Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

SIEM ОТ MCAFEE УСПЕШНО ПРОШЛА СЕРТИФИКАЦИЮ ФСТЭК РОССИИ

01/04/2015

McAfee Security Information and Event Management (версия 9.3) успешно прошла сертификационные испытания, результатом которых стал сертификат соответствия №3353 (от 18 февраля 2015), выданный ФСТЭК России.

Реклама

Партнеры

Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: 1 2 3 4 5 6 7 8 9 10 11 ... 18 След.
Нужно ли пройти аттестацию рабочего места?
Виталий, если не в личных, то нужна лицензия фсб а значит и аттестация ИС.
Получение лицензий ФСТЭК на разработку СЗКИ и на ТЗКИ с нуля, Алгоритм и тонкости.
J_ss,
Списка нет, но указанная вами специальность ОДНОЗНАЧНО УДОВЛЕТВОРЯЕТ требованиям.

Требование есть требование. Написано, что должно быть помещение, значит не зависимо от того разраб вы подобного рода док-ты или нет, все равно обязаны иметь подобное помещение. И требование не из пальца высосано. Где-то же вы должны хранить свои документы и СЗИ как программные так и аппаратные.

И кстати, кто меня поправит? Разве при использовании НЕ сертифицированных СЗИ нужна лицензия?! о_0
Получаем лицензию на ТЗКИ : обучение, тзки лицензия
Андрей Миронов,
Ну если профильного образования нету, то лучше всего ФСТЭКовские курсы. И очень быстро, и обучение у регулятора, а значит проблем будет меньше. Насчет качества не могу сказать. Узнайте подробнее в своем местном отделении.

Надеюсь вы в курсе, что нюансов при получении лицензии не мало, и Вас !одного не хватит.
Психологическая проверка при приёме на работу
Цитата
Антон пишет:
Мне тоже один раз задавали хитрые вопросы помимо стандартных. Наподобие а с кем живете? А кем работает ваша девушка? И тут я по глазам понял хотят спросить про сексуальную жизнь, но передумали.
А тот, кто задавал вопрос была девушка? Что-то видимо запала на вас, но вы обламали?! ;) :D

По теме все верно сказали, чтобы устно определять нужны годы практики и учебы. Полиграф хрень(толко у 1% действительно опытных умеющих работать с ним это отличная штука). Тестовые письменные методики 99% бред.

Опытные работки СБ вам в помощь.
Помогите свормулировать понятие ИСПДн для юзозверей :), ибо буква закона - им лес темный...
Uzl Prog,
Доклады есть, есть очень даже хорошие видео с конференций, где все на понятном языке рассказывается от А до Я. Однако все это проходит в закрытой форме и распространяется только для подписчиков или для посетителей без записей.
нормативная база по ПДн
Александр,
нет, к сожалению раздел "Законодательство" администраторами не обновляется. Что конечно не очень хорошо с их стороны. Однако основной костяк там есть в качестве введения в курс дела.
Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Цитата
Сергей пишет:
Что на текущий момент нужно делать юр.лицу (к примеру торговой фирме) чтобы соответствовать требования законодательства?
Например почитать данный форум.
Разграничение доступа в ИСПДн
Михаил,
не совсем вас понимаю. Вы говорите про "извне" значит имеете ввиду внешнего нарушителя? Так зачем мне эти два компа экранировать друг от друга, если допустим у меня стоит общий экран до интернет шлюза?! Вот вам и пример.
наверно не так понял вас?!
Проверка соц.сети "В контакте", Проверка соц.сети "В контакте"
Антон,
Я к тому что скорее всего в проект вконтакте входит далеко не одно юр.лицо. И какое из них они решили проверить не известно. Возможно, и скорее всего это так, проверяемое юр.лицо даже не обрабатывает ПДн и по этому его и нет в реестре. Возможно это юр.лицо(читайте отделение) занимается клининг службой в помещениях и никаких ПДн не обрабатывают.

Про согласие перед регистрацией не знаю, ибо не регистрировался. Но думаю галка какая-нибудь маленькая есть.
Сертифицированные СЗИ
Цитата
Сергей С. пишет:
А при чем здесь РКН? Техзащита не их вотчина. А бодаться можно и нужно.
Документы(бумажки), сами сертификаты имеют право проверить. Если заподозрят и захотят проверить, то да это уже компетенция ФСТЭК.
ИСПДн на базе Unix, Linux, Solaris
Все верно на такие ОС сертифицированных продуктов практически нет. Более того, вы правы, даже сами эти ОС практически не сертифицированны. Только некоторые дистрибутивы и, как правило, старые версии. ПРимером для Linix является AltLinux. Ответ на поверхности: чтобы что-то сертифицировать нужно много времени, денег, сил и нервов. А этим не будет никто заниматься тем более что:
1) Законодательство очень дырявое и далеко не полное, за ним не угонишься
2) Дорого, особенно для свободно распространяемого ПО
3) Очень узкий круг потребителей
4) Для каждой версии нужен новый сертификат, а значит новые деньги, силы, время и нервы, а версии как правило выходят очень часто.
Это основные плюс еще много пунктов.

Все выкручиваются кто во что горазд, но в основном просто забивают.
Ищите другие способы закрыть угрозы. Аппаратными СЗИ или виртуалить или орг мерами и т.д.
[ Закрыто] О пд НЕКОТОРЫЕ ВОПРОСЫ
Денис,
В каждой базе вы говорите ПДн свои, цели обработки разные или нет?!

Если цели обработки одинаковые то 2-ой вариант, объединяйте в одну ИСПДн(если конечно количество субъектов в таком случае не поднимает класс до К1) и по мак классу. Так выйдет и проще и дешевле это точно. Если цели разные то тут деваться некуда и путь 1.
Поручение обработки ПДн третьему лицу
Александр,
Если вы не хотите менять схемы обработки ПДн то у вас 2 пути:
Операторами являются все ваши юр.лица! И УК самостоятельный оператор своих ПДн и активы самостоятельные своих Пдн.
Каждый оператор(читайте юр.лицо) обязан иметь пакет документов по ЗоПДн. Каждый оператор(читайте юр.лицо) обязан принимать меры по ЗПд.

1 путь: Все юр.лица обрабатывают и защищают свои ПДн. А уж по договорам передачи ПДн 3-им лицам работают с ПДн других юр.лиц. А также по договорам активы хранят свои ПДн на серверах УК.
2 путь: Все активы передают по договору аутсорсинга работу с ПДн управляющей компании и назначают УК ответственной за обработку Пдн.

В обоих случаях собираются полные пакеты нормативных документов по законодательству и заключаются договоры о неразглашении.
Кадры & 152-ФЗ, вопросы:)
Дополню.
По второму пункту
Цитата
Uzl Prog пишет:
может предпологать их передачу третьим лицам без указания конкретики
Мало того что для передачи 3-им лицам плюс ко всему обязательно должно быть согласие субъекта именно на передачу 3-им лицам и обязательно С КОНКРЕТИКОЙ! Т.е. кому, куда, на сколько, почему, какие именно данные и т.д.

По 3-му пункту + еще нужно занести запись в журнал обращений субъектов.

По первому воспользуйтесь поиском, очень много нюансов, которые развернуто обсуждались на данном форуме.
МММ раздает деньги за анкеты, Корреспонденту Ридуса сегодня удалось заснять любопытную акцию: у входа на территорию ВВЦ
Мне это напомнило про исследование которое в каком-то городе какой-то страны проводилось.
И выяснилось, что 90% людей на улице без проблем сообщали пароль от своего рабочего компьютера за простую шариковую ручку.
p.s. Как они проверяли действительность сообщенного пароля я не знаю, но вроде как проверяли.
Источник указать не могу так как читал про это несколько лет назад, но думаю ничего с тех пор не изменилось. Сабж это только подтверждает.

Ну и по теме +1 ко 2-му комментарию.
Хранение сканов согласий на обработку
Сергей С.,
Немного оффтопа если позволите...
Если ответите буду рад, даже можно создать темку новую..

Собсно вопрос:
Давно заметил, что Вы ЗА УЭК. Почему? :)
Хранение сканов согласий на обработку
Время у нас сейчас такое. Гос структуры(суды, наши регуляторы и т.д.) пока ничерта не ладят с высокими(по их мнению очень высокими) технологиями. Они что-то слышали про сканы, видеозаписи, облачные вычисления и т.д., но также где-то слышали что их можно подделать и взломать. И так вот по умолчанию и стали считать, что взломать их очень легко не смотря ни на какие меры. И пошли судебные прецеденты, что видео- и аудиозаписи действительны только в течении получаса или часа, что сканы не действительны и т.д.

Иными словами регулятор дает понять, что так-то сканы конечно неплохая вещь, но мы(и суды) еще до них не доросли, так-что копите бумажки. Не то чтобы для регуляторов, а для спокойствия самих себя. Так надежнее..
Тест-программа имитирующая попытки несанкционированного взлома
Если вы используете для закрытия требования законодательства о аудите и тестирования защиты, то сертфицированное все таки наверно, как и все СЗИ. Но вопрос сп0рный.
Изменено: Карбер - 04.05.2012 12:54:13
МЭ
Посмотрел на дату вопроса, странно что вам никто не ответил. Сам отсутствовал на форуме, надеюсь как-то поможет.
А аргументированность под каждый пункт также уже обсуждалась подробно в других темах.
Изменено: Карбер - 04.05.2012 12:49:59
МЭ
Владимир,
1) Если вы используете для закрытия требования то обязательно все сертифицированное и естественно для К1 если у вас К1.
2) Устанавливать могут специалисты с лицензией на ТЗКИ. Бытует мнение что для собственных нужд можно самим и для себя без нее. Чем подтвердить не знаю. Но также можно и обойти, схитрить с этим требованием. В меру легально. Если заинтересовало, воспользуйтесь поиском. На донном форуме ответ есть.
3) Смотря с какой целью вы хотите ставить. Закрыть требование законодательства значит сертифицированный, если для себя смотрите сами. Для верности уточните в отделении ФСБ.
4) Опять же если для законодателя то ТОЛЬКО российские криптоалгоритмы.
5) см. п.2. Но тут уже если для успокоения души ставите, а не законодателя то только с лицензией.
6) Как правильней опишите в МУ.

А теперь по делу для "сэкномить". Ждете всех ПП с уровнями угроз, с уточнениями насчет СЗИ и т.д. и не рыпаетесь. Если такие бабки на кону, то В САМОМ СТРАШНО случае заплатите мизерный штраф, а особенно в сравнении с возможными ненужными и преждевременными тратами так вообще копейки. Но скорее всего не потеряете вообще НИЧЕГО. А потом уже по устоявшемуся и утоптанному законодательству построите все как доктор прописал.
Страницы: 1 2 3 4 5 6 7 8 9 10 11 ... 18 След.