Выбрать дату в календареВыбрать дату в календаре

Страницы: 1
Защита персональных данных
 
Цитата
f_s_b_37 пишет:
Тут информация по теме не такая полезная, но весьма занятная
Естественно ;)

Ведь это информационный блог с задачей новостной ленты.

Для входа в тему см. Персональные данные - вход в тему, затем весь раздел по ПДн и далее по ссылкам в Персональные данные. Где пишут и ломают копья

Цитата
jungle_vnd пишет:
Хороший пример ))):
http://admin.smolensk.ru/www.fstec.ru/person.htm
Обращаю внимание, что как шаблон использовать можно. Но бездумное копирование нежелательно - есть много недоработок...
Беспечность – главный враг вашей безопасности
 
Цитата
Ныне ФАПСИ реорганизовано и называется СССИ ФСО РФ
Лицензирование СКЗИ передано в ФСБ, а не в ФСО
Почему зажимают закон об информационной безопасности страны?
 
Цитата
A:Спец-угробище (телефоном это называть жирно) работающее в GSM с шифрованием emd-to-end между себе подобными аппаратами сделанное нашими конструкторами весит всего-то ... более килограмма!

Это Вы про этот телефон?!?
Вес 180 гр - т.ч. "приврали" более чем в 5 раз.
Другое дело цена...
В американских компаниях следят за электронной почтой сотрудников
 
Цитата
А интересно, если такой "сотрудник" увидит шифрованное письмо, что будет? А как насчет разных "болталок" вроде Jabber или ICQ? Тоже читают? Так Jabber тоже поддерживает шифрование - пусть попробуют расковырять.
Есть возможность блокировки зашифрованных сообщений. Да и контроль сообщений ICQ есть чем организовать.

Другое дело, что держать именно отдельного сотрудника только на чтении почты, при 20 тыс. сотрудников, вместо автоматизированного контент-анализа бессмысленно. Хотя возможно "контент-анализ + сотрудник " - тогда еще имеет смысл.
Кто такой «настоящий безопасник»?
 
Цитата
Andymion пишет:
Как вы, например, оцените те или иные угрозы?
Здесь может быть оценка только применительно к конкретному бизнес-процессу и конкретному объекту.
Сейчас очень много возможностей по закрытию внешних угроз (снижению внешних рисков) и сравнительно мало по внутренним угрозам (внутренним рискам), не смотря на то, что об этом стали достаточно много сейчас говорить (отдельным вопросом здесь стоит введение режима защиты коммерческой тайны в соответствии с требованиями ФЗ РФ № 98-ФЗ от 29.07.2004 «О коммерческой тайне»).
Ну, а сама оценка стандартна: объект (иногда субъект) воздействия - вероятность реализации угрозы - возможные последствия реализации угрозы для объекта/субъекта воздействия -  последствия реализации угрозы для всего бизнеса/критичность воздействия на бизнес-процесс - меры по уменьшению риска (их стоимость/целесообразность применения, эффективность, совместимость, риски возникающие при применении и их отношение к исходному риску)

Цитата
Andymion пишет:
С выявлением уязвимостей вроде щас полегче стало (не имею ввиду сканеры безопасности).
ГОСТ Р 51275–99. (Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения) пока вроде никто не отменял т.ч. основные угрозы определены уже давно, все остальное позволяет произвести детализацию.
Кто такой «настоящий безопасник»?
 
Цитата
Вадим Андреев
В принципе, безопасник должен быть максималистом и предлагать несколько вариантов, но отстаивать наиболее безопасные, а Совет директоров принимать решения по рискам на какой риск пойти, а на снижение каких истратить ресурс.
Вполне согласен, но:
- безопаснику необходимо знать (как минимум) какие бизнес-процессы являются критическими
- грамотно сформулировать риски и последствия их принятия
- не всегда остальные члены совета директоров осознают все последствия принимаемого решения

Потому (иногда) звучит: "Ты в этом лучше разбираешься - тебе и принимать решение". Это далеко не лучший вариант, но приходится сталкиваться и с этим (уже другая крайность по сравнению с возложением на безопасность только контролирующих функций и запрета на какие-либо решения).

В идеале должно быть разделение компетенций, где четко определено где и кто принимает решение, а где выносится на коллегиальное или вышестоящее (опять возвращаемся к уровню зрелости организации и наличию описанных/определенных бизнес-процессов - еще одно очень дорогое "удовольствие")
Кто такой «настоящий безопасник»?
 
Цитата
Вадим Андреев
Мне в ней многое не нравится.
Мне тоже не все нравится, но приведена как пример одного из мнений по этому вопросу - но уже существенно поднимающего уровень специалистов по ИБ. И учитывая вхождение специалиста по ИБ в Совет директоров - специалист по ИБ становится уже одним из ЛПР компании (потому и, возможно, на него возложено принятие рисков).
Утечки информации: российская действительность
 
Гость пишет:
К сожалению в нашей стране специалистов по иб готовят только в фсо[/quote]
Не только..., да и практически в ФСО не готовят...
Кто такой «настоящий безопасник»?
 
Цитата
Вадим Андреев пишет:
подобные наниматели считают, что техническая квалификация IT песонала достаточна для реализации защиты информации, а вот создание полноценной службы ИБ приводит лишь к дублированию расходов на персонал.
Цитата
Гость пишет:
Из Ваших слов я предполагаю, что "на западе" дикий период прошел и в головах у топов нужная ясность, а в компаниях порядок?
Кстати еще одно уже довольно-таки старенькое (2001-2002 г.) мнение на этот счет: Новый взгляд на службу информационной безопасности компании
Кто такой «настоящий безопасник»?
 
Цитата
Гость пишет:
Сам-то я для защиты информации фирм не создавал.
Вообщето речь шла просто о фирмах/бизнесе России.

Я тоже не создавал и врядли буду создавать, хотя ЗИ занимаюсь уже лет 20 (с учетом получения профильного образования - 23)
Цитата
Гость пишет:
Из Ваших слов я предполагаю, что "на западе" дикий период прошел и в головах у топов нужная ясность, а в компаниях порядок?
Во всяком случае у нас они небезуспешно учатся организации безопасности, хотя нам же навязывают свой путь... К сожалению на т.н. "западе" превалируют узкие специалисты и из-за этого свои издержки
Цитата
Гость пишет:
Вы просто украли эти слова из начального поста Алексея
Просто еще раз повторил прописную истину (как и Алексей)...
Кто такой «настоящий безопасник»?
 
Цитата
Вадим Андреев пишет:
подобные наниматели считают, что ... создание полноценной службы ИБ приводит лишь к дублированию расходов на персонал.
Ну а для того, чтоб обосновать работодателю необходимость создания полноценной службы обеспечивающей безопасность стоит знать существующее законодательство, номативные документы и грамотно использовать эти знания

Любой системный администратор знает: самый страшный вирус всегда сидит перед монитором (с)
Кто такой «настоящий безопасник»?
 
Цитата
Вадим Андреев пишет:
подобные наниматели считают, что техническая квалификация IT песонала достаточна для реализации защиты информации, а вот создание полноценной службы ИБ приводит лишь к дублированию расходов на персонал.
Мы уже прошли этап когда вся защита информации заключалась в быстром создании фирмы, получении "быстрых денег" и  ликвидации данной фирмы с последующим созданием новой...

Сейчас появилось осознание необходимости защиты информации (одни действительно осознали, другие делают "как все"), но еще не понимают как это делать. Кто-то послушает знающих людей, кто-то увидит чужие ошибки, кто-то "набъет свои шишки" (вполне вероятно, что большинство из последних могут и "утонуть"). Нам досталось жить и работать в дикий "период первоначального накопления и распределения капитала" - т.ч. это неизбежные издержки...

Будем надеятся, что доживем и до достаточно полного понимания. Тем более, что учить этому пониманию приходится нам.
Кто такой «настоящий безопасник»?
 
Цитата
Вадим Андреев пишет:
2 Toparenko: "И то и другое" Покупатель: "Скажите, продавец, какую кофту мне купить для этой юбки: синюю или красную?" Продавец: "Купите обе"

Контроль у любой службы обеспечивающей безопасность должен быть всегда. А комп. безопасность, как минимум, должна забрать на себя распределение доступа к критичным ресурсам (лучше если все функции распределения доступа). Про СКЗИ я вообще не веду речь - тут только подразделения безопасности.

Если повысить уровень с комп.Б до ИБ - конфиденциальное делопроизводство, ПД ТСР - тут тоже не стоит отдавать в другие руки...
Кто такой «настоящий безопасник»?
 
Цитата
Вадим Андреев пишет:
Насколько на Ваш взгляд работоспособен вариант с безопасником, который только рекомендует что делать айтишникам, а сам безопасностью не рулит? Если он работоспособен, то какие необходимые условия для этого?
Направление функций администаратора безопасности сети и администратора сети все-таки отличаются. В принципе таковое возможно для небольших фирм или не осознавших значение ЗИ, но для дела обеспечения безопасности крайне нежелательно.

Фактически безопасник в роли контроллера не имеет ни реальных рычагов воздействия, ни авторитета, ни реальной возможности действительно защитить информацию.

Оптимально - начальник службы обеспечивающей безопасность (куда и должна входить как ИБ в общем, так и комп.Б в частности) должен быть заместителем руководителя (увы... очень часто это не так, отчего и страдает дело)

Если рассматривается банк, то советую посмотреть Стандарт ИБ банка России (раздел Специальные нормативные документы) - там рекомендуется не только разделять администраторов безопасности и сетевых администраторов, но и они должны подчиняться разным зампредам...
Цитата
Вадим Андреев пишет:
подиненность безопасника айтишнику
Имею уже печальный опыт такового - постепенно задачи защиты информации стали трансформироваться в администрирование БД. Потому при выборе следующего места работы отказался от более крупного работодателя только из-за того, что спец. по ИБ входил в IT-департамент, а не в СЭБ.
Кто такой «настоящий безопасник»?
 
Цитата
Вадим Андреев пишет:
Не помню было ли здесь уже про оптимальную функцию безопасников: они только надзирают или обеспечивают? Определили требования, передали на исполнение, сами контролируют соответствие или закатали рукава и все своими руками?
И то и другое: определили требования, распределяем участки ответственности, добиваемся исполнения всеми, контролируем соответствие, закатав рукава выполняем работу на своем участке ответственности, выявляем новые уязвимые места, готовим предложения по их локализации, определяем требования, распределяем участки ответственности,...
Кто такой «настоящий безопасник»?
 
Цитата
Вадим Андреев пишет:
Подскажите коллеги, что входит во внешнюю и внутреннюю информационную безопасность?
Если что пытаются понять под внутренней информационной безопасностью я еще нашел:
Часть вторая

Типовые документы, основанные на стандарте ISO 17799

   * основные требования по обеспечению внутренней ИТ-безопасности компании
   * основные инструкции по обеспечению внутренней ИТ-безопасности компании

То под внешней, кроме ИБ в СМИ и PR больше ничего притянуть не могу...

Из аналогичного - как нравится "перлюстрация почты" (не аудит/мониторинг почты организации, а именно перлюстрация)?
Кто такой «настоящий безопасник»?
 
Цитата
Гость пишет:
Если Вы претендуете на то, что обеспечите комплексную защиту информации компании, в которую устраиваетесь, то я бы нанимателю порекомендовал выставить CISSP в качестве одного из необходимых условий, а Вам такую бумажку иметь на готове.
Т.е. Вы считаете, что  человек, сдавший CISSP  (вполне вероятно не имеющий другого образования кроме курсов по подготовке к сертификации) и не имеющий никакого опыта работы, лучше справится с обеспечением комплексной (именно комплексной) защиты информации лучше чем специалист с 5-10-20 летним опытом практической работы (и возможно профильным высшим образованием), но не имеющем именно данный сертификат (а может и не заморачивающийся вообще получением сретификатов)?!?
Экс-хакеры не разбираются в компьютерной безопасности
 
Есть еще специальность специалист/администратор/эксперт/инженер по информационной безопасности. Как Вы думаете кто (в большинстве своем) работает по этой специальности?!?
Страницы: 1