В прошлом году пересел с машины и общественного транспорта на электровелосипед, дело было в конце августа и до конца сезона накатал тысячи 3 км. ни разу не потел, в пробках не стоял, Электровелосипед брал складной и двухподвес, а то у нас проблемы в Москве с дорогами трясет очень на скорости. От окраины до центра около 30 минут, занимает в независимости от пробок.
Хорошее решение конечно у стоунсофта, но когда же вы получите сертификат ФСБ на обычный туннель, а не только на SSL. а то приходиться ставить CISCO с C-Tеррой.
Пользуюсь первым, были косяки с прошивкой, часто падал. Сейчас вроде исправили. Пока не нашел для себя причин менять первый на второй, все стало ЧУТЬ-ЧУТЬ лучше, не более.
Так и есть, вопрос что является доказательством что исполнитель в компании операторе является экспертом и обладает всей необходимой документацией и знаниями.
По поводу формулы я привел пример, что оператор может строить систему защиты как хочет, но должен обосновать. В большинство компаний проводивших работы самостоятельно, как раз с обоснованием очень тяжко, так как разная методика защиты: минимизация и предотвращение рисков.
Сразу видно, когда и кто делал модель угроз. И какие документы кто делал, если компания сама делала, то ей и задают вопросы.
Конечно на свое усмотрение, только не просто так а на основании.
У регулятора не идиоты сидят. Они просто ограниченны в своих действиях, чиновники однако, да же если захотят нормально сделать, то фик кто даст.
Я об этом и говорил, почему вы решили, что вашей системе достаточно именно 6 символов или 7 или 9 (на самом деле есть формула которая и является обоснованием)? Это один из маленьких примеров при прохождении проверки в отношении документов сделанными собственными силами, невозможность обосновать.
Поделитесь мыслями, сотрудникам, хорошо.
У вас произошёл инцидент, к примеру, пользователь слил базу данных сделок (пользователь легитимный, просто не туда отдал). Вам его надо наказать, в рамках хотя бы увольнения, для этого собственно говоря и готовиться доказательная база. Без нее он вас пошлет а потом через суд восстановиться если уволят.
Про пароль просто пример из жизни. Когда регулятор спрашивает, почему вы считаете что указанной длинны пароля достаточно, необходимо обосновать почему, большинство толком не может (обоснования он сложный сам по себе недостаточно).
Вы когда строите реальную безопасность, вы руководствуетесь принципом минимизации рисков. Российские стандарты требуют нейтрализации рисков, как говориться « почувствуй разницу». И документы под это готовят. Когда начинают выполнять требования по 152 ФЗ силами собственных инженеров, существующий опыт не подходит, разные принципы в подходах. Поэтому ваша инструкция с точки зрения логики не плоха, но с точки зрения регулятора ее нет.
А инструкции, пользователи не читают их, а в большинстве случаев и не выполняют. Можете сходить к своему генеральному, ведущему менеджеру, главбуху, и тд. и попросить его рассказать, что написано в вашей инструкции, боюсь вероятен ваш посыл в пешие путешествия. А там где есть исключения, там есть и высокие риски.
Так что эта инструкция прикрытие вашей собственный попы как ответственного за ИБ.
Когда реализуется ИБ, стоит уделить очень пристальное внимание создание доказательной базы. Как пример защита от вирусных угроз: простой вопрос, почему вы решили, что антивирус от чего то вас защищает, совсем не защищает, вы лицензионное соглашение прочитайте и там увидите, что вам никто и не говорит, что это должно работать, а остальное маркетинг.
Эти инструкции написаны для регулятора, вы реальную безопасность в проекте строили, или выполняли требования? Если требования то и стиль изложения, и сам документ не предназначены для вашего бизнеса.
Особенно мне нравятся заявления, я сделал лучше, (документ покажите что ли) а на простой вопрос почему вы решили что 6 знаков длины пароля для вашей системы достаточно, обосновать в соответствии с требованиями Российских регуляторов (не надо путать со здравым смыслом) не могут.
Так же регулятора интересует основания, почему документ написано именно так, почему вы решили, что он сделал правильно и он требует документарного подтверждения этих знаний?
Сертифицированное ПО имеет хоть какую то бумажку. В бумажке подтверждается функционал, реализующий такие то механизмы защиты.
Будь Вася поумней, он бы спросил, почему решили что это он. А давайте ка посмотрим, что вам гарантировал производитель ПО, откроем лицензионное соглашение. А там кроме того что ПО займет место на жёстком диске никакой функционал не подтверждается и производитель вообще не говорил что это будет работать. С чего вы решили, что он логи собирает мои?
У нас государство верит только бумагам, если бумаги нет то и нарушения нет.
Для создания доказательной базы сертификация очень полезна.
Пытался сейчас получить информацию по замене устройства, с удивлением узнал, что я не могу его бесплатно поменять, надо покупать новое. И каким способом, собственно говоря я должен остаются вашим клиентом если мне нужно через 9 месяцев покупать устройство заново. Никаких извещений о необходимости подачи заявки до 9 числа не приходило. Придется уходить на мегафон, ваш подход совсем не дружественный.
Принадлежит работодателю, только если есть такое задание, либо прописано в трудовом договоре. Если уборщица в рабочее время будет писать код на компьютере работодателя, то этот код будет принадлежать уборщице.
Вы бы в заголовке уточнили бы, что защита виртуальной среды при обработке ПДн. Реальная защита и защита по требованиям регулятора это разные работы и преследуют разные цели.
Конечно на свое усмотрение, только не просто так а на основании.
У регулятора не идиоты сидят. Они просто ограниченны в своих действиях, чиновники однако, да же если захотят нормально сделать, то фик кто даст.
Поделитесь мыслями, сотрудникам, хорошо.
У вас произошёл инцидент, к примеру, пользователь слил базу данных сделок (пользователь легитимный, просто не туда отдал). Вам его надо наказать, в рамках хотя бы увольнения, для этого собственно говоря и готовиться доказательная база. Без нее он вас пошлет а потом через суд восстановиться если уволят.
Вы когда строите реальную безопасность, вы руководствуетесь принципом минимизации рисков. Российские стандарты требуют нейтрализации рисков, как говориться « почувствуй разницу». И документы под это готовят. Когда начинают выполнять требования по 152 ФЗ силами собственных инженеров, существующий опыт не подходит, разные принципы в подходах. Поэтому ваша инструкция с точки зрения логики не плоха, но с точки зрения регулятора ее нет.
А инструкции, пользователи не читают их, а в большинстве случаев и не выполняют. Можете сходить к своему генеральному, ведущему менеджеру, главбуху, и тд. и попросить его рассказать, что написано в вашей инструкции, боюсь вероятен ваш посыл в пешие путешествия. А там где есть исключения, там есть и высокие риски.
Так что эта инструкция прикрытие вашей собственный попы как ответственного за ИБ.
Когда реализуется ИБ, стоит уделить очень пристальное внимание создание доказательной базы. Как пример защита от вирусных угроз: простой вопрос, почему вы решили, что антивирус от чего то вас защищает, совсем не защищает, вы лицензионное соглашение прочитайте и там увидите, что вам никто и не говорит, что это должно работать, а остальное маркетинг.
Особенно мне нравятся заявления, я сделал лучше, (документ покажите что ли) а на простой вопрос почему вы решили что 6 знаков длины пароля для вашей системы достаточно, обосновать в соответствии с требованиями Российских регуляторов (не надо путать со здравым смыслом) не могут.
Так же регулятора интересует основания, почему документ написано именно так, почему вы решили, что он сделал правильно и он требует документарного подтверждения этих знаний?
Будь Вася поумней, он бы спросил, почему решили что это он. А давайте ка посмотрим, что вам гарантировал производитель ПО, откроем лицензионное соглашение. А там кроме того что ПО займет место на жёстком диске никакой функционал не подтверждается и производитель вообще не говорил что это будет работать. С чего вы решили, что он логи собирает мои?
У нас государство верит только бумагам, если бумаги нет то и нарушения нет.
Для создания доказательной базы сертификация очень полезна.