4 июня, четверг 15:11
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Организация дистанционной (удаленной) работы

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • #31
    Сообщение от solus rex Посмотреть сообщение
    ну какая утечка, эк. смысел операции?
    По поводу утечки - это к автору, см. сообщение № 20: возможность слить данные, это сфоткать экран

    Комментарий


    • #32
      Сообщение от Степанов В.В. Посмотреть сообщение

      По поводу утечки - это к автору, см. сообщение № 20: возможность слить данные, это сфоткать экран
      или просто запомнить в мозгу

      Комментарий


      • #33
        Сообщение от solus rex Посмотреть сообщение
        или просто запомнить в мозгу
        Ну, тогда, лучше вообще на работу никого не брать. А чем не вариант?...

        Комментарий


        • #34
          Сообщение от saches Посмотреть сообщение
          Ну, тогда, лучше вообще на работу никого не брать. А чем не вариант?...
          я наоборот,
          о том, что должен быть предел маразму )

          Комментарий


          • #35
            Сообщение от saches Посмотреть сообщение
            Ну, тогда, лучше вообще на работу никого не брать. А чем не вариант?...
            от этого сливы в сбербанке не закончатся ))

            Комментарий


            • #36
              Сообщение от Cpx Посмотреть сообщение
              от этого сливы в сбербанке не закончатся ))
              Tu l’as voulu, Georges Dandin!

              Комментарий


              • #37
                Сообщение от Cpx Посмотреть сообщение
                от этого сливы в сбербанке не закончатся ))
                У них же ПДн этот обрабатывает, искусственный интеллект....с этим без вариантов....
                Надо бы, кстати, РКН запросить, надо ли на этот счет согласие у физика получать?

                Комментарий


                • #38
                  https://www.banki.ru/news/lenta/?id=10920187
                  http://www.cbr.ru/press/event/?id=6531
                  http://www.cbr.ru/StaticHtml/File/59...-014-56_17.pdf

                  Комментарий


                  • #39
                    Судя по письму БР я был прав. Процесс 8 из ГОСТ 57580 про мобильные (переносные) устройства.

                    Комментарий


                    • #40
                      В письме указана рекомендация "контроль и мониторинг действий пользователей", орг и тех меры для реализации которой содержатся в ГОСТ. О каком пункте ГОСТ говорит ЦБ? Цель мониторинга то-какая и где она написана - чтобы сотрудники работали, а не дрыхли, или чтобы они не злоупотребляли доступом?

                      Комментарий


                      • #41
                        Сообщение от Александр Четвертый Посмотреть сообщение
                        О каком пункте ГОСТ говорит ЦБ?
                        У нас в письме написано:

                        В целях реализации удаленного логического доступа с использованием мобильных устройств (далее - удаленный мобильный доступ) финансовым организациям рекомендуется обеспечить:
                        применение технологий виртуальных частных сетей;
                        применение многофакторной аутентификации;
                        применение терминального доступа (по возможности);
                        мониторинг и контроль действий пользователей удаленного мобильного доступа.
                        Организационные и технические меры, необходимые для реализации указанных рекомендаций при осуществлении удаленного мобильного доступа, содержатся в национальном стандарте Российской Федерации ГОСТ Р 57580.1-2017

                        т.е. не к контролю и мониторингу а ко всем пунктам

                        Комментарий


                        • #42
                          Остальные пункты письма вопросов не вызывают - про них есть пункты реализации в ГОСТе. А про контроль и мониторинг нет.

                          Комментарий


                          • #43
                            Сообщение от Александр Четвертый Посмотреть сообщение
                            А про контроль и мониторинг нет.
                            Так сами решайте, что Вам мониторить. Время входа/выхода, устройства подключения, запуск приложений, копирование информации.

                            Комментарий


                            • #44
                              Сообщение от Александр Четвертый Посмотреть сообщение
                              В письме указана рекомендация "контроль и мониторинг действий пользователей", орг и тех меры для реализации которой содержатся в ГОСТ. О каком пункте ГОСТ говорит ЦБ?
                              Можно предположить, что речь про:
                              ЗУД.8 Контентный анализ информации, передаваемой мобильными (переносными) устройствами в сеть Интернет с использованием информационной инфраструктуры финансовой организации
                              Выполняя эту меру мы анализируем передаваемые пользователями данные и тем самым осуществляем "контроль и мониторинг действий пользователей".

                              Комментарий


                              • #45
                                С учетом рекомендаций ФСТЭК - https://fstec.ru/tekhnicheskaya-zash...g-n-240-84-390 можно считать, что удаленка с домашних ПК идет лесом....
                                Ничего личного, но требования НКЦКИ, мне кажутся адекватней - https://safe-surf.ru/specialists/news/645362/
                                Последний раз редактировалось saches; 24.03.2020, 17:31.

                                Комментарий


                                • #46
                                  Сообщение от saches Посмотреть сообщение
                                  С учетом рекомендаций ФСТЭК можно считать, что удаленка с домашних ПК идет лесом....
                                  Не слышал о том, что ФСТЭК страдает "звездной болезнью" ЦБ и выдает свои рекомендации за требования.
                                  По тексту явно указаны запреты и рекомендации. Формулировка про домашние ПК: "Для удаленного доступа не рекомендуется использование личных средств вычислительной техники, в том числе портативных мобильных средств вычислительной техники."

                                  ИМХО в целом ФСТЭК прав. Для удаленного доступа лучше использовать выданные работнику служебные устройства, находящиеся под полным управлением квалифицированных специалистов работодателя. Делать тоже самое с личными устройствами можно только с одобрения работника, что ставит работодателя в зависимость от желания работника. Считаю, что находится в зависимости от желания работника небезопасно.

                                  Комментарий


                                  • #47
                                    Сообщение от UserNick Посмотреть сообщение
                                    ....Считаю, что находится в зависимости от желания работника небезопасно.
                                    Кто бы спорил. Но если раньше, за редким исключением для топов, удаленка предоставлялась только тем, у кого была разъездная работа и кто должен был иметь возможность в любое время подключиться к внутренней сети, сейчас, стоит вопрос иметь принципиальную возможность, по максимуму, всех отправить домой.
                                    Ес-но, при этом, лучше всем ставить корпоративные ПК/ноуты со стандартной заливкой. Но это, грубо говоря, тупо, и за чей счет?
                                    Хотелось бы иметь:
                                    a) адекватную оценку возможного ущерба;
                                    б) адекватные технические средства для безопасной реализации удаленки на недоверенных ПК.

                                    А написать в рекомендациях, что хорошо бы все ПК включить в домен, фиксировать мак-адреса и т.п., это конечно высший пилотаж, даже странно, что АМДЗ не предложили вставлять...

                                    Комментарий


                                    • #48
                                      Сообщение от saches Посмотреть сообщение
                                      Хотелось бы иметь:
                                      a) адекватную оценку возможного ущерба;
                                      Это, видимо, к вашим рисковикам ...

                                      Сообщение от saches Посмотреть сообщение
                                      б) адекватные технические средства для безопасной реализации удаленки на недоверенных ПК.
                                      +1
                                      Интуиция подсказывает, что результат этой задачи может быть научной фантастикой ....
                                      Если такие средства есть, тоже интересно про них хотя бы почитать ....

                                      Комментарий


                                      • #49
                                        Сообщение от UserNick Посмотреть сообщение
                                        Интуиция подсказывает, что результат этой задачи может быть научной фантастикой ....
                                        Если такие средства есть, тоже интересно про них хотя бы почитать ....
                                        Загрузка с заранее подготовленной флешки с образом системы для подключения по VPN к сети банка?

                                        Комментарий


                                        • #50
                                          Сообщение от w3d Посмотреть сообщение
                                          Загрузка с заранее подготовленной флешки с образом системы для подключения по VPN к сети банка?
                                          Это первое, что в голову приходит, но могут быть нюансы с оборудованием домашнего ПК и с сетью.
                                          Возможно, что в отдельных случая, еще не помешал бы свисток для связи.

                                          Комментарий


                                          • #51
                                            Сообщение от UserNick Посмотреть сообщение
                                            Это, видимо, к вашим рисковикам .......
                                            Обычный ответ - методика есть? Если нет, сами считайте свои ИБшные риски....

                                            Комментарий


                                            • #52
                                              ИБ-риски можно считать как операционные - это еще в СТО-БР было как рекомендация. По-моему, сейчас 683-П обязывает передавать информацию об инцидентах ИБ в службу управления рисками. У них куча методик оценки риска, в том числе операционного.

                                              Комментарий


                                              • #53
                                                Сообщение от Александр Четвертый Посмотреть сообщение
                                                ИБ-риски можно считать как операционные - это еще в СТО-БР было как рекомендация. По-моему, сейчас 683-П обязывает передавать информацию об инцидентах ИБ в службу управления рисками. У них куча методик оценки риска, в том числе операционного.
                                                Методик количественной оценки нет, т.к. пока никто не научился считать вероятность инцидента.
                                                Т.е. например, как-то обоснованно соотнести размер возможных потерь с затратами на ИБ невозможно.

                                                Комментарий


                                                • #54
                                                  Сообщение от w3d Посмотреть сообщение
                                                  Загрузка с заранее подготовленной флешки с образом системы для подключения по VPN к сети банка?
                                                  ВК и в UEFI живет ...

                                                  Комментарий


                                                  • #55
                                                    Также этот вопрос актуален очень, здесь постою, послушаю...
                                                    Пока по своей части только CRM - системы выбрал: https://pachca.com/
                                                    Протестировали, отлично вписался.

                                                    Комментарий

                                                    Обработка...
                                                    X