Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Испытательная лаборатория НПО «ЭШЕЛОН» успешно провела инспекционный контроль ОС ASTRA LINUX для процессоров «БАЙКАЛ»»

01/07/2019


Российская операционная система специального назначения Astra Linux Special Edition(релиз «Севастополь») для процессоров «Байкал-T1» (MIPS) успешно прошла инспекционный контроль на соответствие требованиям безопасности информации к операционным системам типа «А» 2-го класса защиты в системе сертификации СЗИ ФСТЭК России. Инспекционный контроль релиза «Севастополь», как и других релизов защищенной ОС Astra Linux Special Edition, был проведен  испытательной лабораторией НПО «Эшелон».

Реклама





Партнеры





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: 1 2 3 4 След.
коэффициент реализуемости угрозы
в методичках фстэка все расписано от и до
ИМХО
Классификация ИСПДн и ее составных частей
на каждую ис с использованием средств автоматизации акт. Просто если не разделять, то защищать по максимальному классу ис.
ИМХО
Защита Веб-сервера с ИСПДн, Как защитить веб-сервер, обрабатывающий ИСПДн класса К1
защищать нужно, все мероприятия прописаны в нормативке(и требования к защите от нсд, и к межсетевым эжкранам и пр.)
ИМХО
Комиссия по ИБ
вы сейчас про коммиссию? которая вопросы рассматривает? либо отдел ИБ имели ввиду?

по сути вопроса.
При построении системы защиты, разработке и принятии решений, было бы не практично и считай глупо руководствоваться мнением 1 человека или отдела ИБ(у которых на все взгляд со своей колокольни)
Для этого и создается комиссия. т.е. начнем пожалуй с того, что конкретизируйте поставленые цели.
из ваших постов мне почему-то кажется, что вам нужен отдел иб, а не собственно комиссия.

человек ответственный за ИБ, ставит вопросы на решение перед комиссией, объяснеят все проблемные стороны, комиссия обсуждает, если единого мнения не достигли, анализируют все доводы, выкладывают их безопаснику, он их комментит(ну там не обязательно безопасник один должен быть в качестве спеца, можно назначить еще каких -нибудь спецов(зависит от конторы)) и по новой комиссия обсуждает. и так пока к единому мнению не придут.(метод дельфи кстати называется(оч удобно))
вобчем конкретизируйте. а то оч пространственный первый пост(похоже на "что можно обсудить в госдуме" например=)))
Изменено: Александр [R] - 23.04.2010 12:39:53
ИМХО
Семинар по ПДн - и опять вездесущий Рейнвокс
какой- то холивар развели=)
интегратор разрабатывает систему защиты. реализует ее сам оператор. либо, если в договоре предусмотрено, внедряет ее(систему защиты). но тут, как говорится, ни о чем(про билайн вобче гг). семинар и семинар=) не первый и не последний. пускай население знакомят с фз152=)
ИМХО
Минкомсвязь РФ одобрило концепцию защиты персональных данных в информационных системах операторов связи, Минкомсвязь РФ одобрило концепцию защиты персональных данных в информационных системах операторов связи
"Если так:
http://biz.cnews.ru/news/top/index.sh.../19/387138
То сколько за эту бумажку откатили?"

интересная статья=) замечал подобное на аукционах и конкурсах)
ИМХО
Минкомсвязь РФ одобрило концепцию защиты персональных данных в информационных системах операторов связи, Минкомсвязь РФ одобрило концепцию защиты персональных данных в информационных системах операторов связи
"...средства защиты должны быть одни и те же для всех операторов"
улыбнуло=) намекает на монополизацию СЗИ в сфере коммуникаций и "пахнет" откатами))
ИМХО
Защита ПДн в здравоохранении
Контролируемая зона — это территория объекта, на которой исключено неконтролируемое *WOW* лиц, не имеющих постоянного или разового доступа ©
ИМХО
Защита ПДн в здравоохранении
определяете где необходима защита от НСД и ,если это необходимо и вы используете в качестве СЗИ от нсд винду, ставите ее(винду). а в мед учреждениях, в большинстве случаев, 1 класс. винда не потянет(макс 2 класс).
ИМХО
Объеденение ИСПДн, Совет
Цитата
N N пишет:
С
Цитата
Александр [R] пишет:
в качестве рекомендаций. Лучше стараться объединять ИСПДн так, чтобы она не стала выше классом и была в одном здании. На каждую не типовую ИСПДн, нужна модель угроз. ТЗ можно и 1 написать, в нем расписать требования для каждой отдельной ИСПДн или же групп(зараннее обозначеных),а можно же и под каждую ИСПДн.
18 ИСПДн... всех подробностей не знаем=) все конкретные случаи, требуют отдельного подхода)

Спасибо - я примерно так и делаю: Модель угроз - общую...только актуальность прописала по кажой...а Техтребования - пишу по 2 группам - с Инетом и без выхода....думаю еще может разделить по многопользовательским и однпользовательским...тогда 4 группы будет
кстати да, можно и так, общую модель угроз для орг. или же перечень угроз, потом, частные для каждой ИСПДн(в которых прописываем актуальности).
Тех. требования еще зависят от класса ИСПДн, так что можно еще и по ним разделить=) или уточнить. как-то так)
Изменено: Александр [R] - 12.02.2010 12:40:04
ИМХО
Объеденение ИСПДн, Совет
в качестве рекомендаций. Лучше стараться объединять ИСПДн так, чтобы она не стала выше классом и была в одном здании. На каждую не типовую ИСПДн, нужна модель угроз. ТЗ можно и 1 написать, в нем расписать требования для каждой отдельной ИСПДн или же групп(зараннее обозначеных),а можно же и под каждую ИСПДн.
18 ИСПДн... всех подробностей не знаем=) все конкретные случаи, требуют отдельного подхода)
ИМХО
[ Закрыто] ИСПДн в ТСЖ, вопросы по разработке документов по ИСПДн для ТСЖ
шаблоны - это хорошо конечно.
Ну подпишите в эти шаблоны, думаете тем самым у вас будет безопасность на высшем необходимом уровне?
а по поводу вопроса про не обходимые документы для "ТСЖ", вы должны четко представлять какие документы и для чего нужны. выстройте для себя логическую цепочку. Разберитесь с значением документов(можно даже почитать их). посмотрите мероприятия фстэка. возможно часть вопросов исчезнет. а если вам читать лень..... то я даже не знаю=)
Изменено: Александр [R] - 08.02.2010 15:50:57
ИМХО
Методические рекомендации от минздрава
Цитата
Гость пишет:
Цитата
Александр [R] пишет:
1.8.2.4 Угрозы преднамеренных действий внутренних нарушителейДоступ к информации, модификация, уничтожение лиц, не допущенных к ее об-работке.Угроза осуществляется путем НСД внешних нарушителей в помещения, где расположены элементы ИСПДн и средства защиты, а так же происходит работа пользователей.

А то что "Угрозы преднамеренных действий ВНУТРЕННИХ нарушителей" осуществляются тут "ВНЕШНИМИ нарушителями" - это нормально?)
комичные документы=) верно подмечено)
ИМХО
Методические рекомендации от минздрава
сегодня решил глянуть эти рекомендации, а точнее прил.11 Модель угроз.
1. сначала в глаза бросается п.1.6.1 Внешний нарушитель.
Цитата
В качестве внешнего нарушителя информационной безопасности, рас-сматривается нарушитель, который не имеет непосредственного доступа к тех-ническим средствам и ресурсам системы, находящимся в пределах контроли-руемой зоны.
Предполагается, что внешний нарушитель не может воздействовать на защищаемую информацию по техническим каналам утечки, так как объем ин-формации, хранимой и обрабатываемой в ИСПДн, является недостаточным для возможной мотивации внешнего нарушителя к осуществлению действий, на-правленных утечку информации по техническим каналам утечки.
Предполагается, что внешний нарушитель может воздействовать на за-щищаемую информацию только во время ее передачи по каналам связи.
необоснованное утверждение, являющееся чуть менее чем абсурдом. Сведения о состоянии здоровья и другие сведения о субъектах ( недумаю что все ограничивается этим) являются очень ценной, как минимум для самого субъекта, информацией. скомпроментированая таковая информация может повлечь за собой массу неприятных последствий. поставте себя на место субъекта. Хотели бы вы чтобы все Ваши данные о болезнях и пр. оказались у "третьих лиц" злоумышленника???! даже сложно представить что с этой инфой может сделать злоумышленник. для тех кто не представляет вот пару примеров: а) систематизация и накопление информации о болезнях, эпидемиях и пр. граждан РФ, с последующей передачей/продажей/выдачей/публикацией(возможно даже иностранным разведслужбам(не параноя, а пример=)));б)Систематизация и накопление информации с целью персонифицированного продвижения некачественных товаров и услуг; в)Модификация же этих данных может повлеч за собой летальные или очень трагичные возможные исходы для субъектов!!!!!!!!!!!!!!!! и это не достаточная мотивация.... бррррррр
2. Очень "интересно" рассмотрены возможности реализации угроз. даже если учесть, что внешних нарушителей отсеяли "недостаточной мотивацией", а внутренних очень подробно расписали, учитывают при оценке вероятностей ( чуть менее, чем полностью) внешних нарушителей.
вот пара интересных и необоснованных примеров:
Цитата

1.8.1.3 Угрозы утечки информации по каналам ПЭМИН
Угрозы утечки информации по каналу ПЭМИН, возможны из-за нали¬чия па-разитных электромагнитных излучений у элементов ИСПДн.
Угрозы данного класса маловероятны, т.к. размер контролируемой зоны большой, и элементы ИСПДн, находятся в самом центре здания и экранируют-ся несколькими несущими стенами, и паразитный сигнал маскируется со мно-жеством других паразитных сигналов элементов, не входящих в ИСПДн.
какие интересные стены=) наверно краска специальная%)

Цитата

Вывод из строя узлов ПЭВМ, каналов связи
Угроза осуществляется путем НСД внешними и внутренними нарушите-лями в помещения, где расположены элементы ИСПДн и проходят каналы свя-зи.
В Учреждении введен контроль доступа в контролируемую зону, уста-новлена охранная сигнализация, двери закрываются на замок, установлены ре-шетки на первых и последних этажах здания.
Вероятность реализации угрозы – маловероятна.
а где же наши злостные внутренние нарушители? и я почти уверен что у всех мед учрж. витая прямо по коридору, в котором все кто хочет присутствует, в коробе идет. и зачастую доступно без средств можно вывести из строя этот элемент сети(считай канал связи)(один из немногих примеров вывода из строя).

Цитата

Несанкционированное отключение средств защиты
Угроза осуществляется путем НСД внешними и внутренними нарушите-лями в помещения, где расположены средства защиты ИСПДн.
В Учреждении введен контроль доступа в контролируемую зону, уста-новлена охранная сигнализация, двери закрываются на замок, установлены ре-шетки на первых и последних этажах здания, пользователи ИСПДн проинст-руктированы о работе с ПДн.
Вероятность реализации угрозы – маловероятна.
тут вообче в первую очередь нужно внутренних нарушителей рассматривать. мало проинструктировать сотрудников. необходимы средства защиты от нсд(с аутентификатором и пр), соответствующие политики безопасности и прочее. хотя может они и расписаны в коцепции безоп. но я конкретно модель угроз рассматриваю.

зато антивирусники уж очень подробно расписали=).....

Цитата

1.8.2.4 Угрозы преднамеренных действий внутренних нарушителей
Доступ к информации, модификация, уничтожение лиц, не допущенных к ее об-работке
Угроза осуществляется путем НСД внешних нарушителей в помещения, где расположены элементы ИСПДн и средства защиты, а так же происходит работа пользователей.
В Учреждении введен контроль доступа в контролируемую зону, уста-новлена охранная сигнализация, двери закрываются на замок, установлены ре-шетки на первых и последних этажах здания.
Вероятность реализации угрозы – маловероятна.
да и если маловероятно, то наверняка аутентификация на ЭВМ, тоже происходит с помощью смарт карт, токенов, и паролей отличных от 123456=) я не думаю что внутренним нарушителям придется ломать окна и двери чтобы получить доступ к ЭВМ.

далее перечислять небуду. сами почитаете. подумаете. поймете комичность(надеюсь)

и наконец заключение!:

Цитата


ЗАКЛЮЧЕНИЕ
В соответствии с Порядком проведения классификации информационных систем персональных данных утвержденного приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. № 55/86/20, на основа-нии категории и объема обрабатываемых персональных данных – ИСПДн «______________» классифицируется, как _______ ИСПДн класса K_.
Аттестация ИСПДн ______________________ (не) требуется.
хм. а я думал мы модель угроз рисуем для создания системы защиты информации и определения мероприятий по защите...... а тут оказвается мы все это делали для того, чтобы акт классификации нарисовать... хм.... да и еще определить нужна ли аттестация.. хотя об этом русским по белому написано в чернокнижии фстэка..... странно все это.....


на правах имхо, если хотите воспринимать всерьез этот рд, воспринимайте всерьез критику..


PS: не нравиц не читайте %)
ИМХО
специальная ИСПДн
законы пишутся зачастую неоднозначно. да и под "шаблон" мышление у людей не загнать. их всегда будут понимать по разному=) только в итоге надо будет их соблюдать и доказывать то, что вы правильно их соблюдаете=)

да и кстати, например:
ко мне пришел клиент и написал бумажку что хочет ознакомиться с перечнем лиц, обрабатывающих его ПДн.
я ему пишу ответ, в котором указываю что он должен сделать следующее: подойти в офис, ознакомится со списком, расписаться в журнале что ознакомлен.

в итоге я эти данные не передавал. и все должны быть счастливы.


да и кстати, очень здравая мысль возникла, в законе следовало указать, какие сведения должен получить субъект о лицах. и почему эти лица должны быть не против) хотя почему можно прописать в положении о ПДн или в контракте.
Изменено: Александр [R] - 28.01.2010 11:56:30
ИМХО
Объеденение ИСПДн в сети.
Цитата
Simon пишет:
to cracknel

Да не надо разделять никакие ИСПДн, а тем более делать их 50 штук. Если у Вас мед организация, то и так у Вас К1 - зачем отделять бухгалтерию и пр. Это приведет только к необходимости установки межсетевого экрана м/у ними. Еще раз повторюсь - НЕТУ в заканадательстве запрета на объединение "разных" ИСПДн.
физически разделить не запрещали=) а если не делить, то по высшему защищать, а это значит и бухов по 1 классу тащить%)
ИМХО
Юридические последствия обработки пдн, пп. 6 п. 4 ст. 14 гл. 3 №152ФЗ о ПДн
просто статья есть в 152ФЗ про то, что субъект имеет право узнать юр.посл. обработки своих данных.
ИМХО
Юридические последствия обработки пдн, пп. 6 п. 4 ст. 14 гл. 3 №152ФЗ о ПДн
Какие могут быть юридические последствия для субъекта персональных данных, которые может повлечь за собой обработка его персональных данных?
например в отделе кадров или бухгалтерии.

полистал, были темы, никто не ответил=( надо юриста видимо спросить)
Изменено: Александр [R] - 07.04.2010 16:53:03
ИМХО
перед кем мы отчитываемся
Цитата
Андрей пишет:
Цитата
Am пишет:
Цитата
Андрей пишет:

Морскую форму для жарких районов
Пришлешь персональные данные знойных мулаток?

Полагаю, особо интересуют биометрические показатели?
собственно интересуют формы=))
ИМХО
перед кем мы отчитываемся
интернет експлорер не отменяли.
а будет возможность сдать отчеты? а форма не изменилась?
ИМХО
Страницы: 1 2 3 4 След.