Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Новая версия SIEM-системы КОМРАД: теперь с поддержкой масштабирования и без ограничений на производительность

22/11/2018

Группа компаний «Эшелон» представляет обновленную систему управления событиями информационной безопасности КОМРАД. Новая версия SIEM-системы поддерживает возможность масштабирования и включает ряд новых возможностей.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: 1 2 3 След.
Делопроизводство конфиденциальных документов
Разбираюсь в теме делопроизводства конфиденциальных документов. Как с ними быть, как обрабатывать, как хранить? подскажите нормативную документацию, где почерпнуть информацию что бы начать въезжать в эту тему.
DVD-диск Verbatim SecureSave, Подскажите где купить
разопью пол литра беленькой и начну жить заново )))
а если серьезно, то надо сначала купить и потестить а уж потом делать выводы слетит что-то или нет.
По этому где купить? Кто видел ?
[ Закрыто] Новые требования, В 2012 году у Закона о защите персональных данных появятся новые подзаконные акты
Требования к детским садам и сельским школам должны быть ниже. Ха, как раз из таких организаций персональные данные утекают как вода через сито.
Подход к обеспечению безопасности персональных данных основанный на уровнях безопасности (классах ИСПДн) изначально неверный - но это все философия. )
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Цитата
Карбер пишет:
1) Если есть лицензия, то что мешает аттестовать?! Можно.
2) Гос структурам обязательна, а частным - рекомендательный характер(читай - не нужна).
А все потому что ее 58 приказ отменил, а в СТР-К сказано что для не государственных организаций требования носят рекомендательный характер....
По поводу ст.19 п.2 ничего не говорится про аттестацию. Ждем подзаконников, может там она и появится.
А пока можно пригласить уборщицу бабу Валю и попросить сказать что меры эффективны, тем самым выполнив этот пункт.
1)За мнение по первому вопросу спасибо. Желательно конечно официальное мнение ФСТЭК, если есть такое, например в виде письма.
2) Она там появиться с большой долей вероятности. Об этом говорил Алексей Лукацкий на Cisco Expo на той неделе, если кто был, то подтвердит мои слова.
Цитата
Сергей С. пишет:
оценка эффективности принимаемых мер это то же самое что СЗИ, прошедшие оценку соответствия установленным порядком. Регуляторы требуют сертификацию. Пока нет подзаконных - самооценка не запрещена, главное оформить документально.
Примеры бы, правильного оформления документации.))
Цитата
Для аттестации лицензии недостаточно!!!!!! Аттестовывать могут только те кто имеет аккредитацию ФСТЭК! А таких намного меньше чем тех кто имеет лицензию.
- это холивар. единого мнения нет, это наше неоднозначное законодательство.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Мой набор тупых (а может и не очень тупых) вопросов:
1. У юридического лица есть лицензия ФСТЭК, это юридическое лицо может само аттестовать свою ИСПДн ?
2. Нужна ли вообще аттестация ИСПДн? Учитывая требования ФЗ №152 в ст. 19 п.2
Цитата
2. Обеспечение безопасности персональных данных достигается, в частности:
4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
Да, и просьба свои ответы аргументировать.
Изменено: Павел - 28.11.2011 07:41:05
[ Закрыто] Выбор сертифицированного межсетевого экрана
Trotsky,
А вот заказчик *WOW* считает, что я могу найти подробный межсетевой экран.)
Вобщем ладно, вопрос закрыт. Спасибо)
[ Закрыто] Выбор сертифицированного межсетевого экрана
Товарищи, посоветуйте персональный межсетевой экран.
Требования:
1. ИСПДн К3
2. Не дороже 500 руб на АРМ.
3. Не VipNet Personal Firewall
Помогите вспомнить...
Цитата
Дмитрий Иванцов пишет:
Помню было где-то прописано, что если: На сервере К1, и работа с ПК идет по тонкому клиенты -> что рабочие машины защищаем по К3
Не могу вспомнить откуда это вытекает.. Был ли какой то документ на эту тему?
Наверное, вы спрашиваете про возможность сегментировать вашу ИСПДн, разделить её по средствам межсетевого экрана. Да, такое возможно. На это указывает приказ ФСТЭК №58 п.2.4
Цитата
При разделении информационной системы при помощи межсетевых экранов на отдельные части системы для указанных частей системы может устанавливаться более низкий класс, чем для информационной системы в целом
Примеры такой сегментации можно посмотреть здесь: http://www.securitycode.ru/products/trustaccess/variants/
Изменено: Павел - 25.08.2011 19:18:49
[ Закрыто] Криптосредства
С удовольствие распишу, только вот сам разберусь))
[ Закрыто] Криптосредства
пока вам могу только документами помочь, почитайте вот это (центральные документы в деле работы с СКЗИ):
- Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (положение пкз-2005) (приложение к приказу ФСБ России от 9 февраля 2005 г. № 66)
- Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, утвержденной приказом ФАПСИ от 13.06.2001 №152.
- Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных. ФСБ России от 21.02.2008 №148/6/6-622
- Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, утвержденными ФСБ России от 21.02.2008 №149/54-144.

Про комплект документов хорошо расписано в "Типовые требования..." Первым делом необходимо назначить ответственного за СКЗИ на предприятии, ну а дальше читайте..)
[ Закрыто] Криптосредства
Rimsky, +1 нет, даже +100. С этого я и начал обсуждение. Пока что все утверждают, что никакого лицевого счета нет и быть не должно, поскольку нигде не описано как он должен выглядеть и толком не сказано для чего он вообще. Вот, пока на том и стоим.))
[ Закрыто] Криптосредства
Карточки, лицевые счета - это мы и обсуждаем в этой теме.
Ноги этой темы растут из "Типовые требования по организации и обеспечению функционирования шифровальных средств, предназначенных для обеспечения безопасности персональных данных" п.3.5
[ Закрыто] Криптосредства
Вот не поленюсь и придумаю пример. 8)
ООО "Вротмненоги" закупила у лицензиатов ФСБ для своих сотрудников партию ништякового оборудования и ПО:
1. ПО Крипто Про - 400 шт.
2. ПО Секрет Диск - 100 шт.
3. ПАК Криптон - 300 шт. (суровая фирма :) )
4. АПКШ Континент - 10 шт.
Ну закупились так закупились, впрок как говориться.
ООО "Вротмненоги" офигев от такого количества СКЗИ решает назначить ответственного за СКЗИ, который будет разруливать и контролировать процессы выдачи и эксплуатации СКЗИ. Этот отвественный открывает "Типовые требования..." и видит, что ему суждено от ныне вести "журнал поэкземплярного учета криптосредств, эксплуатационной и технической документации к ним, ключевых документов", где он последовательно отмечает кому что когда и зачем выдал.
Все вроде бы отлично. Но тут приходит к ответственному за СКЗИ директор и говорит: "А сколько разных СКЗИ ты выдал нашему менеджеру Иванову?" Тут отвественный понимает, что надо было ему еще лицевые счета вести на сотрудников, чтобы не рыскать теперь по 400-страничному журналу глазами в поисках Иванова, а взять и посмотреть сразу что за ним числиться.
[ Закрыто] Криптосредства
ВадимКа, Оно мне не надо. Я как и любой специалист по ИБ понимаю всю абсурдность этих "Типовых требований" и прочих, в наркотической нирване написанных, РД ФСБ и ФСТЭК.
Я просто хочу в формальной стороне вопроса разобраться. Вот есть такой пукт 3.5 в "Типовых требованиях", кто как его интерпретирует ? Вашу позицию я понял.
Буду рад услышать еще мнения.
[ Закрыто] Криптосредства
Я согласен, что ПДн частный случай конфи. Я согласен, что Требования - переработанная инструкция. И что тот кто распространяет СКЗИ должен вести такой лицевой счет.
Но есть организации, с большим числом работников, в таких организациях есть специальные отделы защиты информации, которые закупают СКЗИ для своей организации и организуют работу с СКЗИ внутри фирмы. И я считаю, что в такой организации, где есть ответственный за СКЗИ, где происходит работа с ключами ЭЦП, используются в разных отделах разные СКЗИ и т.д., такой документ как "Лицевой счет" должен быть в обязательном порядке на кажого пользователя. Я не прав?
[ Закрыто] Криптосредства
ВадимКа,
Михаил,
Вообще-то я с вами согласен, в тех комплектах документации по ИСПДн, которые я видел не было документа под названием "Лицевой счет пользователя СКЗИ". Но давайте разберем эти ТИПОВЫЕ ТРЕБОВАНИЯ чуть детальнее:
Итак, первое. Кто такой ответственный пользователь. Об этом звере нам рассказывает пункт 2.6
Цитата
2.6 Обеспечение функционирования и безопасности криптосредств возлагается на ответственного пользователя криптосредств, имеющего необходимый уровень квалификации, назначаемого приказом оператора (далее – ответственный пользователь криптосредств)
То есть это все таки человек работающий в штате оператора, осуществляющего обработку ПДн.
Второе. В пункте 3.4 говориться что все выданные пользователям СКЗИ должны быть учтены в журнале и даже приводиться бланк этого журнала в Приложении 2 и 3.
Третье. В пункте 3.5 говориться о каких то лицевых счетах. Если бы был верен тезис лицевой счет=журнал учета выдачи, то не нужно было бы вставлять этот пункт 3.5, ведь в пункте 3.4 уже сказано про журналы. Делаем вывод, что лицевой счет не равно журнал учета выдачи и лицевой счет это отдельный документ который должен быть у ответственного пользователя на каждого, кто работает с СКЗИ в этой фирме.
Скажите где я не прав? И если все таки кто-то размышлял так же как я, то покажите этот ваш документ под названием лицевой счет. Не будьте жмотами )))
Изменено: Павел - 16.08.2011 07:35:29
[ Закрыто] Криптосредства
Хочу поднять тему.
Типовые требования по организации и обеспечению функционирования шифровальных средств, предназначенных для обеспечения безопасности персональных данных - документ действующий, но к сожалению я никогда и нигде не видел такие "Лицевые счета"
У кого как в фирмах документально решается этот вопрос с лицевыми считами ?? Скиньте бланк посмотреть. :!:
Настройка security studio, Параметры настройки в соответствии с законодательством в области ПД
А вот техподдержка то в этой сами знаете какой компании 8) - платная. Так что остался мануал или дистрибьюторы.
[ Закрыто] Лицензия на ТЗКИ для оператора дата-центра, Нужна ли компании - владельцу дата-центра лицензия на ТЗКИ?
И все же НТЦ "Информационная безопасность" г. Пермь не является последней инстанцией, а вопрос серьезный.
Можно ли аттестовать ИСПДн самостоятельно, если лицензия на ТЗКИ у нас есть??? У кого есть примеры самоаттестации? Письма, официальное мнение ФСТЭК? У кого какая есть информация?
[ Закрыто] Office & Winrar. Вопрос!, Сертифицировать или не сертифицировать?
Александр Антипов,
1. Средства защиты должны быть сертифицированы, на это указывает и 781 ПП и 152 ФЗ в новой редакции (ст.19 п.3).
2. Да, сертификация Винды наиболее выгодный способ построить систему защиты от НСД, соответствующую 3 классу ИСПДн. Только внимательно читайте эксплуатационную документацию, поставляемую в комплекте с верифицированным медиа китом Винды.
3. АЛТЕКС-СОФТ утверждает что в вашем случае сертификация Office так же необходима.
Цитата
На компьютере установлена сертифицированная версия ОС MS Windows Vista, есть ли необходимость установки сертифицированной версии офисного программного комплекса MS Office 2007?
Ответ
Да, если офисный программный комплекс MS Office 2007 применяется для обработки конфиденциальной информации или персональных данных.
Вот ссылка: http://www.altx-soft.ru/faq.htm#ques9
Но я бы, на вашем месте, не стал покупать этот сертифицированный офисс. Высокие затраты, а Роскомнадзору при проверке хватит и сертификата на Винду.
Изменено: Павел - 20.09.2011 07:59:31
Страницы: 1 2 3 След.