Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

AppChecker’ом по Бляйхенбахеру

01/04/2019


Эксперты НПО «Эшелон» в результате исследования открытых программных проектов выявили критическую угрозу для интернет-приложений – возможность проведения атаки Бляйхенбахера! В настоящее время самым эффективным средством для заблаговременного предупреждения данной атаки является статический анализатор кодов AppChecker!

Реклама





Партнеры





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: 1
Как уйти от защиты по ПЭМИН?
Именно так и делается, самое интересное что по разным постановлениям на платной основе уже 2 проверяющие организации провели этот самый контроль. Теперь вот ещё надо "отстегнуть" за те же измерения, кстати мы "ГУЗ", забавно, да? Знаете кто платить будет за тройные измерения одного и того же? Пациенты... Иначе это была бы не Россия.
Администратор ИСПДН и Администратор безопасности, Возможно ли?
таж ситуация, я объединил в одного всё
на неделе заберут доки на проверку.. посмотрим
Изменено: Олег Чудинов - 26.10.2010 08:08:20
Нужен ли вообще технический проект ?
угу... жду аттестаторов в завтра посмотрим че скажут.
Нужен ли вообще технический проект ?
ркн хзн... пришел атестатор к нам барнаульскуий и сказал вот список доков, не будет чего аттестат не дадим. обоснование - почитайте законы... хорошо так говорить не юристу. Хотя вру маленько не приходил никто, по телефону озванивались и по епочте общались. вывод, либо 17 тыр платить за техпроект и тз, либо попросить грамотных юристов на пальцах объяснить что мы можем законно потребовать проводить аттестацию нас без ТЗХЗМЗ.
Еще раз про автоматизированную и неавтоматизированную обработку..
Да я не против что вы так злитесь - викинуть компы и нет ни проблем с аттестацией и бухгалтерия работает за премию )
Еще раз про автоматизированную и неавтоматизированную обработку..
...либо одно из двух...

Хватит баловаться с законом - оператор, а не хакер, в большинстве случаев сносит незабакапленную базу - хоть локтём на клаву опёрся хоть системник со стола уронил, вот и пункт в модель угроз. Так же как и другие операции в компьютерных программах требуют КОМАНДЫ оператора, чтобы начать автоматическую обработку - что не является УЧАСТИЕМ человека в рассчётах. Вот если я полез WINHEX ом в базу сам помечать записи как удалённые это уже не автоматизированная обработка - но регуляторам даже винхекс не докажешь - под "осуществляет автоматизированную обработку" при доскональном разбирательстве попадут все программно-аппаратные средства (в т.ч. "локоть сотрудника") которые хотя бы позволяют провести такую обработку.

Теперь конкретнее - прошу учесть тот момент, что без подписи директора юдирическое последствие "начисление зп" не произойдёт, так же оно не произойдёт если незащищённые данные в неаттестованной организации вынес какойто хакер, а для зарплаты не начисление тоже есть юрид.посл. как собственно не рассчёт налогов и отчислений в пенс. фонд, и не предоставление справки о доходах - "в суд подам если завтра же мне справку не дадите! А мы не можем у нас все ваши пер.д. спёрли и нам ниче не оставили! простите.... ;("
Изменено: Олег Чудинов - 26.05.2010 08:55:22(хаккер пишется с одной "к" =))
Еще раз про автоматизированную и неавтоматизированную обработку..
Цитата
Анна пишет:
Считаю *WOW* . В конвенции говорится об АВТОМАТИЧЕСКОЙ обработке. В 687м упоминается АВТОМАТИЗИРОВАННАЯ. Либо кто-то что-то напутал, либо так и должно быть. Но получается, что это разные понятия.
мне что то не по шарам? я корнвенцию не читал а вот в Вашей цитате слова "автоматической" я не нашёл, наверное либо поправьте меня, либо одно из двух...
[ Закрыто] Как обезличить данные, Как обезличить данные
Неофициально, в личной беседе сообщил ) Или в блоге...
[ Закрыто] Как обезличить данные, Как обезличить данные
Не уникальна в плане по фио обратившегося найти его сведения...

Ктонибудт на практике реализовывал/реализовывает это сейчас (в смысле понижение класса разбрасыванием баз)???
посоветуйте, как организовать предоставление "согласия на обработку ПДн" в мед.орг.
Хоршо быть юристом в нашей стране - я и не подозревал о существовании указанных вами законов ) я прогер вообще то ) В любом случае огромное спасибо, теперь знаю что почитать.
посоветуйте, как организовать предоставление "согласия на обработку ПДн" в мед.орг.
Я внимательно прочёл это и пришёл к выводу что при заключении договора на оказание платных услуг и при оказании услуг по полису дополнительных согласий мы с клиента не берём. А теперь смотрите - наша цель в общем случае взять у человека кровь и проверить на ВИЧ, с этой целью мы спокойно обрабатываем ряд ПДн клиента и в результате выдаем ему заключение и храним его данные определённый срок в картотеках и БД (это обусловлено мед. требованиями к самим анализам и этапам развития инфекции). Но что делать со станцией переливания крови - согласитесь логично что мы передаём им данные по положительным пациентам, что делать?

ЗЫ -Кстати о всяких шишках и кто на какой конференции сказал, я как лицо работавшее бок о бок с такими шишками заявлю свою имхо - не всегда даже судам верить нужно, не зря их решения можно оспорить, всё делают и говорят люди. Есть закон на твёрдом носителе и с подписью/печатью, пытаемся его толковать всеми силами. Ответы полученные на форуме или по горячей линии минздрава я лично буду прокручивать и прочитывать обязательно со всеми Ф-законами и др. макулатурой.
Построение частной модели угроз на основе документа ФСТЭК, Построение модели угроз
Цитата

Гость пишет:
Могу ли я при разработке СЗПДн признать в модели угроз, что вероятность реализации угрозы удаленного запуска приложений - низкая, не указывая что она низкая только за счет того, что я использую ПО, которое не собираюсь заявлять как СЗ для данной ИСПДн?

Аналогичная ситуаци, я думаю, что обосновать своё указание "низкая" как то придётся, только может в качестве меры по поддержанию этой вероятности указать не использование СЗ как таковых а написать "аццкий админ юзает nmap", точнее как пишут официально "Настройка МЭ и средств антивирусной защиты, установка критических обновлений безопасности" и т.п. Ну этио как вариант - для самого ещё под вопросом... Как вот по документам написать "У нас К1 и есть сто рож, эти данные всё равно нахрен никому не нужны и вообще здоровые люди стараются подальше обходить наш центр..."
Построение частной модели угроз на основе документа ФСТЭК, Построение модели угроз
До составления модели угроз мы по организации какие приказы выпускаем? в смысле есть у кого кто прошёл аттестацию пример пакета приказов/актов/отчётов? а то примерные типовые бланки не вдохновили на успех аттестации.
Как влияют на классификацию ИСПДн пункты 8-14 приказа "Об утверждении Порядка проведения классификации"
Тех. удалённого доступа это когда два модема связались по телефону или тоннель через инет проброшен, общий доступ это когда у организации есть модем или он по ethernet/wifi подключен к серверу провайдера, пакеты с которого/на который приходят с других серверов и клиентов.

а инфосистему я так понимаю - компьютер и переферия, кроме подключенной к нему через сетевой интерфес, П.О. установленное на нем, скорее всего сюда же сменные носители они относят, и, при наличии, карты-ключи.
Как правильно классифицировать
До чтения этой темы я был уверен в К1 - всё таки работаю в ГУЗ Центре АнтиСПИД, но вот незадача, в одной локалке и с использованием одного сервера работают (в основном в справочном режиме) базы данных на клиентов (ВИЧеносцев) и сотрудников. По отдельности *WOW* категория ПД клиента 1, категория ПД сотрудника - 3, соответственно я уже готов был писать всю организационную документацию как на одну ИСПДн класса К1, теперь вопрос их как то можно отдельно классифицировать и аттестовывать???
ИСПДн в медицинских учреждениях., Как можно уменьшить количество?
Есть представители мед. учреждений, прошедших аттестацию? рад буду пообщаться по ICQ.

Я тут почитал совместный приказ и возник вопрос почему вы относите кадры и бухгалтерию к К3, по закону К3 это "персональные данные, позволяющие идентифицировать субъекта персональных данных" и только. Я бы отнёс к К2, в базах этих программ есть дополнительная ниформация... сам "субъект" не всегда знает как ему зарплату начисляют, а в базах это есть... Или может есть хитрый способ понизить классс, ну так поделитесь?

У меня К1 - база ВИЧеносов, и бардак с локальной сетью, вот обложился фолиантами как в доте, кто организовывал нечто аналогичное, помогите практическим советом по оформлению документации.
Снизить класс защищенности!!!!!!!!!!!, Методические рекомендации
Уважаемые, кто на практике применил хоть один из указанных методов и прошёл аттестацию? Можно увидеть хоть краем глаза текст из вашей МУ? Интересуют в основном медицинские учреждения.
Схема ЛВС
у меня на столе лежит распечатаный док где его взять в инете не помню, кажется это называется методические рекомендации для организации защиты информции при обработке п.д. в учреждениях здравоохранения. точно скажу что ссылка на него есть на этом форуме, она ведёт на сайт minzdravsoc0-как то так... много полезной и бесполезной инфы там )
Страницы: 1