Уважаемые коллеги, в отчете о результатах проверки ИБ прочитал замечание - не разделены боевой и тестовый сегменты сети, а обоснования такого замечания не увидел. Подскажите пожалуйста, каким нормативным документом определено такое требование?
-
-
Я думаю здравым смыслом ;-) -
с точки зрения здравого смысла это очевидно, но когда за это начинают в документах замечания писать - то предоставьте обоснование пожалуйста правомерности таких требованийКомментарий
-
Эээ....Сообщение от ssm_2005 Посмотреть сообщение
1. Это была проверка регулятора, внешний аудит или внутренний аудит?
2. Что за система проверялдась и в связи с чем?
Без этог8о на ваш вопрос не ответить.
Что касается здравого смысла, то при аудите я бы выставил вам такое замечание независимо от того, есть такое нормативное требование или нет. У вас наверняка одновременно с этим нет защиты от ARP-спуфинга, так что, контролируя тестовую систему, боевую систему не сломает только ленивый.Комментарий
-
-
1. мама (он же папа) дочку проверяла
2. проверялась АИС компании - сервера с БД и приложения для работы с этими БД. Есть еще свои разработчики, которые мастерят эти приложенияКомментарий
-
В таком случае вам указали на наличие недостатка в обеспечении защиты (а это - действительно недотаток). Является ли это указание обязательным к выполнению требованием или рекомендацией, определяется искллючительно вашими внутренними нормативными документами.Сообщение от ssm_2005 Посмотреть сообщениеКомментарий
-
А что значит "тестовые"? сегменты?
И как звучало замечание?
Больно странно.Комментарий
-
тестовый сегмент в данном случае представляет собой домен, аналогичный боевому, в котором кроме тестовых БД и приложений размещены средства разработки
А замечание именно так просто и звучало...Комментарий
-
Это не странно. Возможно "мама" выстрадала это своей кровью и не хотела чтобы дочка через это прошла. А последствия от какого-нибудь "ой, забыл перенастроить при переносе" могут быть очень ощутимы для бизнеса.Сообщение от VSolon Посмотреть сообщение
Странно что автор ищет "правовые" основания здесь на форуме, а не в недрах "мамы".Комментарий
-
Это я и имел ввиду, а еще бы неплохо иметь отдельный сегмент для мобильных пользователей, сегмент "карантина", "финансовый", "Интернет", "ИТ управления и администрирования"...Сообщение от ПетровП Посмотреть сообщениеКомментарий
-
чтобы не плодить отдельную ветку, спрошу здесь. Не могу расписать по шаблону ситуацию когда происходит утечка информации при создании тестовых серверов и разработчик получает доступ к ПДн.
Берем эту строчку:
угроза НСД в ИСПДн: = источник угрозы>, уязвимость ИСПДн>, способ реализации угрозы>, объект воздействия (программа, протокол, данные и др.)>, деструктивное действие>.
источник = программисты разработчики прикладного ПО и лица обеспечивающие его сопровождение в ИСПДн
уязвимость = уязвимости вызванные недостатками организации ТЗИ от НСД(?)
???
???
деструктивное действие = утечка информации
Что нужно написать где вопросики?
И еще вопрос: если ПДн обезличили, то мы вообще можем забыть про тестовые сервера, ибо не ИСПДн. А вот если разработчику они нужны на сервере разработки? Нужно описывать отдельную ИСПДн или тестовая система "приплюсовывается" как часть к основной? Имхо, можно использовать оба варианта.Комментарий
-
ну знаете ли, ответить по частности, когда описание общее, не сможет никто..Комментарий
-
а где общее то? вопрос был куда вы относите тестовые сервера - выделяете отдельную ИСПДн или как-то прилепляете в основную?Сообщение от tomato Посмотреть сообщение
Подозреваю что есть третий вариант: "какие-такие тестовые сервера?"
Но полагаю использовать его в банке где в штате 30-40 тестировщиков/разработчиков несколько опрометчиво.
Комментарий
Комментарий