Сообщения

Сообщения за Февраль, 2014

СОИБ. Анализ. Порядок обеспечения безопасности ИСПДн, ГИС и АСУ

Изображение
Хочу всех поздравить с тем, что наконец закончилась долгоиграющая разработка методического документа ФСТЭК России по защите ГИС. Он подписан и опубликован. Так-же недавно был выложен на рассмотрение проект требований по защите АСУ, во многом схожий с по порядку выполнения работ и составу мер защиты с приказами № 21 и №17.
На недавней конференции "Актуальные вопросы защиты информации" представители ФСБ России так-же отметили что существенных изменений в проект приказа по защите ПДн они вносить не будут и опубликуют его в ближайшее время.
Это дает основания полагать что в ближайшие год-два ничего существенного в порядках защиты ИСПДн, ГИС не поменяется. Поэтому хватить совершенствовать законодательство и выжидать – пора размораживать проекты и реализовывать систему защиты.
Методический документ по защите ГИС, может так-же использоваться в процессе создания СЗПДн. Я считаю разумным применение методического документа  для большинства ИСПДн в тех частях, где это не создает доп…

СОИБ. Анализ. Экономическая эффективность IDM

14 февраля послушал довольно интересный совместный вебинар BIS-Expertи Trustverseна тему «Как измерить экономический эффект от внедрения IDM?»
Сделаю небольшое отступление в части терминологии.
Если дословно, то IDM (identitymanagement) – управление идентификацией / идентификаторами. Но для корпоративных нужд под IDMобычно понимается – система централизованного управления учетными записями пользователей в ИС и всем что с ними связано с этими учетными записями: правами доступа в ИС, заявками на доступ, паролями, сертификатами и т.п. The ABCs of Identity Management: “Identity management is a term that refers broadly to the administration of individual identities within a system, such as a company, a network or even a country. In enterprise IT, identity management is about establishing and managing the roles and access privileges of individual network users. ID management systems provide IT managers with tools and technologies for controlling user access to critical information within an …

СОИБ. Анализ. Добавления к каталогу мер защиты от ФСТЭК

Как вы наверное знаете, сегодня на публичное рассмотрение выложен проект нормативного акта “ Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды”.
Документ разработан на основе приказа 17 ФСТЭК Р, на него похож и на столько же хорош.
Порадовал он нас и новыми мерами в каталоге базовых набор мер: 1.Каждая группа мер дополнилась ещё одним нулевым (.0) пунктом, связанным с разработкой правил и процедур.  Тут видимо ФСТЭК учел замечания об отсутствии явных требований к документированию процедур в предыдущих документах Условное обозначение и номер меры Меры защиты информации в автоматизированных системах управления Классы защищенности 3 2 1 VI. Антивирусная защита (АВЗ) АВЗ.0
Разработка правил и процедур (политик) антивирусной защиты + + …