tag:blogger.com,1999:blog-4065770693499115314.post4923036090296329772..comments2023-10-02T12:01:53.774+03:00Comments on Бизнес без опасности: Разъяснение ФСТЭК по 17-му и 21-му приказамАлексей Лукацкийhttp://www.blogger.com/profile/08434361034703403028noreply@blogger.comBlogger44125tag:blogger.com,1999:blog-4065770693499115314.post-6696499417514273452014-06-03T06:08:23.250+04:002014-06-03T06:08:23.250+04:00Да, наверное, предполагается устанавливать аппарат...Да, наверное, предполагается устанавливать аппаратный СОВ там же где аппаратный МЭ.<br />Но стоят они дорого, а требование выполнять необходимо, к сожалению.Anonymoushttps://www.blogger.com/profile/07152231730289226190noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-64803384509279621362014-06-01T09:43:51.008+04:002014-06-01T09:43:51.008+04:00Программная СОВ, стоящая только на ПК, это не то, ...Программная СОВ, стоящая только на ПК, это не то, что предполагалось по нормативке. Там идея в установке системы, прикрывающей целые сегменты сети.Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-3999342184695015062014-05-31T11:17:49.438+04:002014-05-31T11:17:49.438+04:00Хороший блог, много полезной логики, скажем так, д...Хороший блог, много полезной логики, скажем так, для себя нашел.<br /><br />У нас (муниципальный орган - ЗАГС) решили все ИСПДн (а других - нет) считать муниципальными ИС (и то, что связанно с регистрацией АГС и бухгалтерию).<br />Классифицировали по 17 потом по 1119 и в итоге сформировали перечень мер на основе обоих приказов.<br />----<br />Только есть одна заминка.<br />СОВ - средство обнаружения вторжения.<br />Из всех <b>программных средств</b> нашлось только Security Studio Endpoint Protection.<br />А с ним МЭ идет. МЭ у нас есть (аппаратный), а еще есть - программный VipNet Coordinator, так же имеющий свой МЭ.<br />VipNet нужен, как СКЗИ, но от МЭ никуда не деться.<br />Лицензиат (!) сказал, что Security Studio Endpoint Protectio и VipNet будут 100% конфликтовать.<br />Как выполнить требования СОВ - остается загадкой, если конечно не покупать дорогие аппаратные средства, например от Cisco.Anonymoushttps://www.blogger.com/profile/07152231730289226190noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-89956279643084962242014-05-12T14:28:55.775+04:002014-05-12T14:28:55.775+04:00Алексей, спасибо огромное за подробный ответ!Алексей, спасибо огромное за подробный ответ!Anonymoushttps://www.blogger.com/profile/14675698472253143694noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-37238424775780543312014-05-12T14:22:55.945+04:002014-05-12T14:22:55.945+04:00Он связан :-) Просто решений задачи может быть нес...Он связан :-) Просто решений задачи может быть несколько. Можно ничего не делать, сославшись на ФЗ-152, который лишил оператора ПДн права самостоятельно создавать модели гроз. Можно наплевать на отсутствие права и сделать все-таки модель угроз (ведь защищаться все равно надо). Можно направить официальный запрос отраслевому регулятору. Можно... Да много чего еще можно. Итоговое решение принимать оператору, а от него уже танцевать дальше. Я сторонник, что модель все равно нужна. Никакая отраслевая модель не сможет учесть всех нюансов конкретной организации. Именно поэтому в законопроекте мы вносили пункт, что оператор имеет право до принятия отраслевой модели угроз самостоятельно разработать свою. Но пока законопроект не принятАлексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-74624985724493300442014-05-12T13:46:48.046+04:002014-05-12T13:46:48.046+04:00Алексей, этот пост я имела ввиду! Получается он ни...Алексей, этот пост я имела ввиду! Получается он никак не взаимосвязан с этим. Там Вы пишете о том, что оператор не разрабатывает Модель угроз, а тут пишете "сократить модель угроз". Теперь непонятно, писать или не писать все-таки Модель угроз.. К примеру, у Банка России есть старая Модель угроз, пока они не разработают/согласуют новую, Банки должны разработать свою?Anonymoushttps://www.blogger.com/profile/14675698472253143694noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-81498561178172333872014-05-12T13:04:11.070+04:002014-05-12T13:04:11.070+04:00Елена, я вот тут http://lukatsky.blogspot.ru/2013/...Елена, я вот тут http://lukatsky.blogspot.ru/2013/06/8_13.html про это писал. Коллизия :-(Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-9394887493714654182014-05-12T12:42:18.618+04:002014-05-12T12:42:18.618+04:00Алексей, Вы в этой треде употребляете такое поняти...Алексей, Вы в этой треде употребляете такое понятие как "Модель угроз", тем не менее в предыдущих Ваших статьях Вы пишете о том, что оператор не разрабатывает Модель угроз ПДн. Уточните, пожалуйста, для выполнений требований 21 Приказа ФСТЭК России необходимо все-таки разработать Модель угроз? Вообще, как это с практической стороныAnonymoushttps://www.blogger.com/profile/14675698472253143694noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-9233606176188901142014-05-12T12:39:35.513+04:002014-05-12T12:39:35.513+04:00Этот комментарий был удален автором.Anonymoushttps://www.blogger.com/profile/14675698472253143694noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-33089562432536932922014-04-14T14:32:42.617+04:002014-04-14T14:32:42.617+04:00Анна, я указал именно для ИСПДн где обрабатываются...Анна, я указал именно для ИСПДн где обрабатываются только "иные ПДн". Это типовое решение, которое удовлетворит проверяющих.<br />Но если Вы действительно хотите защитить данные Ваших клиентов, то лучше рассматривать вопрос применения криптосредств (например: Secret Disk + CryptoPRO), вместо сертификации ОС Windows, плюс Security Studio Endpoint Protection. Такое решение дороже (примерно в 2 раза), но зато гарантирует защиту данных даже если из офиса вынесут все компьютеры.Игорь А. Михеевhttps://www.blogger.com/profile/14019156811517471643noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-7140167835523175612014-04-14T14:23:07.726+04:002014-04-14T14:23:07.726+04:00Этот комментарий был удален автором.Игорь А. Михеевhttps://www.blogger.com/profile/14019156811517471643noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-64579482074166759412014-04-14T10:30:43.975+04:002014-04-14T10:30:43.975+04:00Алексей, в идеале конечно несколько СЗИ иметь на в...Алексей, в идеале конечно несколько СЗИ иметь на все случаи жизни, не знаю правда как мне на практике удастся убедить купить несколько СЗИ.<br /><br />Игорь А.Михеев, спасибо за ответ!<br />А вот если обрабатывается иная категория ПДн т.е. сведения о цб и денежных ср-вах т.е все связанное с доверительным управлением цб (реквизиты банковских счетов, сведения об имущественном положении в общем то)+ ПДн сотрудников, но компания маленькая и клиентов мало т.е это не вот тебе корпорация, а региональная организация.<br />1. ОС Windows 7 <br /><br />2. Я как раз присматриваюсь к Security Studio Endpoint Protection.<br /><br />Орг.меры у меня приняты уже)<br /><br />Спасибо за ориентир!!!Anonymoushttps://www.blogger.com/profile/01166452888480521632noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-54133404702276180342014-04-14T05:44:12.257+04:002014-04-14T05:44:12.257+04:00Анна, для маленьких компаний, в которых не обрабат...Анна, для маленьких компаний, в которых не обрабатывается биомтрия и иные спец. категории ПДН в 95% случаев подходит следующий набор СЗИ:<br />1. Сертифицированная версия MS Windows 7 или выше (ниже уже невозможно). Получаете выполнение мер защиты от НСД при доступе к ОС и прикладному ПО. Цена сертификации за 1 ПК около 3000 руб. (altx-soft.ru).<br />2. Security Studio Endpoint Protection от компании "Код безопасности". Имеет три сертификата: антивирус + персональный межсетевой экран + средство обнаружения вторжений. Цена за 1 ПК около 3000 руб. (http://www.securitycode.ru/).<br />Итого за 1 ПК около 6000 руб. Стоимость установки и настройки не включаю, т.к. зависит от региона, но на практике это 15-30%от стоимости СЗИ.<br />Помимо этого должны быть приняты меры физической защиты помещений (минимум):<br />1. Сигнализация с выводом на пульт охраны или пост охранника/сторожа.<br />2. Опечатывающие устройства на дверях.<br />3. Хранение ключей доступа (ключи в помещения и электронные ключи доступа в ОС) в сейфе или на посту охраны/сторожа в запираемом металлическом шкафчике.<br /><br />По поводу методички, планирую издание в электронном виде методичек для малых компаний по направлениям: гостиничный бизнес, салоны красоты, тур. агенства, агенства недвижимости. По всем вопросам пишите: igor.a.mikheev@outlook.com.Игорь А. Михеевhttps://www.blogger.com/profile/14019156811517471643noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-85078137756495498512014-04-11T19:12:19.830+04:002014-04-11T19:12:19.830+04:00Одним средством не ограничиться в любом случаеОдним средством не ограничиться в любом случаеАлексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-51509549609703789762014-04-11T12:36:16.170+04:002014-04-11T12:36:16.170+04:00Может какой добрый человек напишет методичку "...Может какой добрый человек напишет методичку "для блондинок" по СЗИ.Видимо придется идти каким то другим путем и выбирать конкретное ср-во и смотреть его возможности.Anonymoushttps://www.blogger.com/profile/01166452888480521632noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-23095835389247855342014-04-11T11:15:44.091+04:002014-04-11T11:15:44.091+04:00Алексей,вы совершенно правы.Не знаю уже как и подо...Алексей,вы совершенно правы.Не знаю уже как и подойти к выбору СЗИ.<br />Anonymoushttps://www.blogger.com/profile/01166452888480521632noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-52292779160343327202014-04-10T18:37:06.061+04:002014-04-10T18:37:06.061+04:00Да, это и плюс и минус нового приказа. В нем нет ж...Да, это и плюс и минус нового приказа. В нем нет жестко прописанного списка защитных мер, но зато придется самому думать, какие меры должны быть. Гибкость имеет две стороны :-(Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-24341493084757885222014-04-10T11:28:29.212+04:002014-04-10T11:28:29.212+04:00Эхехех...Эхехех...Anonymoushttps://www.blogger.com/profile/01166452888480521632noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-51771658095550256452014-04-09T17:06:29.187+04:002014-04-09T17:06:29.187+04:00Так никто не скажет сходу. Надо смотреть, какие ме...Так никто не скажет сходу. Надо смотреть, какие меры защиты вы будете реализовывать. А это зависит от особенностей вашей системы и модели угроз :-(Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-71710802688827834612014-04-09T11:44:09.850+04:002014-04-09T11:44:09.850+04:00Алексей,спасибо за ответ!!!
Помогите пожалуйста......Алексей,спасибо за ответ!!!<br />Помогите пожалуйста....<br />Мне нужно обеспечить УЗ-4 типа, какие мне СЗИ купить для мелкой компании (8 АРМ).<br />Никак не могу понять из всех этих док-ов,что в итоге установить надо,чтобы требования 21 приказ выполнить.<br />Образования в данной сфере не имею, адекватно сравнить все существующие СЗИ между собой не могу,следовательно и выбрать что то нужное не могу.<br /><br />Anonymoushttps://www.blogger.com/profile/01166452888480521632noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-60577173757907563752014-04-07T17:58:54.017+04:002014-04-07T17:58:54.017+04:00Если вы сократите до минимума модель угроз, то мож...Если вы сократите до минимума модель угроз, то можно. В теории. Но в 21-м приказе есть меры, связанные с сетевой или прикладной безопасностью, которые сложно на уровне ОС реализовать.Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-5115392319653120352014-04-07T11:49:09.491+04:002014-04-07T11:49:09.491+04:00Этот комментарий был удален автором.Anonymoushttps://www.blogger.com/profile/01166452888480521632noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-30159237449153204802014-04-07T11:48:52.825+04:002014-04-07T11:48:52.825+04:00Здравствуйте!
Меня очень интересует....можно ли вы...Здравствуйте!<br />Меня очень интересует....можно ли выполнить требования 21 приказа встроенными средствами Windows???<br />При условии что мы не гос.орг-ия, у нас нет гос.тайн и обрабатываем иную категорию перс.данных.(т.е. нет биометр, нет спец категорий и общедоступных данных, согласие на обработку ПДн со всех клиентов и со всех сотрудников имеются)<br />Anonymoushttps://www.blogger.com/profile/01166452888480521632noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-77770304613923748762013-07-17T18:41:36.333+04:002013-07-17T18:41:36.333+04:00Если есть ПЭМИН, то руководствоваться надо докумен...Если есть ПЭМИН, то руководствоваться надо документом ФСТЭК, который есть у лицензиатов, а не СТР-К.<br /> А обосновывать тут ))) неактуальность ПЭМИН не буду - не место здесь для этого.ZZubrahttps://www.blogger.com/profile/17309887397636383099noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-59876659871549330952013-07-17T17:01:59.908+04:002013-07-17T17:01:59.908+04:00Этот комментарий был удален автором.Tomashttps://www.blogger.com/profile/08380131738088408530noreply@blogger.com