Сообщения

Сообщения за июль, 2012

СОИБ. Проектирование. Мобильные рабочие места 2

Изображение
Через непродолжительное время после выхода предыдущей статьи про мобильные рабочие места , 19 июля прошел партнерский семинар Застава и Aladdin , на кортом было представлено новое решение на эту тему. Решил написать о нем пару слов и добавить в сравнение. Решение основано на трех уже существующих и сертифицированных продуктах: ·         Альт Линукс СПТ 6.0 – операционная система, сертифицированная в системе ФСТЭК России на соответствие РД “показатели защиты от НСД” по 4 классу защищенности, на соответствие РД “классификация по отсутствию НДВ” по 3 уровню контроля (походит для 1В и К1) ; ·         VPN/FW «ЗАСТАВА» 5.3 Офис – криптошлюз, сертифицированный в системе ФСБ России, на соответствие классам КС1-КС2; сертифицированный в системе ФСТЭК России, на соответствие РД “…Межсетевые экраны…” по 2 классу защищённости,  на соответствие РД “классификация по отсутствию НДВ” по 3 уровню контроля. ·         VPN/FW «ЗАСТАВА» 5.3 Клиент – VPN клиент, сертифицированный в системе ФСБ Р

СЗПДн. Анализ. Сколько сотрудников необходимо для организации обработки и обеспечения безопасности ПДн (UPD)

Изображение
Ни  для кого не секрет, что федеральный закон 152-ФЗ “О персональных данных” и подзаконные акты требуют от Оператора ПДн выполнения определенных мероприятий и соответственно накладывают на него дополнительные затраты: приобретение оборудования, оплата услуг консультантов, зарплата дополнительным сотрудникам. В данной заметке хочу опустить разовые затраты Оператора на разработку первоначального комплекта документов и первоначального внедрения системы защиты персональных данных. Пусть эти работы уже проведены, внедрена СЗПДн, комплект документов по ПДн в наличие. На этом затраты Оператора связанные с 152-ФЗ закончились? Нет. В ИСПДн постоянно происходят изменения: появляются новые формы отчетности, появляется необходимость информационного взаимодействия, меняется системное и прикладное ПО, увольняются сотрудники, устраиваются на работу новые, выходит из эксплуатации техника и закупается новая. В связи со всеми изменениями ИСПДн законодательство требует принятия определенны

СОИБ. Анализ. Государственные информационные системы и информационные системы критически важных объектов (UPD)

13 июля ФСТЭК России опубликовал на своем сайте Проект федерального закона "О внесении изменений в Федеральный закон 149-ФЗ "Об информации, информационных технологиях и о защите информации" Планируется придать 2 новых толчка обеспечению ИБ (в дополнение к активно развивающейся защите персональных данных и платежных систем): ·         Защита информации в государственных информационных системах (ГИС) ·         Защита информации в информационных системах критически важных объектов (ИСКВО) 1.            В направлении защиты ГИС добавляются следующие требования к необходимым мероприятиям: ·         анализ уязвимостей и угроз (типа аудита ИБ) ·         разработка и реализация системы защиты информации  (типа проектирования СЗИ) ·         оценка соответствия системы защиты информации  (типа аттестации)   ·         применение средств защиты информации прошедших процедуру оценку соответствия (типа сертификации) ·         назначение ответственных за ЗИ ·

СОИБ. Проектирование. Виртуальные мобильные рабочие места

В сегодняшней заметке хотелось бы уделить внимание решениям типа Защищенные мобильные виртуальные рабочие места на базе съемного USB носителя. Написать данную заметку меня сподвигла статья Андрея Комарова на Хабре, к которой я вернусь ниже. Для кого защиты, каких объектов могут использоваться такие решения: ·         для сотрудников, которым необходимо поработать с корпоративной защищаемой информацией находясь за пределами контролируемой территории – в командировках, при работе из дома, на площадке партнера/клиента/заказчика ·         для клиентов Банков, которые подключаются к платежным системам из своих корпоративных (такие сети тоже можно считать неконтролируемыми – ведь банком они не контролируются) или домашних сетей При такой работе становятся актуальными следующие угрозы, связанные с неконтролируемой средой: 1.       Отсутствие у пользователя необходимых сервисов и приложений для работы с защищаемой информацией. Например, пользователю удалось в командировке н