..
наверно таких систем полно по стране никто не сталкивался с этой проблемой ранее?
Size: a a a
2019 July 22
VM
наверно таких систем полно по стране никто не сталкивался с этой проблемой ранее?
Тут принцип Парето: 20% скрестили пальцы, остальные 80% не забивают себе голову использованием таких сложных методов защиты информации
Сталкивался. Просто кто забил - вряд ли тут будет что-то писать. А те кто сделали - молодцы. Участвовал в создании системы защиты на основе отечественной TLS-шифрования для ГИС
Сталкивался. Просто кто забил - вряд ли тут будет что-то писать. А те кто сделали - молодцы. Участвовал в создании системы защиты на основе отечественной TLS-шифрования для ГИС
РМ
Ilya Meylikhov
фстэк, № РОСС RU.0001.01БИ00
Илья, а «Sharx Security» - где можно поподробнее прочитать о нем?
S
появился вопрос по ПДН и СКЗИ: есть ИС, где обрабатвыаются общедоступные ПДн. В связи с тем, что обрабатываются пдн, необходимо определить уровень защищеннсти, естетственно, получаем 4 УЗ. Информационные потоки проходят по открытым каналам связи. В связи с этим, насколько я помню приказ 378 фсб, необходимо использовать СКЗИ. Есть ли варианты обойтись без СКЗИ?
По 378 Приказу ФСБ только сертифицированные СКЗИ.
Но проверяет это, насколько я в курсе, только ФСБ. Для ФСТЭК будет достаточно любой криптографии, РКН не проверяет техническую сторону.
Нарисованная модель угроз не панацея, скорее всего, проживет до первой проверки ФСБ.
А насколько для вас вероятна проверка ФСБ?
Но проверяет это, насколько я в курсе, только ФСБ. Для ФСТЭК будет достаточно любой криптографии, РКН не проверяет техническую сторону.
Нарисованная модель угроз не панацея, скорее всего, проживет до первой проверки ФСБ.
А насколько для вас вероятна проверка ФСБ?
AI
По 378 Приказу ФСБ только сертифицированные СКЗИ.
Но проверяет это, насколько я в курсе, только ФСБ. Для ФСТЭК будет достаточно любой криптографии, РКН не проверяет техническую сторону.
Нарисованная модель угроз не панацея, скорее всего, проживет до первой проверки ФСБ.
А насколько для вас вероятна проверка ФСБ?
Но проверяет это, насколько я в курсе, только ФСБ. Для ФСТЭК будет достаточно любой криптографии, РКН не проверяет техническую сторону.
Нарисованная модель угроз не панацея, скорее всего, проживет до первой проверки ФСБ.
А насколько для вас вероятна проверка ФСБ?
вероятность большая, вот и нужно найти адекватное решение
А
Вы лицензиаты фсб?
S
Тогда только сертифицированные СКЗИ с действующими сертификатами на момент проверки.
S
Алена
Вы лицензиаты фсб?
Для примера, наверное, все банки - лицензиаты ФСБ, но фактов их проверки ФСБ по 152-ФЗ практически неизвестны
А
Вполне себе известны. И банки отечественную крипту используют только в путь. Просто они клиентам скзи передают. А делать каждый раз ради однократного сбора информации новый ключ, кмк, несколько неэффнктивная трата времени и ресурсов
S
Алена
Вполне себе известны. И банки отечественную крипту используют только в путь. Просто они клиентам скзи передают. А делать каждый раз ради однократного сбора информации новый ключ, кмк, несколько неэффнктивная трата времени и ресурсов
Не смешите! Назовёте мне кол-во банков шифрующих весь трафик промеж отделений и филиалов по ГОСТу, хотя бы примерно? С учетом того, что их всего 464, или около того.
Вопрос не про ДБО для юр лиц, о котором вы пишите.
И еще у них, как правило, есть ДБО для физиков, где обычно используется ПЭП, а там тоже ПДн.
Вопрос не про ДБО для юр лиц, о котором вы пишите.
И еще у них, как правило, есть ДБО для физиков, где обычно используется ПЭП, а там тоже ПДн.
А
Я не могу (и не хочу, если честно) отвечать за все банки. Но конкретные примеры есть. Как вы понимаете, озвучивать это публично я не могу
А
А проверки ркн по банкам можно в планах на сайте ркн посмотреть за предыдущие годы. Там есть информация. По фсб планы опубликованные я не помню
S
Алена
Я не могу (и не хочу, если честно) отвечать за все банки. Но конкретные примеры есть. Как вы понимаете, озвучивать это публично я не могу
Алена, я про "среднее по больнице", а исключения есть всегда. И аватар у вас классный!
S
Алена
А проверки ркн по банкам можно в планах на сайте ркн посмотреть за предыдущие годы. Там есть информация. По фсб планы опубликованные я не помню
РКН не проверяет техническую сторону, так как не имеет права. ФСТЭК не будет проверять требования ФСБ. Я уже писал об этом.
Ю
Коллеги вопрос назрел. В некоторых местах встречаю требования к специалистам по ИБ ...про образование и года работы все ясно...а вот иногда мелькает про повышение квалификации раз в 5 лет...вот это мне уже интересно...такие требования реально существуют? и куда бечь за повышением квалификации? я понимаю если у тебя ВО не ИБ, тогда повысят....а если профильное....
IM
Илья, а «Sharx Security» - где можно поподробнее прочитать о нем?
Роман, документация и другие материалы предоставляются по запросу на info@sharxdc.ru Предоставлить какую-либо информацию в обход действующего порядка, к сожалению, не могу
РМ
Ilya Meylikhov
Роман, документация и другие материалы предоставляются по запросу на info@sharxdc.ru Предоставлить какую-либо информацию в обход действующего порядка, к сожалению, не могу
Понял, спасибо
VM
Коллеги вопрос назрел. В некоторых местах встречаю требования к специалистам по ИБ ...про образование и года работы все ясно...а вот иногда мелькает про повышение квалификации раз в 5 лет...вот это мне уже интересно...такие требования реально существуют? и куда бечь за повышением квалификации? я понимаю если у тебя ВО не ИБ, тогда повысят....а если профильное....
Туда же. У врачей таже потеха (друг - врач, по нему знаю)
А
Коллеги вопрос назрел. В некоторых местах встречаю требования к специалистам по ИБ ...про образование и года работы все ясно...а вот иногда мелькает про повышение квалификации раз в 5 лет...вот это мне уже интересно...такие требования реально существуют? и куда бечь за повышением квалификации? я понимаю если у тебя ВО не ИБ, тогда повысят....а если профильное....
Alexey Komarov:
Плюс по обновлённому приказу ФСТЭК России №235 с 01.01.2021 будут новые требования к специалистам:
"12. Работники структурного подразделения по безопасности, специалисты по безопасности должны соответствовать следующим требованиям:
- наличие у руководителя структурного подразделения по безопасности высшего профессионального образования по направлению подготовки (специальности) в области информационной безопасности или иного высшего профессионального образования и документа, подтверждающего прохождение обучения по программе профессиональной переподготовки по направлению "Информационная безопасность" (со сроком обучения не менее 360 часов), наличие стажа работы в сфере информационной безопасности не менее 3 лет;
- наличие у штатных работников структурного подразделения по безопасности, штатных специалистов по безопасности высшего профессионального образования по направлению подготовки (специальности) в области информационной безопасности или иного высшего профессионального образования и документа, подтверждающего прохождение обучения по программе повышения квалификации по направлению "Информационная безопасность" (со сроком обучения не менее 72 часов);
- прохождение не реже одного раза в 5 лет обучения по программам повышения квалификации по направлению "Информационная безопасность"."
https://zlonov.ru/kii/приказ-фстэк-россии-№235-от-21-12-2017/
Плюс по обновлённому приказу ФСТЭК России №235 с 01.01.2021 будут новые требования к специалистам:
"12. Работники структурного подразделения по безопасности, специалисты по безопасности должны соответствовать следующим требованиям:
- наличие у руководителя структурного подразделения по безопасности высшего профессионального образования по направлению подготовки (специальности) в области информационной безопасности или иного высшего профессионального образования и документа, подтверждающего прохождение обучения по программе профессиональной переподготовки по направлению "Информационная безопасность" (со сроком обучения не менее 360 часов), наличие стажа работы в сфере информационной безопасности не менее 3 лет;
- наличие у штатных работников структурного подразделения по безопасности, штатных специалистов по безопасности высшего профессионального образования по направлению подготовки (специальности) в области информационной безопасности или иного высшего профессионального образования и документа, подтверждающего прохождение обучения по программе повышения квалификации по направлению "Информационная безопасность" (со сроком обучения не менее 72 часов);
- прохождение не реже одного раза в 5 лет обучения по программам повышения квалификации по направлению "Информационная безопасность"."
https://zlonov.ru/kii/приказ-фстэк-россии-№235-от-21-12-2017/
ДК
Коллеги вопрос назрел. В некоторых местах встречаю требования к специалистам по ИБ ...про образование и года работы все ясно...а вот иногда мелькает про повышение квалификации раз в 5 лет...вот это мне уже интересно...такие требования реально существуют? и куда бечь за повышением квалификации? я понимаю если у тебя ВО не ИБ, тогда повысят....а если профильное....
не профильное высшее это проф пепреподготовка 500+ часов, даже если вообще высшего нет ее можно пройти, я зимой проходил.
а повышение квалификации это 70+ часов например, ну и на порядок дешевле обычно.
а повышение квалификации это 70+ часов например, ну и на порядок дешевле обычно.