V
НКЦКИ начинает еженедельно публиковать статистику своей работы | Новости ИБ
http://safe-surf.ru/specialists/news/656221/
http://safe-surf.ru/specialists/news/656221/
Size: a a a
2020 October 09
N
Вижу что направляют, а есть инфа о том что ими получено со стороны?
N
Статистика прямо ошеломляющая, учитывая что закону 187-фз уже пара лет))
2020 October 10
H
Хуй все
C
Прекрасный вход
2020 October 12
РХ
Подскажите. Сведения о результатах категорирование всех систем надо отправлять или только те которые попали под категорию?
АБ
Подскажите. Сведения о результатах категорирование всех систем надо отправлять или только те которые попали под категорию?
Всех объектов, упомянутых в перечне подлежащих категорированию.
V
Коллеги, подскажите, нам планировать на следующий год оценку защищенности или аттестат после введения системы защиты или же можем своими силами сделать приемку системы защиты? согласно 239 я так понял можем своими силами, если не ГИС
V
оценку соответствия по ЗОКИИ можете делать своими силами
V
спасибо
2020 October 14
В
Коллеги попрошу не путать можем и имеем право. В данной ситуации - вы имеете право оценку соответствия в ходе испытаний или приемки. Но вот судя по вашему сообщению с терминологией у вас не очень хорошо. Подумайте - вам надо определить показатели для каждой меры защиты и содержание процедуры однозначно и достоверно подтверждающей, не только их выполнение, но и все вопросы связанные с доверием к средствам обеспечивающим их выполнение....
В
Аттестация - не является в общем случае альтернативой оценки соответствия в общем и сертификации в частности, да в ходе нее все сделать можно и это будет наиболее корректно, но для этого надо "дорабатывать" процедуру
DK
Vadim
Коллеги, подскажите, нам планировать на следующий год оценку защищенности или аттестат после введения системы защиты или же можем своими силами сделать приемку системы защиты? согласно 239 я так понял можем своими силами, если не ГИС
Тут путаница с терминологией. В приказе 239 нет оценки защищенности, но есть несколько смежных понятий, это вводит в заблуждение комментаторов.
1. Есть аттестация (п. 12.7 приказа 239). Для ЗОКИИ, если он - не ГИС, она не обязательна. Но если решили оформлять - можно и самостоятельно. Аттестация проводится в дополнение к приемочным испытаниям.
2. Есть анализ защищенности, он же анализ уязвимостей. Он проводится и при аттестации, и при приемке без аттестации, и в ходе эксплуатации системы (п. 12.6 и 13.8).
3. Есть подтверждение соотвеьствия системы безопасности ЗОКИИ требованиям безопасности информации. Это то, чем являются приемочные испытания (п. 12.7)
4. Есть оценка соответствия несертифицированных СЗИ требованиям безопасности информации (п. 29.2).
Что из этого вас интересовало? А то Валерий ответил на 1-3, а Валентин - на 4 :)
1. Есть аттестация (п. 12.7 приказа 239). Для ЗОКИИ, если он - не ГИС, она не обязательна. Но если решили оформлять - можно и самостоятельно. Аттестация проводится в дополнение к приемочным испытаниям.
2. Есть анализ защищенности, он же анализ уязвимостей. Он проводится и при аттестации, и при приемке без аттестации, и в ходе эксплуатации системы (п. 12.6 и 13.8).
3. Есть подтверждение соотвеьствия системы безопасности ЗОКИИ требованиям безопасности информации. Это то, чем являются приемочные испытания (п. 12.7)
4. Есть оценка соответствия несертифицированных СЗИ требованиям безопасности информации (п. 29.2).
Что из этого вас интересовало? А то Валерий ответил на 1-3, а Валентин - на 4 :)
V
Тут путаница с терминологией. В приказе 239 нет оценки защищенности, но есть несколько смежных понятий, это вводит в заблуждение комментаторов.
1. Есть аттестация (п. 12.7 приказа 239). Для ЗОКИИ, если он - не ГИС, она не обязательна. Но если решили оформлять - можно и самостоятельно. Аттестация проводится в дополнение к приемочным испытаниям.
2. Есть анализ защищенности, он же анализ уязвимостей. Он проводится и при аттестации, и при приемке без аттестации, и в ходе эксплуатации системы (п. 12.6 и 13.8).
3. Есть подтверждение соотвеьствия системы безопасности ЗОКИИ требованиям безопасности информации. Это то, чем являются приемочные испытания (п. 12.7)
4. Есть оценка соответствия несертифицированных СЗИ требованиям безопасности информации (п. 29.2).
Что из этого вас интересовало? А то Валерий ответил на 1-3, а Валентин - на 4 :)
1. Есть аттестация (п. 12.7 приказа 239). Для ЗОКИИ, если он - не ГИС, она не обязательна. Но если решили оформлять - можно и самостоятельно. Аттестация проводится в дополнение к приемочным испытаниям.
2. Есть анализ защищенности, он же анализ уязвимостей. Он проводится и при аттестации, и при приемке без аттестации, и в ходе эксплуатации системы (п. 12.6 и 13.8).
3. Есть подтверждение соотвеьствия системы безопасности ЗОКИИ требованиям безопасности информации. Это то, чем являются приемочные испытания (п. 12.7)
4. Есть оценка соответствия несертифицированных СЗИ требованиям безопасности информации (п. 29.2).
Что из этого вас интересовало? А то Валерий ответил на 1-3, а Валентин - на 4 :)
я вообще не понимаю зачем аттестат, но с другой стороны не вижу между ним и оценкой соответствия разницы. потому что аттестат выдается на основании заключения о соответствии треьованиям, которое оформляется на протоколах измерений/контроля/испытаний
V
а вообще интересовало кто это может делать. самостоятельно, либо контора с лицензией ТЗИ. В принципе направление мысли я уловил. написано что сами могут. средства защиты там всё-равно все сертифицированные
DK
Vadim
я вообще не понимаю зачем аттестат, но с другой стороны не вижу между ним и оценкой соответствия разницы. потому что аттестат выдается на основании заключения о соответствии треьованиям, которое оформляется на протоколах измерений/контроля/испытаний
Это потому что среди ЗОКИИ встречаются ГИС и ГТ
Аттестация в качестве независимого подтверждения соответствия со стороны внешней конторы требуется только для ИС, обрабатывающих гостайну. Им она обязательна, причем именно со стороны внешнего органа по аттестации.
Для ГИС аттестация требуется, потому что они ГИС. Если не ошибаюсь, может проводиться самостоятельно (давно не сталкивался, не помню). От приемки ничем по сути не отличается, но исторически сложилось, что норматива ее требует.
Остальным аттестация не требуется
Аттестация в качестве независимого подтверждения соответствия со стороны внешней конторы требуется только для ИС, обрабатывающих гостайну. Им она обязательна, причем именно со стороны внешнего органа по аттестации.
Для ГИС аттестация требуется, потому что они ГИС. Если не ошибаюсь, может проводиться самостоятельно (давно не сталкивался, не помню). От приемки ничем по сути не отличается, но исторически сложилось, что норматива ее требует.
Остальным аттестация не требуется
V
на том и порешим)
V
самостоятельно для ГИС, если лицензия есть ТЗКИ на проведение работ по аттестации
В
Справедливо про путаницу в терминологии. Аттестация и оценка соответствия, это совсем разные вещи. Если у вас ГИС, то там относительно просто , все сзи сертифицированы, и аттестация подтверждает , что они корректно установлены и настроены, и их работа нейтрализует угрозы , которые создаёт нарушитель с определенным потенциалом. Если же не ГИС , то вам самостоятельно необходимо все определить и провести. При этом уровня доверия к СЗИ и средствам реализующим функции защиты, аналогично сертифицированным достичь очень тяжело. Так же очень сложно решить задачу - корректного и достаточного проведения и оформления процедур оценки в рамках приемки. Один анализ уязвимостей и ндв чего стоит. И позиция - "мы же можем сами доказать" , при том что само доказательство, как правило, состоит в несовсем корректной проверки функций безопасности и поверхностному сканированию уязвимостей и оформляется несколькими страничками, из которых совсем не следует , что нарушитель с заданным потенциалом не сможет совершить атаку ...
V
Очередное уголовное дело по 274.1 УК РФ передано в суд. География применения расширяется. "По версии следствия, обвиняемый, работая параллельно в двух компаниях сотовой связи, решил увеличить объем продаж одной из организаций за счет привлечения абонентов сторонних операторов.
Осознавая, что клиентская база абонентов является охраняемой компьютерной информацией, фигурант уголовного дела с 8 по 26 ноября 2019 года произвел выгрузку реестров, содержащих персональные данные более пяти тысяч абонентов в память собственного персонального компьютера.
Полученную в результате неправомерного доступа компьютерную информацию, являющуюся, в том числе, коммерческий тайной, мужчина использовал для продвижения на рынке услуг связи компании-конкурента.
Расследование уголовного дела проводилось УФСБ России по Волгоградской области, сотрудники которого также выявили и пресекли указанные деяния." (Ahtuba34.ru). Карточка дела https://zent--vol.sudrf.ru/modules.php?name=sud_delo&srv_num=1&name_op=case&case_id=201447577&case_uid=9c279e17-9b2e-4ff6-8eb1-6ce3278cf33e&delo_id=1540006 Заседание назначено на 20.10.2020
Осознавая, что клиентская база абонентов является охраняемой компьютерной информацией, фигурант уголовного дела с 8 по 26 ноября 2019 года произвел выгрузку реестров, содержащих персональные данные более пяти тысяч абонентов в память собственного персонального компьютера.
Полученную в результате неправомерного доступа компьютерную информацию, являющуюся, в том числе, коммерческий тайной, мужчина использовал для продвижения на рынке услуг связи компании-конкурента.
Расследование уголовного дела проводилось УФСБ России по Волгоградской области, сотрудники которого также выявили и пресекли указанные деяния." (Ahtuba34.ru). Карточка дела https://zent--vol.sudrf.ru/modules.php?name=sud_delo&srv_num=1&name_op=case&case_id=201447577&case_uid=9c279e17-9b2e-4ff6-8eb1-6ce3278cf33e&delo_id=1540006 Заседание назначено на 20.10.2020