7 марта, воскресенье 04:44
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Разделение боевого и тестового сегментов сети

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Разделение боевого и тестового сегментов сети

    Уважаемые коллеги, в отчете о результатах проверки ИБ прочитал замечание - не разделены боевой и тестовый сегменты сети, а обоснования такого замечания не увидел. Подскажите пожалуйста, каким нормативным документом определено такое требование?

  • #2
    Я думаю здравым смыслом ;-)

    Комментарий


    • #3
      с точки зрения здравого смысла это очевидно, но когда за это начинают в документах замечания писать - то предоставьте обоснование пожалуйста правомерности таких требований

      Комментарий


      • #4
        Сообщение от ssm_2005 Посмотреть сообщение
        Уважаемые коллеги, в отчете о результатах проверки ИБ прочитал замечание - не разделены боевой и тестовый сегменты сети, а обоснования такого замечания не увидел. Подскажите пожалуйста, каким нормативным документом определено такое требование?
        Эээ....

        1. Это была проверка регулятора, внешний аудит или внутренний аудит?
        2. Что за система проверялдась и в связи с чем?

        Без этог8о на ваш вопрос не ответить.

        Что касается здравого смысла, то при аудите я бы выставил вам такое замечание независимо от того, есть такое нормативное требование или нет. У вас наверняка одновременно с этим нет защиты от ARP-спуфинга, так что, контролируя тестовую систему, боевую систему не сломает только ленивый.

        Комментарий


        • #5
          Сообщение от ssm_2005 Посмотреть сообщение
          с точки зрения здравого смысла это очевидно, но когда за это начинают в документах замечания писать - то предоставьте обоснование пожалуйста правомерности таких требований
          ГК РФ. ст.5 и ст.6 ;-)

          Комментарий


          • #6
            1. мама (он же папа) дочку проверяла
            2. проверялась АИС компании - сервера с БД и приложения для работы с этими БД. Есть еще свои разработчики, которые мастерят эти приложения

            Комментарий


            • #7
              Сообщение от ssm_2005 Посмотреть сообщение
              1. мама (он же папа) дочку проверяла
              2. проверялась АИС компании - сервера с БД и приложения для работы с этими БД. Есть еще свои разработчики, которые мастерят эти приложения
              В таком случае вам указали на наличие недостатка в обеспечении защиты (а это - действительно недотаток). Является ли это указание обязательным к выполнению требованием или рекомендацией, определяется искллючительно вашими внутренними нормативными документами.

              Комментарий


              • #8
                А что значит "тестовые"? сегменты?
                И как звучало замечание?
                Больно странно.

                Комментарий


                • #9
                  тестовый сегмент в данном случае представляет собой домен, аналогичный боевому, в котором кроме тестовых БД и приложений размещены средства разработки
                  А замечание именно так просто и звучало...

                  Комментарий


                  • #10
                    Сообщение от VSolon Посмотреть сообщение
                    Больно странно.
                    Это не странно. Возможно "мама" выстрадала это своей кровью и не хотела чтобы дочка через это прошла. А последствия от какого-нибудь "ой, забыл перенастроить при переносе" могут быть очень ощутимы для бизнеса.

                    Странно что автор ищет "правовые" основания здесь на форуме, а не в недрах "мамы".

                    Комментарий


                    • #11
                      Сообщение от ПетровП Посмотреть сообщение
                      Это не странно. ...
                      Странно что автор ищет "правовые" основания здесь на форуме, а не в недрах "мамы".
                      Это я и имел ввиду, а еще бы неплохо иметь отдельный сегмент для мобильных пользователей, сегмент "карантина", "финансовый", "Интернет", "ИТ управления и администрирования"...

                      Комментарий


                      • #12
                        чтобы не плодить отдельную ветку, спрошу здесь. Не могу расписать по шаблону ситуацию когда происходит утечка информации при создании тестовых серверов и разработчик получает доступ к ПДн.

                        Берем эту строчку:
                        угроза НСД в ИСПДн: = источник угрозы>, уязвимость ИСПДн>, способ реализации угрозы>, объект воздействия (программа, протокол, данные и др.)>, деструктивное действие>.

                        источник = программисты разработчики прикладного ПО и лица обеспечивающие его сопровождение в ИСПДн
                        уязвимость = уязвимости вызванные недостатками организации ТЗИ от НСД(?)
                        ???
                        ???
                        деструктивное действие = утечка информации

                        Что нужно написать где вопросики?

                        И еще вопрос: если ПДн обезличили, то мы вообще можем забыть про тестовые сервера, ибо не ИСПДн. А вот если разработчику они нужны на сервере разработки? Нужно описывать отдельную ИСПДн или тестовая система "приплюсовывается" как часть к основной? Имхо, можно использовать оба варианта.

                        Комментарий


                        • #13
                          ну знаете ли, ответить по частности, когда описание общее, не сможет никто..

                          Комментарий


                          • #14
                            Сообщение от tomato Посмотреть сообщение
                            ответить по частности, когда описание общее, не сможет никто..
                            а где общее то? вопрос был куда вы относите тестовые сервера - выделяете отдельную ИСПДн или как-то прилепляете в основную?

                            Подозреваю что есть третий вариант: "какие-такие тестовые сервера?" Но полагаю использовать его в банке где в штате 30-40 тестировщиков/разработчиков несколько опрометчиво.

                            Комментарий

                            Обработка...
                            X