Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Особенности аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции (работ, услуг), поставляемой по гособоронзаказу.

12/08/2019 

08 мая 2019 г. утверждены новые Правила аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции работ, услуг), поставляемой по государственному оборонному заказу (постановление Правительства Российской Федерации от 30 апреля 2019 г. № 548).

Новые Правила аккредитации кардинально меняют сложившуюся систему не только аккредитации, но и сертификации СМК предприятий, работающих в области государственного оборонного заказа.

Реклама





Партнеры





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: Пред. 1 ... 3 4 5 6 7 8 9 10 11 12 13 ... 30 След.
ubuntu. Vipnet
Никакое, да и незачем. Компенсирующие меры и обоснование экономической нецелесообразности тебя спасут.
ICQ 377238542
Можно ли хранить зашифрованный дамп базы с персональными данными на незащищенном хранилище в интернете?
По новому приказу ФСБ это прямо разрешается.
ICQ 377238542
[ Закрыто] Модель угроз для госорганов
Уважаемые, не обольщайтесь, мало у кого есть настоящие ГИС. Что такое ГИС (МИС) смотрите в 149-ФЗ. Поэтому лучше вообще не заморачиваться на эту тему.
ICQ 377238542
Использование сертифицированных СЗИ
А МЭ и АВЗ разве не НСД? ))))
ICQ 377238542
Использование сертифицированных СЗИ
Как показывает практика - никак ))))). Если у Вас частная организация, то НДВ можно не принимать в расчет. Если государственная, то ... ну, сами знаете что!
ICQ 377238542
Использование сертифицированных СЗИ
Цитата
Сергей С. пишет:
Цитата
Артур пишет:
Типа мы пытались заразить АРМ, несанкционировано отключить СЗИ, все успешно прошло?
Есть обычная винда со встроенными средствами защиты от НСД. Есть установки на блокировку после трехкратной ошибки ввода пароля и его смены раз в месяц. Есть оргмеры - политика (правила, инструкция или как угодно названая бумажка) применения паролей: 8 (10,99) символов, верх/низ, цифры буквы спецсимволы; прописан периодический контроль логов на попытки входа. Пытаетесь подобрать пароль, естественно не получилось. Оформляем Акт, что встроенные средства защиты винды соответствуют вашим требованиям к СЗИ от НСД.
Все это хорошо, только про НДВ забыли. Сейчас НДВ очень актуально )))))
ICQ 377238542
Использование сертифицированных СЗИ
На рынке столько сертифицированных решений, что уже можно подобрать что-то соответствующее и недорогое. Какой смысл связываться с ФЗ "О техническом регулировании" помимо сертификации.

Хотя ))), я вот тут подбирал недорогой сертифицированный МЭ и крепко подзадумался, не так-то просто оказалось ))))))
ICQ 377238542
[ Закрыто] Модель угроз П-1119, Пример модели угроз во исполнении П-1119
Цитата
Иван пишет:
В общем модель была сделана Региональным Аттестационным Центром для организации где я сейчас работаю, была сделана самом конце 2011 года
отсюда и название и вероятный нарушитель...
отсюда пункты 1, 2, а вот дальше я уже начал редактировать, так как на момент создания модели не было ни 1119 ни 21 приказа ФСТЭК.

предлагаете вероятного нарушителя вообще убрать отсюда? я где то натыкался в интернете уже на модель где идет описание нарушителя? или ни к чему?
пункт 5 ... в целом можно конечно таблицу и то что после не вставлять, вам кажется что это лишнее?

Модель угроз ни тогда, ни сейчас никак не зависит от ПП 781 (1119), Приказа 58 (21). "Базовая модель..", как была так и осталась. И хватит путать понятия. Угрозы это угрозы. Меры это меры. Угрозы - "Базовая модель...". Меры - ПП 1119, Приказ 21. Меры вытекают из угроз, но не наоборот!!!
ICQ 377238542
[ Закрыто] Модель угроз П-1119, Пример модели угроз во исполнении П-1119
Если мне не изменяет память, то типовые ИСПДн имели смысл, если для них предусматривалась только одна характеристика безопасности, вроде конфиденциальность. В ином случае, ИСПДн - специальная, соответственно не типовая. На мой взгляд ИСПДн лучше делать специальными, так как в этом случае можно поиграться набором угроз, проще говоря, свести их к минимуму. Учитывая, что старая классификация сейчас отменена, то и деление на типовые и специальные отсутствует. В целом при правильном подходе и выборе компенсирующих мер, даже базовый набор мер сильно сокращается.

Вы должны сформировать угрозу, по схеме изложенной в "Базовой модели...". Угрозы формируются исходя из структурно-функциональных особенностей ИС. В любом ином случае любой набор выбранных Вами угроз - отсебятина, причем не обоснованная.

А вообще, зачем тебе над этим голову ломать? Раньше тебе Модель РАЦ делал, и сейчас кому-нибудь закажи.

Кстати, что за РАЦ, в каком городе, если не секрет?
ICQ 377238542
[ Закрыто] Модель угроз П-1119, Пример модели угроз во исполнении П-1119
В целом, не вижу смысла разбирать эту конкретную Модель, в силу ее полнейшей бестолковости!
ICQ 377238542
[ Закрыто] Модель угроз П-1119, Пример модели угроз во исполнении П-1119
Цитата
Иван пишет:
Цитата
Андрей пишет:
Ну и общее замечание. При составлении документа допущена типичная ошибка человека, не читавшего "Базовую модель...". Угрозы - ФОРМИРУЮТСЯ!!!, а не перечисляются!
можно об этом поподробнее? это про пункт 3?



(базовую модель читал, но невнимательно, в основном конечно же пользовался наработками которые нашел в сети)

Подробнее об этом написано в "Базовой модели..." ))) Если мне не изменяем память, то стр. 12. Ну, вот как можно пользоваться "наработками в сети"!? )))) Куча народа ругает ФСТЭК, но, как показывает практика (и этот форум, в частности), их документы внимательно никто и не читает ))))))
ICQ 377238542
[ Закрыто] Модель угроз П-1119, Пример модели угроз во исполнении П-1119
В Модели, составляемой по требованиям ФСТЭК, нет никакого смысла выделять нарушителя, ни в названии, ни к тексте документа. Выделение нарушителя, это прерогатива ФСБ. Требования к системе защиты у ФСБ сложнее, чем у ФСТЭКа, поэтому есть деление тип нарушителя - класс СКЗИ - класс ИС(АС). По ФСТЭКу нет необходимости выделять возможности нарушителя. Описывать возможности нарушителя надо, но, как правило, не в отдельной модели.
ICQ 377238542
[ Закрыто] Модель угроз П-1119, Пример модели угроз во исполнении П-1119
Ну и общее замечание. При составлении документа допущена типичная ошибка человека, не читавшего "Базовую модель...". Угрозы - ФОРМИРУЮТСЯ!!!, а не перечисляются!
ICQ 377238542
[ Закрыто] Модель угроз П-1119, Пример модели угроз во исполнении П-1119
Какое отношение "Меры защиты" имеют к Модели? Зачем их надо вписывать в Модель? Для объема!?
ICQ 377238542
[ Закрыто] Модель угроз П-1119, Пример модели угроз во исполнении П-1119
В первый раз вижу, чтобы Модели комиссиями разрабатывались ))))))))
ICQ 377238542
[ Закрыто] Модель угроз П-1119, Пример модели угроз во исполнении П-1119
Вот даже по названию вопросы )))). Почему "актуальных угроз"? Почему "вероятный нарушитель"?

У ФСТЭКа просто "Базовая модель..." У ФСБ просто "Модель нарушителя..."

Откуда берутся забавные термины в названии?
ICQ 377238542
Межсетевой экран ССПТ-2
Если у кого-то есть практический опыт использования этого продукта, пожалуйста напишите.
ICQ 377238542
Можно ли передавать ПДн по защищенному каналу с помощью SSL-сертификата, передача ПДн с помощю SSL-сертификата
Для защиты ПДн применяются только сертифицированные СКЗИ. Никаких оценок соответствия СКЗИ, испытаний, заключений и т.п. Вы делать не можете. Покупаете СКЗИ с сертификатом по соответствующему классу и используете. Если мне не изменяет память, то сертификат ФСБ на СКЗИ с SSL есть у СтоунСофта. Только внимательно читайте формуляр или правила пользования, там есть много забавных нюансов. Да и то это аппаратные решения. С программными по классу КС2 и выше уже сложнее.
ICQ 377238542
Утверждение политики в отношении обработки пд, политика vs. положение
Юридически, Положение, как локальный акт и есть политика оператора в отношении обработки. А вот правоприменение этой нормы пошло не по тому пути. Регуляторы (РКН) решили, что это 2 отдельных документа, интеграторы или поп звезды нашей ИБ-эстрады им подыграли. Вот и получилось так, как получилось. А в принципе, никто Вам не мешает опубликовать Положение с купюрами на сайте.
ICQ 377238542
Обсуждение КИ в ВП., Обсуждение конфиденциальной информации в выделенном помещении.
Уважаемый Максим ))) То, что идет упрощение видно из самих методик. Да и контролирующие органы рассуждают здраво, потому что сами пишут эти методики. А мозг выедать иногда полезно, сам любил этим заниматься. Потому что секретка она и в Африке секретка. Если что-то произойдет, то возможна статья УК, а так как соответствующим контролирующим органам все это не надо, да и видеть Вас испуганного и жалко лепетящего - "не виноватая я" не очень приятно, то и приходится иногда выедать ))))))). Учите мат. часть и все у Вас будет хорошо.
ICQ 377238542
Страницы: Пред. 1 ... 3 4 5 6 7 8 9 10 11 12 13 ... 30 След.