Контакты
Подписка
МЕНЮ
Контакты
Подписка

Новое в системе аттестации объектов информатизации-2021 - Форум по вопросам информационной безопасности

Новое в системе аттестации объектов информатизации-2021 - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Страницы: < 1 2 3 4 5 6 7 8 9 10 >

Автор: oko | 109490 29.08.2021 14:10
to WORM
Объем, особенно для какой-нибудь классической ИС с одним рабочим местом и парой сотрудников персонала, да, растет с каждым разом. Но, наряду с высоковероятной прозаичностью утечек, imho, это все из разряда "если Вася прыгнет с моста"...
В ГТ нет ни методики, ни пункта про адаптацию мер и, что важнее, про разработку компенсирующих мер на основании выводов об актуальности УБИ. Считаю, что в этом ключевое отличие...
Впрочем, спор в данном случае все равно ничего не изменит. Мое мнение, раз уж аттестацию "отвязывают" от части объектов (от некоторых только по случаю желания владельца, а от некоторых - чистой КОНФИ, например, по случаю появления нового "белого пятна"), это все равно не повод отказываться от наработанной годами унифицированной структуры по созданию, описанию и вводу КСЗ в эксплуатацию. Она хотя бы не требует нового переворота с ног на голову - и без такой сумятицы проблем хватает. А дальше, как говорится, "Время решит за нас", ага...

Автор: oko | 109491 29.08.2021 14:17
*уточнение*
Последнюю фразу не следует читать как "аттестация всем, чтобы никто обиженным не ушел". Скорее как "давайте за модус операнди брать текущую схему проверок", особенно для случая выдачи некоего заключения по результатам оценки вместо аттестата соответствия. Со всеми сопутствующими техн., орг. и док. мерами и материалами для оных проверок. Стандартизация подхода без радикализма всяко привносит меньше разброда и хаоса, ага...

Автор: sekira | 109492 30.08.2021 07:25
"отсутствия слова модель"...
вставлю 5 копеек..
Вспомнилась Раевская про слова нет а ж...есть.
ФЗ 152 ст 19 п 1 п.п 1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
Просто выполните это... Назовете НЕМОДЕЛЬ прекрасно..

Вся логика документации по ИСПДн пропитана отсутствие четкого названия документов применяемых для реализации организационных мер, для возможности реализации нормотворчества в рамках документооборота, видения и структуры документов в области ИБ в организации. Отрицать сложившийся практику ИБ с в рамках цикла описание ИС- формирование требований ИБ - реализация требований - проверка требований не вижу смысла.

Автор: WORM, MK | 109493 30.08.2021 09:23
to all
Уважаемые коллеги, я прекрасно понимаю, зачем нужна модель и когда ее пишут.
Но когда заказчик задает вопрос: "вы мне предлагаете купить модель угроз за 300...500 000 руб, где написано, что она нужна, а то у меня бухгалтерия спрашивает"

что вы ему отвечаете ? "Здесь так принято, гони бабки и помалкивай"?

Автор: sekira | 109494 30.08.2021 10:20
Сову на глобус натягиваем... Это же не з
Если Заказчик задает некорректные вопросы то он преследует свои цели ...
Скажите что когда будите аттестовывать (проверять требования) попросите документ реализующий необходимые требования к ИСПДн, а как он будет называться пусть Заказчик сам называет.
Суммы че-то большие...

Автор: oko | 109495 30.08.2021 10:40
to WORM
Понимаю. Но тут уж по ситуации решать надо, imho...
Грамотно проработанная Модель может обелить те места, которые не покрыты базовыми или расширенными требованиями вообще, но в нейтрализации/защите нуждаются. Или наоборот обосновать "компенсирующие меры" (отказ от части требований) и, следовательно, отказ от внедрения лишних СЗИ, что ощутимо снижает стоимость работ/закупки и, главное, сложность внедрения и последующей эксплуатации. Если Заказчик адекватен, этого аргумента для него должно хватить. А если неадекватен, то, как показывает практика, неадекватен во всем (читай, и без Модели будет геморрой по согласованию и выполнению любых работ)...
Встречный вопрос: 300+к - это ценник для простого объекта, где с УБИ и нарушителями и без моделирования все понятно (читай, минимум аналитики, максимум описаловки)? Тащем-то и у меня бы при таком раскладе возник закономерный вопрос, ага...

Автор: WORM, MK | 109496 30.08.2021 11:17
to serkira

Фраза "Если Заказчик задает некорректные вопросы" мне очень понравилась.
Какой вопрос корректен, а какой нет - решает ОА?

to oko

Ценник из коммерческих предложений на простенький объект (ЦФО). Далее, как правило, цену снижают. Но вот по новой методике (где можно написать 100500 сценариев, тактик и техник) почему бы и пол-лимона на запросить? Сделать МУ с нуля, без рыбы, пока тяжко...

Автор: Денис | 109497 31.08.2021 13:43
Спасибо коллеги за развернутые ответы (мнения)!

Автор: Денис | 109499 01.09.2021 21:49
Коллеги, добрый день.

Есть ли у кого подписанная версия 77 приказа в формате ворд?

А также, кто-то уже общался со ФСТЭК по поводу отправки документов им в эл.виде? Неужели по открытым каналам все пойдет

Автор: Мальвина | 109501 02.09.2021 17:28
Общалась, по открытым нет, отправлять ГФС или СС.

Страницы: < 1 2 3 4 5 6 7 8 9 10 >

Просмотров темы: 16229

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*