Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Новости проекта

Отраслевые новости

Угрозы

Преступления

Наказания

Партнеры


Журнал "Information Security"

Каталог "IT-Security"

Рекламодателям

Сотрудничество


Материалы

Форум

ITSec Weekly

Календарь

Публикации

Подписка

Контакты

Ссылки

Партнеры

Мероприятия

 
    Аттестация объекта информатизации - Форум по вопросам информационной безопасности

Форум по вопросам информационной безопасности

Аттестация объекта информатизации

К списку тем | Добавить сообщение


Страницы: [181-200] < 201 202 203 204 205 206 207 208 209 210 211 212 213 214 215 216 217 >

Автор: Евгений | 67856 26.12.2016 15:26
Работник холдинга | 67852
"В остальных случаях применение сертифицированных версий ОС не требуется, так же как и сертифицированных СрЗИ."
Вот тут Вы неправы, п.4 Приказа ФСТЭК № 21:
"Меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда, применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных."

Автор: Евгений | 67857 26.12.2016 15:29
Human | 67851
За отсутствие данного документа, при ближайшей проверке получите нарушение соответствующей категории.

Автор: sekira | 67858 26.12.2016 17:40
"Вот тут Вы неправы"
А что ж так категорично. Фраза приведенная вами просто дает право применять вкачестве СЗИ ОС для нейтрализации угроз и ВСЕ!

"когда, применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных"

Дак когда это необходимо где написано? И причем здесь в этой фразе 1 тип угроз!? ГДЕ ТРЕБОВАНИЯ 1 тип угроз = сертифицированные ОС?!

И пункт 4 вообще то так звучит

4. Меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда, применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных.

А читать то по этому поводу нужно 11 пункт

11. В случае определения в соответствии с Требованиями к защите персональных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 г. N1119, в качестве актуальных угроз безопасности персональных данных 1-го и 2-го типов дополнительно к мерам по обеспечению безопасности персональных данных, указанным в пункте 8 настоящего документа, могут применяться следующие меры:

проверка системного и (или) прикладного программного обеспечения, включая программный код, на отсутствие недекларированных возможностей с использованием автоматизированных средств и (или) без использования таковых;

тестирование информационной системы на проникновения;

использование в информационной системе системного и (или) прикладного программного обеспечения, разработанного с использованием методов защищенного программирования.

Автор: nekto | 67859 26.12.2016 18:08
to sekira | 67858

"А что ж так категорично...."

А каким способом вы предлагаете нейтрализовать угрозы наличия НДВ в системном ПО? Кроме как сертификация?...

Автор: sekira | 67860 26.12.2016 19:03
пунктом 11 приказа 21!!

Кроме того ОС сертифицируются не только на НДВ (а для MS совсем, не на НДВ).
Кроме того сертификация на НДВ на определенный уровень (на какой еще вопрос?) еще не значит что угрозы нейтрализованы.


При этом " если вы, как оператор ИСПД, обосновано считаете актуальными угрозы 1 типа по 1119-ПП" не обязательно ставить в ИСПДн сертифицированные на НДВ ОС, если хотите ставьте.

Автор: Dfg | 67861 26.12.2016 19:21
To necto
А кто вас заставляет в му признавать угрозы ндв актуальными?

Автор: Евгений | 67863 26.12.2016 20:10
sekira | 67858
Мой комментарий был про использование несертифицированных СЗИ для нейтрализации актуальных угроз.

Автор: Работник холдинга | 67865 26.12.2016 21:04
Ни 1119-пп, ни приказ 21 не вменяет в обязанность применять сертифицированные средства защиты информации. В том числе сертифицированные операционные системы для нейтрализации угроз 1-го типа. Всё на усмотрение оператора ИСПД.

Автор: sekira | 67866 26.12.2016 21:21
"Всё на усмотрение оператора ИСПД"

Золотые слова.

Автор: oko | 67869 26.12.2016 21:58
to sekira
<Кроме того сертификация на НДВ на определенный уровень (на какой еще вопрос?)...>
На 4 же при актуальности 1 и 2 типов угроз НДВ для ИСПДн! Ибо как и любое СЗИ.
*в сторону* это подколка. Понятно, что имелся вами в виду другой аспект НДВ...

to Работник холдинга
Про "оценку соответствия" уже разговоров было наговорено слишком много. Сертификация и точка,если придерживаться позиции регулятора. Если не придерживаться - стоит либо запасаться таблетками от кашля, либо вазелином. Либо вообще заранее не относить угрозу к актуальной, но так, чтобы потом не было мучительно больно. Иных подходов не дано...

to nekto
А Правительство, введшее понятие НДВ в ПП 1119, объяснило, что значит "системное ПО" и "прикладное ПО"? Или, возможно, объяснило, как верно отделять плевла от зерен, то бишь актуализировать угрозы 1 и 2 типа для конкретных ИСПДн? И, кстати, не смутило, что 21 приказ при описании мер и требований оперирует вовсе не угрозами НДВ, а все-таки уровнями защищенности? Ну разве что в части проверки на НДВ программного обеспечения СЗИ, призванных к нейтрализации угроз НДВ, которые в утке, которые в зайце...

ЗЫ *ни к кому конкретно не обращаясь* Наплодили тут "НДВ", а теперь люди мучаются...

Страницы: [181-200] < 201 202 203 204 205 206 207 208 209 210 211 212 213 214 215 216 217 >

Просмотров темы: 345180

К списку тем | Добавить сообщение



Добавить сообщение

Автор:
Компания:
E-mail:
Уведомлять о новых сообщениях в этой теме да
нет
Текст сообщения:
Введите код:









Реклама на сайте

ПОИСК

СВЕЖИЙ НОМЕР
ПОДПИСКА НА НОВОСТИ

 

 

 

 

Рейтинг@Mail.ru

Яндекс цитирования

Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Бесплатная подписка | Форум | Контакты | Ссылки | О чем этот сайт

Copyright © 2003-2013, ООО "Гротек"
Использование материалов сайта возможно при указании активной гиперссылки на главную страницу этого сайта. Ссылка должна выглядеть так: Itsec.Ru.