понедельник, 29 августа 2016 г.

Лица ИБ. Наталья Храмцовская

Добрый вечер, дорогие читатели! Сегодня я хотела бы представить вашему вниманию интервью с экспертом Натальей Храмцовской. Автор довольно необычный, так как основная сфера деятельности Натальи Александровны связана с управлением документацией, но тем интереснее читать ее посты, посвященные защите данных. 

Храмцовская Наталья Александровна
Кандидат исторических наук, ведущий эксперт по управлению документацией компании «Электронные Офисные Системы», эксперт ИСО, член Международного совета архивов.
Сфера интересов: Проблематика электронного и открытого правительства, обеспечение непрерывности деловой деятельности и восстановление после катастроф, управление бумажными и электронными документами, бумажное и электронное архивное дело (включая обеспечение длительной сохранности аутентичных электронных документов), вопросы использования электронных подписей, вопросы информационной безопасности и защиты персональных данных. По перечисленным вопросам веду мониторинг и анализ законодательно-нормативной базы в области управления документацией и информацией, провожу анализ судебной практики, изучаю зарубежный и отечественный опыт. 
По образованию я историк, закончила Московский Государственный Университет. Свою карьеру начинала как архивист, а затем освоила и управление документами и консультационную работу.
В 2010 году защитила в Российской академии государственной службы при Президенте Российской Федерации диссертацию на соискание ученой степени кандидата исторических наук «Понятие «электронное правительство» в англо-американской историографии». 
Мой блог «Кто не идет вперед, тот идет назад» (http://rusrim.blogspot.com/ ) насчитывает почти 5500 постов и является в настоящее время крупнейшим в мире по тематике управления документами и архивного дела. 
С 2009 года являюсь экспертом Международной организации по стандартизации ISO (International Organization for Standardization).
Член Гильдии Управляющих Документацией (Россия), Международной ассоциации специалистов по управлению документацией - ARMA International, Международного Совета архивов.
Сейчас я работаю ведущим экспертом по управлению документацией в компании «Электронные Офисные Системы». Меня интересует всё, что относится к этой области: традиционные и электронные технологии; как вопросы управления документами и архивного дела, так и проблемы информационной безопасности, а также роль всех этих дисциплин в проектах построения «электронного» и «открытого правительства». Много сил трачу на продвижение современных методов работы, в том числе на написание статей, число которых, кажется, перевалило за три сотни, на преподавание, на перевод зарубежных стандартов и нормативных документов.



1.   Наталья, расскажите немного о себе. Какими проектами Вы занимаетесь сейчас?
Я – специалист в области современного управления документами и архивного дела. Немногие понимают, что представители моей профессии большую часть своего времени занимаются обеспечением информационной безопасности, делая акцент на исполнение законодательно-нормативных требований и удовлетворение потребностей своих организации в документированной информации, на обеспечение сохранности, в том числе длительной, документов и информации без ущерба для их юридической значимости и доказательной силы, на их своевременное уничтожение по истечении установленных сроков хранения. В общем, я работаю «на пересечении» права, ИТ, ИБ и «обычного» делопроизводства и архивного дела.
Кстати говоря, именно на плечи моих коллег по профессии традиционно ложится решение большинства задач ИБ в отношении ставших сейчас непопулярными, но по-прежнему существующих и создаваемых в больших объёмах бумажных и других неэлектронных документов.
Есть много интересных вопросов, которые чисто техническими мерами не решаются – например, очень актуальный сейчас вопрос о том, как обеспечить долговременную сохранность юридически значимых документов, подписанных усиленными электронными подписями, в том числе после того, как истекут сроки действия всяких сертификатов, уйдут в небытие выдавшие их УЦ и даже будут скомпрометированы ныне используемые криптоалгоритмы.
В последнее время я много работаю в консультационных проектах для крупных государственных ведомств и коммерческих организаций. Я вхожу в число национальных экспертов Международной организации по стандартизации (ИСО), занимаюсь переводами на русский язык стандартов по своему направлению.

2.   Какие темы в ИБ Вам больше всего интересны?
Мне в первую очередь интересны актуальные комплексные темы, которые не сводятся к выбору и внедрению технических мер защиты и требуют решения сложных организационно-правовых вопросов. Среди них такие, как
  • Решение задач управления документированной информацией в новых правовых и технологических условиях – это проекты «электронного» и «открытого» правительства, открытых данных, использования аутсорсинга и облачных технологий, инновационных решений типа «блокчейн» и т.д.;
  • Защита персональных данных;
  • Э-раскрытие – поиск и представление электронной информации в рамках судебных процессов и расследований. Внутри России пока этот вопрос неактуален, а вот на международной арене это очень больная тема;
  • Обеспечение долговременной сохранности пригодных к использованию и сохраняющих юридическую значимость документов и информации в условиях быстрого устаревания технологий и изменения законодательства. Меня интересует не только организационно-распорядительная документация, которой предпочтительно интересуются мои коллеги по профессии, но и, например, научно-техническая и медицинская документация, вопросы управления информацией в базах данных и других информационных системах.
  • Создание полноценных государственных и коммерческих электронных архивов.

3. Всегда очень интересно читать Ваши посты о судебных решениях, сложно ли найти интересные случаи в практике, например, по персональным данным?
По сравнению с тем, что было менее десяти лет назад, резко выросли объёмы доступных судебных решений, особенно решений арбитражных судов. Соответствующие поисковые системы пока ещё оставляют желать лучшего, но, в принципе, при известной ловкости позволяют достаточно легко находить интересные дела.

Думаю, что сейчас самая благодатная пора для изучения судебной практики – просто потому что очень мало специалистов систематически этим занимается, и, как в невытоптанном лесу, «грибов» хватает на всех «грибников» :)
Судебная практика огромна (это миллионы дел каждый год), поэтому я стараюсь фокусировать внимание на нескольких конкретных темах. Меня в первую очередь интересует вопрос о том, как стороны и суды используют для аргументации своей позиции представленные в качестве доказательств документы, в том числе электронные; при каких условиях суд признает их надлежащими доказательства и по каким причинам отвергает. Судебная практика важна тем, что позволяет убеждать руководство организаций в необходимости вкладывать деньги в надлежащее управление документами и в информационную безопасность, поскольку при этом защищаются не только интересы организации, но и «они любимые». Кроме того, судебная практика часто показывает, где сегодня проходят границы допустимого в части внедрения современных технологий, и в какую сторону они сдвигаются.

4. В последние годы в области защиты информации сильно поменялось законодательство, какие тренды Вы бы выделили?
Законодатель осознал, что электронная информация открывает огромные возможности для эффективного государственного управления и деловой деятельности. Одновременно внедрение информационных технологий создает и большие новые риски. Сегодня многие страны можно поставить на колени уже не ядерными ударами, а путем атак на ключевые информационные ресурсы и инфраструктуру. По мере распространения «умных» устройств и особенно с приходом интернета вещей информационная безопасность становится критически-важной частью национальной безопасности и безопасности деловой деятельности.
Соответственно, законодательство, с одной стороны, снимает оставшиеся барьеры на пути внедрения ИКТ, поощряет отказ от неэлектронных документов и информации в пользу электронных. Одновременно идет централизация государственных информационных ресурсов и создается – будем называть вещи своими именами – система всеобъемлющего оперативного контроля и слежки. Требования в отношении защиты информации будут непрерывно ужесточаться по мере неизбежного роста угроз, а, например, законодательство по защите персональных данных будет, наверное, пытаться оставить человеку хотя бы видимость неприкосновенности личной жизни.
В сфере своих профессиональных интересов я наблюдаю не только уход бумажных документов, но и начавшийся процесс отказа от обмена бумагоподобными документами в пользу коллективного использования различных баз данных, реестров, регистров и иных информационных систем. Государственные информационные ресурсы становятся главным «источником истины», при этом падает значение документов личного хранения, даже таких, как паспорт – они превращаются в своего рода гиперссылки на электронные информационные ресурсы. Соответственно резко обостряется вопрос обеспечения точности, сохранности и защищённости этих ресурсов, в том числе на длительных интервалах времени.
Думаю, что настоящая электронная революция ещё только начинается, равно как и по-настоящему радикальные перемены в законодательстве :)

5.  Что является вдохновением для написания статей, где Вы черпаете идеи?
Мы живём в эпоху революционных перемен. Достаточно поднять голову и оглядеться вокруг, чтобы увидеть массу интересных непростых проблем. Кроме того, как всегда, полезно следить за тем, что обсуждают специалисты «моей» и смежных дисциплин. Я трачу много времени на изучение передового зарубежного опыта (кстати, и отечественного тоже – но до него сложнее «добираться»), и в идейном плане эти усилия с лихвой окупаются. Наконец, я всегда охотно отвечаю на вопросы коллег и читателей блога, и некоторые из таких вопросов подталкивают меня к изучению новых тем.

6.  Что на Ваш взгляд сложнее - выступать или писать?
Писать, как мне кажется, сложнее, поскольку в этом случае выше требования к логике, способам подачи материала, да и просто к качеству русского языка.

7.  Какие вопросы Вам чаще всего задают читатели?
С учетом специфики моей работы, меня сейчас чаще всего спрашивают:
  • Как правильно установить сроки хранения конкретных видов документов;
  • Как создавать электронные архивы, как хранить появившиеся новые виды документов или, скажем, научно-техническую и медицинскую документацию;
  • Что делать с электронными документами, подписанными усиленными подписями, после того, как истекли сроки действия сертификатов – как вообще их хранить;
  • Можно ли перевести бумажные документы в электронный вид, а затем уничтожить оригиналы;
  • Стоит ли пользоваться простой электронной подписью;
  • Как вообще устроено российское законодательство в плане регламентации использования электронных документов и ИКТ – что можно и что нельзя делать;
  •  Как доказать высшему руководству, что служба управления документами, архив и т.д. - не затратный «аппендицит» для организации, и что их деятельность обеспечивает безопасность организации и её руководства, защиту информационных активов, а также помогает основным деловым подразделениям зарабатывать деньги.
Впрочем, по-прежнему задается много вопросов по управлению бумажными документами. ИКТ и здесь многое поменяли в реальной практике, а вот нормативно-методическая литература так и осталась в 1980-х годах, несмотря на отдельные попытки косметического ремонта …

8.  Кого из авторов/блогеров по ИБ Вы читаете и почему?
Регулярно отслеживаю блоги Лукацкого, Емельянникова, Царева и ряда других специалистов, имеющих собственную точку зрения и оперативно делящихся свежей информацией. Я не гоняюсь, однако, за конкретными фамилиями – если мне где-то попадается интересный пост, я ставлю соответствующий блог, Твиттер и т.д. «на контроль» в используемую мною программу-агрегатор.
Должна сказать, что самостоятельно мыслящих людей мало и, соответственно, не так уж много публикаций, на которые стоит тратить всё время. Но каждый день я трачу пару часов на мониторинг потока новостей.

9.  Самая интересная прочитанная Вами книга или статья по ИБ?
Для меня любая попавшаяся интересная идея и ссылка (пусть даже в сомнительном источнике) – это повод «закопаться» в интернет в поисках дополнительной информации и первоисточников, поэтому мне трудно выделить кого-то в качестве «самого интересного». Когда регулярно отслеживаешь поток новостей, большинство идей и событий так или иначе «на слуху», поэтому, наверное, мне пока не попадались публикации по тематике ИБ, которые бы перевернули мои взгляды.

10.  Ваш любимый автор художественной литературы?
Очень люблю хорошие детективы, особенно классику типа Агаты Кристи. Читаю и наших авторов, таких, как Маринина :)

11. Вас сложно назвать блогером, посты больше напоминают статьи - всегда детально проработаны и посвящены самым разнообразным темам. Как у Вас получается так много и так качественно?
Блог для меня – не только способ рекламировать себя и распространять определенные идеи, но и рабочий инструмент для накопления, систематизации и анализа информации. Я выкладываю на нем найденную информацию после её первичной обработки, и впоследствии мне легче её отыскивать именно там, а не у себя в компьютере :)
Конечно же, я не работаю в одиночку. У меня есть своя небольшая «семейная» группа поддержки, без которой я бы физически не справилась с постоянно возрастающими объёмами работы.

12. Что Вы можете посоветовать начинающим специалистам?
Молодым специалистам я бы посоветовала сделать то же, что я сама сделала когда-то (но, по-возможности, пораньше) – оглядеться вокруг и понять, как стремительно меняется окружающий мир и профессия. Это создает как проблемы, так и беспрецедентные возможности. Тот, кто способен «оседлать волну» новых идей, технологий и т.д., и удержаться на ней, через пять лет станет идейным лидером и экспертом в своей профессии – просто потому, что большинство коллег по тем или иным причинам не успевает обновлять свои знания и их отбрасывает назад.
Подобная возможность обогнать своих более именитых и опытных коллег бывает только в нечастые в истории периоды революционных перемен. За успех нужно заплатить цену – придётся вложить немало усилий, отдача на которые придёт не сразу. Понадобится также изучить смежные дисциплины, и в первую очередь – ряд вопросов права.
В современных условиях очень важно хорошо знать английский язык и выработать в себе привычку следить за новостями и работать с первоисточниками.

13. Есть ли какие-то хитрости или полезные советы о том, как искать и разбирать судебные решения? Часто представляет трудность даже просто собрать судебную практику, а ее еще нужно проанализировать!
В свое время я начинала с простого: отслеживала по ключевым словам любые судебные решения, в которых хоть как-то упоминались электронные документы или технологии (подумать только, десять лет тому назад это были единичные документы!). Навыки поиска материалов по любой конкретной тематике нарабатываются достаточно быстро.
Когда материалов стало больше, я переключилась на анализ судебных дел, которые прошли все инстанции. Эти решения более стабильны, и к тому же фактически используются в качестве прецедентов. Если мне попадается любопытный спор на стадии разбирательства в первой инстанции, я ставлю дело на контроль и терпеливо жду, когда будет принято окончательное решение.
Нужно сказать, что в судах редко напрямую рассматриваются, например, проблемы управления документами. Очень часто они лишь мельком упоминаются на фоне основной темы спора, т.е. готовенький материал попадается редко, и «золото» нужно намывать по крупицам. Иногда важно то, что какие-то документы и информацию суд и спорящие стороны просто приняли без вопросов в качестве надлежащих доказательств.
Вообще, труднее всего начать анализировать судебную практику. Но со временем привыкаешь к языку и логике судей, и там, где раньше судебные решения казались каким-то нелогичным хаосом, начинаешь видеть определенную систематичность.

14.  Расскажите самый забавный на Ваш взгляд случай в области судебной практики?
Ничто так меня не забавляет, как иногда по-детски наивное поведение судей наших высших судов, когда они пытаются «интерпретировать» простые и ясные требования законодательства о доступе к информации о деятельности государственных органов таким образом, чтобы избавить государственные органы от необходимости раскрывать информацию. То вдруг требуют доказать, что информация нужна гражданину или организации для отстаивания своих интересов (чего закон не требует), то ссылаются на служебную тайну (которой наше законодательство не знает), то «забывают», что содержащие конфиденциальную или секретную информацию документы могут и должны раскрываться в цензурированном виде…

15. Многие молодые специалисты имеют высокие требования к зарплате, даже не обладая минимальным опытом работы, другие напротив – согласны трудиться практически бесплатно ради получения опыта. Как научиться оценивать себя адекватно?
Мы живем при достаточно «диком» капитализме, и «цену» человека зачастую определяют не его объективная квалификация, а игра спроса и предложения, а также предпочтения работодателей. Нет смысла горевать о прошедших временах, когда зарплаты в основном определялись должностными обязанностями и стажем работы, а зеленая молодёжи зарабатывала существенно меньше ветеранов. Я не осуждаю молодых специалистов, которые требуют (и часто получают!) большую зарплату. Они действуют на свой страх и риск, и, между прочим, их высокие запросы приводят к тому, что понемногу «подтягивается» и зарплата их менее напористых коллег.
Я бы сказала, что сейчас те из молодых специалистов, кто склонен себя недооценивать, рискуют больше тех, у кого завышенные запросы. Работать за низкую зарплату имеет смысл лишь тогда, когда или вообще нет иного выбора, или если точно просчитан план карьеры на перспективу.
Для меня гораздо более неприятна распространенная в ИТ и смежных отраслях дискриминация по возрасту. Типичный работодатель любит и продвигает молоденьких девочек и мальчиков, и считает, что делает одолжение тем, кому за 40, уже просто тем, что он терпит их присутствие.
Оценивать себя важно с двух точек зрения. Во-первых, полезно понимать, сколько конкретный работодатель в принципе может заплатить за твой труд с учетом всех обстоятельств. Во-вторых, нужно уметь объективно оценивать себя как специалиста и организатора, видеть свои сильные и слабые стороны, перспективы и потенциальные сферы приложения своих сил – с тем, чтобы не впадать в депрессию в случае потери работы.

16.  Ваше любимое изречение про ИБ?
Если у Вас есть электронные данные и системы, вопрос не в том, будут ли они украдены и взломаны, а кем и когда :)

17.  Что бы Вы посоветовали начинающим специалистам?
Никогда не останавливаться в своем профессиональном росте, какую бы зарплату – большую или маленькую – они ни получали.

Вот такое интервью получилось, мне было очень интересно читать ответы, точка зрения Натальи Александровны мне близка. Большое спасибо ей за участие в проекте!
А кого Вы бы хотели увидеть в Лицах ИБ в следующий раз?

Другие Лица ИБ

https://vk.com/kshudrova - присоединяйтесь к моей группе ВК, здесь новости ИБ, ссылки на свежие посты и интересные материалы других авторов.

суббота, 27 августа 2016 г.

Книги по ИБ

Добрый вечер, дорогие читатели! Не так давно вы голосовали за лучшую тему для поста, на первом месте была криптография, а на втором - книги по ИБ. Давайте сегодня о них и поговорим.
Вообще мои отношения с книгами начались примерно в пять лет, когда я научилась читать. С той поры оторвать меня от чтения можно было только едой или мультиками. Вы будете смеяться, но родителям приходилось выталкивать меня во двор погулять, мотивацией были 3 дополнительных часа чтения после прогулки. Читала я все подряд, все, что могла найти в домашней библиотеке (она у нас большая), а также в библиотеках родственников, городской и школьной библиотеках (на свой абонемент, абонемент мамы и иногда даже младшей сестры), читальных залах. Я обязательно прочитывала 2-3 газеты в неделю (в зависимости от того, сколько их покупали родители). Сейчас, конечно, взрослая жизнь и все такое, но если меня оставить дома одну и забрать средства для уборки, будьте уверены - найдете меня в каком-нибудь углу читающей.
Если в детстве и юности мои интересы простирались исключительно на художественную литературу (иногда на биографии), то со второго курса (то есть с тех времен, когда страх отчисления поутих) я задалась вопросом что-же такого почитать по специальности. Первым делом в ход пошли журналы: "PC magazine", "Мир ПК", "IT спец", "Компьютерра", "Hard and Soft". "Хакер" не брала из-за цены. Больше всего мне нравился айтиспец, я за ним ездила в Квант, где продавались старые номера, а новых почему-то никогда в продаже не видела. В журнале были интересные и качественные статьи по ИТ и ИБ, но по-моему его уже не выпускают. Компьютерру покупала почти каждый месяц, даже на море. Как же мне нравились их философские статьи! Жаль, что уже не выходит на бумаге. Однажды я даже вырезала статью про Джоанну Рутковску, да так и храню эту вырезку до сих пор, уж очень она меня мотивирует.
Журналы дали мне больше, чем некоторые преподаватели, но хотелось академичности знаний. Я начала искать книги. Первой прочитала учебник Мельникова (кажется, "Информационная безопасность и защита информации"). Могу рекомендовать как хорошую основу, понятно, просто и по делу. Затем читала Ярочкина, меньше понравился, но было что оттуда понадергать.
Уже после университета с удовольствием прочитала книгу Лукацкого про 100 мифов ИБ (Мифы и заблуждения информационной безопасности). Она есть в открытом доступе. Заставляет подумать над некоторыми, казалось бы очевидными вещами, имеющими двойное дно. 
Очень понравилась книга "Социальная инженерия и социальные хакеры" Максима Кузнецова и Игоря Симдянова, заметила, что она стоит у меня не рядом с профессиональной литературой, а рядом с художественной. И неспроста! Ее нужно перечитывать. Со времен еще второй моей работы я свято верю, что главное - люди и отношения с ними. Поэтому без социальной инженерии в информационной безопасности никак не обойтись. 
"Компьютерное подполье" Сьюлетта Дрейфуса читала сначала с большим интересом, но потом почему-то бросила, может быть, стоит читать в оригинале. Американская литература иногда просто ужасно переносится на русский язык. 
Кстати говоря, еще в университете я заметила, что покупка американских учебников - дело бесполезное. В качестве примера могу привести книгу по фишингу. Жуть что такое! Повторения, повторения, повторения, примеры из жизни и снова повторения. Весь текст можно свести к паре страниц. Непонятно, зачем тратить время на чтение толстой книги. Другие американские книги (не совсем по ИБ, а, например, по администрированию или программированию) были неплохи, когда нужно быстро разобраться в какой-то теме с нуля. Уж что-что, а разжевывается там все прекрасно. 
И еще немного о книгах, которые мне не нравятся. Я не люблю сборники законодательства. Распечатанный консультант - это очень странно, учитывая, с какой скоростью вносятся поправки в тот же закон "О персональных данных". 
Если говорить о том, что я читаю сейчас, то это блоги, новости, статьи (в основном, по диссертации), до книг руки уже не доходят, да и желания особо нет. Скорее хочется художественное почитать (сейчас - третий том "Атлант расправил плечи").
Вот и все мои мысли по поводу книг. Не все, конечно, потому что про книги я могу говорить и писать очень и очень много, но на первый раз хватит. 
А что читаете Вы?
Жан Оноре Фрагонар. Читающая девушка. Источник

https://vk.com/kshudrova - подписывайтесь на мою группу, здесь ссылки на свежие посты, новости, интересные материалы других авторов.
Моя книга в открытом доступе: ссылка.

пятница, 12 августа 2016 г.

ПДн и криптография

Добрый день, дорогие читатели! По результатам голосвания в моей группе ВК большинством голосов была выбрана тема ПДн и криптография. О ней я уже писала в своей книге, но за год произошли изменения.

Чем руководствоваться при защите ПДн?
Как Вы помните, в конце июня были отменены два документа ссылка. Действующих документов осталось 4:
1. Приказ ФСБ от 10 июля 2014 года № 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности".
2. Приказ ФСБ РФ от 09.02.2005 N 66 "Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)".
3. Приказ ФАПСИ от 13.06.2001 N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну".
4. "Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности" (утв. ФСБ России 31.03.2015 N 149/7/2/6-432).

Должны ли СКЗИ быть сертифицированы?
Судя по тому, что 378 приказ распространяется на все ИСПДн, в которых используются СКЗИ можно предположить, что должны. Однако ситуация стала более запутанной, когда 18 июля вышло новое сообщение по вопросу использования несертифицированных средств кодирования (шифрования) при передаче сообщений в информационно-телекоммуникационной сети "Интернет". Согласно извещению:
1. Обязательной сертификации средств шифрования при передаче сообщений в информационно-телекоммуникационной сети Интернет, массово применяемых для защиты сведений, не составляющих государственную тайну на соответствие требованиям по безопасности информации не требуется.
2. Законом Российской Федерации «О государственной тайне» обязательная сертификация средств шифрования и других средств защиты информации определена только для средств, предназначенных для защиты сведений, содержащих государственную тайну (ст. 28).
Стоит отметить, что формулировки достаточно размыты и однозначные выводы по ним сделать достаточно трудно. Подробный разбор можно почитать у Алексея Лукацкого вот здесь.

Как определить класс СКЗИ?
4 уровень защищенности ПДн
3 уровень защищенности ПДн
2 уровень защищенности ПДн
1 уровень уровень защищенности ПДн
угрозы 2 типа
угрозы 3 типа
угрозы 1 типа
угрозы 2 типа
угрозы 3 типа
угрозы 1 типа
угрозы 2 типа
КС1
КС2
КС3
КВ1
КВ2
КА1
КВ1
КВ2
КА1
КС1
КС2
КС3
КВ1
КВ2
КА1
КА1
КВ1
КВ2
КА1
КС1
КС2
КС3
КВ1
КВ2
КА1
КА1
КВ1
КВ2
КА1

Соответственно для того, чтобы получить более низкий класс СКЗИ, нужно, чтобы для ИСПДн уровень защищенности и тип актуальных угроз был низким.

А как будут проверять?
План проверок на 2016 год можно найти на сайте ФСБ здесь. О том как проходить такие проверки можно прочитать здесь и у Артема Агеева. Информация актуальна. 

Елена Бархаткова. Источник
https://vk.com/kshudrova - ссылки на свежие посты и интересные материалы других авторов.

среда, 3 августа 2016 г.

Как выполнить требования "пакета Яровой"?

Добрый день, дорогие читатели! Вот несколько моих идей на тему:

  1. Перейти на использование ADSL-модемов.
  2. Запретить грузить на сайты тяжелую графику.
  3. Убрать из сети Интернет все видео.
  4. Запретить мессенджеры, можно оставить только текстовые.
  5. Ввести лимит Интернета на человека в месяц (на домохозяйство). Раздавать талоны.
  6. Ограничить скорость соединения до 100кб/c.
  7. Запретить создание новых и дублирующих сайтов. Никаких зеркал.
  8. Ограничить использование точек wi-fi, лучше даже запретить.
Используя один из этих способов (или их комбинации) можно гарантированно уменьшить объем трафика и хранить 3 года данные будет намного проще!
Источник
Подписывайтесь ВК: https://vk.com/kshudrova - ссылки на свежие посты и интересные материалы других авторов.