25 ноября, среда 22:23
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Категорирование информационных активов в рамках СТО БР

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Категорирование информационных активов в рамках СТО БР

    Здравствуйте коллеги,

    изучаю серию стандартов СТО БР ИББС (столкнулся впервые), и у меня возникает вопрос: в этой системе стандартов не используется классификациия или категорирование информационных систем (ресурсрв) для определения перечня мер необходимых для обеспечения ИБ ??? или здесь всё строится на обработке неприемлемых рисков ????

    p.s. сам работаю не в БС РФ, заинтересовал отраслевой стандарт

  • #2
    СТО БР не противоречит 149-ФЗ, ПП 1119, РД ФСТЭК от 1992 года.
    Соответственно, категорирование информационных систем и ИСПДН СТО БР не устанавливает.

    А вот методику оценки рисков нарушения ИБ (в отрасли) описывает РС БР ИББС-2.2.-2009. Это, конечно, рекомендация, но я применял этот документ.

    Комментарий


    • #3
      Сообщение от AlexEye70 Посмотреть сообщение
      А вот методику оценки рисков нарушения ИБ (в отрасли) описывает РС БР ИББС-2.2.-2009. Это, конечно, рекомендация, но я применял этот документ.
      если не затруднит, можете поделится рыбой документа по оценке рисков ??? не очень понятно, что он из себя должен представлять итоговый документ (модель угроз и нарушителей ???)

      Комментарий


      • #4
        Нет, модель угроз, модель нарушителей - это другие документы, у нас так было сделано.
        А документом поделюсь. Он не точь в точь по названным рекомендациям, но как рамочный всех устроил.
        Подчищу его (надеюсь на понимание) и вышлю.
        А пока - РС, и вот это ещё
        http://securitypolicy.ru/index.php/%...5%D0%BA%D1%82)

        Комментарий


        • #5
          _fortmax_, я готов отправить документ в личку, но не знаю как это делается на этом форуме...
          Прошу научить, или давайте контакт куда и как выслать.

          Комментарий


          • #6
            AlexEye70, можно на электронку fortmax_85@mail.ru? СПАСИБО =)

            Комментарий


            • #7
              _fortmax_, выслал

              Комментарий


              • #8
                AlexEye70, вам почему-то нельзя отправлять личные сообщения, возможно потому, что не подтвержден e-mail.
                Можете мне отправить тот документ по оценке риска на o817xx@mail.ru.

                Или в личку. Для этого надо мышкой по нику кликнуть, там менюха откроется.

                Комментарий


                • #9
                  можно мне тоже выслать? lena_morder@mail.ru

                  Комментарий


                  • #10
                    Heleneg, раз уж начал делиться...
                    Выслал.

                    Комментарий


                    • #11
                      ost, у меня не был подтверждён электронный адрес. Сейчас попробую в личку написать.

                      Комментарий


                      • #12
                        Большое спасибо за документ =) скажите, оценке подвергается подвергается каждый тип актива(или каждая информационная система)? правильно я понимаю ?

                        Комментарий


                        • #13
                          Большое спасибо))

                          Комментарий


                          • #14
                            см. пункт 3.1
                            3.1. Составление перечня информационных активов может осуществляться последовательно для каждой ИС или для структурного подразделения, с последующим объединением и формированием единого перечня информационных активов, подлежащих защите.

                            Определение информационного актива тоже есть - это, собственно, информация, имеющая ценность. И курсирующая между разными информационными системами. Которые, в свою очередь, живут на разных _материальных_ объектах среды (серверы, носители и т.п.). Впрочем, инф. активы могут быть размещены на внешних носителях и вне инф. системы, но тут надо определять - каковы границы инф. системы, относим ли мы к ней, например, резервную копию (в том числе на сменных носителях), передачу данных на внешнем носителе куда-либо, и т.п.
                            Соответственно, по самому ценному активу и должны, по идее, считаться риски. В смысле его доля наиболее высока получится.

                            Комментарий


                            • #15
                              Будьте добры, мне тоже вышлите: t.egorova@gmail.com

                              Комментарий


                              • #16
                                AlexEye70,

                                Добрый день

                                Будьте добры мне тоже вышлите sheglovsa@mail.ru

                                Комментарий


                                • #17
                                  Добрый день!
                                  Просьба отправить на адрес saches@mail.ru
                                  Спасибо!

                                  Комментарий


                                  • #18
                                    Добрый день

                                    Будьте добры мне тоже вышлите semyon@mail2000.ru

                                    Комментарий


                                    • #19
                                      Добрый день!

                                      Огромная просьба выслать на адрес t9295722250@gmail.com , заранее спасибо!

                                      Комментарий


                                      • #20

                                        В СТО вроде все почти понятно описано. Оценка рисков - это совместно с бизнес-подразделением (вы сами не всегда правильно сможете оценить).
                                        PS Ребят, вам спама мало в почте? зачем просто мыло вешаете? Пишите так: semyonГАВmail2000.ru

                                        Комментарий

                                        Обработка...
                                        X