Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Новая версия SIEM-системы КОМРАД: теперь с поддержкой масштабирования и без ограничений на производительность

22/11/2018

Группа компаний «Эшелон» представляет обновленную систему управления событиями информационной безопасности КОМРАД. Новая версия SIEM-системы поддерживает возможность масштабирования и включает ряд новых возможностей.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: 1 2 3 4 След.
С чего начать мероприятия по защите информации
Матрицы требовани в 17 и 21 приказах похожи. Не знаю (не интересовался), вышел ли адекватный методический аппарат по применению 21-го, для 17-го он есть, поэтому и посоветовал.
[ Закрыто] Передача персональных данных по e-mail, Ответы на запросы
По поводу существования ПО. Уважаемый Xenobius не учёл суть вопроса. Сертификата ФСТЭК на Крипто-Про существовать в природе не может, так как такой сертификацией занимается ФСБ.
[ Закрыто] Передача персональных данных по e-mail, Ответы на запросы
На сайте ещё и нужно вывесить документ под названием "Политика в отношении персональных данных", в котором будут вкратце изложены принципы, на которых основывается обработка и сбор ПДн в Вашей организации. Галочку такую делать не рекомендую, и про незащищенность лучше не упоминать. Прописать в условиях использования. что бронирование приравнивается к установлению договорных отношений (спросите у юриста, как лучше это сформулировать), что в рамках установления таких отношений клиент соглашается на обработку ПДн (включая передачу по сетям общего пользования и международного информационного обмена с целью достижения целей обработки), и что посреднику Ваша контора поручает сбор и обработку информации клиентов. В уведомлении об обработке ПДн Вы напишете, что обработка осуществляется организацией такой-то по Вашему поручению. Между Вами и посредником - соглашение по обмену информацией в электронном виде в дополнение к договору на обработку ПДн, в этом соглашении прописываете формат реестра персональных данных (т.е. в каком виде будет формироваться и какой файл, с какими сведениями), средства доставки (желательно предусмотреть варианты доставки с нарочным на электронном и бумажном носителях) и механизмы защиты. "Крипто-Про" на самом деле не так уж и дорого стоит.

Защита канала от сайта до посредника это проблема посредника, но проблема может стать Вашей, если посредник наплевательски к ней отнесётся, поэтому в договоре-поручении на обработку ПДн предусматривайте ответственность посредника перед Вами в случае нарушения им требований по ЗИ (и в основания расторжения договора это тоже можно внести). Вы пользуетесь их услугами и вправе ожидать соблюдения ими требований законодательства. всё логично.
Изменено: Vitaly Bondarew - 03.09.2014 08:54:41
[ Закрыто] Передача персональных данных по e-mail, Ответы на запросы
Цитата

сертифицированной ФСТЭК, программой можно делать шифровку и паролирование ПДн

Такой программы в природе не существует. Ищите софт с сертификатом ФСБ. Договариваетесь с контрагентами, какой софт будете использовать.
"КриптоПРО" самый распространённый вариант. Покупаете CSP и cryptcp в качестве интерфейса, заключаете договор с авторизованным УЦ для генерации ключей, обмениваетесь ключами расшифровки с контрагентами.
[ Закрыто] Передача персональных данных по e-mail, Ответы на запросы
Нет, требования соблюдены не будут, так как архиватор не является средством защиты конфиденциальной информации.
Помогите разобраться...
http://www.edu.ru/db-mon/mo/Data/d_12/m606.pdf
Вот тот самый орган с отдельными АРМами для ДСП. Ищите, может в вашей системе тоже такие инструкции циркулируют, для бухгалтеров будет неплохое обоснование.

В провинции не во всех регионах есть ФСТЭК, поэтому проверки осуществляются реже. И повторюсь, техническая защита информации не в компетенции Роскомнадзора, они просто видят, что оснащение, предписанное законом, есть (когда Вы им документы на закупку предъявили, допустим), а все ли угрозы перекрываются этими СЗИ, не в их компетенции решать.
Помогите разобраться...
А для Роскомнадзора по факту Вы требования выполнили, вот и всё. В техническую составляющую они не лезут обычно, т.к. не имеют полномочий.
По поводу внутренних угроз - есть варианты с физическим разделением защищенной и незащищенной ЛВС.

Про VPN и МЭ речь идёт не про отправку почты и просмотр сайтов. Речь идёт про всякие там 1С:Предприятия, выгрузку реестров в ПФР, банки, ну и ещё про абонентские пункты ГИС, т.е. про системы, сопрягаемые с какими-то из "внешнего мира".

И таки да, в некоторых органах это решается именно что установкой отдельного ПК в отдел для обработки сведений конфиденциального характера, в первую очередь служебной информации ограниченного распространения. Они даже маркиркуются табличками в пол-листа А4
Помогите разобраться...
(внезапно обнаружил, что редактировать здесь нельзя).

Проблемы с МЭ бывают нескольких видов:
1. МЭ предоставлен гос. органом для организации VPN абонентского пункта и по условиям использования организация не может им пользоваться для установления связи с другими ГИС. Организации приходится развёртывать дополнительные МЭ и в отдельных случаях дополнительные АРМ.
2. На большую контору МЭ куплен несертифицированный и дорогой (допустим, какой-нибудь топовый Zyxel), Организации приходится доказывать, что его функции соответствуют требуемому классу по РД МЭ.
Помогите разобраться...
Для таких случаев обычно в ЛВС выделяется один компьютер, защищенный каким-нибудь средством VPN с возможностью межсетевого экранирования.
Помогите разобраться...
Дмитрий, всё так и есть на самом деле. Что касается сертифицированного антивируса, представители, в линейках которых есть сертифицированные версии, охотно проводят процедуру апгрейда до сертифицированной, всё, что нужно - докупить установочный комплект сертифицированной версии. МЭ это да, это проблема. Проще ИСПДн, если организация не связана с другими, изолировать.
Передача персональных данных по защищенным каналам связи, впрос по передачи ПДн
Сертификаты на межсетевые экраны посмотрите для Вашей модели cisco и софта, классы должны обязательно удовлетворять требованиям к уровню защищенности.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Alex, а как будете документировать защиту информации на этот компьютер? Вот я например при раскладе, что ЗИ тоже находится в ведении одного из предприятий, вижу такой расклад, что организация занимается нелицензированно защитой информации. С натяжкой, но придраться можно.
Можете попытаться составить договор между организациями, по которому одна поручит другой обрабатывать персональные данные. Тогда новая организация, поручив старой обработку, в уведомлении пишет, что обработка производится такой-то организацией по поручению... Однако надо прежде найти ответ на вопрос, требуется ли при этом оформлять лицензию на ТЗКИ для старой организации.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
По приложениям не уйти, если в Вашем штате есть программисты, которые модифицируют ПО для Вашей же ИСПДн. Поскольку качественные решения для анализа кода стоят дорого, остаётся ввести процедуры согласования изменений, когда кто-нибудь будет анализировать исходный текст и компилировать его на доверенной машине.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
В такой ситуации я бы предпочёл не городить VPN, а просто поставить хороший файрволл (DPI, фильтрация на сетевом, прикладном и транспортном уровнях), или что там по вашему уровню защищенности предписано. Он же будет перекрывать не только НДВ, но и всякие прочие типичные для сетей угрозы (DOS, сканирования, спуфинга, есть даже модели с встроенным антивирусным и антиспамовым механизмом).
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Вообще да, обоснование тем и отличает экспертную оценку от оценки "с потолка". Но это всё обычно пишется не в актуализацию, а в характеристику угроз.
Доступ к Wi-FI по паспорту
Поговаривают, какой-то из ОПСОСов в Московсеом метрополитене уже софт разработал для идентификации по IMEI и пробивке IMEI по базе для установления личности.
Лицензия на облако
Константин, тут всё упирается в стойкость шифра и срок хранения такой информации. Может же быть ситуация какая: Вы бэкап слили, и кто-то неторопливо там ломает Ваш ключ. Организация Б должна с организацией А иметь договор, по которому поручает ей обработку ПД (хранение тоже обработка), при этом меры безопасности, принимаемые Б, должны там фигурировать, а А, в свою очередь, должа обязаться не предоставлять доступ к данным третьим лицам и сохранять конфиденциальность вверенной информации. Документы по защите информации ей тоже предстоит составлять, но в обоих случаях, что с А, что с Б, регулирование по вопросам ЗИ будет осуществлять уже ФСБ. От А и Б - согласование моделей угроз с ФСТЭК и ФСБ и построение их как для систем, где применяется криптозащита. И по уведомлению в РКН также про криптозащиту писать придётся.
[ Закрыто] Dallas Lock 8.0-К
Лично такую конфигурацию не пробовал, но если "Соболь" использовать как плату доверенной загрузки, в теории должно получиться. Правда, сам "Соболь" не со всеми материнскими платами совместим, выбирайте конфигурацию внимательно.
Что бы вы изменили в Постановлении Правительства РФ № 1119?
Цитата

персональные данные, нарушение конфиденциальности которых может повлечь насильственную смерть субъекта
Полагаю, речь идёт о тайне следствия, дознания и судопроизводства. Так вот это защищается либо как служебная информация ограниченного распространения, либо в некоторых случаях как государственная тайна.
[ Закрыто] Защита от влияния внешних воздействий, Чем "закрываются" эти требования
Сам не сталкивался, но по логике это должно подпадать под процедуру декларации соответствия. Собственно протокол лабораторных испытаний + сертификат соответствия, обращаться в любой центр сертификации системы ГОСТ Р.
Страницы: 1 2 3 4 След.