Когда есть альбом из тысяч памятных фоток, то рядовой гражданин не будет с лупой лазить по каждой, а будет пересматривать фотки в целом, воспринимая центральный объект на фото целиком. Если объект узнаваем и красив, то все в порядке.
Вот если центральный объект при взгляде выглядит сразу неудачно, то тут повод взять зеркалку.
Например летом в солнечные погоды сразу бросаются в глаза выбитое небо, засветы лица на портретах из за низкого дин. диапазона камеры смарта. Из зеркалки все это легко вытягивается.
Для пасмурной погоды и помещений особой разницы без лупы невидно.
Человек из статьи утверждал что данные реальные, проверял по совпадению с реальными документами, так что врятли подсунули поддельные данные. Да можно было бы «разбавить» реальными данными, но в данном случае это было бы нарушение 152 фз, безопасник если не дурак на такое не пойдёт.
2. Все эти замечательные примеры как интеграторы делали крутой мониторинг, который пишет все-все, натыкаются на человеческий фактор. Мало иметь мониторинг, надо чтобы этот мониторинг кто-то — регулярно- смотрел и главное понимал что он видит. Надо нанимать\воспитывать\учить таких людей и платить им хорошие деньги.
В данном случае скорее всего некая фирма выполнила проект (сайт) и отгрузила его заказчику. А у заказчика есть только эникей Вася, который и швец и жнец и на дуде игрец.
Это не МЭ в традиционном понимании, а диод данных — однонаправленный шлюз..На самом деле неплохая вещь. Непробиваемость на эксфильтрацию данных на уровне физики.
Ок. Теперь вопрос на злобу дня. (Характерный впрочем для всех серт. Сзи).
Как будете на продукт обновы накатывать закрывающие критические дыры? От spetre и meltdown запатчились? Или теперь ещё год ждать пока лаборатория не проверит, а есть ли там НДВ в заплатках?
Возможно первоначальный доступ был получен через некую точку сопряжения с интернет, а не локальным взломом через сеть. Не знаю как в компаниях США, а у нас требования передавать информацию о продажах через интернет онлайн в налоговую закрепили на законодательном уровне.
Если раньше надо было взломать АРМ КБР и незаметно подменить реквизиты в файле перед подписью, то теперь надо взламывать АБС, чтобы подменить там перед подписью.
Больше напоминает перераспределение отвественности. АБС это точно вотчина банка, а АРМ КБР-Н, это просто транспорт который и ломать теперь смысла особого нет.
Ну и взлом АБС требует болеет высокой квалификации хакера, особенно если все операции подписи будут производиться на лету внутренней логикой системы. Это не файлик на диске поправить.
На мой взгляд сканирование на уязвимости можно рассматривать как часть аудита безопасности. Например, у нас есть описанный процесс обновлений или парольных политик. При аудите соблюдения процессов применяется и автоматизированное сканирование.
Пентест, это имитация со стороны потенциального нарушителя. Причём в чистом виде, задача начинается с чёрного ящика. Вот название компании, проводите разведку и ломайте.
Задача пентеста в том числе проверить реакцию и эффективность службы ИБ. Поэтому пентесты лучше заказывать вышестоящему ТОП-куратору ИБ, в тайне от основных ИТ и ИБ служб.
Интересен ваш опыт по Incident Response с точки зрения людей.
Насколько я помню по прошлым публикациям у вас есть 2 линии обработки инцидентов. Первая линия «массовка» обрабатывает «типовые» сценарии. Вторая «тру-антихакеров» подключается в сложных случаях.
Как обучаете 1-ю линию? Проводите ли «Курс молодого бойца» по разбору инцидентов? Есть ли инструкции на каждый типовой инцидент (при бруте делай то, смотри туда)?
А 2 линия «тру-антихакеры» у вас свободные художники которые разбирают APT стоящие вне типовых задач? Какие критерии подключения к делу (порог критичности инцидента) этих более опытных товарищей?
См. Выше.
В рассылках фстэк ссылается на фз184. К сожалению рассылка не касалась прямо 21 приказа, а 31.
Однако и 21 и 31 написанные одинаково по части слов " оценка соответствия"
Если вы оказываете услугу, то у вас все должно быть и по документам идеально. За это клиент платит деньги. Странно видеть у Вас неуверенность и слово «теоретически пойдёт и так».
Обратимся к фз152 ст.19.п.2.6
«Безопасность ПДн обеспечивается применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации»
Все точка.
Что подразумевал ФСТЭК вводя слово «в случае» я уже выше расписал. У фстэк нет полномочий переписывать федеральные законы а они этого и не делали.
2. По поводу пресловутой оценки соответствия.
184-ФЗ «О техническом регулировании» говорит нам о следующих оценках соотвествия — обязательная сертификация, добровольная сертификация, декларирование соответствия), приемка и ввод в эксплуатацию, иные формы)… О этом же упоминает фстэк в некоторых своих рассылках.
Если честно, рассчитывал увидеть у Вас проработанный со фстэк, вариант «приемка и ввод в эксплуатацию» Это был бы прекрасный прецедент и пример для многих компаний с 3 УЗ. Увы не увидел.
Вообще 378 приказ фсб ясно говорит, что если есть ПДн, то пожалуйста применяйте СКЗИ конкретного класса. КС1, КС2 и т.д
Классы вы сами не можете назначать, это уполномоченного делать только ФСБ в форме обязательной сертификации. Крипта у нас жестко зарегулированна. Так что ваш сегмент «Защищенный» для ИСПДн не легитимен.
Для Коммерции пожалуйста.
**Во-первых, согласно ФЗ «О техническом регулировании» подтверждение соответствия может проводиться не только в форме сертификации**
Вот и спрашиваю по какой форме у Вас сделано и оформленно.
**Приказа ФСТЭК 21 указано… применение средств… в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных***
Это вообще к вопросу не относится, это про модель угроз и СЗИ вообще. Актуальны атаки из Интернета, ставим МЭ, у нас автономка и угроза не актуальна, не ставим МЭ.
п.4 Меры по обеспечению безопасности персональных данных реализуются в том числе
посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия.
Как оформляете этот пункт для УЗ3 21 приказа, если не применяете сертифицированные СЗИ?
Вот если центральный объект при взгляде выглядит сразу неудачно, то тут повод взять зеркалку.
Например летом в солнечные погоды сразу бросаются в глаза выбитое небо, засветы лица на портретах из за низкого дин. диапазона камеры смарта. Из зеркалки все это легко вытягивается.
Для пасмурной погоды и помещений особой разницы без лупы невидно.
2. Все эти замечательные примеры как интеграторы делали крутой мониторинг, который пишет все-все, натыкаются на человеческий фактор. Мало иметь мониторинг, надо чтобы этот мониторинг кто-то — регулярно- смотрел и главное понимал что он видит. Надо нанимать\воспитывать\учить таких людей и платить им хорошие деньги.
В данном случае скорее всего некая фирма выполнила проект (сайт) и отгрузила его заказчику. А у заказчика есть только эникей Вася, который и швец и жнец и на дуде игрец.
Как будете на продукт обновы накатывать закрывающие критические дыры? От spetre и meltdown запатчились? Или теперь ещё год ждать пока лаборатория не проверит, а есть ли там НДВ в заплатках?
Больше напоминает перераспределение отвественности. АБС это точно вотчина банка, а АРМ КБР-Н, это просто транспорт который и ломать теперь смысла особого нет.
Ну и взлом АБС требует болеет высокой квалификации хакера, особенно если все операции подписи будут производиться на лету внутренней логикой системы. Это не файлик на диске поправить.
Пентест, это имитация со стороны потенциального нарушителя. Причём в чистом виде, задача начинается с чёрного ящика. Вот название компании, проводите разведку и ломайте.
Задача пентеста в том числе проверить реакцию и эффективность службы ИБ. Поэтому пентесты лучше заказывать вышестоящему ТОП-куратору ИБ, в тайне от основных ИТ и ИБ служб.
Насколько я помню по прошлым публикациям у вас есть 2 линии обработки инцидентов. Первая линия «массовка» обрабатывает «типовые» сценарии. Вторая «тру-антихакеров» подключается в сложных случаях.
Как обучаете 1-ю линию? Проводите ли «Курс молодого бойца» по разбору инцидентов? Есть ли инструкции на каждый типовой инцидент (при бруте делай то, смотри туда)?
А 2 линия «тру-антихакеры» у вас свободные художники которые разбирают APT стоящие вне типовых задач? Какие критерии подключения к делу (порог критичности инцидента) этих более опытных товарищей?
В рассылках фстэк ссылается на фз184. К сожалению рассылка не касалась прямо 21 приказа, а 31.
Однако и 21 и 31 написанные одинаково по части слов " оценка соответствия"
Обратимся к фз152 ст.19.п.2.6
«Безопасность ПДн обеспечивается применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации»
Все точка.
Что подразумевал ФСТЭК вводя слово «в случае» я уже выше расписал. У фстэк нет полномочий переписывать федеральные законы а они этого и не делали.
2. По поводу пресловутой оценки соответствия.
184-ФЗ «О техническом регулировании» говорит нам о следующих оценках соотвествия — обязательная сертификация, добровольная сертификация, декларирование соответствия), приемка и ввод в эксплуатацию, иные формы)… О этом же упоминает фстэк в некоторых своих рассылках.
Если честно, рассчитывал увидеть у Вас проработанный со фстэк, вариант «приемка и ввод в эксплуатацию» Это был бы прекрасный прецедент и пример для многих компаний с 3 УЗ. Увы не увидел.
Классы вы сами не можете назначать, это уполномоченного делать только ФСБ в форме обязательной сертификации. Крипта у нас жестко зарегулированна. Так что ваш сегмент «Защищенный» для ИСПДн не легитимен.
Для Коммерции пожалуйста.
Вот и спрашиваю по какой форме у Вас сделано и оформленно.
**Приказа ФСТЭК 21 указано… применение средств… в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных***
Это вообще к вопросу не относится, это про модель угроз и СЗИ вообще. Актуальны атаки из Интернета, ставим МЭ, у нас автономка и угроза не актуальна, не ставим МЭ.
посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия.
Как оформляете этот пункт для УЗ3 21 приказа, если не применяете сертифицированные СЗИ?