1G
Не обязательно ломать. Можно найти неподдерживаему производителем систему, слабый пароль на коммутаторе и отсутствие блокировки уволенных работников. Возможность MiTM-атак. Да много всего...
Речь именно о пентесте
Size: a a a
2021 February 27
DK
по 2 варианту есть хотя бы один пример, когда организация реализовала базовый набор мер из приказов и ей регулятор сказал, что зря реализовали? Что за выдумки такие
А вы думаете, регулятор до сих пор ни разу не инспектировал аттестованные ИС? :)
1G
А вы думаете, регулятор до сих пор ни разу не инспектировал аттестованные ИС? :)
Причем тут аттестованые ис? Вы все в кучу не валите
N
А вы думаете, регулятор до сих пор ни разу не инспектировал аттестованные ИС? :)
вопрос не об этом. Было сказано, что будут замечания к тому, что реализован набор базовых мер. Есть примеры или отссылки? На чем основано это?
DK
вопрос не об этом. Было сказано, что будут замечания к тому, что реализован набор базовых мер. Есть примеры или отссылки? На чем основано это?
Не искажайте мои слова :)
Замечания будут к тому, что реализация базового набора мер защиты не обеспечивает защиту от актуальных угроз. То, что потрачены деньги на базовые меры защиты - не нарушение, нарушение - что эти меры защиты ни от чего не защищают.
Замечания будут к тому, что реализация базового набора мер защиты не обеспечивает защиту от актуальных угроз. То, что потрачены деньги на базовые меры защиты - не нарушение, нарушение - что эти меры защиты ни от чего не защищают.
1G
Не искажайте мои слова :)
Замечания будут к тому, что реализация базового набора мер защиты не обеспечивает защиту от актуальных угроз. То, что потрачены деньги на базовые меры защиты - не нарушение, нарушение - что эти меры защиты ни от чего не защищают.
Замечания будут к тому, что реализация базового набора мер защиты не обеспечивает защиту от актуальных угроз. То, что потрачены деньги на базовые меры защиты - не нарушение, нарушение - что эти меры защиты ни от чего не защищают.
На основании чего это будет сказано?
N
Не искажайте мои слова :)
Замечания будут к тому, что реализация базового набора мер защиты не обеспечивает защиту от актуальных угроз. То, что потрачены деньги на базовые меры защиты - не нарушение, нарушение - что эти меры защиты ни от чего не защищают.
Замечания будут к тому, что реализация базового набора мер защиты не обеспечивает защиту от актуальных угроз. То, что потрачены деньги на базовые меры защиты - не нарушение, нарушение - что эти меры защиты ни от чего не защищают.
"средства защиты, упомянутые в нормативных документах. Потом придет проверка и скажет нам, что эти СЗИ вообще не защищают нас от угроз"
Как это читать? В НПА указаны МЭ, антивирус, управление доступом, сканеры защищенности и т.д. Вы говорите, что придет проверка и скажет, что это все вообще не защищает от угроз.
Как это читать? В НПА указаны МЭ, антивирус, управление доступом, сканеры защищенности и т.д. Вы говорите, что придет проверка и скажет, что это все вообще не защищает от угроз.
DK
12 Gramm
Причем тут аттестованые ис? Вы все в кучу не валите
Есть масса людей, которые, подобно вам, считали, что для выполнения требований нормативных документов нужно закупить и внедрить определенный набор средств защиты. Закупали, внедрялись, аттестовывались. Результаты проверки - куча недостатков первой категории.
Просто ГИСы с этим уже давно столкнулись, пожтому я их примером и иллюстрирую
Просто ГИСы с этим уже давно столкнулись, пожтому я их примером и иллюстрирую
1G
Есть масса людей, которые, подобно вам, считали, что для выполнения требований нормативных документов нужно закупить и внедрить определенный набор средств защиты. Закупали, внедрялись, аттестовывались. Результаты проверки - куча недостатков первой категории.
Просто ГИСы с этим уже давно столкнулись, пожтому я их примером и иллюстрирую
Просто ГИСы с этим уже давно столкнулись, пожтому я их примером и иллюстрирую
Самый главный вопрос - а с чего вы считаете, что я именно так думаю?
S
Может те интеграторы, которые подсказывают или пишут за ФСТЭК норматиффку специально её так пишут, чтобы потом сказать, а вы реализовали базовый набор мер, но он ни от чего не защищает. Покупайте наши услуги и продукты!
АБ
Есть масса людей, которые, подобно вам, считали, что для выполнения требований нормативных документов нужно закупить и внедрить определенный набор средств защиты. Закупали, внедрялись, аттестовывались. Результаты проверки - куча недостатков первой категории.
Просто ГИСы с этим уже давно столкнулись, пожтому я их примером и иллюстрирую
Просто ГИСы с этим уже давно столкнулись, пожтому я их примером и иллюстрирую
Так внедряйте нормально и реализуйте меры, а не отписывайтесь в рамках аттестации. Выше писали о честном выполнении базовых мер.
DK
"средства защиты, упомянутые в нормативных документах. Потом придет проверка и скажет нам, что эти СЗИ вообще не защищают нас от угроз"
Как это читать? В НПА указаны МЭ, антивирус, управление доступом, сканеры защищенности и т.д. Вы говорите, что придет проверка и скажет, что это все вообще не защищает от угроз.
Как это читать? В НПА указаны МЭ, антивирус, управление доступом, сканеры защищенности и т.д. Вы говорите, что придет проверка и скажет, что это все вообще не защищает от угроз.
Так и читать. "Есть МЭ, но его настройка не обеспечивает корректное сегментирование сети - мера защиты не реализована"
V
Есть масса людей, которые, подобно вам, считали, что для выполнения требований нормативных документов нужно закупить и внедрить определенный набор средств защиты. Закупали, внедрялись, аттестовывались. Результаты проверки - куча недостатков первой категории.
Просто ГИСы с этим уже давно столкнулись, пожтому я их примером и иллюстрирую
Просто ГИСы с этим уже давно столкнулись, пожтому я их примером и иллюстрирую
не понял про аттестацию. А лицензиат на что аттестат выдал?
DK
Андрей Боровский
Так внедряйте нормально и реализуйте меры, а не отписывайтесь в рамках аттестации. Выше писали о честном выполнении базовых мер.
А как базовые меры защиты можно реализовать честно, не оценив предварительно угрозы?
1G
А как базовые меры защиты можно реализовать честно, не оценив предварительно угрозы?
Легко
DK
не понял про аттестацию. А лицензиат на что аттестат выдал?
На систему. Что он проверил, и она соответствует требованиям
V
На систему. Что он проверил, и она соответствует требованиям
конкретного приказа, с МУиН и актом классификации
1G
На систему. Что он проверил, и она соответствует требованиям
У меня сомнения что вы понимаете что значит аттестация
АБ
А как базовые меры защиты можно реализовать честно, не оценив предварительно угрозы?
Молча. Установка обновлений. Инвентаризация, логирование, разграничение прав, антивирус. Это база, без которой все дырявое, и с которой работают только очень не многие вектора атак.
M
"средства защиты, упомянутые в нормативных документах. Потом придет проверка и скажет нам, что эти СЗИ вообще не защищают нас от угроз"
Как это читать? В НПА указаны МЭ, антивирус, управление доступом, сканеры защищенности и т.д. Вы говорите, что придет проверка и скажет, что это все вообще не защищает от угроз.
Как это читать? В НПА указаны МЭ, антивирус, управление доступом, сканеры защищенности и т.д. Вы говорите, что придет проверка и скажет, что это все вообще не защищает от угроз.
В нормативке не указаны СЗИ, там указанны меры, которые нужно реализовать.