Регуляторика
-
Регуляторика
SOX IT General Controls у российской дочки: общий логин в ERP и другие открытия
Готовили дочернюю компанию западной корпорации к аудиту SOX IT General Controls. Первое же интервью с администраторами принесло сюрприз с общим логином в ERP.
-
Регуляторика
Классификация ИСПДн по приказу ФСТЭК №58: как это работает на практике
Помогли клиенту пройти классификацию информационных систем персональных данных. CRM неожиданно оказалась К1 - из-за данных о здоровье сотрудников.
-
Регуляторика
152-ФЗ и приказ ФСТЭК №58: проверяем клиента из торговли до дедлайна
Провели аудит соответствия 152-ФЗ для торговой компании. Нашли базы с персданными в Excel на файлопомойке без шифрования и контроля доступа. Составляем план на полгода.
-
Регуляторика
Приказ ФСТЭК №58: разбираем технические меры защиты ПДн
ФСТЭК опубликовал Приказ №58 с методическими документами по техническим мерам для ИСПДн. Разбираем классификацию, матрицу угроз и собираем документарный комплект.
-
Регуляторика
PCI DSS 1.2: готовим ритейл-клиента к аудиту
Вышел PCI DSS 1.2 с уточнениями по беспроводным сетям и шифрованию. Помогаем ритейлеру разобраться с сегментацией, логированием и пентестом - составляем план.
-
Регуляторика
152-ФЗ: клиент попросил аудит - начинаем с инвентаризации
До января 2010 осталось меньше двух лет. Клиент из торговли попросил разобраться, что у него есть с персданными, - начинаем с инвентаризации систем и классификации.
-
Регуляторика
ISO 27001: gap-анализ по 133 контролям - 41% не выполнен, и это ещё оптимистично
Первый клиент попросил помочь с ISO 27001. Провели gap-анализ по Annex A: 41% контролей отсутствует или выполнен частично. Составили roadmap на 18 месяцев.
-
Регуляторика
PCI DSS 1.1 и первый gap-анализ: что нашли в карточной инфраструктуре ретейлера
Клиент-ретейлер попал под PCI DSS и не знал с чего начать. Провели gap-анализ по 12 требованиям: главные дыры - нет сегментации, нет pentest, логи хранятся меньше года.
-
Регуляторика
152-ФЗ: классифицируем ИСПДн у трёх клиентов - и обнаруживаем, что зарплатная база - это К2
Провели классификацию ИСПДн у трёх клиентов по проекту приказа ФСТЭК: составили перечни систем, определили категории К1-К4, посчитали субъектов. Зарплатная база HR - минимум К2.
-
Регуляторика
152-ФЗ вступил в силу: разбираем с юристом технические меры для ИСПДн класса К2
Закон вступил в силу - теперь про «разберёмся потом» не получится. Вместе с юристом клиента смотрим, какие технические меры нужны для ИСПДн класса К2.
-
Регуляторика
152-ФЗ: встаём на учёт в Россвязьнадзор как операторы персданных
Требования к уведомлению Россвязьнадзора вступают в силу. Помогаем клиенту составить реестр ИС, написать положение об обработке и пройти процедуру уведомления первым.
-
Регуляторика
ГОСТ Р ИСО/МЭК 17799-2005: первый аудит по чеклисту за три дня
Первый клиент попросил формальный аудит по ГОСТ 17799. Берём 133 контроля, три дня работы - и находим 40 несоответствий, половина критических.