Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Минюст обязал банки проводить пентесты и аудит кибербезопасности

13/08/2018

Банки обяжут соблюдать новые меры кибербезопасности, среди которых обязательными являются аудит информационной безопасности, различные тестирования на проникновение (пентесты), обязательная сертификация использованного программного обеспечения.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: 1 2 3 4 5 6 След.
Должностные инструкции
Нет, не должна. Тогда, следуя Вашей логике в ДИ надо писать и операционную систему и офисные приложения, а это не правильно, и не должно отображаться в ДИ, где описываются функциональные обязанности.
Защищаемся вместе и по отдельности.
http://a-makarenko.blogspot.com/
Коммерческая тайна
Модель угроз и модель нарушителя, рассматривается, прогнозируется и моделируется в не зависимости от НПА по ИБ. Вы МУ и МН применяете ко всей организации, на которую влияющими воздействиями действуют законы, ПП, УП, отраслевые стандарты и т..д.
Защищаемся вместе и по отдельности.
http://a-makarenko.blogspot.com/
Нужно ли публиковать Концепцию безопастности?, или только Политику?
Сделайте выборку из своих документов и их опубликуйте. Нет у нас правила, что там должно быть написано.
Защищаемся вместе и по отдельности.
http://a-makarenko.blogspot.com/
[ Закрыто] Психологическая проверка при приёме на работу
Тест на полиграф. И то, это не панацея защиты от недобросовестного кандидата. А для психологических тестов, вам нужен хороший психолог.. В штат можно не брать. Достаточно заключить с ним договор. Он Вам тесты свои, а от Вас результаты тестов, и специалист по своей методике их интерпретирует. Однако такому специалисту Вы должны очень сильно доверять.
Защищаемся вместе и по отдельности.
http://a-makarenko.blogspot.com/
Является ли топология сетей конфиденциальной информацией
Согласен с Антоном, если ничего нет, то не относится к КИ. На самом деле не обладая информацией, на основании чего с вами разговаривает некий орган, мы ни чем не поможем. Попробуйте обратиться к своим юристам.
Защищаемся вместе и по отдельности.
http://a-makarenko.blogspot.com/
Является ли топология сетей конфиденциальной информацией
А на основании чего этот "компетентный орган", у Вас пытается что-то выяснить?
Защищаемся вместе и по отдельности.
http://a-makarenko.blogspot.com/
Является ли топология сетей конфиденциальной информацией
Я думаю что нет. Прям вот так явно не написано. Однако следует учитывать тот фактор, что активы использующиеся при построении корпоративной информационной системы имеют большую значимость для ведения бизнеса. Если злоумышленник знает ваши информационные потоки, то ему намного легче нанести вам ущерб. Отсюда следует что информационные активы и топология сети могут быть отнесены к конфиденциальной безопасности. На моей практике, есть компании у которых топология сети отнесена к конфиденциальной информации.
Защищаемся вместе и по отдельности.
http://a-makarenko.blogspot.com/
Типизация ИСПДн по субъекту персональных данных в мед. учреждении
Не советую смотреть документ минздрава. Достаточно кривой и не правильный. В кожвен, наверняка есть программа Медиалог, а это однозначно К1.
Защищаемся вместе и по отдельности.
http://a-makarenko.blogspot.com/
Законность проверки по ПД
В документе?, который вы получили должно указываться, плановая проверка или нет.
Если плановая тогда отказ на основе списка. Если внеплановая, тогда предоставить документы.
Изменено: Asmodean - 18.01.2012 19:26:39
Защищаемся вместе и по отдельности.
http://a-makarenko.blogspot.com/
Куда идти в первую очередь?
В первую очередь сюда: http://www.rsoc.ru/treatments/ask-question/
Защищаемся вместе и по отдельности.
http://a-makarenko.blogspot.com/
Уж вечер близится а ......, О подзаконниках...
Прекратили выдачу лицензий на ТЗКИ... Ждут нового постановления..
Защищаемся вместе и по отдельности.
http://a-makarenko.blogspot.com/
Аудиторы 1С и модель нарушителя
Включать однозначно. Вы на 100% уверены в человеке? Конечно же нет, однозначно включать.
Защищаемся вместе и по отдельности.
http://a-makarenko.blogspot.com/
[ Закрыто] Методические рекомендации ФСБ. Модель нарушителя.
А как быть с фразой "Предполагается, что нарушители типа Н5 и Н6 могут ставить работы по созданию способов и средств атак в научно-исследовательских центрах, специализирующихся в области разработки и анализа криптосредств и СФК." Т.е. научно исследовательские центры находятся внутри КЗ предприятия?
Далее по тексту.
"Рекомендуется при отнесении оператором нарушителя к типу Н6 согласовывать модель нарушителя с ФСБ России." т.е. Модель угроз с внутренним нарушителем надо согласовывать с ФСБ? А модель содержащую предположения о возможности перехвата данных иностранными разведками, делаем как хотим?
Изменено: Asmodean - 17.03.2011 14:38:35
Защищаемся вместе и по отдельности.
http://a-makarenko.blogspot.com/
[ Закрыто] Методические рекомендации ФСБ. Модель нарушителя.
Цитата
host пишет:
Слегка уточню вопрос предыдущего автора. Может кто-нибудь подсказать по каким критериям различать Н1 и Н2? Какая между ними разница, кроме той что "по определению" Н2 обладает бОльшими возможностями? Методические рекомендации прочитал, потом внимательно прочитал.. Может надо ещё внимательней?

Документ ФСБ.
Если внешний нарушитель обладает возможностями по созданию способов подготовки атак, аналогичными соответствующим возможностям нарушителя типа Нi (за исключением возможностей, предоставляемых *WOW* в момент атаки в контролируемой зоне), то этот нарушитель также будет обозначаться как нарушитель типа Нi...
Что дает логическую цепочку: нарушители внутренние и внешние:
Внешние это нарушители категории от H2 до H6.
Соответственно H1 это внутренний, кажется так :-)
Защищаемся вместе и по отдельности.
http://a-makarenko.blogspot.com/
[ Закрыто] Методические рекомендации ФСБ. Модель нарушителя.
Ответ есть в самом документе.
В частности, Методическими рекомендациями необходимо руководствоваться в следующих случаях:
- при обеспечении с использованием криптосредств безопасности персональных данных при их обработке в государственных информационных системах персональных данных (часть 5 Федерального закона от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»);
- при использовании криптосредств для обеспечения персональных данных в случаях, предусмотренных п. 3 Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005).
Соответственно надо и при планировании и при существующей.
Защищаемся вместе и по отдельности.
http://a-makarenko.blogspot.com/
[ Закрыто] Базовая модель угроз ФСТЭК, устарела?
В ГОСТ-ах,BS17799 и других стандартах, да много где упоминаются угрозы. Полный каталог очень большой.
Видел раз каталог из более 900 угроз. А что Вы будете туда вносить зависит только от Вас.
Защищаемся вместе и по отдельности.
http://a-makarenko.blogspot.com/
[ Закрыто] Частная модель угроз, указыать ли меры противодействия?
Нужно. а Вот как это сделать зависит от Вас. Можно просто написать организационные или технические меры и на этом закончить, а можно подробно всё описать.
Защищаемся вместе и по отдельности.
http://a-makarenko.blogspot.com/
Контролируемая зона
Тогда кабинет
Защищаемся вместе и по отдельности.
http://a-makarenko.blogspot.com/
Контролируемая зона
А как сотрудники попадают в кабинет в не рабочее время/выходные? Просто висит замок? Есть ли охранная сигнализация?
Защищаемся вместе и по отдельности.
http://a-makarenko.blogspot.com/
Лицензия по тех. защите конфидец. информации
Сами себя берете и аттестовываете. Не вижу ни каких проблем.
Защищаемся вместе и по отдельности.
http://a-makarenko.blogspot.com/
Страницы: 1 2 3 4 5 6 След.