нужна помощь - Форум по вопросам информационной безопасности

в дополнение...
А еще есть золотое правило - не все угрозы можно перекрыть чисто техническими или чисто организационными мерами. Потому-то они и должны внедряться совместно. + всегда должен учитываться экономический фактор целесообразности. Там, где техн.мер. будут весьма затратным или по иным параметрам не подходящим решением, - можно (и нужно) обеспечивать защиту орг.мерами. Если орг.мер. получается с избытком - следует внедрять техн.меры.
Анекдот есть такой про электроны. Которые на субсветовых скоростях в "витой паре" приобретают свойства сверхЪплотных частиц. И при прокладке кабеля не по прямой (с углом более 10%) - прорывают оплетку и вылетают наружу. Поэтому у нас есть специально обученный и разогнанный до субсветовых скоростей сотрудник, который бегает вдоль кабеля и заклеивает прорванные места изолентой...

Для Arihon подготовка бумаг - первоочередная и самая важная задача. Потому что есть постановление и реальный штраф. Скорей всего, есть и предписание, в какие сроки нарушения необходимо устранить.
А еще есть начальник, которого нагнули за эти нарушения. И теперь, скорей всего, этот начальник каждый день долбает Арихона - что сделано по этой фигне со штрафами? Где документация, по которой мы отчитаемся, что все устранили?

to Вилли
С этим никто не спорит :) Сейчас в любом случае придется в первую голову бумаги оформлять, а уже потом что-то делать с фактической защитой. Я лишь предлагаю совместить, чтобы позже не было мучительно больно (и далее по тексту). Хотя да, тут вопрос времени, сил и желания...

to Вилли
Прям как в воду смотрел, начальство неустанно бдит над моей головой, аж из себя выводят, пока что отнекиваюсь заполнением журналов и отменой предыдущих постановления по ЗИ, там такое болото, черт ногу сломит. Спасибо большое за примеры, очень помогают разбираться во всем этом.
У меня еще один вопрос.
Администрация заключила договор с компанией на создание сайта администрации, но после проверки нам вынесли замечание на счет того что - защита от действий пользователей в отношении информации, не предусмотренных правилами пользования информационной системой общего пользования, приводящих, в том числе к уничтожению модификации и блокированию информации не обеспечена.
Я все не как понять не могу что это?

* защита от действий пользователей в отношении информации, не предусмотренных правилами пользования информационной системой общего пользования, приводящих, в том числе к уничтожению модификации и блокированию информации не обеспечена *

Узнаю почерк ФСБ: они всегда пишут так, чтобы никто ничего не понял. Скорее всего, имеется в виду то, что не приняты меры по восстановлению инф-ции, которая может быть модифицирована самими пользователями.
Напишите инструкцию по резервному копированию инф-ции и ее восстановлению с резервных копий. В инструкции пользователям впишите ответственность за нарушения/несоблюдения правил обработки инф-ции (выговор там, лишение премии и .т.п.). Ну и напишите, что провели обучение/инструктаж пользователей.

А еще постарайтесь переложить часть работы на юристов. Часто, прежде чем заниматься технической защитой, приходится разбираться в юридических вопросах. Пусть юр. отдел даст ответ: подпадает ли ваша ИС под Приказ 416/489. Является ли ваша ИС "системой общего пользования"? А может это ГИС (или МИС)?

Спасибо большое за помощь и наставления, очень благодарен всем!!!!!!!!!!!

И вновь обращаюсь скорее всего с не адекватным вопросом, но не могу понять, народ как проходит отчетность по всем предпринятым мероприятиям по зи?

Сорри если не в тему.
Подскажите пожалуйста какое расширение имеет файл ключ шифрования AES?
Я забыл пароль к сайту, но с помощью копии ключа восстановления можно вернуть доступ. Он наверняка где-то записан, только вот бы еще знать что искать.
Спасибо за ответ!

Имеется несколько комплектов системы виброакустической защиты "Камертон-3" (сертификат соответствия № 1898 действующий до 2018 г.), которые планировалось установить на объекты информатизации. Допускается ли их установка в свете новых требований к СЗИ? Какими документами можно аргументировать их использование? Поделитесь своим опытом.

to Виктор
Обосновать наличием сертификата, действующего до 2018 г. Закон обратной силы не имеет в данном случае. И до 18 года вполне можно пользоваться, не смотря на новые требования.