недавно столкнулся с тем, что, например, Dr.Web с сертификатом ФСБ приобрести не представляется возможным, т.к. их поставляют только в само ФСБ. И это при наличии партнерских отношений с Dr.Web :!: Я думаю, что антивирусные продукты других вендоров - не исключение.
СКЗИ, Акт установки и настройки СКЗИ, Акт готовности СКЗИ к эксплуатации
http://www.kontur-extern.ru/system/technology/security
http://www.kontur-extern.ru/news/publikatsii/system/2010/4/22/922
СКЗИ, Акт установки и настройки СКЗИ, Акт готовности СКЗИ к эксплуатации
Канал связи в данном случае защитить нельзя, можно защитить передаваемые по каналу данные :!: . Что именно вы хотите защитить с помощью Контур-Экстерн? Если передаваемые между вашими подразделениями ПДн, то эта ИС не предназначена для таких целей. Она заточена под сдачу отчетности исключительно в контролирующие органы.
СКЗИ, Акт установки и настройки СКЗИ, Акт готовности СКЗИ к эксплуатации
Цитата
Алексей пишет:
Цитата Гость пишет: Подскажите,обязательно ли наличие дистрибутива СКЗИ? Или можно скачать с сайта и установить.

Носитель должен быть сертифицирован (сверяют контрольные суммы с эталонным дистрибутивом, наклеивают наклейку)

Несколько некорректная формулировка! Сертифицируется не носитель, а программный продукт. Для обладания сертифицированным СКЗИ у Вас должен быть комплект, состоящий из следующего:
1. Установочный диск СКЗИ;
2. Формуляр;
3. Лицензия на право использования продукта.

Только при наличии всего этого Вы можете смело заявить, что у Вас есть сертифицированное СКЗИ!
Единственное исключение из этого, известное мне на текущий момент - свободно распространяемый криптопровайдер ViPNet CSP (ОАО Инфотекс). Разработчики согласовали с ФСБ некую схему распространения СКЗИ через свой сайт.
Средства Анализа защищенности и Обнаружения вторжений, Сертификация
ИМХО, стоит обратиться к регуляторам или сделать на свой страх и риск.
Средства Анализа защищенности и Обнаружения вторжений, Сертификация
Цитата
Роман пишет:
Ответ на пост выше. Т.к. средство обнаружения вторжений используется для защиты. То это средство должно быть сертифицированное. МЭ- сертифицирован только как МЭ и не более
С учетом рынка, бедного на сертифицированные средства обнаружения вторжений, такой вариант имеет право на жизнь, я думаю. Также как было и (возможно) есть в ситуации с антивирусными средствами. Насколько я знаю, регуляторы сквозь пальцы смотрят на несертифицированные антивирусные средства в ИСПДн. Хотя может сейчас эта позиция и поменялась.

Цитата
Алексей пишет:
Николай, мне кажется, что Вы немного путаете попытки вторжения, которые фиксируют МСЭ с обнаружением уже свершившихся вторжений, когда злоумышленник уже в сети и начинает например, сканировать сеть. Вот средства ОВ как раз-таки позволяют обнаружить это. Еще одной их функцией является, например, имитация серверов в сети и если злоумышленник не знает точно, какой ему сервер нужен, то может запросто попытаться "полезть" на поддельный и тут-то его можно обнаружить. Это мое мнение. Как я себе это представляю.
Возможно именно так и есть, Алексей. Я всего лишь изложил свое субъективное мнение ;)
Средства Анализа защищенности и Обнаружения вторжений, Сертификация
На мой взгляд, необходимую функцию обнаружения вторжений, можно закрыть например так:
1. практически любой современный межсетевой экран при правильной настройке может фиксировать события о попытках "вторжения". Его используем для перекрытия необходимости обнаружения вторжений "извне".
2. многие антивирусы на текущий момент также могут фиксировать попытки "вторжения". Их используем для перекрытия необходимости "внутри".

Поправьте меня, если такой вариант в корне ошибочен.
СКЗИ и программа обучения пользователей
В качестве предложения :idea: :
можно рассказать в общем о криптографии, алгоритмах, ГОСТах - общие понятия
затем рассказать о модулях випнета, с которыми юзверям предстоит работать, их функциональной нагрузке
ну и напоследок о правилах и требованиях

а в нагрузку дать все ту же памятку :)
Обработка в одной испдн, Обсуждение термина ИСПДН
Цитата
Гость пишет:
«недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных»

Наши законы отчасти хороши своими нечеткими формулировками! В данном вопросе у меня такая позиция: можно указать о наличии одной обобщенной ИСПДн с целью обработки данных, например (загрубляя), "обеспечение деятельности предприятия в соответствии с законодательством и основными направлениями деятельности". А далее указать, что наша ИС состоит из двух (или более подсистем) по направлениям. Как ни странно, аналогичное мнение высказывали представители регуляторов (в частности ФСТЭК), на одном из мероприятий, которое я посещал в августе текущего года.
Страницы: 1