Сообщения

Сообщения за Июль, 2012

СОИБ. Проектирование. Мобильные рабочие места 2

Изображение
Через непродолжительное время после выхода предыдущей статьи про мобильные рабочие места, 19 июля прошел партнерский семинар Застава и Aladdin, на кортом было представлено новое решение на эту тему. Решил написать о нем пару слов и добавить в сравнение.
Решение основано на трех уже существующих и сертифицированных продуктах: ·Альт Линукс СПТ 6.0 – операционная система, сертифицированная в системе ФСТЭК России на соответствие РД “показатели защиты от НСД” по 4 классу защищенности, на соответствие РД “классификация по отсутствию НДВ” по 3 уровню контроля (походит для 1В и К1); ·VPN/FW «ЗАСТАВА» 5.3 Офис – криптошлюз, сертифицированный в системе ФСБ России, на соответствие классам КС1-КС2; сертифицированный в системе ФСТЭК России, на соответствие РД “…Межсетевые экраны…” по 2 классу защищённости,  на соответствие РД “классификация по отсутствию НДВ” по 3 уровню контроля. ·VPN/FW «ЗАСТАВА» 5.3 Клиент – VPN клиент, сертифицированный в системе ФСБ России, на соответствие классам КС1-КС2; сертиф…

СЗПДн. Анализ. Сколько сотрудников необходимо для организации обработки и обеспечения безопасности ПДн (UPD)

Изображение
Ни  для кого не секрет, что федеральный закон 152-ФЗ “О персональных данных” и подзаконные акты требуют от Оператора ПДн выполнения определенных мероприятий и соответственно накладывают на него дополнительные затраты: приобретение оборудования, оплата услуг консультантов, зарплата дополнительным сотрудникам.
В данной заметке хочу опустить разовые затраты Оператора на разработку первоначального комплекта документов и первоначального внедрения системы защиты персональных данных.
Пусть эти работы уже проведены, внедрена СЗПДн, комплект документов по ПДн в наличие. На этом затраты Оператора связанные с 152-ФЗ закончились?
Нет. В ИСПДн постоянно происходят изменения: появляются новые формы отчетности, появляется необходимость информационного взаимодействия, меняется системное и прикладное ПО, увольняются сотрудники, устраиваются на работу новые, выходит из эксплуатации техника и закупается новая. В связи со всеми изменениями ИСПДн законодательство требует принятия определенных мер.
Уже внед…

СОИБ. Анализ. Государственные информационные системы и информационные системы критически важных объектов (UPD)

13 июля ФСТЭК России опубликовал на своем сайте Проект федерального закона "О внесении изменений в Федеральный закон 149-ФЗ "Об информации, информационных технологиях и о защите информации"
Планируется придать 2 новых толчка обеспечению ИБ (в дополнение к активно развивающейся защите персональных данных и платежных систем): ·Защита информации в государственных информационных системах (ГИС) ·Защита информации в информационных системах критически важных объектов (ИСКВО)
1.В направлении защиты ГИС добавляются следующие требования к необходимым мероприятиям: ·анализ уязвимостей и угроз (типа аудита ИБ) ·разработка и реализация системы защиты информации  (типа проектирования СЗИ) ·оценка соответствия системы защиты информации  (типа аттестации)   ·применение средств защиты информации прошедших процедуру оценку соответствия (типа сертификации) ·назначение ответственных за ЗИ ·разработка политики обеспечения ЗИ ·анализ и реагирование на инциденты ИБ ·резервирование ·контроль выполнения т…

СОИБ. Проектирование. Виртуальные мобильные рабочие места

В сегодняшней заметке хотелось бы уделить внимание решениям типа Защищенные мобильные виртуальные рабочие места на базе съемного USB носителя. Написать данную заметку меня сподвигла статья Андрея Комарова на Хабре, к которой я вернусь ниже.
Для кого защиты, каких объектов могут использоваться такие решения: ·для сотрудников, которым необходимо поработать с корпоративной защищаемой информацией находясь за пределами контролируемой территории – в командировках, при работе из дома, на площадке партнера/клиента/заказчика ·для клиентов Банков, которые подключаются к платежным системам из своих корпоративных (такие сети тоже можно считать неконтролируемыми – ведь банком они не контролируются) или домашних сетей
При такой работе становятся актуальными следующие угрозы, связанные с неконтролируемой средой: 1.Отсутствие у пользователя необходимых сервисов и приложений для работы с защищаемой информацией. Например, пользователю удалось в командировке найти компьютер, но на нем отсутствует КриптоПро ил…