Z
А нужно чтобы было видно что это именно ответ, а не соединение "изнутри наружу"?
не ответ на соединение снаружи. завтра покажу пример
Size: a a a
2018 June 17
A
Коллеги, а кто-то может подсказать, каким образом передается информация с предприятий в СОК? Ведь данные конфиденциальные, ip,логи и прочее... Может где-то есть инструкции или литература по этому вопросу?
ВД
Зависит от клиента. В общем случае - есть nda и доп.соглашения, если требуется. Со стороны законодательства - перс.данные не передаются, банковская тайна тоже, номера кредиток - аналогично. Для обеспечения защиты ФСТЭК ввёл лицензирование
ВД
В частном - платформа хранения и обработки приземляется к клиенту и SOC работает удалённо
A
Ну а что требовать с полрядчика, который предлагает услуги сока например? Защищённую передачу данных, шифрование...?
SS
Обычно в корпоративной сети каналы между офисами\сайтами\площадками шифруются, поэтому риск перехвата из внешних сетей невелик. Для сниения риска перехвата во внутренней сети - передача через выделенный VLAN. Если ничего из перечисленного не помогает - заворачиваейте в SSL.
A
В Д
Зависит от клиента. В общем случае - есть nda и доп.соглашения, если требуется. Со стороны законодательства - перс.данные не передаются, банковская тайна тоже, номера кредиток - аналогично. Для обеспечения защиты ФСТЭК ввёл лицензирование
С этим понятно, да, а технически
ВД
Ну а что требовать с полрядчика, который предлагает услуги сока например? Защищённую передачу данных, шифрование...?
Лицензию ФСТЭК, рассказ про меры защиты данных клиентов, просите reference или визит
A
Sergey Soldatov
Обычно в корпоративной сети каналы между офисами\сайтами\площадками шифруются, поэтому риск перехвата из внешних сетей невелик. Для сниения риска перехвата во внутренней сети - передача через выделенный VLAN. Если ничего из перечисленного не помогает - заворачиваейте в SSL.
Спасибо
ВД
Да, сети передачи данных я как-то и выпустил :) это просто фаза 0, гигиена :)
A
В Д
Лицензию ФСТЭК, рассказ про меры защиты данных клиентов, просите reference или визит
Понял, спасибо, но хотелось бы понять, ещё какие примерно данные нужны будут им для анализа и механизмы сбора безопасного и передачи)
ВД
В Солар есть практика рассказа клиентам про свое иб. Даже презентация непубличная
ВД
Понял, спасибо, но хотелось бы понять, ещё какие примерно данные нужны будут им для анализа и механизмы сбора безопасного и передачи)
Самомониторинг. Нормальные требования по защите его инфраструктуры (контроль целостности, сегментация) . Внедренные политики и процессы иб. Имхо как везде
ВД
Ну и инструменты по защите
A
В Д
Зависит от клиента. В общем случае - есть nda и доп.соглашения, если требуется. Со стороны законодательства - перс.данные не передаются, банковская тайна тоже, номера кредиток - аналогично. Для обеспечения защиты ФСТЭК ввёл лицензирование
А если например перс данные нельзя передавать а сок анализирует почту например на вредоносов, и там могут быть теоретически пд и прочее...
A
В Д
Самомониторинг. Нормальные требования по защите его инфраструктуры (контроль целостности, сегментация) . Внедренные политики и процессы иб. Имхо как везде
Спасибо, логично
ВД
А если например перс данные нельзя передавать а сок анализирует почту например на вредоносов, и там могут быть теоретически пд и прочее...
А как этот вопрос во внутренней жизни решается обычно? :) неужели включается почта в границы хранения ПдН или действия PCI? Вероятность есть, но маленькая в данном кейсе. Из нашей практики - если анализировать только логи, данных не будет почти точно. Если используется облачный sandbox, например - письмо отдаётся на анализ после аппрува клиента. Там бывают и более интересные фолсы, чем просто ПдН.
Ну а вообще - вопрос доверия и взаимодействия с подрядчиком. Регламентами все равно все абсолютно не закрыть.
Ну а вообще - вопрос доверия и взаимодействия с подрядчиком. Регламентами все равно все абсолютно не закрыть.
A
В Д
А как этот вопрос во внутренней жизни решается обычно? :) неужели включается почта в границы хранения ПдН или действия PCI? Вероятность есть, но маленькая в данном кейсе. Из нашей практики - если анализировать только логи, данных не будет почти точно. Если используется облачный sandbox, например - письмо отдаётся на анализ после аппрува клиента. Там бывают и более интересные фолсы, чем просто ПдН.
Ну а вообще - вопрос доверия и взаимодействия с подрядчиком. Регламентами все равно все абсолютно не закрыть.
Ну а вообще - вопрос доверия и взаимодействия с подрядчиком. Регламентами все равно все абсолютно не закрыть.
Да, большое спасибо!
A
А скажем технологии обработки данных как оценить в соке?насколько автоматизированно и современно?может по этому вопросу подскажите что почить?
B
А скажем технологии обработки данных как оценить в соке?насколько автоматизированно и современно?может по этому вопросу подскажите что почить?
SOC CMM в помощь, иначе можно написать книжку по вопросу...