Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Минюст обязал банки проводить пентесты и аудит кибербезопасности

13/08/2018

Банки обяжут соблюдать новые меры кибербезопасности, среди которых обязательными являются аудит информационной безопасности, различные тестирования на проникновение (пентесты), обязательная сертификация использованного программного обеспечения.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: 1 2 3 След.
Обязательно ли должна быть должность "Инженер по защите информации" на предприятии??, или достаточно приказ
Насколько я понял, (если я правильно понял) требования к квалификации персонала предъявляются только в случае получения лицензии по ТЗКИ. А так, достаточно назначить ответственное лицо, или подразделение.
[ Закрыто] WingDOC ПД - коллеги есть опыт работы с данной программой? Ваше мнение., http://www.ntc-sfera.ru/products/wingdoc_pd/
Цитата
Oleg пишет:
Заказать демо-версию можно здесь http://www.wingdoc.ru/products/wingdoc_pd/download/ Интересная программа , никто не пробовал? Столько времени прошло.

Я пробовал - мне не понравилось. Документы получаются кривоваты и слабоваты. ИМХО.
[ Закрыто] WingDOC ПД - коллеги есть опыт работы с данной программой? Ваше мнение., http://www.ntc-sfera.ru/products/wingdoc_pd/
Не думаю, что таковая версия существует... Программа требует электронного ключа.
О шифровании трафика внутри КЗ и не только
Мое твердое убеждение: если все СВТ и линии передачи данных находятся внутри, то шифровать данные не нужно. Зачем? Насколько я помню, если необходимо шифрование внутри КЗ, то СКЗИ должно быть классом не ниже КС3, а такие средства установить не легко. Куда проще отсечь подобную необходимость организационными мерами.
Разделение ПДн с целью их обезличивания
Цитата
Гость123 пишет:
Данные позволяющие определить субъекта:

ФИО + паспортные данные (серия номер) или данные любого другого документа удостоверяющего личность (№ военного билета например)
ФИО + дата рождения (не год), место рождения.
ФИО + ИНН
Пол при известном ФИО вещь всетаки не очень важная, хотя казусы бывают...=)

А вот в Доп информацию входит по идее
- место жительства
- № ВУС
- марка автомобиля
- семейное положение
- кличка любимой собаки
- место отдыха прошлым летом и т.д....

В принципе, согласен с гостем - сам для себя принял примерно такое же разделение.
Документы для проверяющих
Цитата
Oleg пишет:
Интересно бы взглянуть на шаблоны документов регламентирующих внутренние проверки и расследование инциндентов безопасноти

Тоже интересно. Ни разу не встречал.
Думаю, что необязательно создавать отдельный документ по расследованию инцидентов безопасности ПД.Можно подкорректировать какой-нибудь общий документ по внутренним расследованиям, добавив несколько пунктов по ПД.

Кто-нибудь может поделиться каким-либо документом по расследованию внутренних инцидентов, нарушений, преступлений внутри организации? Был бы благодарен.
Определение ИСПДн
Ну вообще определение ИСПДн есть в ФЗ-152, ст.3:
"информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;"
Порядок разбирательства и составления заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, есть ли у кого типовой?
Если в организации уже есть какая-либо процедура разбирательств и расследований по фактам нарушений вообще, то можно выкрутиться, указав в каком-либо ином документе что-то вроде:
"разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных проводится тем-то в соответствии с принятым в Организации Порядком ....".
А "разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений" можно впаять в обязанности какого-либо должностного лица.
Средства защиты для Windows 7, Какие сертифицированные средства защиты от НСД есть для Windows 7?
Цитата
Гость пишет:
Ви шутите, ХРюша до сих пор не сертифицирована, какие тут семерки

А вот это враки:
1.844/2 03.12.2004 03.12.2010 Windows XP(SP2) Операционная система Microsoft Windows XP Professional соответствует заданию по безопасности MS.Win_XP.ЗБ и имеет оценочный уровень доверия ОУД 1 (усиленный) по РД «Безопасность информационных технологий. Критерии оценки безопасности информационных технологий» - Серия
2. 844/3 03.12.2008 03.12.2011 Windows XP(SP3) Операционная система Microsoft Windows XP Professional соответствует заданию по безопасности MS.Win_XP_SP3.ЗБ и имеет оценочный уровень доверия ОУД 1 (усиленный) по РД «Безопасность информационных технологий. Критерии оценки безопасности информационных технологий» - Серия.

Есть такие же сертификаты на Vista. А вот на 7 пока нет.
Другое дело, что я бы посоветовал осторожнее относится к использованию сертифицированной Windows в качестве СЗИ от НСД... Лучше все таки использовать наложенные средства.
Только вот, найти средства, поддерживающие Windows 7 думаю пока будет сложновато... Большинство из них не так давно стало поддерживать Vista. Проще всего протестировать работу СЗИ, поддерживающих Vista, на семерке, может будет работать.
В программах по расчету зарплаты - сведения об инвалидности. 1 категория?
Мое мнение (как и многих других) если не указано заболевание, вызвавшее инвалидность, то это не специальная категория. Но в Вашем сообщении меня смущает "история его инвалидности" - вполне возможно, там есть что-то о здоровье.
Нужна помощь в составлении документов для проверяющих.
Цитата
Евгений В. Казаков пишет:
ФСБ России сертифицирует по требованиям безопасноти информации, но в другой систтеме сертификации. Пока нет документов о взаимной корреляции систем сертификации ФСБ России и ФСТЭК России (и еще Минобороны России), сертификата ФСБ на МЭ недостаточно, нужен сертификат ФСТЭК.

Спасибо за ответ. Буду иметь ввиду ...
Нужна помощь в составлении документов для проверяющих.
Цитата
amt2001 пишет:
2. ViPNet Personal/Office Firewall сертифицрованны как МЭ 4 класса по требованиям ФСБ. Требования ФСБ и ФСТЭК по МЭ практически никак не коррелируются и при проверке со стороны ФСТЭК сертификатом ФСБ не отмажитесь.

Какое-то время назад думал на вопросом соотношения серфтификатов ФСТЭК и ФСБ на МЭ. Пришел к выводу:
Во всех документах сказано, что средство должно пройти оценку соответствия (если считать, что это обязательство к использованию сертифиц. средств). Конкретно про ФСТЭК не говорится, а чем сертификат ФСБ не оценка соответствия?

На счет СТР-К не вполне уверен, но там также написано: Для защиты конф. информации используются сертифицированные по требованиям безопасности информации тех. средства защиты инф. ФСБ сертифицирует не по требованиям безопасности?

Я знаю, что ФСБ сертифицирует для органов власти и его требования отличаются от ФСТЭКовских, но по-моему их сертификат тоже подойдет.

Поправьте если не прав. Только, пожалуйста, без домыслов. Хотелось бы услышать комментарии людей, аттестовывавших конфи по СТР-К.
Нужно ли защищать персональные данные? Кто прав?, защита персональных данных
Вот если бы они еще это бумажкой оформили ...
При создании (описании) ИС в организации могут быть использованы компьютеры, купленные другим юр. лицом?
Кстати интересный вопрос. Хотелось бы услышать мнения сообщества по данному вопросу.
Сам недавно соприкасался с подобной ситуацией. В общих чертах было принято решение, что в фирме 2 готовится минимальный набор документов. Затем между фирмой 1 и фирмой 2 оформляется договор на передачу ПД фирмы 2 фирме 1 на обработку.
Изменено: Николай - 21.06.2010 10:45:14
Защита ПДн от системы защиты ПДн, Обсуждение проблемы легетимности защиты ПДн связанных со здоровьем субъекта
Странный вопрос какой-то...
Что вы подразумеваете под всеми окружающими? И причем тут система защиты?
Система защиты устанавливается в больнице. Она не перекрывает доступ к данным тому, кому это нужно, т.е. врачам. Или вы считаете, что если Вам на улице станет нехорошо, то прохожий подключится к какой-либо сети, узнает Ваш диагноз и поможет Вам? Носите тогда с собой, скажем в документах, записку, на которой будет указан диагноз и краткая инструкция.
[ Закрыто] Базы данных, созданные для несовместимых между собой целей
Вопрос примерно по той же теме.

Есть 1С. В ней есть два справочника (или как они там называются): с информацией о клиентах и информацией о сотрудниках.
Вопрос противоположный предыдущему: можно ли считать эти справочники различными базами данных? Либо это все же одна база?
Ведь насколько я знаю, у 1С все справочники хранятся вместе, в одном или двух файлах. Было принято решение разделить ИСПДн по категориям ПДн. Соответственно возникает вопрос, а можно ли отнести 1С к различным ИСПДн, включив в каждую из которых свой справочник?

Может выразился немного непонятно, но как уж смог...
Защита отдельных компьютеров...., нужен совет гуру
Владимир.

А можно поподробнее, каких именно требований не выполняет сертифицированная XP?
Приказ ФСТЭК России от 5.02.2010 N 58, на сколько это влияет на построение систем защиты ПД?
Дмитрий, про этот приказ очень много говорилось на форуме. Почитайте соответствующие ветки.
Изменено: Николай - 06.05.2010 11:08:17
Снова согласие на обработку ПДн
Устанавливают личность не по снимкам отдельных зубов, а по стоматологической карте.
Снимок отдельного зуба, или даже 2-3 ничего не даст.
Снова согласие на обработку ПДн
Цитата
Павел пишет:
А если вам рентген зуба будут делать - это вообще биометрические данные - согласие обязательно.

Интересное заявление. Вы по снимку зуба можете идентифицировать человека?
Страницы: 1 2 3 След.