Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

SIEM ОТ MCAFEE УСПЕШНО ПРОШЛА СЕРТИФИКАЦИЮ ФСТЭК РОССИИ

01/04/2015

McAfee Security Information and Event Management (версия 9.3) успешно прошла сертификационные испытания, результатом которых стал сертификат соответствия №3353 (от 18 февраля 2015), выданный ФСТЭК России.

Реклама

Партнеры

Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: 1 2 3 4 5 6 7 8 9 10 11 ... 26 След.
СТО БР ИББС, Вопросы для тех кто руководствуется отраслевыми стандартами в защите
Новая (5-я) редакция СТО БР ИББС введена в действие с 1 июня 2014-го года
СТО БР ИББС, Вопросы для тех кто руководствуется отраслевыми стандартами в защите
Тема немного подзабыта - все потому что требования стандарта 10го года выполнены до приемлемого. Скоро (а думаю в этом году) выйдут новые банковские стандарты - скорее всего подхода: "К испдн не относятся АБС- цель которых осуществление БПТП" -небудет. Чтож - придется проводить классификацию по 1119 всех АБС, которые содержат ПДн...
А раньше вышеупомянутая лазейка была ой каким весомым доводом в его принятии - посмотрим - может требования к уровням защищенности стандарт выдвенит адекватные - с учетом технологических процессов, протекающих в кредитных организациях...
СТО БР ИББС, Вопросы для тех кто руководствуется отраслевыми стандартами в защите
Цитата
Bars пишет:
Цитата
Сергей С. пишет:
Если вы приняли решение о введении СТО, то и классифицируйте по СТО, если нет - по документам регуляторов.
совет замечательный!

Вы уже пробовали заполнить (отправить) уведомление в РКН с классами ИСПДн-х?
и куда Вас послали?
Никуда не послали - информационное письмо о внесении изменений отправили, а перед этим созвонились - на вопросы получали ответы - а что такое отраслевые стандарты ЦБ, мы не слышали об СТО БР ИББС ... но изменения внесли,все хорошо)
СТО БР ИББС, Вопросы для тех кто руководствуется отраслевыми стандартами в защите
Да и у золотой короны нашел правила ПС, что то я отстал от жизни :)
СТО БР ИББС, Вопросы для тех кто руководствуется отраслевыми стандартами в защите
Хотя вот смотрю у MasterCard уже есть, у Золотой Короны ничего не нашел!
СТО БР ИББС, Вопросы для тех кто руководствуется отраслевыми стандартами в защите
Я к тому что обучение проводилось - проводить второй раз тоже самое.... или о чем написать в программе? (PCI DSS не обязателен), ну а раз обучение уже проводилось - как раз учитывающее общий подход к обеспечению ИБ, что дополнительного написать именно по обеспечению безопасности при осуществлении переводов днежных средств незнаю, не имея конкретных требований от операторов ПС.
СТО БР ИББС, Вопросы для тех кто руководствуется отраслевыми стандартами в защите
Думаю что обучать нужно ответственных за обеспечение порядка защиты информации при осуществлении переводов ДС, которых также нужно назначать согласно 382-П
Правда сам этот порядок устанавливается как оператором по переводу денежных средств, так и оператором плат. сист. , а требований от них пока не видно никаких!...
СТО БР ИББС, Вопросы для тех кто руководствуется отраслевыми стандартами в защите
Всем доброго времени суток.
Хотелось бы получить совет по вопросу повышения осведомленности сотрудников вопросам информационной безопасности.
Согласно СТО БР ИББС мы разработали программу повышения осведомленности, положение, тесты к программе - как результат контроля. В программу были включены основные моменты - "что такое информация ограниченного доступа - какая у нас есть что нужно делать и когда нужно делать, как выбирать пароли, куда лезть куда не лезть, когда закрывать кабинет, когда лочить комп итп", грубо говоря - вода водой, но для обычного работника это очень даже НОВО.
Теперь, согласно 382-П ЦБ РФ:
2.12.1. Оператор по переводу денежных средств, банковский платежный агент (субагент), являющийся юридическим лицом, оператор услуг платежной инфраструктуры обеспечивают повышение осведомленности работников в области обеспечения защиты информации:
по порядку применения организационных мер защиты информации;
по порядку использования технических средств защиты информации.
Здесь требуется обучение узконаправленное, что лучше - разработать новую программу, или переучить всех, изменив старую и включить в нее требования 382-П.?
Кто то уже работал в этом направлении?
СТО БР ИББС, Вопросы для тех кто руководствуется отраслевыми стандартами в защите
Что мы показывали:
Положение по обработке и защите ПДн (+ листы ознакомления с ним работников, осуществляющих непосредственный доступ к ПДн)
Положение по обработке ПДн работников (+ подтверждение ознакомления работников с этим положением (требование ТК РФ))
Инструкция по организации учета, хранения использования и уничтожения матер. носителей информации (+ листы уничтожения документов, содержащие ПДн, которые достигли целей обработки:) )
Показывали Журнал мониторинга и контроля (который в том числе включает проверку по ПДн, это на основании внутреннего положения)
Показывали программу обучения сотрудников, положение по обучению и журнал прохождения обучения.
Описание технологического процесса обработки ПДн только в ИСПДн.
Ну и соответственно они смотрели личные дела и т.п. + смотрели остальные документы (приказ о назначении ответственного за обработку и т.д.)
СТО БР ИББС, Вопросы для тех кто руководствуется отраслевыми стандартами в защите
Конкретного перечня у нас не требовали - необходимо было предоставить документы оператора, подтверждающие выполнение требований ФЗ-152, 781-П и т.п.
В общем то, названия ведь могут отличаться. Проверка проходила по принципу - а это требование у вас выполнено - где? а это где? а документы подтверждающие уничтожение ПДн, по достижении целей обработки и т.п.
ЭЛЕКТРОННАЯ ПОДПИСЬ (взамен ЭЦП), вопросы
Спасибо - вот хороший пример - если нужно кому-то https://money.yandex.ru/doc.xml?id=522764
ЭЛЕКТРОННАЯ ПОДПИСЬ (взамен ЭЦП), вопросы
Здравствуйте всем!
Необходимо подготовить (до 1 июля 2013 г.) изменения в договор на Банк-Клиент.
Что и как изменить ?
1.поменять ЭЦП на ЭП (и другие определения)
2. добавить обязанность по документированию действий и их результатов в случае копрометации ключевой информации (требования СТО БР ИББС М3-27)
3. Нужно ли писать в договоре, что наша ЭП - это усиленная неквалифицированная подпись?
4. Что про информирование клиента о совершении каждой операции при осуществлении электронного платежа (ст.9 ФЗ о НПС)
Что еще нужно поменять, дополнить? спасибо!
Специалист, Магистр, Вопрос
Добрый день уважаемые коллеги!
На данный момент имею диплом специалиста по ИБ, работаю по специальности.
Предлагают мне поступить в магистратуру, по тому же профилю, стоит ли, или это пустая трата времени - в аспирантуру не собираюсь, ну хотя всякое может быть!)
Спасибо!
Примерный список запрашиваемых документов при проверке Роскомнадзором Оператора персональных данных
Мне кажется нужно составлять не список документов, а список требований, которые документы должны содержать!)
Журнал ознакомления персонала с распорядительными док-ми по ПДн, как лучше сделать?
Сделать можно как угодно, у нас недавно была проверка РКН - нарушений не выявлено.
У нас есть - при трудоустройстве - обязательство о неразглашении (соглашение о неразглашении); лист ознакомления - в личном деле хранится. И самое основное - есть положение по обучению и повышению информационной безопасности, уже программЫ(включают не только ПДн) по обучению и повышению осведомленности в области ИБ - и соответственно журналы, но самое главное в том, что подписей в журнале -2, одна-о проведении обучения, вторая об ознакомлении с перечислинными документами в шапке журнала- на них ссылается программа обучения, ну и подпись обучающего (чтобы пройти обучение и повышение осведомленности кстати нужно ответить на вопросы тестов к программе)
- это правда все по СТО БР ИББС, можно сделать проще.
Перечень сотрудников (должностей) работающих с ПДн
Сергей С. прав - ознакамливать нужно всех, и указывать в перечень должностей работников, осуществляющих непосредств. доступ к ПДн! И здесь не обязательно привязывать к ИСПДн - а если работник обрабатывает ПДн неавтоматизированным способом - ПП687, он ведь имеет непосредственный доступ к ПДн.
политика ИБ в области ПД и положение о ПД это одно и то же?
У нас была проверка РКН, мы опубликовали положение, отдельную политику для этого не делали, т.к. по моему нужно опубликовать не именно политику, а документ, определяющий политику в отношении обработки ПДн - вопросов не возникло!Исходя из того что у терр. органов разные мнения - делайте по своему усмотрению!)
Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Звонят, на сколько я понял коллекторы, если еще раз получу звонок, то соответственно отправлю заказное письмо, в зависимости от ответа - напишу заявление в РКН! Если что то новое появится отпишусь!
Что бы вы хотели улучшить в ISPDN.RU, Дальнейшее развитие
А нет могу, только не видно нигде что я вошел...
Что бы вы хотели улучшить в ISPDN.RU, Дальнейшее развитие
А я залогиниться немогу!??
Страницы: 1 2 3 4 5 6 7 8 9 10 11 ... 26 След.