Архив рубрики: Защита ГИС

Все, что связано с защитой персональных данных и другой конфиденциальной информацией.

Почему отсутствие новой методики моделирования угроз от ФСТЭК это проблема?

Весной (уже далекого) 2015 года для общего доступа был опубликован проект новой методики определения угроз безопасности информации в информационных системах. Уже тогда многие специалисты обрадовались факту разработки ФСТЭКом такого документа, потому что даже 2 года назад было понятно, что старая связка документов «Методика определения…» и «Базовая модель угроз…» мягко говоря, слегка устарели. Но, несмотря на… Читать далее »

Межсетевые экраны по новым требованиям для ГИС 1 и 2 класса и проверка на отсутствие НДВ

Как всем уже известно, с 1 декабря 2016 года действуют новые требования к межсетевым экранам от ФСТЭК. Что можно, а что нельзя делать с межсетевыми экранами, сертифицированными по старым требованиям, я уже писал ранее. Но, по мере появления МЭ, сертифицированных по новым требованиям, особенно по высоким классам защиты, многие операторы ГИС стали задаваться одним интересным вопросом. В сертификатах ФСТЭК… Читать далее »

Информационное сообщение ФСТЭК по межсетевым экранам и изменения (утвержденные) в 17 приказ

Вчера ФСТЭК опубликовал информационное сообщение по по вопросам разработки, производства, поставки и применения межсетевых экранов, сертифицированных ФСТЭК России по требованиям безопасности информации. На самом деле, в этом информационном сообщении для меня самым интересным было указание на факт утверждения изменений в 17 приказ ФСТЭК, о проекте которых я уже писал. Но о них позже. Все же, сначала посмотрим что… Читать далее »

Мои 5 копеек про планируемые изменения в 17 приказ ФСТЭК

В ИБ-среде уже, наверное, всем известно, что опубликован проект приказа о внесении изменений в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. № 17. Свои мысли по этому поводу уже высказали Булат Шамсутдинов и Алексей Лукацкий. У меня есть и свои мысли по проекту и я их… Читать далее »

Снова об обучении по информационной безопасности

Сегодня (24.11.2016) состоялся координационный совет при Управлении ФСТЭК по ДФО, целиком и полностью посвященный вопросам образования в сфере информационной безопасности. Докладывали и участвовали в совете представители ВУЗов Дальнего востока России, регуляторы – ФСТЭК и ФСБ, а также лицензиаты по ТЗКИ. Из общей риторики всех выступающих вытекала одна главная мысль – вопрос обеспечения квалифицированными ИБ-шниками обсуждается… Читать далее »

ФСТЭК опубликовал требования к операционным системам

На самом деле ФСТЭК опубликовал не сами требования, а небольшую выжимку из них. Сам документ судя по всему грифован и предоставляется по запросу. Если коротко пройтись по информационному сообщению: По сути это все, что нужно знать широким массам о новых требованиях к ОС по мнению регулятора. От себя хочу сказать, что мы естественно будем заказывать этот документ… Читать далее »

Дальинфоком 2016: обсессивно-депрессивное ИБ

27 сентября посетил мероприятие Дальинфоком-2016. Поскольку круглые столы и мероприятия проходили параллельно, я посетил три круглых стола, посвященных ИБ в государственных и муниципальных органах. О них немного и расскажу. С полным списком (уже прошедших) мероприятий, если кому интересно, ознакомиться можно здесь. Фоточки с круглых столов здесь. На всех трех столах дискутировали и отвечали на вопросы в основном представители… Читать далее »

Разъяснения ФСТЭК по аттестации типовых сегментов

Как и обещал в предыдущей заметке, расскажу что нам ответил ФСТЭК на вопросы по типовым сегментам. Почему вообще возникла необходимость писать письмо регулятору с запросом на разъяснения? В 17 приказе ФСТЭК и в ГОСТах по аттестации есть намеки на то, что можно аттестовывать типовой сегмент информационной системы или АРМ и распространять результаты аттестации (и сам аттестат… Читать далее »

Немного об обучении по информационной безопасности

В разгар лета, отпусков и вылазок к морю совсем не хочется писать в блоге аналитику или туториалы. Но внезапно захотелось написать об актуальном нынче вопросе — образовании в сфере информационной безопасности. Об этом сейчас говорят много — ФСТЭК планирует ввести целый раздел с мерами, связанными с обучением и информированием персонала по вопросам ИБ, в новую… Читать далее »

Мечтают ли технические паспорта об электрочайниках?

В этой заметке поговорим о чайниках и микроволновках, но речь пойдет не об интернете вещей, как может показаться на первый взгляд, а о некоторых нюансах составления технического паспорта. Для тех, кто не очень в теме поясню терминологию и суть проблемы. Для любых информационных систем, в том числе для ИСПДн и ГИС, должен составляться технический паспорт, в котором… Читать далее »