Главная » Блоги Экспертов И ИТ-Компаний » Сергей Борисов » Безопасность: Администратору
Последние публикации и комментарии Сергей Борисов
СЗПДн. Вопросы и ответы. Вопросы применения СКЗИ для защиты ПДн

По информации блога http://sborisov.blogspot.ru/ В конце прошлого года у меня подобралось несколько вопросов в рамках защиты ПДн, по которым не было однозначного ответа. При этом ряд знакомых экспертов (Артем Агеев, Николай Домуховский и д.р.) советовали не заниматься публичными рассуждениями, а писать письма регуляторам.   Письма были написаны, давайте посмотрим что получилось с вопросами к ФСБ России:   Вопрос 1. На основании чего (какого мероприятия, документа) Оператор персональных данных должен определять необходимость использования СКЗИ или отсутствие необходимости использования СКЗИ для…

(подробнее...)
СЗПДн. Вопросы и ответы. Выбор мер обеспечения безопасности ПДн и проблема СЗИ

По информации блога http://sborisov.blogspot.ru/ В конце прошлого года у меня подобралось несколько вопросов в рамках защиты ПДн, по которым не было однозначного ответа. При этом ряд знакомых экспертов (Артем Агеев, Николай Домуховский и д.р.) советовали не заниматься публичными рассуждениями, а писать письма регуляторам.   Письма были написаны, давайте посмотрим что получилось с вопросами к ФСТЭК России:   Вопрос 1. Возможно ли при выборе мер обеспечения безопасности ПДн в ИСПДн исключать меры защиты из базового набора, на том основании, что связанные с данной мерой угрозы безопасности ПДн –…

(подробнее...)
СОИБ. Внедрение. Настройка web application firewall, часть 2

По информации блога http://sborisov.blogspot.ru/   Продолжаем предыдущую статью и настраиваем некий обобщенный WAF: ·        настраиваем политики безопасности: o   для определенных ранее объектов защиты назначаем политику сетевой безопасности (открыты порты только связанные с web приложением, из подсети управления разрешен так-же трафик для сервисов управления) o   для каждого web сервиса настраиваем политики защиты web сервиса (могут быть разрешены нестандартные HTTP запросы, такие как HEAD,  могут быть разрешены SQL команды и т.п.), включаем группы сигнатур и  выбираем реакцию на основные типы…

(подробнее...)
СОИБ. Внедрение. Настройка Web Application Firewall, часть 1

По информации блога http://sborisov.blogspot.ru/   Некоторые тестеры-разоблачители WAF, считают что достаточно поставить коробочку / подключить сервис и всё - можно проводить свои изощренные эксперименты, выдавать разоблачительные статьи и разрабатывать на коленке собственные спасительные утилиты.   Моё мнение - WAF отлично справляется со своей задачей и нужно просто правильно его "готовить".   Посмотрим какие настройки должны выполняться на WAF в реальных проектах (не считая инициализации, базовых и сетевых настроек, подключения онлайн-сервисов)  и разберем подробно для чего эти настройки нужны:…

(подробнее...)
СОИБ. Анализ. Пентест н-надо?

По информации блога http://sborisov.blogspot.ru/ В последние 3 месяца мы наблюдаем растянутую во времени публичную дискуссию про пентесты. Вот эта история:   1. Очередной виток начал известный блогер, рассказав как одна компания-пентестер обманула ввела в заблуждение заказчика, а именно: был проведен пентест, который показал, что система защищена, а через неделю после окончания работ в системе была обнаружена критическая уязвимость, посредством которой она была вероятно взломана.   В результате были подняты вопросы: ·        А нужен ли пентест вообще на таких условиях? Он не гарантирует что отсутствуют…

(подробнее...)
СЗПДн. Анализ. Выбор мер защиты

По информации блога http://sborisov.blogspot.ru/ Последний год в комментариях про последние документы ФСТЭК: приказы №17, 21, 31 регулярно встречаю фразы про невиданный ранее прорыв в требованиях регуляторв, про полную свободу выбора мер защиты Заказчиком. У Алексея Лукацкого так про это каждая заметка с тегом: ФСТЭК.   Соглашусь с тем что есть прорыв – появился типовой каталог мер, сами меры сформулированы достаточно гибко, что позволяет при их реализации использовать почти всё что угодно. Но есть в документах ФСТЭК и моменты определенные достаточно жестко и не подразумевающие двойного толкования.…

(подробнее...)
СОИБ. Анализ. Аттестация и проверка СЗИ

По информации блога http://sborisov.blogspot.ru/   Сразу хочу отметить, что не являюсь сторонником аттестации ИС, не относящихся к гостайне, ведь те же самые работы можно выполнить под флагом аудита или оценки соответствия, с лучшим КПД. Но иногда Заказчики просят аттестацию, так что случается участвовать. Ликбез из ГОСТ РО 0043-003-2012 Давайте посмотрим что может привести владельца ИС, не относящейся к гостайне, на эту темную сторону. Аттестация по требованиям ИБ обязательна для обеспечения ИБ в (возможно приведены не все варианты, дополняйте): ·        ГИС Приказ ФСТЭК №17: “13. Для обеспечения…

(подробнее...)
СЗПДн. Анализ. Определение нарушителя для СКЗИ

В связи с выходом приказа ФСБ России по защите ПДн, а так-же в связи со сложностями реализации СКЗИ высоких классов криптографической защиты есть несколько мыслей…   Посмотрим какой порядок действий требуется в части СКЗИ: Приказ ФСБ Р №378: “5. В соответствии с пунктом 13 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. N11191 (далее - Требования к защите персональных данных), для обеспечения 4 уровня защищенности персональных данных при их обработке в информационных…

(подробнее...)
СОИБ. Анализ. Рекомендации по жизненному циклу приложений, тестированию и каталог уязвимостей

По информации блога http://sborisov.blogspot.ru/ 31 июля 2014 г. Банк России опубликовал документ «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Обеспечение информационной безопасности на стадиях жизненного цикла автоматизированных банковских систем» (РС БР ИББС-2.6-2014)», который вводится в действие с 1 сентября 2014 г. Не часто нас балуют рекомендациями по ИБ подобного типа, поэтому давайте его рассмотрим подробнее.   Есть основной стандарт СТО БР ИББС-1.0-2014, в котором есть раздел требований “7.3. Общие требования по обеспечению информационной…

(подробнее...)
СОИБ. Проектирование. Дизайн защищенных КСПД

По информации блога http://sborisov.blogspot.ru/   Достаточно часто приходится проектировать защищенные КСПД или их сегменты. При этом стараюсь придерживаться лучших практик, таких как Cisco SAFE и т.п. (подборка у меня в блоге)   Как правило в них используются либо межсетевые экраны с функциями VPN либо маршрутизаторы с функциями VPN либо универсальные шлюзы безопасности с функциями VPN.  Но в российских реалиях эти практики приходится адаптировать. У нас два регулятора ФСТЭК и ФСБ со своими требованиями. Выполнить их в одном устройстве очень проблематично, о чем я уже писал в одной из предыдущих…

(подробнее...)
11–20 из 86
RU, Краснодар
https://sborisov.blogspot.com/, https://www.ussc.ru/
Информационные технологии



Забыл пароль?
Авторизоваться через
Зарегистрируйся сейчас!
Присоединяйся к нашему обществу для того чтобы познакомиться с новыми людьми, создать собственный блог, публиковать анонсы событий и объявления, а также участвовать в обсуждении публикаций CNews. Мы создали единое пространство для общения специалистов рынка информационных технологий и всех, кто интересуется современными технологиями. Регистрация =>