Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Новая версия SIEM-системы КОМРАД: теперь с поддержкой масштабирования и без ограничений на производительность

22/11/2018

Группа компаний «Эшелон» представляет обновленную систему управления событиями информационной безопасности КОМРАД. Новая версия SIEM-системы поддерживает возможность масштабирования и включает ряд новых возможностей.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: 1
Обязательные документы для К3
Цитата
SMak пишет:
Про аттестацию ИСПДн сейчас вообще ни в каком доке не прописано

Для органов власти СТР-К пока обязательный (следовательно и аттестация тоже), для прочих организаций рекомендательный... перечень докуменов на АС можно взять оттуда... а вот с минимальныо необходимым перечнем сам запутался (лучше сделать документы как по СТР-к, хуже не будет)
Изменено: mitnik - 23.03.2010 14:04:45
Составляю модели угроз, при этом использую уникальный способ гадания сетевыми картами (долго, дорого)
Навязали ГОСТ BMW-Банку?
Ну аттестовался банк, вероятно кто-то из верхушки получил огромный откат, всем хорошо, все довольны... Явный пример вкладывания денег в никому не нужную хрень - АВТОВАЗ, все это понимают, однако вкладывают и будут вкладывать ;)

К тому же данный шаг это бесплатная PR компания, фактически два зайца по цене одного ;)
Составляю модели угроз, при этом использую уникальный способ гадания сетевыми картами (долго, дорого)
ИСПДН 3 класса в госоргане, аттестация нужна?
Гос орган? - Тогда вступает в силу СТР-К и аттестация обязательна... СТР-К ещё никто не отменял... к сожалению пока всё имеено так... :( что будет дальше время покажет, а то ваша ИСПДн в любом случае К2, а не К3 забывать не стоит ;)
Составляю модели угроз, при этом использую уникальный способ гадания сетевыми картами (долго, дорого)
выполнение требования п 4. 3 Нового Приказа ФСТЭК №58
Цитата
Simon пишет:
Например, ПАК "Соболь" (у нас используется).
Но, насколько я понял, обязательность сертифицированных средств отменили. Поэтому прямо по элементам пункт и выполняется: журналы, логи и пр.

Постановелние №781 ещё никто не отменял, а оно гласит:
...
5. Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия.
...
Насколько я знаю, на данный момент установленая государством процедра оценки соответсвия это как раз и есть сертификация ФСТЭКом или ФСБ.
Составляю модели угроз, при этом использую уникальный способ гадания сетевыми картами (долго, дорого)
посоветуйте, как организовать предоставление "согласия на обработку ПДн" в мед.орг.
Цитата
кнд пишет:
По приведённым вами ссылкам рассматривается юридическая сторона вопроса, меня же более интересует физическая - как организовать сбор, как хранить подписи. Это понятно, что всякие буйные бабули будут упираться, и этот вопрос тоже надо решать, но в данном случае хотелось бы придумать ещё грамотную организацию этого дела. В общем, главная проблема - замедление очереди. А очереди у нас и так немаленькие

Вы медицинские карточки на пациентов заводите? При получении карточки даёте пациенту лист пусть ознакомится с ним, распишется что разрешает выполнять определенные операции с его персональынми данными, а потом клеить его в карточку... не хочешь расписываться - талон к врачу не получишь... вот как то так... :)

Для особо дотошных повесить возле регистратуры БОЛЬШОЙ ПЛАКАТ, где говорить о том что в связи с принятием ФЗ-152, теперь требуется писменно согласие пациентов, на работу с их данными. Успокоить их тем что раньше вы делали то же самое но без их согласия так как оно не требовалось...
Составляю модели угроз, при этом использую уникальный способ гадания сетевыми картами (долго, дорого)
[ Закрыто] использование Microsoft Windows XP Pro для защиты К3 и К2 по приказу 58
Цитата
Гость пишет:
Microsoft Windows XP Pro SP2 имеет сертфикат ФСТЭК
http://www.npo-echelon.ru/production/...NT_ID=4596
Область применения :
ИСПДн К2 / класс АС - 1Г
Сертификат соответствия :
ФСТЭК России №844/2, №844/3

А ничего страшного, что сертифициуется не весь Microsoft Windows XP Pro SP2 как таковой, а конкретный билд этой винды, максимум партия... С таким же успехом можно говорить, что почти все Циски сертифированны, в реестре ФСТЭК они же есть... Так что при проверки попросят бумажку, что именно этот Windows сертифицирован на соотвествие ТУ, причем в сертификате должно быть указано, что в нем проверялись функции "контроля целостности", "разграницения доступа", "регистрации и учета" или что он сертифицирован как средство от НСД для информационных систем класса "Ща"...
Составляю модели угроз, при этом использую уникальный способ гадания сетевыми картами (долго, дорого)
Вопросы: Средства НСД для K3 с учетом новых требований
Цитата
Гость Сергей пишет:
Значит кроме как отмену ПЭМиН новый приказ нам ничего не дал?
Как не изворачивался, бухгалтерия из 8 машин и одного сервера К3 выходит не меньше 300 т.р.

А откуда такие цены? 9 НСД типо Далас лока или Секретнета 90 т.р. МЭ Випнет офис фаервол 35т.р. Антивыры 20т.р. а остальное куда?! Или обязательно нужен апаратный МЭ за 200т.р. чтобы поставить его в серверную и всей конторой ходить молиться на него? :)
Составляю модели угроз, при этом использую уникальный способ гадания сетевыми картами (долго, дорого)
[ Закрыто] Новое Положение ФСТЭК. Методы и способы защиты ПДн
Цитата
Антон пишет:
Цитата
Олька пишет:
Это значит, что средства защиты должны иметь сертификат соответствия ФСТЭК и ФСБ (последнее для криптографии), собственно как и было раньше
Методами и способами защиты информации от несанкционированного доступа являются:
использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия

То есть только для НСД, а антивирусную защиту и межсетевые экраны можно использовать несертифицированные???
НСД (НЕСАНКЦИОНИРОВАННЫЙ ДОСТУП) может осуществляться несколькими путями:
-Нарушитель включил комп, сел за него, подобрал пароль вот вам и НСД
-А может осуществляться и по сети, причем по он может быть реализван с использованием умелых ручек взломщика, а может с использованием вредоносных программ(переборщик паролей, эксплойт, троян и т.д.)
Если я правильно понимаю, то по своей сути и НСДшка, и Межсетевой экран, и Анитивирус всё это средства защиты от НСД.
Составляю модели угроз, при этом использую уникальный способ гадания сетевыми картами (долго, дорого)
[ Закрыто] Основание для декларации соответствия ИСПДн
Сразу предупреждаю, это только мои предположения, так как в беседе с преставителями ФСТЭК внятного ответа о том что такое "декларирование" я не получил...

Вобщем как я поняил из их увильчивых ответов, то надо подготоваить весь перечень документов что и при аттестации, но вот самой аттестации проводить не надо, а надо придумать какой-то документ в котором будет описаны меры, которые вы приняли для защиты ПДн и обоснование почему вы считаете эти меры достаточными...

жду объективной критики :)
Составляю модели угроз, при этом использую уникальный способ гадания сетевыми картами (долго, дорого)
[ Закрыто] СТР-К и персональные данные
А в чем проблема? В СТР-К так же сказано, что сетки считается разными, если отделены фаерволом... Кстати, если внимаетльно прочитать СТР-К, то там говорится о классе защищенности, а не о классе ИСПДн, это маленько разные вещи :) Классифицируй свою сеть по категории ПДн и по объему, по наличию подключений к сетям, режиму обработки ПДн и т.д. в приказе же русским по белому сказано как это делать и не надо перемудрять и лезть в СТР-К... :)

Согласно п. 5.1.7. СТР-К если объединяются АС различных классов защищенности, то интегрированная АС должна классифицироваться по высшему классу защищенности входящих в нее АС, за исключением случаев их объединения посредством межсетевого экрана, когда каждая из объединяющихся АС может сохранять свой класс защищенности.

Это может пригодиться, чтобы не пришлось ставить дорогостоющую защиту на все компы сети... т.е. отдели ИСПДн от основной сети и будет тебе счастье :)
Составляю модели угроз, при этом использую уникальный способ гадания сетевыми картами (долго, дорого)
Модель угроз., Модель угроз в типовой системе.
Сергей Гармаш, если не трудно покажите мне где сказано, что мероприятния по защите ИСПДн должны проводятся в соотвествии с моделью угроз, а не в соотвествии с "Основными требованиями..."
Изменено: Дмитрий - 19.01.2010 11:36:28
Составляю модели угроз, при этом использую уникальный способ гадания сетевыми картами (долго, дорого)
Модель угроз., Модель угроз в типовой системе.
Анатолий М, в идеале требования по защите должны строиться в соотвествии с моделью угроз(это правильно, за бугром так и делают), но на практике по докумнтам ФСТЭК, независимо от того, что ты напишешь в моделе, надо выполнять требования описанные в "основых мероприятиях..." шаг в право или лево - расстрел... :( безусловно в моделе можно существенно завысить угрозы и написать, что для системы К3 для большей надежности необходимы средства защиты под К1, но вот наоборот сделать вряд ли получится...
Составляю модели угроз, при этом использую уникальный способ гадания сетевыми картами (долго, дорого)
Модель угроз., Модель угроз в типовой системе.
РЕКОМЕНДАЦИИ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ

"Применительно к специальным информационным системам после определения класса системы оператором ДОЛЖНА БЫТЬ разработана модель угроз безопасности персональных данных с использованием методических документов, разрабатываемых в соответствии с пунктом 2 постановления"


ОСНОВНЫЕ МЕРОПРИЯТИЯ ПО ОРГАНИЗАЦИИ И ТЕХНИЧЕСКОМУ ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.5. Рекомендуются следующие стадии создания СЗПДн:
....
....
определяются (уточняются) угрозы безопасности ПДн применительно
к конкретным условиям функционирования ИСПДн (разработка частной модели угроз).
Составляю модели угроз, при этом использую уникальный способ гадания сетевыми картами (долго, дорого)
Модель угроз., Модель угроз в типовой системе.
А ещё РЕКОМЕНДУЕТСЯ не делать лишних документов, про которые не сказано, что они ОБЯЗАТЕЛЬНО должны быть, меньше документов - меньше вероятности накосячить. А ТРЕБОВАНИЯ по защите типовых ИСПДн вполне конкретно изложены в методичках ФСТЭК и выполнять их надо вне зависимотсти от того актальны эти угрозы в модели или нет. Не забывайте, что инициатива всегда ... инциатора ;)
Составляю модели угроз, при этом использую уникальный способ гадания сетевыми картами (долго, дорого)
Модель угроз., Модель угроз в типовой системе.
Цитата
Гость пишет:
модель составляется в любом случае, если класс выше 4, потом на ее основе с использ. "основных мероприятий..." разрабатывается все остальное
Модель угроз составляется только для специальных ИСПДн, если хоть где-то в документах ФСТЭК написано иначе, буду признателен если ткнете носом ;)
Составляю модели угроз, при этом использую уникальный способ гадания сетевыми картами (долго, дорого)
[ Закрыто] Распределенные системы ПДн на основе тонкого клиента, Сервер с ПДн - МЭ - тонкий клиент - какие требования защиты со стороны клиента ?
Цитата
system32 пишет:
Нас товарищ уверяет на той стороне (где ИСПДн что шифровать не надо... типа нет трафика - есть тока служебные пакеты для запуска на сервере удаленных процедур. Даже типа sql запросы не пересылаются по каналу. ).

0_о а как тогда работает тонкий клиент? если трафик не пересылается? ))) в СТР-К русским по белому написано:
Пункт 5.2.5. Для передачи информации по каналам связи, выходящим за пределы КЗ, необходимо использовать защищенные каналы связи, в том числе защищенные волоконно-оптические линии связи или предназначенные для этого криптографические средства защиты.
Использование тонких клиентов позволяет понизить класс ИСПДн и удешевить защиту клиентских мест.
Составляю модели угроз, при этом использую уникальный способ гадания сетевыми картами (долго, дорого)
Уведомление Роскомнадзора
Цитата
Руслан Титов пишет:
насчет операторов связи?

СЛУХИ - операторов сотвой связи этот закон обойдет стороной, они издадут свой отраслевой закон, свои регламетны защиты ПДн и будут жить счастливо... разумеется такие льготы они получили не за красивые глаза :))))
Составляю модели угроз, при этом использую уникальный способ гадания сетевыми картами (долго, дорого)
Уведомление Роскомнадзора
Кстати, то же самое касается и сотрудников, вы можете обрабатывать их персональные данные, передавать в налогову и т.д. при этом не уведомляя "рыбнадзор" и не уведомляя самих сотрудников, так как вы действуете на соновании трудового договора и законоджательства РФ, но защищать персональные данные своих сорудников вы ОБЯЗАНЫ, поэтому на всякий случай уберите из баз лишнюю информацию, чтобы ПДн подходили под 3й клас и не пришлось привлекать аутсорсеров... ;)
Составляю модели угроз, при этом использую уникальный способ гадания сетевыми картами (долго, дорого)
[ Закрыто] Являются ли оценки студента его персональными данными?, Можно ли без разрешения студента выставлять его оценки на веб-сайт?
для контрактиков добавить пункт в договор на обучение, что ПДн о его успеваемости будут общедоступными, бюджетникам подсунуть договр, когда они будут получать карточки на степендию, или когда будут в общагу вписываться или ещё что-ниубдь... не хочешь чтобы твои ПДн обрабатывались - ищи другой универ... добровольно принудительные меры ещё никто не отменял :))))))
Составляю модели угроз, при этом использую уникальный способ гадания сетевыми картами (долго, дорого)
Страницы: 1