Все самое интересное теперь тут zashitapd.blogspot.com |
ссылка на мой блог тут
|
Тестирование проводиться с целью объективного подтверждения реального состояния безопасности информации на объекте. Методы тестирования: - обследование реальных условий размещения и использования оборудования; - испытание функций защиты от НСД с помощью тестовых средств. - тестовый запуск средств защиты; - изменение и оценка физических параметров технических средств; - моделирование действий злоумышленника. Определение следующих параметров: -реальный состав и расположение объектов испытаний; -реальный размер контролируемой зоны; -реальные условия размещения и использования средств обработки и защиты информации; -использующиеся механизмы защиты общесистемного программного обеспечения; -минимальные значения расстояний от источников сигнала до границы контролируемой зоны. Обследование реальных условий размещения и использования оборудова ... Читать дальше » |
Оценка исходных данных. Осуществляется изучение и анализ обстановки и выявление актуальных угроз безопасности. На данном этапе формируется модель угроз. Для этого могут использоваться следующие документы: ГОСТ ИСО/МЭК "Критерии оценки безопасности информационных технологий" также и международные стандарты BS 7799 и ISO/IEC 17799-00. Результат данного этапа "Модель актуальных угроз" Структура документа: 1. Введение 1.1. Обозначения и сокращения. 1.2. Законодательная, нормативная и методическая база. 1.3. Термины и определения. 2. Описание информационной системы 2.1. Общие сведения. ... Читать дальше » |
1. Важным этапом в проведении аудита считается сбор исходных данных. Методы сбора исходных данных: - Запрос необходимых документов; - Анкетирование сотрудников; - Анализ исходных данных (агрегирование и инференция). Общие исходные данные: - Полное,точное наименование системы и ее назначение; - Схема организационной структуры пользователей; - Общая функциональная схема; - Техническое задание на создание системы; - Перечень технических средств, входящих в информационную систему; - Перечень программного обеспечения с разделением на общесистемное и прикладное ПО; - Описание технических процессов; - Перечень помещений в которых размещается информационная система; - План размещения ОТСС и ВТСС; - Схема с границей КЗ; - Схемы коммуникаций ( электропитание, передача данных,заземления,иные коммуникации); - Сведения о система ... Читать дальше » |
Рассмотрим этапы Аудита . 1. Планирование. Сбор исходных данных, определение степени детализации. 2. Оценка исходных данных. Формирование угроз, и уязвимостей. 3.Обследование техническими средствами. Проверка исходных данных с помощью технических программ. 4.Анализ. Определение требований к системе. 5.Разработка системы защиты Проработка практической реализации требований предъявляемых к системе. 6. Документирование. Оформление полученных результатов. В следующих статьях на тему "делимся опытом" буду рассказывать о всех основных этапах аудита. |
Лицензирование. ФСТЭК информирует
ФСТЭК опубликовала
требования к соискателям лицензий на ТЗКИ и производство СЗИ, разъясняющие
положения нового 79 ПП по лицензированию: |
На сайте ФСТЭК было выложено информационное письмо об утверждении требований к системам обнаружения вторжений. ФСТЭК выложила и 6 профилей защиты, на базе которых должны создаваться IPS уровня сети и уровня узла. Т.к. IPS 1-3-го классов предназначены для защиты гостайны, то на сайте ФСТЭК выложены профили только для 4-6 классов для каждого из двух типов IPS (
...
Читать дальше »
|
Вышел новый документ Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 19 августа 2011 г. № 706 «Об утверждении Рекомендаций по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных» |
Проект О внесении
изменений в Федеральный закон «О персональных данных»
Ссылка http://asozd2.duma.gov.ru/main.nsf/(ViewDoc)?OpenAgent&work/dz.nsf/ByID&314B180213C217E7C32578BE005BC629 |