И где «логико-графико-схематическое представление взаимодействия сетевых устройств и их связи, которое описывает их наиболее значимые параметры и свойства»?
К доказательству права собственности я бы добавил ввод в штат двух-трех человек, которые будут обеспечивать документирование жизненного цикла коммерческой тайны, журналы там вести, пользователей по рукам бить, через себя пропускать всю КТ…
Полноценное обеспечение режима КТ — сферический конь в вакууме. Особенно с учетом высокого уровня бюрократии и соотношения количества начальников к подчиненным в пропорции 5:1.
Тут с процессов надо начинать, а не прикладывать синюю изоленту на трещину в плотине.
конфиден-циальный, законодатель-ного, по-мощь.
Вам за каждый символ платят? на определенную дефиницу души
Это что за единица измерения?
«Из приведенного формата перечня документов следует, что совокупности образований, являются применительными в организации, с действующими режимами конфиденциальности организации.»
Чё?
Ну и главный вопрос, ответ на который я хотел найти: как документацией управлять? Вот есть пункт инструкции. В случае выявления нарушения я запускаю определенный сценарий (шаблон письма, вызов на ковер, заявка в ИТ на устранение проблемы и т.д.). Пункт этой инструкции следует из аналогичного положения Стандарта. Так вот, как меняя пункты в одном документе, получать обновления в другом и еще и коллизии искать, если такие возникают?
А как же классика: «40000 обезьян в рот засунули банан?»
Делал лабораторные по взлому, пароли а-ля «admin-123» при наличии SAM взламывались в пару минут, а вот в боевых условиях, когда потребовалось узнать забытый пароль родственницы, состоящий только из русских букв и нескольких цифр, программа трудилась часов 12. Безрезультатно.
ИМХО, безопасный пароль — это веселое словосочетание и пара цифр. + замена раз в 2 месяца.
Принято решение о предстоящем исключении недействующего ЮЛ из ЕГРЮЛ 10.06.2020
Потом вы скажете, что вас взломали и всё поломали, поэтому налоговой ничего не должны? И злобные хакеры уничтожили ваши деньги?
Да и сертификат странноват:
[+] notBefore: Aug 3 16:29:12 2020 GMT
[+] notAfter: Nov 1 16:29:12 2020 GMT
Хорошее ПО, полезное, много отчетов, его не видно. Ну, у нас его еще никто не находил :)
А вот фалконгейз и спланк палятся на раз. Первый по процессам определяется (Falcongaze SecureTower EPA) пользователем, второй вообще создает в Program Files директорию SplunkUniversalForwarder… Отчеты с него мне так и не удалось пока посмотреть.
Лерка ни чё такая, а Алина владеет слепым методом набора телефонных номеров?
Значок «Зато не скучно» — это про зарплату, как в анекдоте?
— Бабуля, а пирожки свежие?
— Зато горячие.
Так вот, по зарплате и сколько и какие компетенции нужны?
Жива еще тема? Два года прошло, как я через МФЦ зарегистрировался по новому адресу. Захожу в Гос.услуги и тык такой в адрес доставки корреспонденции, а там мой предыдущий адрес. Вот про какую единую точку входа можно говорить?
ГОСТ Р 57580.1-2017 введен 01.01.2018, ГОСТ 57580.2 — 01.09.2018 года. Вы только сейчас на их основе запилили проект?
Далее, процесс оценки по этому ГОСТу охватывает все информационные системы на всех этапах жизненного цикла (о, отлично!), но не требует 100% соответствия: допускается отклонение в 14,99%.
В случае утечки 60 млн. записей из Сбербанка был нарушен пункт Б18 «Отсутствие гарантированного стирания информации конфиденциального характера с машинного носителя». Сотрудники безопасности Сбербанка утверждают, что база была снята с жесткого диска компьютера, выведенного из работы. Вот вам 1 допустимый инцидент с офигеть какими последствиями.
С другой стороны, при оценке всех 8 процессов и выявлении 4 действительных инцидентов итоговая оценка R принимает значение 0,85 (уровень: соответствует). А т.к. инцидентов точно больше, то в отчетном периоде единственный вариант соответствия – это сокрытие инцидентов. Таким образом, там, где показатели эффективности руководства зависят от статистики, эту статистику будут скрывать, что негативно отразится на реальной оценке ситуации.
Кроме того, критерии оценивают количество инцидентов, а не размер убытков. Из этого следует, что защищать данные следует по какой-то иной методике, например, по иностранным стандартам, основанным на многолетнем опыте.
В качестве бумажной безопасности ваш проект зайдет, в качестве действительно эффективного инструмента — нет.
Полноценное обеспечение режима КТ — сферический конь в вакууме. Особенно с учетом высокого уровня бюрократии и соотношения количества начальников к подчиненным в пропорции 5:1.
Тут с процессов надо начинать, а не прикладывать синюю изоленту на трещину в плотине.
Вам за каждый символ платят?
на определенную дефиницу души
Это что за единица измерения?
«Из приведенного формата перечня документов следует, что совокупности образований, являются применительными в организации, с действующими режимами конфиденциальности организации.»
Чё?
Ну и главный вопрос, ответ на который я хотел найти: как документацией управлять? Вот есть пункт инструкции. В случае выявления нарушения я запускаю определенный сценарий (шаблон письма, вызов на ковер, заявка в ИТ на устранение проблемы и т.д.). Пункт этой инструкции следует из аналогичного положения Стандарта. Так вот, как меняя пункты в одном документе, получать обновления в другом и еще и коллизии искать, если такие возникают?
Делал лабораторные по взлому, пароли а-ля «admin-123» при наличии SAM взламывались в пару минут, а вот в боевых условиях, когда потребовалось узнать забытый пароль родственницы, состоящий только из русских букв и нескольких цифр, программа трудилась часов 12. Безрезультатно.
ИМХО, безопасный пароль — это веселое словосочетание и пара цифр. + замена раз в 2 месяца.
Потом вы скажете, что вас взломали и всё поломали, поэтому налоговой ничего не должны? И злобные хакеры уничтожили ваши деньги?
Да и сертификат странноват:
[+] notBefore: Aug 3 16:29:12 2020 GMT
[+] notAfter: Nov 1 16:29:12 2020 GMT
А вот фалконгейз и спланк палятся на раз. Первый по процессам определяется (Falcongaze SecureTower EPA) пользователем, второй вообще создает в Program Files директорию SplunkUniversalForwarder… Отчеты с него мне так и не удалось пока посмотреть.
Значок «Зато не скучно» — это про зарплату, как в анекдоте?
— Бабуля, а пирожки свежие?
— Зато горячие.
Так вот, по зарплате и сколько и какие компетенции нужны?
УЯКУЭК валяется, вся польза — номер полиса.Далее, процесс оценки по этому ГОСТу охватывает все информационные системы на всех этапах жизненного цикла (о, отлично!), но не требует 100% соответствия: допускается отклонение в 14,99%.
В случае утечки 60 млн. записей из Сбербанка был нарушен пункт Б18 «Отсутствие гарантированного стирания информации конфиденциального характера с машинного носителя». Сотрудники безопасности Сбербанка утверждают, что база была снята с жесткого диска компьютера, выведенного из работы. Вот вам 1 допустимый инцидент с офигеть какими последствиями.
С другой стороны, при оценке всех 8 процессов и выявлении 4 действительных инцидентов итоговая оценка R принимает значение 0,85 (уровень: соответствует). А т.к. инцидентов точно больше, то в отчетном периоде единственный вариант соответствия – это сокрытие инцидентов. Таким образом, там, где показатели эффективности руководства зависят от статистики, эту статистику будут скрывать, что негативно отразится на реальной оценке ситуации.
Кроме того, критерии оценивают количество инцидентов, а не размер убытков. Из этого следует, что защищать данные следует по какой-то иной методике, например, по иностранным стандартам, основанным на многолетнем опыте.
В качестве бумажной безопасности ваш проект зайдет, в качестве действительно эффективного инструмента — нет.
Можно подробнее?