Сообщения

Сообщения за май, 2011

СОИБ. Анализ. Инструменты для оценки соответствия стандарту СТО БР ИББС 2

В одном из предыдущих сообщений ( http://sborisov.blogspot.com/2011/03/blog-post_31.html ) я рассмотрел два инструмента оценки соответствия стандарту СТО БР ИББС. Сегодня хочу написать ещё пару слов о третьем протестированном инструменте Estimate Tool от НПФ "Кристалл". Основные заключения: · С основной задачей справляется, в результате можно получить отчет об оценке и диаграммы. · При оценке нельзя схитрить – все положительные значения должны быть подтверждены свидетельствами. Для каждого неоцениваемого показателя должно быть дано обоснование. Это делает оценку более объективной но и более трудозатратой. Обнаруженные недостатки: · Система работает только с устаревшей СУБД MSSQL 2000 Server. Не работает с MSDE. · Система не предусматривает ведение нескольких проектов. Для нового проекта придется создавать новую БД и с нуля делать всю подготовку (заводить пользователей, разбивать вопросы по анкетам). · В программе

СЗПДн. Проектирование. Методы и способы защиты ПДн 2

В предыдущем сообщения я рассмотрел варианты документов, в которым может быть документирован выбор методов и способов защиты ПДн. Как выбрать необходимые методы и способы защиты ПДн в нормативных документах РФ по ПДн не определено. Зато в такой ситуации нам ничего не мешает использовать международные стандарты. По сути выбор методов и способов защиты ПДн является менеджментом рисков связанных с актуальными угрозами ПДн которые обыли определены в МУ. Можно руководствоваться например ISO/IEC 27005:2008 и для каждой угрозы определить: · Применяемые в данный момент методы и способы защиты ПДн (контроли) которые связанны с данной угрозой. · Методы и способы защиты ПДн (контроли), которых достаточно для нейтрализации данной угрозы. Например, рассмотрим угрозу «Внедрение вредоносных программ по сети». Пусть в Организации применяются только средства антивирусной защиты, не прошедшие процедуру оценки соответствия; других методов и способов защиты не применяется. Например

СЗПДн. Проектирование. Методы и способы защиты ПДн

В соответствии с «Положением о методах и способах защиты информации в информационных системах персональных данных» выбор и реализация методов и способов защиты информации в информационной системе осуществляются на основе определяемых оператором (уполномоченным лицом) угроз безопасности персональных данных (модели угроз) и в зависимости от класса информационной системы. При этом в разделах 2 и 3 «Положения …» определены общие методы и способы, а в приложении к «Положению …» приведена детализация этих методов и способов. Периодически возникает вопрос: каким образом на основе перечня актуальных угроз и класса ИСПДн должны определятся методы и способы защиты информации и в каком документе этот выбор должен быть зафиксирован? В каком документе надо описывать определение выбора методов и способов защиты? Рассмотрим стандартные документы: отчет об обследовании, модель угроз и нарушителя, техническое задание на СЗПДн, эскизный или технический проект на СЗПДн. При формировании отче