Comments 11
UFO just landed and posted this here
Тут проблема скорее другая. Рассмотрим ситуацию. Скажем встает задача импортозамещения. Не будем спорить насколько она нужна, примем, что нужна. Как поступали во времена не столь далекие? Грубо говоря выпускали сроки и назначали ответственных. Те в свою очередь собирали спецов, писали спецификации/тз, контролировали процесс, организовывали приемочное тестирование и тд и тп. Естественно были конфликты, ведомственные интересы, подковерная борьба — но структура работала и периодически что-то выпускала
Здесь же есть задача, но нет специалистов/финансирования/ответственности которые бы построили структуру, позволяющую создать некое программное или аппаратное решение. Приходится довольствоваться тем, что может предложить бизнес.
Здесь же есть задача, но нет специалистов/финансирования/ответственности которые бы построили структуру, позволяющую создать некое программное или аппаратное решение. Приходится довольствоваться тем, что может предложить бизнес.
Т.к. большинство гос. услуг перекочевало в сеть, то и соответствующий контроль требуется. В последние годы взгляды органов обратились к ЦОДам, как одному из наиболее перспективных направлений (издержки на поддержание собственной инфраструктуры велики), а чтобы быть уверенными в «тратах», ФСТЭК, в части своей компетенции, поменял механизм контроля и требования в целом (требования к МЭ только начало).
Мало кто обращается к документам определяющим требования к ИСОП и КСИИ, и не важно что там нет ПДн и другой защищаемой законом информации.
Мало кто обращается к документам определяющим требования к ИСОП и КСИИ, и не важно что там нет ПДн и другой защищаемой законом информации.
Не перестаю удивляться каким чудовищным языком пишут требования наши регуляторы. Или это всё нормативка и есть нормальные руководства, вроде DISA STIG и брощюр NSA?
Мне лично нравятся таблицы PCI DSS. Приказы ФСТЭК по типу 17го тоже неплохие, если смотреть именно на четкость изложения
Это обычный язык 15408-Common Criteria. Можете тут сравнить.
Надо будет перечитать оригинал, но я немного не понял:
Возможность анализа кук, запросов и т.д. и т.п. каким образом это должно быть реализовано, если унас https? Ведь расшифровка трафика происходит уже на веб-сервере. Или же у нас должно быть реализовано что-то nginx с организацией https, потом файервол, а потом уже апач/томкат?
Возможность анализа кук, запросов и т.д. и т.п. каким образом это должно быть реализовано, если унас https? Ведь расшифровка трафика происходит уже на веб-сервере. Или же у нас должно быть реализовано что-то nginx с организацией https, потом файервол, а потом уже апач/томкат?
Так в том и интерес, что по документу никаких HTTPS, управления сертификатами нет. Два места, где этот протокол упоминается — это возможность доступа для анализа трафика «по протоколу передачи гипертекста с применением криптографических методов защиты информации в соответствии с законодательством РФ». Тоесть, если я правильно понимаю русский канцелярский — нужно проверять только если трафик шифруется с применением российской криптографии. Как поступать в иных случаях — упоминаний нет
Возможно это требование под конкретный продукт?
Читая Ваши посты, прихожу к такому же выводу. И почему-то мне кажется что под «Код безопасности» с их Secret Net Studio.
UFO just landed and posted this here
Sign up to leave a comment.
ФСТЭК: требования к файрволам — 2