Сообщения

Сообщения за август, 2013

СОИБ. Лучшие практики. 20 наиболее важных мер ИБ от SANS Institute

Изображение
В этом году известный в США институт SANS обновил документ “ 20 критических мер ИБ ” (Twenty Critical Security Controls for Effective Cyber Defense). Документ интересный, поэтому хочу привести тут его краткий обзор. Почему можно отнести данный документ к “лучшим практикам”? В его разработке участвовала группа экспертов из разных стран, включающая как государственные, так и коммерческие компании: ·         U.S. Department of Defense ·         Nuclear Laboratories of the U.S. Department of Energy ·         U.S. Computer Emergency Readiness Team of the U.S. Department of Homeland Security ·         United Kingdom's Centre for the Protection of Critical Infrastructure ·         FBI ·         other law enforcement agencies ·         Australian Defence Signals Directorate ·         government and civilian penetration testers and incident handlers Кроме того, был организован постоянно действующий международный консорциум из государственных и коммерческих ком

СОИБ. Безопасность критической информационной инфраструктуры (КИИ)

Недавно на публичное обсуждение был выложен проект Федерального закона РФ “о безопасности критической информационной инфраструктуры Российской Федерации” Данный ФЗ в качестве недостающего звена дополняет структуру документов по КСИИ Из наиболее интересного : ·         На уровне ФЗ вводятся необходимые новые термины. Что конечно хорошо, так как уменьшает количество разногласий и разночтений всей структуры документов по КСИИ ·         Определяются категории опасности КСИИ- высокой, средней и низкой ·         В отличие от ПДн, предполагается активное участие регуляторов в оценке, контроле, анализе безопасности КСИИ, так например ФСБ Р и ФСТЭК Р будут (не считаю разработки требований): o    вести реестр объектов КСИИ o    проводить проверку правильности классификации объектов КСИИ (для сравнения в ПДн оператор самостоятельно определяет уровни защищенности и нормами не предусмотрена проверка правильности классификации) o    определять порядок проведения оценки защище

СЗПдн. Анализ. Порядок выполнения основных мероприятий по обеспечению безопасности ПДн

Изображение
В очередной раз пишу про уже порядком утомившую всех тему по защите ПДн. Так как в комментариях к предыдущим заметкам поднимались вопросы: ·         почему написано про модель угроз , если явно она не требуется ·         нужно ли обследование ·         обязательны ли сертифицированные СЗИ ·         обязательная ли аттестация ·         какие возможны документы в простых случаях Свел в одну картинку основные возможные варианты порядков обеспечения безопасности ПДн. Хотел сделать кратко и крупно, но получилось опять много вариантов и мелкими буквами, поэтому лучше смотреть в варианте PDF . ( UPDATE ) Привожу некоторые объяснения относительно вариантов: 1.       Почему в варианте “другие ИСПДн” есть две цепочки действий? В приказе №21 ФСТЭК нет явных требований к оператору – проводить моделирование угроз. Нет и обратного – информации о том что моделирование угроз уже проведено или что его проведение не требуется. В ПП 1119 от оператора в явном виде т