Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Минюст обязал банки проводить пентесты и аудит кибербезопасности

13/08/2018

Банки обяжут соблюдать новые меры кибербезопасности, среди которых обязательными являются аудит информационной безопасности, различные тестирования на проникновение (пентесты), обязательная сертификация использованного программного обеспечения.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: 1 2 3 След.
политика ИБ в области ПД и положение о ПД это одно и то же?
Цитата
Сергей С. пишет:
1. Лучше отдельный
2. Да
3. Классификация ИСПДн необязательна, АС -только ГИС
Сергей С., в п. 3 классификацию с аттестацией не перепутали?
Выбор средств СЗИ
Дмитрий, как вариант САЗ - Ревизор сети имени ЦБИ. Либо посоветованый ранее XSpider имени Positive Tec.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Ольга, "о состоянии на учете" - это фактически "о наличии ПДн субъекта в базах". Полагаю такие обращения стоит заносить в журнал - в случае проверки РКН будет жирным плюсом.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Насколько понимаю из ст 11 152-ФЗ, биометрия - это исходные (первичные) данные, служащие для того, чтобы система или человек на основании только этих данных могли определить, кто есть кто. Подобные системы хорошо работают с отпечатками, сосудно-кровеносными рисунками всякими. Есть и умные системы, которые на основании изображения с видеокамеры могут идентифицировать человека. Если у Вас, например, жутко умная система, которая видя человека и сравнивая его с низкокачественным фото определяет (выводит) ФИО, должность и/или отдел-цех, тогда это биометрия в терминах закона. В противном случае - не биометрия.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Причем провокатор Иван отъехал...
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Если фотография обрабатывается для установления расовой принадлежности - тогда да.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
http://fstec.ru/index.php/ru/component/attachments/download/275
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Настя, действительно... Прошу пардонии у всех. Померещилось, что требование ч. 3 ст. 18 в новой редакции убрали. Но это, еще раз, только для тех, кто получил ПДн не от субъекта. Если получаем ПДн от субъекта - уведомлять его о начале обработки ПДн не требуется.
[ Закрыто] Нужна ли аттестация ИСПДн класса 3 и выше в гос. учреждениях на ТКЗИ и кем она должна проводиться?, Вопрос о том нужна ли, и кем может быть проведена
Михаил, так оно, но работая в районе ОГВ, конкретно - ОИВ субъекта РФ, усвоил, что с администраций субъектов на ОИВ часто спускаются пинки о исполнении СТР-К, особенно в отношении ГИСов. И бюджеты под это идут.
[ Закрыто] Нужна ли аттестация ИСПДн класса 3 и выше в гос. учреждениях на ТКЗИ и кем она должна проводиться?, Вопрос о том нужна ли, и кем может быть проведена
Насколько мне известно, поправьте, если путаю, аттестация ГИСов обязательна и сейчас в соответствии с СТР-К.
[ Закрыто] Наличие недекларированных возможностей в системном ПО
А вот и название письма ФСТЭК

ИНФОРМАЦИОННОЕ СООБЩЕНИЕ
об особенностях защиты персональных данных при их обработке в информационных системах персональных данных и сертификации средств защиты информации, предназначенных для защиты персональных данных
от 20 ноября 2012 г. № 240/24/4669
Пункт первый...
[ Закрыто] Наличие недекларированных возможностей в системном ПО
Наталья Никитина, если ИС введена до ПП 1119 и не изменялась - действуют старые правила. За подтверждением этого тезиса рекомендую обратиться в Ваше территориальное управление Роскомнадзор. А вообще, техвопросы - ведение ФСТЭК, а у них то ли в проекте СОиСО, то ли в инфописьме было подобное заявление.
Зачем сертификат от ФСТЭКа?
И еще вот из приказа №58:
Цитата
7. Для информационных систем 1 класса применяется программное обеспечение средств защиты информации, соответствующее 4 уровню контроля отсутствия недекларированных возможностей.
Зачем сертификат от ФСТЭКа?
Настя, не ругайтесь сильно :) . Я Вот это имел ввиду:
Цитата
2.12. Программное обеспечение средств защиты информации, применяемых в информационных системах 1 класса, проходит контроль отсутствия недекларированных возможностей.
Необходимость проведения контроля отсутствия недекларированных возможностей программного обеспечения средств защиты информации, применяемых в информационных системах 2 и 3 классов, определяется оператором (уполномоченным лицом).
а про то, что в ПП1119 сертификация для всех - хотел дописать, но забыл :(
Зачем сертификат от ФСТЭКа?
1. Для коммерсантов, за редким исключением, сертификация МЭ и Антивируса нужна была для защиты больших массивов персданных, либо для защиты спец.категорий персданных, что установлено приказом ФСТЭК 2011 года №58. Сейчас можно глянуть ПП РФ №1119, там формулировка иная - оценка соответствия.
Можно ли не регестрироваться в реестре Операторов?
В нашем регионе тоже в прошлом году было много УК ЖКХ, были и турфирмы в большом ассортименте. В этом году хорошо зацепили агентства недвижимости. остальное по мелочи - заводы, больницы, школы...
[ Закрыто] ФСТЭК - не обманули, Проект приказа по ПДн
Настя, собственно я об том же. Экспертное мнение должно свестись к тому, что вероятность реализации угрозы низкая (маловероятно).
[ Закрыто] ФСТЭК - не обманули, Проект приказа по ПДн
Настя, все, что я писал выше - попытка понять, как сделать неактуальными угрозы, связанные с НДВ в системном ПО. Вы в посте #47 описываете реализацию угрозы, которую я рассматривал в посте #46, с использованием ССОП. Но где в данном варианте реализации угрозы использование НДВ в системном ПО?
Мое предположение - угрозы, связанные с НДВ в системном ПО, при наличии МЭ могут быть реализованны только при непосредственном (физическом) доступе к АРМ. От чего и должны спасти определение КЗ и соблюдение режима.
[ Закрыто] ФСТЭК - не обманули, Проект приказа по ПДн
Настя, хм.. А где здесь НДВ в системном ПО? То, что оно все обрабатываемые данные сует в сеть?
[ Закрыто] ПДн при пропускном режиме, Обработка ПДн в соответствии с требованиями ФЗ при организации проп. режима
ГОСТ_ь, подводных камней быть не должно. Рекомендую вдумчиво прочитать части 3-5 ст.6 152-ФЗ. Там написано, что если оператор ПДн (подрядчик, он же работодатель) поручает третьему лицу (заказчику) обработку ПДн, то всю ответственность за корректность обработки заказчиком ПДн перед работником несет подрядчик. И подрядчик должен предъявить заказчику требования обработки ПДн для собственного спокойствия. Но для передачи ПДн подрядчику нужны основания. И именно о наличии таких оснований говорится в письме РКН, ссылку на которое дал Сергей С. Никаких подводных камней.
Страницы: 1 2 3 След.