Как определить уровень защищенности информационных систем

Максим Малкиев 11 июня 2015

Верное определение уровня защищенности персональных данных важно для принятия адекватных мер защиты. Если уровень завышен — деньги потрачены зря. Учреждения здравоохранения используют множество информационных систем персональных данных, поэтому рассмотрим параметры определения уровня защищенности на примере медиков.

2 комментария
П
Пользователь 18 мая
Не совсем понятно, как определить тип актуальных угроз, что такое недокументированные возможности? Например, сервис разрабатывается на распространенном стэке - mysql+php+js. По идее недокументированных возможностей в системном программном обеспечении быть не должно, так как технологии распространенные и скорее всего возможности задокументированы. Или не так? И как определить задокументированность возможностей прикладного ПО
С
Сергей 28 августа
Для прикладного ПО должна быть проверка на недокументированные возможности (отправляют они чего-то, куда-то без вашего ведома и вообще не живут-ли своей жизнью в сети). По окончании проверки на ПО выдают сертификат от ФСТЭК. Если в сети есть хоть одно ПО без сертификата ФСТЭК, то типом актуальных угроз можно считать тип 2 - "актуальные угрозы, связанные с наличием недокументированных возможностей в прикладном программном обеспечени". Если есть операционные системы без сертификата ФСТЭК, то тип 1 "актуальны угрозы, связанные с наличием недокументированных возможностей в системном программном обеспечении". А вот если в организации есть сотрудник, касающийся компьютеров и являющийся сыночком генерального директора, которому все можно и даже в КС на серваке поиграть, то тип 3 "актуальны угрозы, не связанные с наличием недокументированных возможностей в системном и прикладном программном обеспечении". Я все так понял.

Читайте также