GavriKos, вопрос не в хотении, а в необходимости. Бытовые коптеры тоже денег стоит. Просто, насколько я понял по ответу, опыт их управления не особо помогает в профессиональной технике. Но могу заблуждаться.
GavriKos, в потенциале да, перейти в эту сферу. Просто сложно понять порядок действий -- навостриться с бытовой техникой или сразу на сертификацию на серьёзную
Я понимаю. И у нашего админа принципиально не стоят антивирусы на домашних компах. Но я не обладаю профильными скиллами, поэтому хочу на уровне ламера получить более-менее крепкую защиту. По-крайней мере, верить хотя бы в то, что она у меня есть.
Дядька Серёжа, мне кажется, я нашёл как обосновать удешевление защиты.
Приказ №21 от 18.02.2013 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".
п. 10 "При невозможности технической реализации отдельных выбранных мер по обеспечению безопасности персональных данных, а также с учетом экономической целесообразности на этапах адаптации базового набора мер и (или) уточнения адаптированного базового набора мер могут разрабатываться иные (компенсирующие) меры, направленные на нейтрализацию актуальных угроз безопасности персональных данных.
В этом случае в ходе разработки системы защиты персональных данных должно быть проведено обоснование применения компенсирующих мер для обеспечения безопасности персональных данных".
Мне тоже кажется, что достаточно следить за лицензионной гигиеной. Отпинаться в положении по персональным, что всё официально, есть антивирусы и права доступа. Но смущает отсутствие подтверждения. Это где-то прописано как вариант? Или исходя из личного опыта прохождения проверок?
вы не устанавливаете софт разработанный правительством другой страны
Валентин, нашёл документ "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей" (введен Приказом Гостехкомиссии РФ от 04.06.1999 N 114)
(с изм. от 11.08.2020). Там устанавливаются уровни контроля недекларированных возможностей. Как раз то, что обсуждается в типах угроз в постановлении 1119.
Приказ утратил силу, но там была ссылка на приказ ФСТЭК. Актуальный сейчас -- "Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий (выписка)"
(утв. приказом ФСТЭК России от 02.06.2020 N 76). Устанавливаются уровни доверия. И оговаривается необходимость проведения испытаний по выявлению недекларированных возможностей.
Судя по беглому поиску в сети, можно купить ту же винду с сертификатом. Цены похожи на обычные. Не очень пока понятно можно ли самому эти испытания провести, описав всю процедуру и заблокировав возможность неконтролируемых изменений.
Валентин, процедуры я нашёл. Как и порядок проведения. Их регулируют несколько документов. К примеру, порядок проведения классификации систем персональных данных. Но проблема в том, что они оперируют другими понятиями. Класс систем, уровень угроз, категории данных и прочее. А постановление привязывается к термину "тип угроз" с совершенно другим смыслом. В связи с этим и вопрос возник. Как его определять, если нормативка и рекомендации привязаны к другим сущностям. Пока я понимаю, что эти требования применяются параллельно. Но если для классификации ИСПДн прописана процедура вплоть до формул, то про тип угроз я ничего не нахожу.
Типы угроз
Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.
Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.
Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе
К сожалению, там нет никакой связи с вышеупомянутыми типами, на основании которых нужно определять уровень безопасности. Как и ни слова про снижение угрозы сертификацией ПО. Создаётся впечатление, что это параллельные друг другу документы для разных задач.
То есть роутер как репитер? По сути внешний усиленный wi-fi адаптер? Я думал об этом, просто не уверен, что у обычного роутера достаточно сильная антенна на приём. Так-то да, можно просто из дома взять.
Проблема в том, что мне неизвестно, что там за техника и дадут ли мне доступ. Нужно ехать с заранее купленным оборудованием. Если не получится с антенной на передачу (не смогу сделать, к примеру), или роутер намертво прибит к стене у розетки, то останусь без интернета.
Отправил все возможные варианты. Алиасы и точка/дефис приходят на меня же (в том числе независимо от регистра). Тире, среднее тире, минус не доходят и возвращает ошибку "неверный формат данных". Так и не удалось отправить письмо куда-то на сторону.
Надоело разбираться с этой чертовщиной. Решил просто уйти с Яндекса. Обидно, лет 15 ящику. Наверное, даже не на другой сервис, а свой домен. Там уж точно такой проблемы не должно быть. Хотя возникают вопросы с безопасностью, которую уже не будут инженеры Яндекса решать. Хотя... те же хостеры предоставляют услуги почтовых хостингов со всякими иксченджами.
P. S. За ссылку на RFC спасибо. Лишний раз убедился, что жизнь гораздо сложнее и богаче, чем 100 % покрытие тестами. И невозможно возможно)
К сожалению, электронная почта по факту стандарт. Нет такого же всепроникающего и удобного инструмента. Те же госуслуги, к примеру, вообще из онлайна выпадут без почты.
Про домен у Яндекса огорошили. Достаточно странно. Даже не представляю как после смены DNS письма могут приходить. Может быть, это внутри системы происходит? Письма от Яндекса только или все подряд?
yayashitoya, Странный набор для спамеров, наверное, был. Там твиттер, стим и ещё что-то было. Хотя, для создания видимости реальности аккаунта очень даже может быть.
