Архив метки: гис

Почему отсутствие новой методики моделирования угроз от ФСТЭК это проблема?

Весной (уже далекого) 2015 года для общего доступа был опубликован проект новой методики определения угроз безопасности информации в информационных системах. Уже тогда многие специалисты обрадовались факту разработки ФСТЭКом такого документа, потому что даже 2 года назад было понятно, что старая связка документов «Методика определения…» и «Базовая модель угроз…» мягко говоря, слегка устарели. Но, несмотря на… Читать далее »

Межсетевые экраны по новым требованиям для ГИС 1 и 2 класса и проверка на отсутствие НДВ

Как всем уже известно, с 1 декабря 2016 года действуют новые требования к межсетевым экранам от ФСТЭК. Что можно, а что нельзя делать с межсетевыми экранами, сертифицированными по старым требованиям, я уже писал ранее. Но, по мере появления МЭ, сертифицированных по новым требованиям, особенно по высоким классам защиты, многие операторы ГИС стали задаваться одним интересным… Читать далее »

Информационное сообщение ФСТЭК по межсетевым экранам и изменения (утвержденные) в 17 приказ

Вчера ФСТЭК опубликовал информационное сообщение по по вопросам разработки, производства, поставки и применения межсетевых экранов, сертифицированных ФСТЭК России по требованиям безопасности информации. На самом деле, в этом информационном сообщении для меня самым интересным было указание на факт утверждения изменений в 17 приказ ФСТЭК, о проекте которых я уже писал. Но о них позже. Все же,… Читать далее »

Разъяснения ФСТЭК по аттестации типовых сегментов

Как и обещал в предыдущей заметке, расскажу что нам ответил ФСТЭК на вопросы по типовым сегментам. Почему вообще возникла необходимость писать письмо регулятору с запросом на разъяснения? В 17 приказе ФСТЭК и в ГОСТах по аттестации есть намеки на то, что можно аттестовывать типовой сегмент информационной системы или АРМ и распространять результаты аттестации (и сам… Читать далее »

Мечтают ли технические паспорта об электрочайниках?

  В этой заметке поговорим о чайниках и микроволновках, но речь пойдет не об интернете вещей, как может показаться на первый взгляд, а о некоторых нюансах составления технического паспорта.

Проверки ФСТЭК: от номинальной защиты к практической

У меня была заготовлена идея поста про типовые нарушения, выявляемые в государственных информационных системах ФСТЭКом в ходе проверок. Но тут у меня в руках оказалось свежее заключение с одной из последних проверок. И я бы не стал писать этот пост, если бы в выявленных нарушениях значились бы уже набившие оскомину: использование несертифицированных СЗИ (в том… Читать далее »

Материалы

Здесь собраны полезные материалы, связанные с защитой информации и персональных данных. Образцы внутренних документов организации по защите персональных данных и защите конфиденциальной информации в государственных информационных системах (zip) Еще один набор типовых форм документов по защите персональных данных на стороннем ресурсе (pdf) Федеральный закон «О персональных данных»: научно-практический комментарий (2015 г.) (pdf) Приказ Министерства труда и… Читать далее »