Задать вопрос
  • Зачем менять пароли периодически?

    @ansv
    Пароль можно не только сбрутфорсить. Если включить режим параноика, то:
    1. Если пароль используется в нескольких местах, и одно из этих мест хранило его в открытом виде, а потом у них утащили базу паролей, то злоумышленнику станет известен ваш несменяемый пароль.
    2. Чем чаще вводится пароль, тем больше вероятность, что кто-то наблюдавший за вводом сможет его запомнить. Причем необязательно запоминать весь пароль — любая полученная информация облегчит брутфорс.
    3. Если информация критичная и кто-то ну ОЧЕНЬ хочет на нее посмотреть, то возможен и вариант брутфорса.
    Ответ написан
    Комментировать
  • ПП-1119 и угрозы 1 типа

    @ansv
    Ответа на этот вопрос не существует. Мнения разделились ровно поровну. Тот же Алексей Лукацкий оптимистично заявляет, что можно смело писать «угрозы НДВ неактуальны» и уходить от 1-2 уровней. Другие, более осторожные, считают, что так просто не отделаться. Какой-то методики или критериев, позволяющих сказать, что в данном случае угрозы не актуальны, насколько мне известно, нет.

    Попробую рассуждать с точки зрения здравого смысла (который к теме защиты ПДн может быть не применим). Если я подозреваю, что нарушитель, который будет против меня действовать, в своем арсенале пакостей имеет одну, которая позволит ему воспользоваться некоей НДВ в используемом мной оборудовании, то я буду использовать проверенные (сертифицированные ) СВТ. Если же мои предполагаемые противники не так продвинуты, я буду считать НДВ неактуальной.

    Я бы при составлении Модели угроз прорабатывал этот момент в описании возможностей нарушителя (Модель нарушителя) и в духе "«Используются сертифицированные средства защиты и серийно выпускаемые образцы СВТ от известных поставщиков-производителей...» Ну, короче, тщательно обосновывал бы неактуальность.

    Плюс есть шанс, что такой важный момент будет как-то прояснен в дальнейших документах регуляторов, но надежды мало…
    Ответ написан
    1 комментарий
  • Кто то лицо, ответственное за обработку ПДн и в чем заключаются его обязанности?

    @ansv
    С учетом того, что в ст.22.1 фигурируют слова «организовывать» и «осуществлять контроль», я бы подумал о назначении на эту роль руководителя отдела ИБ или кадров. Среди руководства не такая большая текучка, как среди рядового персонала, да и подписи им ставить как-то привычнее.

    В небольших организациях все зависит от места безопасника в структуре — если он специалист скорее технический, то я бы всю эту бюрократию спихнул на кадры или канцелярию (ибо обращения). Если же ИБшник на все руки мастер и нагрузка позволяет, то можно и на него.
    Ответ написан
    Комментировать
  • Как правильно защитить сервер с TeamWox в учебном учреждении?

    @ansv
    Если будут обрабатываться ПДн — подпадает. Это будет ИСПДн, если по еще действующим документам — то класса скорее всего 3-го.

    Чем это чревато…
    1. Писанина (всякие документы) — по ФЗ-152, Постановлению Правительства №781.
    2. Классификация ИСПДн — по «приказу трех» (ФСТЭК/ФСБ/Минкомсвязи).
    3. Нужна будет система защиты. Это модель угроз и требования из Приказа ФСТЭК №58. Плюс ограничение на используемые средства (ниже).
    4. Если потребуется еще и криптография (например, данные будут пересылатся через интернет) — еще и по документам ФСБ (выбор средств, разработка документов).

    Система защиты строится на средствах «прошедших в установленном порядке процедуру оценки соответствия». На практике — сертифицированных. Касперский сертифицированный есть, с freebsd — печальнее.

    Следует еще учитывать, что документы скоро поменяются, а с ними и требования. Но оптимизма мало — подход скорее всего не поменяется…
    Ответ написан
    Комментировать