@
Size: a a a
2019 August 04
2019 August 05
VI
Вечер добрый. А есть ли понимание из практики - для ИСПДн какого-нибудь (сферического в вакууме) крупного банка какой тип актуальных угроз?
S
Есть конечно. Открываете СТО БР, там чёрным по русски написано - "угрозы 1го и 2го типов, рекомендуется признать неактуальными"
2019 August 06
VI
Есть конечно. Открываете СТО БР, там чёрным по русски написано - "угрозы 1го и 2го типов, рекомендуется признать неактуальными"
Стандарт Банка России СТО БР ИББС-1.0-2014 п.7.11.4 "С учетом специфики обработки и обеспечения безопасности персональных данных в организациях БС РФ, угрозы утечки персональных данных по техническим каналам, а также угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в ИСПДн, рекомендуется признавать неактуальными для организаций БС РФ."
Спасибо.
Спасибо.
VI
а нет ли чего-то подобного в ИСПДн (например биллинговые системы) крупных операторов связи (например большой тройки)? Там тоже *обычно* нет 1 и 2 типа актуальных угроз?
Просто нас лаборатория агитирует на 4 уровень доверия, а мне вот подсказали, что он нам нафиг не нужен никогда будет. Я сначала не поверил, а теперь вот уже верить начинаю.
Просто нас лаборатория агитирует на 4 уровень доверия, а мне вот подсказали, что он нам нафиг не нужен никогда будет. Я сначала не поверил, а теперь вот уже верить начинаю.
Ю
Дядя Леша давно все разжевал
Ю
VI
спасибо
S
а нет ли чего-то подобного в ИСПДн (например биллинговые системы) крупных операторов связи (например большой тройки)? Там тоже *обычно* нет 1 и 2 типа актуальных угроз?
Просто нас лаборатория агитирует на 4 уровень доверия, а мне вот подсказали, что он нам нафиг не нужен никогда будет. Я сначала не поверил, а теперь вот уже верить начинаю.
Просто нас лаборатория агитирует на 4 уровень доверия, а мне вот подсказали, что он нам нафиг не нужен никогда будет. Я сначала не поверил, а теперь вот уже верить начинаю.
А вы не банковское ПО разрабатываете или используете?
VI
нет, общего назначения так сказать
S
нет, общего назначения так сказать
Я к тому, что ЦБ начинает требовать сертификацию или контроль по ОУД4 платежного ПО. Если, на текущий момент, для вас требований нет, какой смысл заморачиваться. Реализуйте "безопасную разработку" без привлечения лицензиатов для контроля. И, КМК, вполне достаточно, на данном этапе, и пиара своих продуктов, и себя...
Ш
http://fstec.ru/sp-error/?_event_transid=1700940967
Народ, а что за система защиты такая? Сегодня такую же встретил у казначейства, когда не по валидной ссылке идёшь
Народ, а что за система защиты такая? Сегодня такую же встретил у казначейства, когда не по валидной ссылке идёшь
Ш
Это какой-то WAF? Позитивные технологии?
VC
а не переделали ли просто 404 на такую штуку ? ну что бы враг боялся ;)
Ш
Не, 404 у них другая
Ш
Это когда именно по старым битым ссылкам идёшь
@
Это какой-то WAF? Позитивные технологии?
Скорее всего waf , защита от всяких xss SQLi уязвимостей. Вроде как Ростелеком свой солар активно продвигает сейчас
Ш
Скорее всего waf , защита от всяких xss SQLi уязвимостей. Вроде как Ростелеком свой солар активно продвигает сейчас
Я тоже думаю что waf, только вот какой?
Ш
Кстати кто использует у себя waf?
2019 August 07
Ш
Ещё такой вопрос, а кто-нибуть разрабатывал у себя "политику информационной безопасности" Есть большое желание создать такой общий документ, которые описывал бы исполнение всех организационных требований из нормативок по ПДн, ГИС, всяких приказов ФСБ для скзи и т.д. В общем такой свод правил по которым живут все, кто работает в твоей локальной сети, чтобы не плодить по возможно кучу разнообразных доков на каждую ГИС и ИСПДн. Не ну понятно, что придется отдельные документы делать по специфике каждом ИС, но если есть общие правила скажем по антиирусной защите, по системе аунтификации/идентификации через единый домен ну и т.д., их же можно объеденить и распространить на всю сеть?