AK
это недешево
Size: a a a
2019 May 21
N
а SIEM прикупить дешевле 😂😂😂😂😂😂😂😂
N
Alexander Korb
это недешево
хорошо. вариант не дешевый сама аттестация.
тогда как еще можно с помощью подручных средств закрыть данное требование???
тогда как еще можно с помощью подручных средств закрыть данное требование???
AK
надумать тестов и раз в год их гонять
MS
VIII. Контроль (анализ) защищенности персональных данных (АНЗ)
АНЗ.3 Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации.
вопрос: подскажите какие меры, конкретно на практике, реализовывать, для того чтобы выполнить данное требование? (у меня есть идеи, как это выполнить,
но хотелось бы узнать и Ваше мнение)
АНЗ.3 Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации.
вопрос: подскажите какие меры, конкретно на практике, реализовывать, для того чтобы выполнить данное требование? (у меня есть идеи, как это выполнить,
но хотелось бы узнать и Ваше мнение)
Пример
АНЗ.1-4 закрываются в «Регламентом контроля (анализа) защищенности информационных систем персональных данных в Акционерном обществе «********» и применением сертифицированного средства анализа защищенности
Сам Регламент там меньше 10 страниц
АНЗ.1-4 закрываются в «Регламентом контроля (анализа) защищенности информационных систем персональных данных в Акционерном обществе «********» и применением сертифицированного средства анализа защищенности
Сам Регламент там меньше 10 страниц
N
Алена
Минимум можно организационными мерами обойтись. Сделать два документа. Регламент настроек и регламент контроля. Назначить проверяющих и возложить на них обязанности по периодическому контролю. Но правильнее будет прикрутить технические средства (контроль целостности, SIEM прикрутить...), организовать SOC 24*7.тут исходить можно из требований к работе системы, имеющегося бюджета и здравого смысла.
в прицепе любые требования приказов ФСТЭК можно орг треб закрыть. Ваш подход мне нравиться!
только вопрос остался: чем и как проверяющая группа будет проводить контроль? какими инструментальными средствами? или так бумажкой на коленке???😊
только вопрос остался: чем и как проверяющая группа будет проводить контроль? какими инструментальными средствами? или так бумажкой на коленке???😊
AK
средства у них есть. "Сканер-Вс", Терьер
N
Пример
АНЗ.1-4 закрываются в «Регламентом контроля (анализа) защищенности информационных систем персональных данных в Акционерном обществе «********» и применением сертифицированного средства анализа защищенности
Сам Регламент там меньше 10 страниц
АНЗ.1-4 закрываются в «Регламентом контроля (анализа) защищенности информационных систем персональных данных в Акционерном обществе «********» и применением сертифицированного средства анализа защищенности
Сам Регламент там меньше 10 страниц
о спасибо уже ближе к делу
N
Alexander Korb
средства у них есть. "Сканер-Вс", Терьер
Терьер???? я что то упустила в этой жизни????
N
терьер- это вроде средство гарантированного уничтожения
AK
нет. это средство контроля гарантированного уничтожения 😊
N
в итоге приходим к той же процедуре что и аттестация 😊 только не аттестационной комиссией, а своей группой и теми же средствами что и атт проводят
AK
да. И проверки - тоже теми же средствами
А
Проверка правильности настроек раз в год равносильна ее отсутствию. Если, конечно, это не какое устройство, запечатанное в шкафу, которое иначе как с получением физического доступа не перенастроить. "Вам шашечки или ехать". Если нужен комплаенс, то аттестацию можно вообще раз в три года проводить. Если нужен реальный контроль настроек, без техмер не обойтись. Безопасность -это процесс. Вы сейчас проверку провели, а через полчаса админ пошел и дырок напилил, потому что так админить проще
MS
Алена
Проверка правильности настроек раз в год равносильна ее отсутствию. Если, конечно, это не какое устройство, запечатанное в шкафу, которое иначе как с получением физического доступа не перенастроить. "Вам шашечки или ехать". Если нужен комплаенс, то аттестацию можно вообще раз в три года проводить. Если нужен реальный контроль настроек, без техмер не обойтись. Безопасность -это процесс. Вы сейчас проверку провели, а через полчаса админ пошел и дырок напилил, потому что так админить проще
"аттестацию можно вообще раз в три года" - можно или нужно? Оо
AK
можно, если на 3 года в соответствующем аттестату состоянии зафиксируетесь 😊
А
Срок действия сертификата три года. Больше никто не сделает. Чаще - пожалуйста
MS
просто если нужно, то нужно каждые 3 года,
а если не нужно, то и зачем в первый раз аттестацию проходить)
а если не нужно, то и зачем в первый раз аттестацию проходить)
AK
потому что за жизнь в неаттестованном гисе - статья
MS
Alexander Korb
потому что за жизнь в неаттестованном гисе - статья
а жизнь в гисе с истекшим аттестатом?