Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Особенности аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции (работ, услуг), поставляемой по гособоронзаказу.

12/08/2019 

08 мая 2019 г. утверждены новые Правила аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции работ, услуг), поставляемой по государственному оборонному заказу (постановление Правительства Российской Федерации от 30 апреля 2019 г. № 548).

Новые Правила аккредитации кардинально меняют сложившуюся систему не только аккредитации, но и сертификации СМК предприятий, работающих в области государственного оборонного заказа.

Реклама





Партнеры





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: 1
модель угроз персональных данных
Цитата
Сергей Терехов пишет:
Денис, извините, но у Вас "каша" в голове.

Вполне вероятно) благодарю за разъяснения!
модель угроз персональных данных
Цитата
Сергей Терехов пишет:
Основы ИБ в том, что надо нейтрализовать те угрозы безопасности, вероятность реализации которых высока и они причиняют вред, к примеру, субъектам Пдн. Поэтому, ЧМУ первична, а Приказ 21 вторичен. Не надо применять меры из приказа, если конкретная ИСПДн не содержит чего-то, например виртуализацию, или угроза, на которую направлена мера не актуальна.
По логике я с Вами согласен, но мне хотелось бы бюрократическую основу применения ЧМУ найти. В ЧМУ могут выскакивать "тонкости", которые потом обходятся доп мерами и доп затратами (пишу пока на бегу и примеры нет возможности расписать), а как объяснить руководству,что ты залез в документы, которые "не должны быть" и обосновал новые расходы..
Ссылку посмотрю, благодарствую, интересно
А вообще я тут продолжал искать и наткнулся на интересный документ БР 3889-У от 10.12.2015, мы относимся к некредитным финансовым организациям, но стандарт безопасности БР к нм не относится. Итак достаточно интересный список актуальных угроз:
"Угрозами безопасности персональных данных, актуальными при их обработке в информационных системах персональных данных, являются в том числе:
угроза несанкционированного доступа к персональным данным лицами, обладающими полномочиями в информационной системе персональных данных, в том числе в ходе создания, эксплуатации, технического обслуживания и (или) ремонта, модернизации, снятия с эксплуатации информационной системы персональных данных;
угроза воздействия вредоносного кода, внешнего по отношению к информационной системе персональных данных;
угроза использования методов социального инжиниринга к лицам, обладающим полномочиями в информационной системе персональных данных;
угроза несанкционированного доступа к отчуждаемым носителям персональных данных;
угроза утраты (потери) носителей персональных данных, включая переносные персональные компьютеры пользователей информационной системы персональных данных;
угроза несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимостей в организации защиты персональных данных;
угроза несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимостей в программном обеспечении информационной системы персональных данных;
угроза несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимостей в обеспечении защиты сетевого взаимодействия и каналов передачи данных;
угроза несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимостей в обеспечении защиты вычислительных сетей информационной системы персональных данных;
угроза несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимостей, вызванных несоблюдением требований по эксплуатации средств криптографической защиты информации"
меня только смущает угроза про уязвимости в прикладном ПО, но не думаю,что это угрозы 2 типа из 1119П. Вроде бы и ЧМУ не нужна))
модель угроз персональных данных
Добрый вечер, мы актуализируем документацию. В своеУЗ по 1119 время не было финансирования и все замерло на ЧМУ, вывели 4 УЗ и успокоились) пост немного не в тему, но хотел продолжить завязавшийся разговор в постах 25 и 26. у нас многое поменялось в работе, поэтому начал "все с начала" с выяснения объемов ПДн, выясняю что кому передаем и вообще.. при перечитывании ЧМУ меня одолели сомнения а зачем вообще это делать при наличии 21 приказа? Открыл "Методику определения актуальных угроз..", а Консультант прямо так говорит - стойте, документ относится к ныне не действующим нормативным актам.
Конкретика.
1. Определяем МУ и актуальные угрозы - зачем? исходя из текущей нормативки 1119 постановления и 21 приказа.
2. УЗ по 1119 - кажется легко, у нас Иные ПДн не сотрудников менее 100000 шт и угрозы 3 типа. Самое интересное - КАК определить какого типа угрозы актуальны? Типа в ЧМУ? а из чего следует какие актуальные угрозы соотносятся с каким типом угроз (1, 2, или 3)?? Я не профильный специалист и хочу иметь четкое и жесткое обоснование своих "буковок и выводов"
3. с базовым все понятно
4. адаптированный тоже более-менее ясен - я так понял смысл заключается в ИСКЛЮЧЕНИИ не используемых технологий в ИСПДн. Только - мне что отдельными документами все описывать или просто в каком либо документе, имеющем отношение к безопасности можно сразу написать - "адаптированный набор мер с учетом применяемых технологий", ведь какой смысл издавать документ с базовым набором мер, который жестко указан в 21 приказе?
5. а вот "уточненный" - это уже интереснее, я правильно понял - если в ЧМУ у меня вывелись угрозы, которых нет в базовом наборе (21 приказ) к моему УЗ, то мы должны "добавить" меры из других более строгих по рангу УЗ?
Заранее благодарен, еще раз напомню - это не мой профиль, не "окунался" уже около 5 лет и в голове "каша"..((
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
прошу независимый совет, по возможности со ссылками на нормативку.
обработка ПДн ведется на сервере, доступ по локальной сети (КЗ) по протоколу RDP (клиентские машины - полноценные ПК) все лицензированные конторы по защите впаривают мне средства от НСД на каждую машину (сервер+клиенты), а я считаю, что достаточно защитить только сервер. доступ к серверу по паролям, которые достаточно сложно формируются. интернет есть, но будет файерволл и уже имеется сертифицированный касперский, для защиты сервера хочу SecretNet или сертифицированный виндовс
заранее благодарен
Изменено: Денис - 09.08.2013 17:36:23
Допуск к обработке ПДн и доступ к ПДн в ИСПДн, порядок организации
Цитата
Настя пишет:
Денис, в требованиях к классам ИСПДн нет ни слова о классах секретности шредеров и о их обязательном наличии.
Я тоже этого не встречал, но мы же обязаны уничтожать носители ПДн при прекращении обработки, мне показалось, что наличие шредера (ну и фактическое использование от греха подальше) вызовет меньше вопросов при проверке, чем обязанность порвать листы на много-много кусочков. Ладно, возьму 3 класса. Интересно, а диски в практике приходится уничтожать?
Допуск к обработке ПДн и доступ к ПДн в ИСПДн, порядок организации
Вопрос не совсем в тему, но раз уж речь здесь об этом зашла, то спрошу. Как сопоставить классы секретности шредеров с классами ИСПДн?
Информационное сообщение ФСТЭК по лицензированию по ТЗКИ
Цитата

а также если это юридическое лицо (уполномоченное лицо) обеспечивает техническую защиту конфиденциально информации при ее обработке в соответствии с Федеральным законом «Об информации, информационных технологиях и о защите информации» по поручению обладателя информации конфиденциального характера и(или) заказчика информационной системы.

я, конечно, не юрист, но считаю, что обработка на основании п. 3 ст 6 ФЗ №152-Фз, по той простой причине, что в письме этого закона НЕТ. Или я не прав?
[ Закрыто] К3, Типовые решения для ИСПДн Класса 3
Почитал и форум, и нормативку, и сложилось впечатление, что при классах ИСПДн К3 и К2 многие дыры закрывает сервер с терминальным режимом, причем не с тонкими клиентами как таковыми, а при подключении простых до безобразия ПК к серверу для обработки ПДн. Прошу на обсуждение данный вариант, т.к. теоретически он может привести к экономии в целом, особенно при небольшом росте штата (1-2 машины). Только вот многие фирмы, оказывающие услуги по защите ПДн и выдающие бумажки, что все защищено ОЧЕНЬ настаивают в этом случае ставить СЗИ на все машины. :(
В нашем случае:
10 АРМов в офисе все работают с ПДн. ИСПДн 2 шт – клиенты и работники, думаю, дать всем права на доступ ко всем данным чтобы не городить МЭ внутри ЛВС (базы разные для разных целей). По факту доступ к интернету у всех и он нужен. Планируем приобрести сервер для обработки на нем в терминальном режиме всех ПДн (базы 1С и вордовские, экселевские документы). Класс ИСПДн К3. Также в конце этого года будут обрабатываться ПДн другой фирмы (наш близнец) по поручению этой же фирмы.
Планирую сертифицированный сетевой антивирус на все машины и для ПДН и для себя, сертифицированный Вин 7 на АРМы и ключ доп идентификации (етокиен).

Сейчас принципиально поставить необходимый минимум программ на сервер, чтобы защитить его, поскольку ПДн хранятся только на нем, а передаваемые по ЛВС при работе в терминале не хранятся на АРМах сотрудников, защиту передаваемых при работе данных планирую закрыть сертифицированной ОС Вин 7 на АРМах и доп ключами етокиен, вся ЛВС полностью расположенной в контролируемой зоне подключение злоумышленников физически – маловероятно. На сервере антивирус, МЭ, соболь, сертифицированную ОС Вин 2008 Р2. Что делать со средствами обнаружения вторжений и анализа уязвимостей не знаю, возможно, это уже излишне.

В следующем году будет человек в другом городе обрабатывать наши ПДН (типа удаленный офис), если данные будут передаваться по интеренту, то это только континент на оба конца или можно обойтись шифрованием почты?
Страницы: 1