Сообщения

Сообщения за август, 2015

СОИБ. Анализ. Уязвимости сертифицированных СЗИ

В июле  Алексей Комаров в своем блоге поднимал тему о необходимости исключения из реестра ФСТЭК сертифицированных решений с уязвимостями. И уже в августе ФСТЭК России начал принимать действия в этом направлении - Заявители отправляющие на сертификацию решения одного (а может и не одного) известного западного вендора получили письмо с предупреждением.  Для западных производителей СЗИ в случае сертификации на экземпляр или партию, Заявитель – это как правило конечный пользователь или интегратор; при сертификации на серию – заявитель как правило партнер в России по сертифицированному производству. В письме регулятор напоминает, что в сертифицированном СЗИ имеются уязвимости, опубликованные в БДУ  высокого и критического уровней опасности. Так-же ФСТЭК России напоминает что Заявители на сертификацию должны обеспечивать соответствие средств защиты информации требованиям безопасности информации ( пункт 7 Постановления Правительства РФ от 26 июня 1995 г. N 608 "О сертификации

СОИБ. Анализ. Структура политик по ИБ

Изображение
В одной из предыдущих статей я делал обзор лучших практик по ИБ (публичный комплекс требований, рекомендаций и стандартов) из Австралии. В них немалое внимание уделяется внутренней документации по ИБ в организации. На этой теме и остановимся подробнее . В соответствии со стандартом Information Security Manual 2015 - Principles   необходимо сформировать в организации структуру документов по управления информационной безопасностью ( Information Security Management Framework ) , которая должна включать : ·          Политику ИБ (Information security policy, ISP). ·          План управления рисками ИБ (Security risk management plan, SRMP). ·          План системы защиты (System security plan, SSP). ·          Описание стандартных операционных процедур ( Standard operating procedures , SOP ). ·          План реагирования на инциденты ( Incident response plan, IRP ). ·          Описание порядка действий в чрезвычайных ситуациях ( Emergency procedures , EP )