Сообщения

Сообщения за ноябрь, 2014

СОИБ. Анализ. Оценка ущерба в ИБ

Важно и нужно проводить оценку ущерба активам от угроз ИБ. Она потребуется при : ·         анализе рисков (ИСО 2700 x , Cobit и др.), ·         выполнении требований законодательства по ПДн ·         моделировании угроз безопасности ПДн, ГИС, АСУ ·         замене одних мер защиты ПДн, ГИС, АСУ на другие компенсирующие ·         внутреннего маркетинга ИБ, обосновании необходимости службы ИБ, обоснования любых инвестиций в ИБ и т.п. Не обязательно дожидаться запуска какого либо крупного проекта (например, по ПДн, АСУ, ГИС).   Провести высокоуровневую оценку ущерба нужно как можно раньше, а результаты использовать в следующих проектах / мероприятиях. Хорошо если активы в компании уже оценены в общем. Тогда ущерб активу от угроз ИБ будет составлять некоторую часть от его цены (не превышать). Даже если нет – самое время оценивать. Конечно же, к оценке будем привлекать владельцев активов.   Чтобы правильно оценить ущерб нужно кроме прямых финансовых потерь учесть

СЗПДн. Анализ. Определение нарушителя для СКЗИ

В связи с выходом приказа ФСБ России по защите ПДн, а так-же в связи со сложностями реализации СКЗИ высоких классов криптографической защиты есть несколько мыслей… Посмотрим какой порядок действий требуется в части СКЗИ: Приказ ФСБ Р №378: “5. В соответствии с пунктом 13 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. N11191 (далее - Требования к защите персональных данных), для обеспечения 4 уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований: ... г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз. 9. Для выполнения требования, указанного в подпунк