http://iso27000.ru/zforum/feed_rss?section=latestzForum is a SQL-Based Message Board Based in Zope2010-09-10 09:09:00zForum Internal RSS Aggregatorhttp://blogs.law.harvard.edu/tech/rsshttp://iso27000.ru/zforum/view_topic?topic_id=502Добрый день! Подскажите,пожалуйста, в какой форме следует вести журнал учета СЗИ?В электронном виде или на бумажном носителе? Или же это не принципиально...Спасибо.http://iso27000.ru/zforum/view_topic?topic_id=5022010-09-10 08:41:00http://iso27000.ru/zforum/view_topic?topic_id=498Добрый день, коллеги. Помогите, пожалуйста, разобраться в следующих вопросах: 1. Я хочу получить сертификат, который позволит мне проводить на коммерческой основе в других организациях предварительный аудит на соответствие стандарту ISO 27001. После прохождения каких курсов я смогу получить такой сертификат? 2. Какие квалификационные требования предъявляются к организации, которая проводит предварительный аудит СУИБ на соответствие требованиям стандарта ISO 27001?http://iso27000.ru/zforum/view_topic?topic_id=4982010-09-07 09:19:00http://iso27000.ru/zforum/view_topic?topic_id=497Описание вакансии выложено на сайте ГлобалТраст: http://globaltrust.ru/o-proekte/vakansii/ekspert-po-zaschite-personalnyh-dannyh/ Резюме отсылать на указанный там email. В резюме подробно отражать опыт создания систем защиты ПДн и разработки документов, включая конкретику: какие проекты, где, когда, состав выполненных работ и написанных документов, ... Вопросы можно здесь.http://iso27000.ru/zforum/view_topic?topic_id=4972010-09-06 13:55:00http://iso27000.ru/zforum/view_topic?topic_id=494Здравствуйте. Наша компания рассматривает услугу пользования "хранилищем электронных документов". То есть мы хотим купить ПО, которое даст нам возможность хранить наши документы на сервере поставщика и работать с ними по электронному доступу в любой момент времени. Плюсы этого решения поставщики нам подробно объяснили, а вот минусы нам не до конца понятны. В частности, интересует вопрос безопасности данных. Может, кто-то имеет опыт работы с такими хранилищами? Какие есть недостатки? Спасибо.http://iso27000.ru/zforum/view_topic?topic_id=4942010-08-30 19:53:00http://iso27000.ru/zforum/view_topic?topic_id=493добрый день, в нашей организации планируется выделение в отделе ИБ специальной группы аудита ИТ. как быть с разделением между ними обязанностей по аудиту информационной безопасности?http://iso27000.ru/zforum/view_topic?topic_id=4932010-08-30 19:42:00http://iso27000.ru/zforum/view_topic?topic_id=489Здравствуйте. Подскажите, что такое криптопровайдер и криптобиблиотека? Есть ли разница между этими терминами? Спасибо... http://iso27000.ru/zforum/view_topic?topic_id=4892010-08-23 12:01:00http://iso27000.ru/zforum/view_topic?topic_id=490доброго дня, коллеги)... не подскажете, где в России можно купить железки от VSS?... насколько я смог узнать, официального их представителя у нас нет(... может, кто знает "штучные" каналы?http://iso27000.ru/zforum/view_topic?topic_id=4902010-08-23 11:46:00http://iso27000.ru/zforum/view_topic?topic_id=487Подскажите пожалуйста какие важные параметры должны быть учтены и указаны в техническом задании на установку МЭ? Огромное Спасибо. http://iso27000.ru/zforum/view_topic?topic_id=4872010-08-03 11:15:00http://iso27000.ru/zforum/view_topic?topic_id=240Для чего вообще нужно это ПО, только для создания модели информационной безопасности? Или оно может как то функционировать на рабочих станциях по созданному проекту?http://iso27000.ru/zforum/view_topic?topic_id=2402010-08-02 13:28:00http://iso27000.ru/zforum/view_topic?topic_id=394день добрый, я предлагаю обсудить имеющиеся на рынке средства контентной фильтрации. есть ли будущее у этой технологии?http://iso27000.ru/zforum/view_topic?topic_id=3942010-08-02 13:18:00http://iso27000.ru/zforum/view_topic?topic_id=476Дело в том, что сейчас наша фирма получает лицензию на реализацию, монтаж, сервис программных и аппаратных средств защиты информации. В общем, защита информации в компаниях, не имеющих своего отдела ИБ и частных лиц. Сейчас стоит вопрос о эффектном представлении необходимости данных услуг. У нас в Беларуси в принципе законодательная база есть, но выполнять ее никто не рвется. Так вот вопрос о том, как можно убедить людей в том, что это на самом деле необходимо?http://iso27000.ru/zforum/view_topic?topic_id=4762010-07-21 11:59:00http://iso27000.ru/zforum/view_topic?topic_id=66Казалось бы информационная безопасность имеет мало общего с музыкой, а музыка, в свою очередь, с информационной безопасностью. Однако это только так кажется. При помощи музыки можно передавать любые чувства и настроения, в том числе и возникающие у безопасника до, после и во время выполнения своих профессиональных обязанностей. Отсюда идея - собирать в этой ветке форума музыкальные произведения, ассоциироющиеся с теми или иными процессами ИБ, событиями и настроениями. Давайте попробуем взглянуть на безопасность с точки зрения музыки. Да поможет нам музыка жить и выживать в этом безумном, безумном, безумном мире! Когда соберем достаточное количество произведений, выпустим настоящий музыкальный диск - первый в мировой истории музыкальный сборник для специалистов ИБ, соавторами которого будут все участники, разместившие здесь свои предложения. Каждая мелодия, вошедшая в сборник, будет сопровождаться соответствующими комментариями - с каким событием или процессом ИБ она ассоциируется и почему, с указанием автора, предложившего такую трактовку. Комментарии оформим в виде небольшой брошуры в форме вкладыша. Особых требований к музывальному стилю не предъявляется. Важно чтобы музыка ассоциировалась с ИБ, была выразительной и любимой. У каждого из нас имеется определенный репертуар, любимые стили, группы, композиторы и исполнители. У каждого в голове что-то крутиться. Вот из этого в первую очередь и будем выбирать. Затем наш музыкальный редактор и общественное голосование определят наиболее удачные треки и, правильно их сгруппировав, произведут на свет уникальное, не имеющее аналогов производное музыкальное произведение. Итак, начнем, формирование данного шедевра. Поскольку на мое поколение значительное влияние оказало творчество Beatles, начну, пожалуй, с них. Процесс утверждения плана ИБ, получение бюджета на ИБ, выступление CISO на совете директоров, да и вообще общение безопасника с руководством компании, на мой взгляд, хорошо выражается песней Джона Леннона Imagine (должно быть понятно тем, кто знает английский). Слушаем здесь и проникаемся соответствующей атмосферой: Imagine, John Lennonhttp://iso27000.ru/zforum/view_topic?topic_id=662010-07-13 18:52:00http://iso27000.ru/zforum/view_topic?topic_id=391Поискал курсы по ведущему аудитору ИСО 27001 - результат не очень. За рубежом - есть, в России и СНГ - нашел только в Питере в Регконе - http://www.regcon.ru/jo/images/stories/inf_27001_oktoberl_2010.pdf Возможно есть лучшие варианты? Можно, в принципе, за рубежом.http://iso27000.ru/zforum/view_topic?topic_id=3912010-07-13 12:34:00http://iso27000.ru/zforum/view_topic?topic_id=470Имея многолетний опыт работы с данным вендором, скажу, что в целом удовлетворен качеством работы. Проблемы вендор решал четко и быстро, как напрямую, так и через своего представителя в России. Оборудование ремонтировалось и обменивалось в России четко и быстро, как в центре, так и в регионах. Качественная тех. поддержка имеет несколько уровней, русскоязычные специалисты консультируют по емайл и телефонуhttp://iso27000.ru/zforum/view_topic?topic_id=4702010-07-10 14:52:00http://iso27000.ru/zforum/view_topic?topic_id=379Речь о Постановлении Правительства РФ от 15 августа 2006 г. N 504, в котором под деятельностью по технической защите конфиденциальной информации, подлежащей лицензированию, понимается "комплекс мероприятий и (или) услуг по ее защите от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней". Указанное в данном Постановлении некорректное определение лицензируемого вида деятельности, позволяет предъявлять требования по лицензированию не только к лицам, осуществляющим услуги по защите конфиденциальной информации, но и к лицам, защищающим свою собственную конфиденциальную информацию, составляющую, например, коммерческую тайну. Таким образом, положения данного Постановления могут распространяться на все юридические лица, занимающиеся предпринимательской деятельностью, что противоречит положениям ст. 4 ФЗ "О лицензировании отдельных видов деятельности", устанавливающей критерии определения лицензируемых видов деятельности: "...к лицензируемым видам деятельности относятся виды деятельности, осуществление которых может повлечь за собой нанесение ущерба правам, законным интересам, здоровью граждан, обороне и безопасности государства, культурному наследию народов России и регулирование которых не может осуществляться иными методами, кроме как лицензированием". Однако нарушение конфиденциальности коммерческой тайны наносит ущерб только самому обладателю такой тайны. Что скажите? Лицензия для себя - добровольно или обязательно?http://iso27000.ru/zforum/view_topic?topic_id=3792010-07-05 22:13:00http://iso27000.ru/zforum/view_topic?topic_id=467 Растолкуйте пожалуйста ситуацию: Организация выделила помещение, установила в нем сервер, на котором обрабатываются ПДн, получила лицензию по ТЗКИ. Теперь работать с ПДн в этой организации можно только в помещении, которое было аттестовано? Есть ли возможность законно подключаться к серверу с ПДн с ПК по локальной сети? http://iso27000.ru/zforum/view_topic?topic_id=4672010-06-30 14:35:00http://iso27000.ru/zforum/view_topic?topic_id=444Здравствуйте! Достаточно ли лицензии по ТЗКИ для возмездного оказания услуг по: 1. Аудиту ИСПДн заказчика на соответствие нормативным требованиям РФ? 2. Разработке требований безопасности ИСПДн (классификация, формирование модели угроз, разработка требований)? 3. Разработке системы защиты ПДн (Проектирование, разработка документации)? 4. Внедрение системы защиты ПДн? 5. Техническое обслуживание? 6. Аттестация? Если нет, то какие еще требуются лицензии? С уважением, Павел.http://iso27000.ru/zforum/view_topic?topic_id=4442010-06-29 17:27:00http://iso27000.ru/zforum/view_topic?topic_id=89Подскажите, пожалуйста, как связаться, а точнее, как послать (куда, кому??) запрос в территориальное управление ФСТЭК по северу-западу на 4 документа: - "Рекомендации по обеспечению безопасности ПД при их обработке, в информационных системах персональных данных" (утверждены 15.02.2008); - "Методика определения актуальных угроз безопасности ПД при их обработке, в информационных системах персональных данных" (утверждены 15.02.2008); - "Базовая модель угроз безопасности ПД при их обработке, в информационных системах персональных данных" (утверждены 15.02.2008); - "Основные мероприятия по организации и техническому обеспечению безопасности ПД при их обработке, в информационных системах персональных данных" (утверждены 15.02.2008). А также: кто может прокомментировать данные документы.http://iso27000.ru/zforum/view_topic?topic_id=892010-06-29 17:03:00http://iso27000.ru/zforum/view_topic?topic_id=389Здравствуйте. Подскажите, пожалуйста, какие лицензии должна иметь компания, которая будет проводить в нашей фирме аудит информационной безопасности? Спасибо.http://iso27000.ru/zforum/view_topic?topic_id=3892010-06-28 10:27:00http://iso27000.ru/zforum/view_topic?topic_id=440 Александр, после замечательного превода BS 10012:2009, планируется ли перевод данного руководства: NIST Special Publication (SP) 800-122, "Guide to Protecting the Confidentiality of Personally Identifiable Information (PII)." http://csrc.nist.gov/publications/nistpubs/800-122/sp800-122.pdf http://iso27000.ru/zforum/view_topic?topic_id=4402010-06-27 10:33:00