Инциденты. Раздел

[Eldar Ishimbaev]

Цитата:

Сообщение от Expert

Спасибо за информацию вот теперь вам следующий вопрос у кого вы проводили Аудиторскую проверку на соответствии, по требованиям ИБ. За ранее спасибо за ответ.. И существует ли у нас какое либо НД которое описывает требования ИБ.

Как ранее было замечено, конфиденциальная информация не разглашается третьим лицам.
А по поводу НД - Службой UZ-CERT, начиная с прошлого года, как раз разрабатываются различного рода нормативные документы, регламентирующие различные аспекты обеспечения информационной безопасности в организациях, применяемые как к государственным органам, так и к негосударственным учреждениям. Также запланирована разработка документов на этот год. Существует также такой государственный стандарт - "Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий". Также существует международный стандарт безопасности информационных систем ISO 17799. ЦНТМИ также занимается разработкой НД. Можете поискать у них на сайте. Также можно воспользоваться поисковыми ситемами для поиска НД, откроете много нового для себя.

[Expert]

Цитата:

Сообщение от Eldar Ishimbaev

Как ранее было замечено, конфиденциальная информация не разглашается третьим лицам.
А по поводу НД - Службой UZ-CERT, начиная с прошлого года, как раз разрабатываются различного рода нормативные документы, регламентирующие различные аспекты обеспечения информационной безопасности в организациях, применяемые как к государственным органам, так и к негосударственным учреждениям. Также запланирована разработка документов на этот год. Существует также такой государственный стандарт - "Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий". Также существует международный стандарт безопасности информационных систем ISO 17799. ЦНТМИ также занимается разработкой НД. Можете поискать у них на сайте. Также можно воспользоваться поисковыми ситемами для поиска НД, откроете много нового для себя.

Спасибо за информация хотя я про этих стандартов ИСО 17799 и 15408 знал но до настоящего времени эти стандарты у нас не приняты как Уз ДСТ так это значит что этих стандартов у нас нету официально хотя с 1 января 2004 года в России стандарт ИСО 15408 принят как ГОСТ Р 15408, но данный момент со стороны ЦНТМИ ведутся работы по переводу стандарта ГОСТ Р 15408 в националный язык и в конце 2007 года принять как Уз ДСТ после чего мы можем спокойно ссылаться на него. А на счет стандарта 17799 еще никто не занимаеться надеемся что скоро вот совсем скоро какой то подведомственная организация Уз АСИ даст предложение по данному стандарту.

[Eldar Ishimbaev]

Стандарт может быть и не принят, но руководствоваться им в своей деятельности не запрещено. А принятие стандарта O'z DSt ISO/IEC 15408-1 -2 -3, будет основано не на ГОСТ Р 15408, а на основе текста международного стандарта ISO/IEC 15408-1 -2 -3:99.

[Daniyar Atadjanov]

Цитата:

Сообщение от Expert

Спасибо за информация хотя я про этих стандартов ИСО 17799 и 15408 знал но до настоящего времени эти стандарты у нас не приняты как Уз ДСТ так это значит что этих стандартов у нас нету официально хотя с 1 января 2004 года в России стандарт ИСО 15408 принят как ГОСТ Р 15408, но данный момент со стороны ЦНТМИ ведутся работы по переводу стандарта ГОСТ Р 15408 в националный язык и в конце 2007 года принять как Уз ДСТ после чего мы можем спокойно ссылаться на него. А на счет стандарта 17799 еще никто не занимаеться надеемся что скоро вот совсем скоро какой то подведомственная организация Уз АСИ даст предложение по данному стандарту.

C 1 января 2007 года в России вводится в действие ГОСТ Р ИСО/МЭК 17799-2005, разработанный на основе стандарта ISO 17799:2000.

[Expert]

Цитата:

Сообщение от Eldar Ishimbaev

Стандарт может быть и не принят, но руководствоваться им в своей деятельности не запрещено. А принятие стандарта O'z DSt ISO/IEC 15408-1 -2 -3, будет основано не на ГОСТ Р 15408, а на основе текста международного стандарта ISO/IEC 15408-1 -2 -3:99.

Вы абсолютно правы руководствоваться им не запрещено но ссылатса на них еще рановато. А на счет принятие стандарта O'z DSt ISO/IEC 15408-1 -2 -3, будет основано на основе ISO/IEC 15408-1 -2 -3:99 тут вы еще раз правы но данный момент этот стандарт переводиться на националный язык не с ISO/IEC 15408-1 -2 -3:99 а перевод ведется на национальный язык на основе ГОСТ Р 15408 потому что ГОСТ Р 15408 тоже идентичен ISO/IEC 15408-1 -2 -3:99 надеюсь вы меня поняли.

[Expert]

Цитата:

Сообщение от Daniyar Atadjanov

C 1 января 2007 года в России вводится в действие ГОСТ Р ИСО/МЭК 17799-2005, разработанный на основе стандарта ISO 17799:2000.

ну если уже ввели с 1 января 2007 года, надеюсь у нас тоже совсем скоро появиться на свет наш Уз ДСТ ИСО/МЭК 17799-2005. (Кстати как инициатор вы тоже можете эту предложение даст в Уз АСИ в план разработки НД в 2007 года пока время есть действуйте раз вы уже знакомы с этим стандартом).

[Daniyar Atadjanov]

Цитата:

Сообщение от Expert

ну если уже ввели с 1 января 2007 года, надеюсь у нас тоже совсем скоро появиться на свет наш Уз ДСТ ИСО/МЭК 17799-2005.

думаю так же, как и 15408 - через пару лет "появится". Если не ошибаюсь, в России также с этого года вступил в силу 27001.

[Djalolatdin Rakhimov]

Цитата:

Сообщение от Cкляревский Е. С.

Ответы Церта тогда были, мягко говоря, неубедительными (отписки, ссылки на нормативные докумены и все) и у читателей форумов остался осадок, что до конца так и не разобрались. Админы автоцентра до сих пор уверены имхо, в "нехорошести" Церта. У нас с Азаматом Атаджановым была довольно острая дискуссия о случившимся. Наверное стоит сейчас, в новых реалиях этого форума расставить точки над Й ? Или не стоит - на ваше усмотрение.

Если так - то я ЗА. Нам не нужны слухи и домыслы. Что же они в суд на нас тогда не подали? Это очень модно стало в последнее время вокруг UZINFOCOM. Попросите ребят с автоцентра инициировать тему.

[Expert]

1. Лицензиаты (особенно провайдеры) если выявляют инцидент, то каким образом и кого они должны уведомлять?

2. Или есть какая то взаимодействия между провайдерами и службой СЕРТ об выявленных инцидентов?

[Daniyar Atadjanov]

Цитата:

Сообщение от Expert

1. Лицензиаты (особенно провайдеры) если выявляют инцидент, то каким образом и кого они должны уведомлять?

2. Или есть какая то взаимодействия между провайдерами и службой СЕРТ об выявленных инцидентов?

1. Могут нам. Должны ли? Точно не знаю. Слышал, что есть такой пункт, что они должны сообщать об этом в УзАСИ, но это не точно. Кто знает, просьба прокомментировать.
2. Взаимодействие есть. Об улучшении взаимодействия и, возможно, придания ему более официального характера предполагается обсудить на Круглом столе с провайдерами.