S
Andrey Prozorov
Я бы посоветовал выслать ящик коньяка Алексею. Алексей - классный ;)
Тоже вариант) за хорошие советы и коньяка не жалко)
Size: a a a
2021 March 03
AD
не умеете слать пдф в телегу чтоли?
S
не умеете слать пдф в телегу чтоли?
послать конечно, могу) привычка место экномить и обмениваться ссылками, но каждое ссобщество имеет свои особенности коммуникаций)) спасибо за совет - учту;)
S
Удалил своё первое сообщение, которое пестрило ссылками. Учел добрый совет Алексея - не раздражать сообщество предложением скачать pdf по ссылке)). Но всё же, просьба остается в силе: «мне кажется, любая фича, которая может сэкономить время сотрудника информационной безопасности и автоматизировать рутинные процессы, достойна внимания. Посмотрите с точки зрения экспертов и непосредственных пользователей нашу Систему безопасного и контролируемого (со стороны сотрудника ИБ) файлового обмена. Готов выслушать любую критику, ну а если заинтересует более подробная информация, то показать как работает система».
m
Удалил своё первое сообщение, которое пестрило ссылками. Учел добрый совет Алексея - не раздражать сообщество предложением скачать pdf по ссылке)). Но всё же, просьба остается в силе: «мне кажется, любая фича, которая может сэкономить время сотрудника информационной безопасности и автоматизировать рутинные процессы, достойна внимания. Посмотрите с точки зрения экспертов и непосредственных пользователей нашу Систему безопасного и контролируемого (со стороны сотрудника ИБ) файлового обмена. Готов выслушать любую критику, ну а если заинтересует более подробная информация, то показать как работает система».
Так ничего и не понял ты...
m
Щас бы качать пдфку с каким то в лучшем случае спамом
AD
Качать и не обязательно
AS
Всем привет! Есть вопрос в отношении российских требований по ИБ в отношении прерывания пользовательской сессии в веб-приложении по тайм-ауту. В зарубежных стандартах есть рекомендации, а есть ли в российских?
OWASP recommends application builders to implement short idle time outs (2-5 minutes) for applications that handle high-risk data, like financial information. It considers that longer idle time outs (15-30 minutes) are acceptable for low-risk applications.
On the other hand, NIST recommends that application builders make their users re-authenticate every 12 hours and terminate sessions after 30 minutes of inactivity. For intermittent re-authentication, that session termination time shrinks to 2 minutes.AI
Есть в ряде нормативной документации мера по отключению сеанса при бездействии, время вроде бы как определяется заказчиком или разработчиком..
AI
В 17 приказе
AI
УПД.10
Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу
Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу
А@
Всем привет! Есть вопрос в отношении российских требований по ИБ в отношении прерывания пользовательской сессии в веб-приложении по тайм-ауту. В зарубежных стандартах есть рекомендации, а есть ли в российских?
OWASP recommends application builders to implement short idle time outs (2-5 minutes) for applications that handle high-risk data, like financial information. It considers that longer idle time outs (15-30 minutes) are acceptable for low-risk applications.
On the other hand, NIST recommends that application builders make their users re-authenticate every 12 hours and terminate sessions after 30 minutes of inactivity. For intermittent re-authentication, that session termination time shrinks to 2 minutes.РД.14 в ГОСТ 57580.1 для финансовых организаций "Автоматическое прерывание сессии логического доступа (приостановка осуществления логического доступа) по истечении установленного времени бездействия (неактивности) субъекта логического доступа, не превышающего 15 мин, с прекращением отображения на мониторе АРМ информации, доступ к которой получен в рамках сессии осуществления логического доступа"
AS
РД.14 в ГОСТ 57580.1 для финансовых организаций "Автоматическое прерывание сессии логического доступа (приостановка осуществления логического доступа) по истечении установленного времени бездействия (неактивности) субъекта логического доступа, не превышающего 15 мин, с прекращением отображения на мониторе АРМ информации, доступ к которой получен в рамках сессии осуществления логического доступа"
Тут требование к субъекту доступа в рамках инфраструктуры, попадающей в скоуп оценки по гост. Не уверен, что применимо к веб-приложению, но надо поизучать. Спасибо!
AS
В 17 приказе
Спасибо, поизучаю.
B
УПД.10
Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу
Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу
+ более подробно должно быть расписано в Методическом документе "Меры защиты информации в ГИС"
AS
+ более подробно должно быть расписано в Методическом документе "Меры защиты информации в ГИС"
А если речь не про ГИС?
AI
+ более подробно должно быть расписано в Методическом документе "Меры защиты информации в ГИС"
да, там меры усиления, надо искать...
AI
А если речь не про ГИС?
А он универсальный для аттестации в последнее время.
AI
+ более подробно должно быть расписано в Методическом документе "Меры защиты информации в ГИС"
AI