Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Минюст обязал банки проводить пентесты и аудит кибербезопасности

13/08/2018

Банки обяжут соблюдать новые меры кибербезопасности, среди которых обязательными являются аудит информационной безопасности, различные тестирования на проникновение (пентесты), обязательная сертификация использованного программного обеспечения.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: 1
Об исполнении требований по защите.
Насчёт штор: можно повернуть монитор к стене, а не к окну и всё.
[ Закрыто] Оценка эффективности принимаемых мер
Всё зависит от вас самих и от того, что конкретно вы ходите получить на выходе. Можете даже по стандартам ЦБ РФ или COBIT провести аудит.
Определение типа угроз
AlexG, нет, но МУ служит для корректировки и правильной выборки нужного типа угроз. Просто формально достаточно личного мнения комиссии. Ну и я не совсем верно понял первое сообщение, кажется ;)

Резюмирую: по ПП 1119 получаем следующее:
1) Угрозы 1 типа: если в ОС могут быть НДВ (пиратский Windows, Linux "несистемной" сборки)
2) Угрозы 2 типа: если в используемом ПО могут быть НДВ (пиратская 1С, Офис, самописный софт)
3) Угрозы 3 типа: если всё лицензионное, а ещё лучше - сертифицированное, а доп. софта (недоверенного) нет.
Я привёл наиболее яркие примеры... Конечно, юр. лицам нелья пользоваться пиратками)) Дополните или исправьте :)
Определение типа угроз
Я бы на Вашем месте определял уровень защищённости по ПП 1119. А вот наборку мер по защите уже по МУ.
[ Закрыто] Аналитическое обоснование необходимости создания СЗИ, Пожалуйста, помогите.
Это было давно и неправда ©

А так, данный документ должен содержать:
1) «Перечень автоматизированных рабочих мест, участвующих в обработке персональных данных», в котором отражена информация о конфигурации АРМ, классе обрабатываемых данных, используемом программном обеспечении, должностях и фамилиях пользователей, имеющих доступ к АРМ, месте размещения АРМ;
2) «Перечень программного обеспечения, участвующего в обработке персональных данных», в котором отражена информация о наименовании программного обеспечения, поставщике, классе обрабатываемых данных, назначении;
3) «Характеристика ЛВС», включающий структурную схему ЛВС;
4) «Перечень каналов связи», включающий наименование канала связи и провайдера;
5) Перечень персональных данных, обрабатываемых в учреждении», содержащий информацию о наименовании и классе обрабатываемых данных;
6) «Характеристика базы данных», включающий наименование и описание принципиальных особенностей базы данных;
7) «Принципиальная схема обмена персональными данными внутри учреждения», включающий информацию о движении бумажных и электронных документов, содержащих персональные данные различных типов между подразделениями учреждения;
8) «Принципиальная схема обмена персональными данными с внешней средой», включающий информацию о поступлении и выбытии бумажных и электронных документов, содержащих персональные данные различных типов в и из учреждения;
9) Описание системы обеспечения безопасности каждого объекта, отражающих сведения о системах контроля и управления доступом, охранной сигнализации, системе видеонаблюдения, системе пожаротушения;
10) Заключение о соответствии существующих технических средств системы обеспечения безопасности требованиям нормативных документов и задачам физической защиты объекта;
11) Технико-экономический анализ технических средств системы обеспечения безопасности.
12) «Перечень ответственных за информационную безопасность», включающий информацию о фамилии, имени, отчестве, должности и зоне ответственности таких лиц;
13) Обеспечение безопасности информации на стадии проектирования и создания системы защиты информации, на стадии эксплуатации АСЗИ;
14) Организация контроля обеспечения безопасности информации в АСЗИ.


Министерство обороны Российской Федерации (Минобороны России) Приложение № 4 к Руководству (п. ) (проект документа)

Аналитическое обоснования необходимости создания СЗПДн должно содержать:
характеристику и организационную структуру ИСПДн;
характеристику комплекса основных и вспомогательных технических средств, программного обеспечения, режимов работы, технологического процесса обработки информации;
возможные каналы утечки информации и перечень мероприятий по их устранению и ограничению;
перечень предлагаемых к использованию сертифицированных СрЗИ;
обоснование необходимости привлечения специализированных организаций, имеющих необходимые лицензии на право проведения работ по защите информации;
оценку материальных, трудовых и финансовых затрат на разработку и внедрение СЗПДн;
ориентировочные сроки разработки и внедрения СЗПДн;
перечень мероприятий по обеспечению конфиденциальности информации на стадии проектирования ИСПДн.

А лучше укажите, на основании какого документа или чьего требования Вам потребовалось это обоснование?
[ Закрыто] Акт уничтожения персональных данных
В нашей практике все происходит следующим образом:
1) Издаётся приказ "О назначении комиссии по уничтожению материальных носителей информации содержащих персональные данные".
2) Приложением к нему служит акт уничтожения этих самых мат. носителей.
3) Когда приходит запрос, регистрируем его в соответствующем журнале.
4) Уничтожаем с актом и подписями комиссии.
Едина ИСПДн для нескольких юр. лиц.
В теории идея такова:
1) Подписываем договор (или доп. соглашение о конфиденциальности) со всеми остальными юр. лицами.
2) Собираем согласие с субъектов ПДн на передачу ПДн третьей стороне (с указанием целей обработки для каждого юр. лица).
3) Составляем список допущенных к ИСПДн (утверждённый юр. лицом, которое инициирует всё это), куда вносим всех допущенных, где прописываем не только должность и Ф.И.О, но и место работы.
Аттестация АРМ с MacOS
Когда MacOS получит сертификаты ФСБ и ФСТЭК, а разработчики СЗИ сделают порт на эту ОС, то тогда можно. Без СЗИ, даже если в MacOS будут встроены средства СЗИ, которые, например, в Windows отсутствуют и требуют доп. софт, то это тоже не поможет, т.к. ФСБ, например, в принципе не сертифицирует иностранные разработки.
[ Закрыто] Документация по ИСПДН
Юрий, спасибо за полный список. Как раз искал подобный. А вот если бы к каждому документу прилагалась информация, на основе какого НПА он делается - вообще бы цены ему не было ;)
Страницы: 1