Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

SIEM ОТ MCAFEE УСПЕШНО ПРОШЛА СЕРТИФИКАЦИЮ ФСТЭК РОССИИ

01/04/2015

McAfee Security Information and Event Management (версия 9.3) успешно прошла сертификационные испытания, результатом которых стал сертификат соответствия №3353 (от 18 февраля 2015), выданный ФСТЭК России.

Реклама

Партнеры

Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: 1 2 3 4 След.
С чего начать мероприятия по защите информации
Матрицы требовани в 17 и 21 приказах похожи. Не знаю (не интересовался), вышел ли адекватный методический аппарат по применению 21-го, для 17-го он есть, поэтому и посоветовал.
Передача персональных данных по e-mail, Ответы на запросы
По поводу существования ПО. Уважаемый Xenobius не учёл суть вопроса. Сертификата ФСТЭК на Крипто-Про существовать в природе не может, так как такой сертификацией занимается ФСБ.
Передача персональных данных по e-mail, Ответы на запросы
На сайте ещё и нужно вывесить документ под названием "Политика в отношении персональных данных", в котором будут вкратце изложены принципы, на которых основывается обработка и сбор ПДн в Вашей организации. Галочку такую делать не рекомендую, и про незащищенность лучше не упоминать. Прописать в условиях использования. что бронирование приравнивается к установлению договорных отношений (спросите у юриста, как лучше это сформулировать), что в рамках установления таких отношений клиент соглашается на обработку ПДн (включая передачу по сетям общего пользования и международного информационного обмена с целью достижения целей обработки), и что посреднику Ваша контора поручает сбор и обработку информации клиентов. В уведомлении об обработке ПДн Вы напишете, что обработка осуществляется организацией такой-то по Вашему поручению. Между Вами и посредником - соглашение по обмену информацией в электронном виде в дополнение к договору на обработку ПДн, в этом соглашении прописываете формат реестра персональных данных (т.е. в каком виде будет формироваться и какой файл, с какими сведениями), средства доставки (желательно предусмотреть варианты доставки с нарочным на электронном и бумажном носителях) и механизмы защиты. "Крипто-Про" на самом деле не так уж и дорого стоит.

Защита канала от сайта до посредника это проблема посредника, но проблема может стать Вашей, если посредник наплевательски к ней отнесётся, поэтому в договоре-поручении на обработку ПДн предусматривайте ответственность посредника перед Вами в случае нарушения им требований по ЗИ (и в основания расторжения договора это тоже можно внести). Вы пользуетесь их услугами и вправе ожидать соблюдения ими требований законодательства. всё логично.
Изменено: Vitaly Bondarew - 03.09.2014 08:54:41
Передача персональных данных по e-mail, Ответы на запросы
Цитата

сертифицированной ФСТЭК, программой можно делать шифровку и паролирование ПДн

Такой программы в природе не существует. Ищите софт с сертификатом ФСБ. Договариваетесь с контрагентами, какой софт будете использовать.
"КриптоПРО" самый распространённый вариант. Покупаете CSP и cryptcp в качестве интерфейса, заключаете договор с авторизованным УЦ для генерации ключей, обмениваетесь ключами расшифровки с контрагентами.
Передача персональных данных по e-mail, Ответы на запросы
Нет, требования соблюдены не будут, так как архиватор не является средством защиты конфиденциальной информации.
Помогите разобраться...
http://www.edu.ru/db-mon/mo/Data/d_12/m606.pdf
Вот тот самый орган с отдельными АРМами для ДСП. Ищите, может в вашей системе тоже такие инструкции циркулируют, для бухгалтеров будет неплохое обоснование.

В провинции не во всех регионах есть ФСТЭК, поэтому проверки осуществляются реже. И повторюсь, техническая защита информации не в компетенции Роскомнадзора, они просто видят, что оснащение, предписанное законом, есть (когда Вы им документы на закупку предъявили, допустим), а все ли угрозы перекрываются этими СЗИ, не в их компетенции решать.
Помогите разобраться...
А для Роскомнадзора по факту Вы требования выполнили, вот и всё. В техническую составляющую они не лезут обычно, т.к. не имеют полномочий.
По поводу внутренних угроз - есть варианты с физическим разделением защищенной и незащищенной ЛВС.

Про VPN и МЭ речь идёт не про отправку почты и просмотр сайтов. Речь идёт про всякие там 1С:Предприятия, выгрузку реестров в ПФР, банки, ну и ещё про абонентские пункты ГИС, т.е. про системы, сопрягаемые с какими-то из "внешнего мира".

И таки да, в некоторых органах это решается именно что установкой отдельного ПК в отдел для обработки сведений конфиденциального характера, в первую очередь служебной информации ограниченного распространения. Они даже маркиркуются табличками в пол-листа А4
Помогите разобраться...
(внезапно обнаружил, что редактировать здесь нельзя).

Проблемы с МЭ бывают нескольких видов:
1. МЭ предоставлен гос. органом для организации VPN абонентского пункта и по условиям использования организация не может им пользоваться для установления связи с другими ГИС. Организации приходится развёртывать дополнительные МЭ и в отдельных случаях дополнительные АРМ.
2. На большую контору МЭ куплен несертифицированный и дорогой (допустим, какой-нибудь топовый Zyxel), Организации приходится доказывать, что его функции соответствуют требуемому классу по РД МЭ.
Помогите разобраться...
Для таких случаев обычно в ЛВС выделяется один компьютер, защищенный каким-нибудь средством VPN с возможностью межсетевого экранирования.
Помогите разобраться...
Дмитрий, всё так и есть на самом деле. Что касается сертифицированного антивируса, представители, в линейках которых есть сертифицированные версии, охотно проводят процедуру апгрейда до сертифицированной, всё, что нужно - докупить установочный комплект сертифицированной версии. МЭ это да, это проблема. Проще ИСПДн, если организация не связана с другими, изолировать.
Передача персональных данных по защищенным каналам связи, впрос по передачи ПДн
Сертификаты на межсетевые экраны посмотрите для Вашей модели cisco и софта, классы должны обязательно удовлетворять требованиям к уровню защищенности.
Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Alex, а как будете документировать защиту информации на этот компьютер? Вот я например при раскладе, что ЗИ тоже находится в ведении одного из предприятий, вижу такой расклад, что организация занимается нелицензированно защитой информации. С натяжкой, но придраться можно.
Можете попытаться составить договор между организациями, по которому одна поручит другой обрабатывать персональные данные. Тогда новая организация, поручив старой обработку, в уведомлении пишет, что обработка производится такой-то организацией по поручению... Однако надо прежде найти ответ на вопрос, требуется ли при этом оформлять лицензию на ТЗКИ для старой организации.
Тупые вопросы, которые вы хотели, но боялись спросить, Разное
По приложениям не уйти, если в Вашем штате есть программисты, которые модифицируют ПО для Вашей же ИСПДн. Поскольку качественные решения для анализа кода стоят дорого, остаётся ввести процедуры согласования изменений, когда кто-нибудь будет анализировать исходный текст и компилировать его на доверенной машине.
Тупые вопросы, которые вы хотели, но боялись спросить, Разное
В такой ситуации я бы предпочёл не городить VPN, а просто поставить хороший файрволл (DPI, фильтрация на сетевом, прикладном и транспортном уровнях), или что там по вашему уровню защищенности предписано. Он же будет перекрывать не только НДВ, но и всякие прочие типичные для сетей угрозы (DOS, сканирования, спуфинга, есть даже модели с встроенным антивирусным и антиспамовым механизмом).
Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Вообще да, обоснование тем и отличает экспертную оценку от оценки "с потолка". Но это всё обычно пишется не в актуализацию, а в характеристику угроз.
Доступ к Wi-FI по паспорту
Поговаривают, какой-то из ОПСОСов в Московсеом метрополитене уже софт разработал для идентификации по IMEI и пробивке IMEI по базе для установления личности.
Лицензия на облако
Константин, тут всё упирается в стойкость шифра и срок хранения такой информации. Может же быть ситуация какая: Вы бэкап слили, и кто-то неторопливо там ломает Ваш ключ. Организация Б должна с организацией А иметь договор, по которому поручает ей обработку ПД (хранение тоже обработка), при этом меры безопасности, принимаемые Б, должны там фигурировать, а А, в свою очередь, должа обязаться не предоставлять доступ к данным третьим лицам и сохранять конфиденциальность вверенной информации. Документы по защите информации ей тоже предстоит составлять, но в обоих случаях, что с А, что с Б, регулирование по вопросам ЗИ будет осуществлять уже ФСБ. От А и Б - согласование моделей угроз с ФСТЭК и ФСБ и построение их как для систем, где применяется криптозащита. И по уведомлению в РКН также про криптозащиту писать придётся.
Dallas Lock 8.0-К
Лично такую конфигурацию не пробовал, но если "Соболь" использовать как плату доверенной загрузки, в теории должно получиться. Правда, сам "Соболь" не со всеми материнскими платами совместим, выбирайте конфигурацию внимательно.
Что бы вы изменили в Постановлении Правительства РФ № 1119?
Цитата

персональные данные, нарушение конфиденциальности которых может повлечь насильственную смерть субъекта
Полагаю, речь идёт о тайне следствия, дознания и судопроизводства. Так вот это защищается либо как служебная информация ограниченного распространения, либо в некоторых случаях как государственная тайна.
Защита от влияния внешних воздействий, Чем "закрываются" эти требования
Сам не сталкивался, но по логике это должно подпадать под процедуру декларации соответствия. Собственно протокол лабораторных испытаний + сертификат соответствия, обращаться в любой центр сертификации системы ГОСТ Р.
Страницы: 1 2 3 4 След.