Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Минюст обязал банки проводить пентесты и аудит кибербезопасности

13/08/2018

Банки обяжут соблюдать новые меры кибербезопасности, среди которых обязательными являются аудит информационной безопасности, различные тестирования на проникновение (пентесты), обязательная сертификация использованного программного обеспечения.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: 1 2 3 4 5 6 7 8 9 10 11 ... 14 След.
[ Закрыто] Лицензия ФСТЭК по ТЗКИ для сообственных нужд - новое мнение ФСТЭК
Alexandro,
Где в ТК говорится, что работодатель должен заниматься технической защитой конфиденциальной информации, связанной с работниками?
[ Закрыто] Лицензия ФСТЭК по ТЗКИ для сообственных нужд - новое мнение ФСТЭК
Цитата
Анна пишет:
Мне кажется здесь 3 случая:
1 - если деятельность направлена на получение прибыли
2 - если необходимо достичь цели, указанные в учредительных документах
3 - если обеспечивается защита по поручению
Под п.2 можно подвести все собственные нужды

Не надо "подводить".
Не выдумывайте лишнего.
Пункт 2 предлагает обратиться к учредительным документам юрлица. В них прописаны виды деятельности и цели этой деятельности. Больничка лечит, страховая компания страхует. Для достижения целей деятельности по лечению и страхованию никакая ТЗКИ не нужна.
Что может сделать оператор ПДн без получения лицензии на ТЗКИ
Ответственность лицензиата определена договором, заключенном между ним и оператором. Не более того.
Панцирь-К
Синие экраны по-прежнему продолжают быть. Видимо это зависит от Биоса, от материнской платы. Покупаем новые машины или пробуем ставить Панцирь в филиале в другом городе, и - пожалуйста, BSOD.
Панцирь-К
Мы бы не брали.
Да деваться некуда - сертифицированный продукт. Аналоги еще хуже.
Письмо Деду Морозу
Здравствуй, дедушка Мороз!

В предверии Нового года я пишу тебе это письмо в надежде, что ты прочтешь его и выполнишь мои пусть не детские, но все равно новогодние желания. Ведь в уходящем году я вел себя хорошо и могу надеяться, что ты услышишь мои пожелания.

Дедушка, сделай так, что ФСТЭК и ФСБ занимались своим прямым делом - защитой государственной тайны и критически важных объектов и не вмешивались в деятельность коммерческих предприятий. Если уж им так неймется, то пусть их вмешательство носит характер рекомендаций и best practices, но никак не обязательных требований, базирующихся на 20-тилетней давности предпосылках.

Пусть в грядущем году Дракона регуляторы снизят свои драконовские требования при проверках и поменяют свой подход при организации надзорных мероприятий. Пусть свои проверки они организуют только против тех, по чьей вине страдают граждане, а не против всех подряд. Пусть при проведении проверок ФСТЭК, ФСБ и Роскомнадзор ищут, чем помочь проверяемому, а не как его наказать.

Пусть в 2012-м году регуляторы сделают свои требования прозрачными и адекватными современному развитию информационных технологий и не навешивают гриф "ДСП" или "секретно" на требование установить длину пароля не меньше 6-ти символов. Пусть все смогут ознакамливаться с требованиями по информационной безопасности и требованиями по оценке соответствия, а не только те, кто имеет соответствующие лицензии и допуск к сведениям, составляющим гостайну. А еще лучше, если ты, дедушка, сделаешь так, чтобы система оценки соответствия требованиям по информационной безопасности была единой и производителям не приходилось бы сертифицировать свои продукты в сразу в трех системах сертификации ФСТЭК, ФСБ и Минобороны (если не считать Газпромсерт) только потому, что эти системы не признают сертификаты, выданные друг другом.

Пусть грядущий год принесет рост квалификации сертификационных лабораторий, как и рост прозрачности их ценообразования. Пусть в России развиваются системы добровольной оценки соответствия, что позволит повысить конкуренцию между лабораториями и, соответственно, качество их услуг.

Пусть ФСТЭК и ФСБ наконец-то начнут признавать международные системы оценки соответствия, как это написано в законе "О техническом регулировании" и 608-м Постановлении Правительства. А при сертификации средств защиты пусть ФСТЭК и ФСБ руководствуются международными правилами, как это написано в 455-м Постановлении Правительства и том же законе "О техническом регулировании", а не изобретают велосипед с квадратными колесами.


Я желаю, что наши регуляторы прислушивались к мнению экспертного сообщества, а не ограничивались обсуждением ключевых вопросов в закрытом кругу лиц, всю жизнь посвятивших себя борьбе со шпионами и защитой государственной тайны.

Пусть в будущем году государство начнет ценить работу сотрудников ФСТЭК и ФСБ и будет платить им адекватную зарплату, которая позволит им жить, а не существовать и не будет заставлять их правдами и неправдами вымогать взятки в своей работе. Ну а уж если государство сможет в году, на который назначен конец света, создать единый государственный орган по информационной безопасности, который будет координировать все усилия в данной области, то это будет мне и моим коллегам замечательным подарком.

Я понимаю, что просить нужно за себя и мир во всем мире - это задача вселенского масштаба, но сделай так, чтобы российская молодежь считала, что киберпреступность - это плохо. Пусть они не делают разницы между кражей 300 рублей из сумки пенсионерки в автобусе и 300 рублей с виртуального кошелька в Интернет-банке. И пусть такой разницы не делают наши суды и следователи правоохранительных органов. Пусть условные сроки сменятся реальным наказанием, которое покажет, что киберпреступления ничем не отличаются от обычных. Пусть наши законодатели начнут разбираться в информационных технологиях и смогут принимать адекватные законы, направленные на развитие, а не на стагнацию этой сферы, которую наш пока еще действующий Президент назвал одним из столпов модернизации и инновационной экономики, которую мы пытаемся развивать.

Пусть мои коллеги, специалисты по безопасности, работающие в разных сферах нашей экономики, не сидят по углам и не молчат, не желая высказывать свою позицию, боясь навлечь на себя проверки регулятора. Пусть они перестанут договариваться "в частном порядке" с регуляторами.

Дедушка, еще лучше, если государство осознает важность направления информационной безопасности и сделает работу в отрасли престижной. И пусть в школах и ВУЗах начнут преподавать основы информационной безопасности как один из основных предметов. Если уж в застойной Америке существует месячник кибербезопасности, то пусть и в России на национальном уровне наше государство продвигает, что Интернетом и ИТ можно и нужно пользоваться защищенным образом. И пусть государство стимулирует и поощряет тех, кто готов заниматься этим делом.

Я понимаю, что я прошу не так уж и мало. Но мне кажется, что все равно это гораздо меньше, чем желание нашего Президента об ускоренении коррупции во всей России, или желание премьер-министра об увеличении ВВП в два раза. Пусть хотя бы малость из того, что я у тебя попросил, сбудется в 2012-м году!

http://lukatsky.blogspot.com/2011/12/2012_29.html
О модели угроз, Не знаю, но этот рассказ мне многое напоминает про персданные
еще можно добавить, что каждая солонка снабжена теперь двумя голографическими наклейками, а директор получил лицензию на право управления кодовыми замками солонок.
[ Закрыто] О пд НЕКОТОРЫЕ ВОПРОСЫ
Мой вопрос имел лежит в плоскости, так сказать, идеального применения закона, а не в том, как оно на самом деле. Движение сферического коня в вакууме.
Ситуация, описанная мной, формально нарушает ли закон?
Будет ли она поводом для замечаний проверяющих органов?
Ситуация может быть и слегка ухудшена: скажем, помимо фото работников, могут висеть и фото клиентов с подписями, с фамилиями, должностями и местом их работы.
[ Закрыто] О пд НЕКОТОРЫЕ ВОПРОСЫ
В чем ущерб распространения перс.данных субъекта? Ради чего 152-ФЗ выпущен?

Ст. 7: Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Ущерб субъекту состоит в раскрытии неопределенному кругу лиц его персональных данных без его согласия.
Изменено: Андрей [Пилотов] - 26.10.2011 15:35:36
[ Закрыто] О пд НЕКОТОРЫЕ ВОПРОСЫ
Не частная. Но и трудовая деятельность не обуславливает публикацию фотографий на весь мир. Ведь Доска почета висит не в Красном уголке завода, а выставлена в инете.
[ Закрыто] О пд НЕКОТОРЫЕ ВОПРОСЫ
В развитие вопроса о Доске Почета.
У предприятия есть свой оф.сайт, зарегистрированный как СМИ. Один из разделов сайта как раз - такая Доска. С фото, ФИО, должностями.

Статья 6, ч.1, п.8 допускает обработку ПДн если,
Цитата
она необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации
а оф. сайт - это СМИ.
Но далее идет положение, противоречащее первому,
Цитата
при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;

Вроде как если СМИ, то и согласие не надо, а с другой стороны - нельзя нарушать права субъекта...
Изменено: Андрей [Пилотов] - 26.10.2011 14:43:46
[ Закрыто] Нужно ли брать Согласие с родственников работника для заполнения карточки Т-2?
Домашние телефоны родственников без дополнительной информации персональными данными не являются.
[ Закрыто] Нужно ли брать Согласие с родственников работника для заполнения карточки Т-2?
Цитата
Гость VSV пишет:
Попробуйте обосновать так:

Очень много буков... :)
Назовите статью ТК, требующую от работника предоставления персональных его родственников, ближайших или дальних.

А вот статья 65 перечисляет документы, предоставляемые работником:
- паспорт или иной документ, удостоверяющий личность (при этом в паспорте может не быть отметок о семейном положении),
- трудовую книжку, ;
- страховое свидетельство государственного пенсионного страхования;
- документы воинского учета;
- документ об образовании;
- справку о наличии (отсутствии) судимости.
Мало того, эта же статья в явном виде запрещает требовать еще какие-то документы от работника.
Лишние поля в карточке? Зачеркивайте и не заполняйте.
Вопрос, связанный с согласием на обработку персональных данных
Цитата
Сергей С. пишет:
Помимо данных, указанных в ТК работодатель собирает еще кучу ПДн, причем большинство из них на основании ФЗ: ИНН, ОМС, льготы, звания и т.д и т.п. и все в интересах работника или исполнения трудового договора.

Тогда и вопроса нет - о письменном согласии.
Либо в целях исполнения договора, либо на основании федерального закона.
Потому-то у работодателя должен существовать внутренний документ - Положение об обработке персональных данных работников (название условное), в котором перечислено - какие именно данные работников обрабатываются, на каком основании, права работников и т.п. И опять же по требованию ст.86 ТК этот документ должен быть доведен до работника под роспись.
Всё. никаких согласий, все довольны, все смеются.
Вопрос, связанный с согласием на обработку персональных данных
Ну, если человек упорен в своих нежеланиях, то он и подобные, извините, "филькины уведомления" подписывать не будет.
Статья 65 ТКясно описывает, какие именно перс.данные необходимо получать от работника для заключения трудового договора, а глава 14 ТК описывает, как работодатель обязан их защищать. И соответственно на них согласие брать не нужно. И выдумывать всякие писульки. Если конечно работодатель не собирает какую-то инфу сверх того, что прописано в ТК.
А если человек грамотно упрется, то уволить его будет очень трудно, даже за пьянку на рабочем месте. :)
ГИБДД разглашает нарушителям персональные данные жалующихся
Гаишники раскрывают нарушителям все персональные данные людей, которые пишут на них жалобы через интернет-приемную ГИБДД. Об этом стало известно после того, как одному из заявителей, участнику сообщества «синих ведерок», стали угрожать по телефону.

Читать полностью: http://www.gazeta.ru/auto/2011/10/06_a_3792014.shtml
детекторы лжи (полиграфы)
Не слишком тонко замаскированное вымогательство.
ИБ-эксперт ответил за Президента России
Что произошло с ФЗ-152 на самом деле.


Первая фраза, которой меня приветствовал товарищ, подошедший к столику: "Ну что, просрали демократию, мать вашу?!" И широко улыбнулся. Вообще, я заметил, что сотрудники Конторы умеют улыбаться по разному (учат их там этому, чтоли). Всего лишь незначительные изменения мимических мышц лица и потаенный смысл, заложенный в улыбке меняется - от доброжелательного отношения до скрытой угрозы. В данном случае улыбка носила добродушный характер и знаменовала собой желание поделиться новостями изнутри.

Полностью тут:
http://lukatsky.blogspot.com/2011/07/152_14.html
Принят законопроект о внесении изменений в ФЗ-152
Цитата
Израэль Хендс пишет:
Почитайте тут http://www.npo-echelon.ru/about/articles/licence.php

Было бы странно, если бы компания-интегратор по информационной безопасности придерживалась иной точки зрения.
Закон «О персональных данных» изменят задним числом
Кому печально, а кому и впору шампанское открывать с фейерверками...
Страницы: 1 2 3 4 5 6 7 8 9 10 11 ... 14 След.