tag:blogger.com,1999:blog-43882821153821107152024-03-13T20:16:50.063-07:00BSAT devteamAlexhttp://www.blogger.com/profile/02182004858181857672noreply@blogger.comBlogger25125tag:blogger.com,1999:blog-4388282115382110715.post-6374379212297209762012-03-20T22:10:00.000-07:002012-03-20T22:10:05.960-07:00конфликт BSAT и КриптоПро<div dir="ltr" style="text-align: left;" trbidi="on">
<div style="text-align: justify;">
Если у Вас установлен криптопровайдер КриптоПро версии 3.6, то у Вас может возникать сбой при запуске BSAT, связанный с некорректной работой криптопровайдера КриптоПро с платформой Microsoft .Net.<br />
Для организации совместной работы КриптоПро и BSAT Вам необходимо скачать и запустить на компьютере <a href="http://leetsoft.ru/install/cryptoprofix.zip" target="_blank">reg-фаил</a> либо произвести изменения в реестре Windows вручную:<br />
1. Перейти к ветке [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\CProExclude\];<br />
2. Создать внутри ветки два раздела: "BSAT" и "BSAT_Demo";</div>
<div style="text-align: justify;">
3. В разделе "BSAT" создать строковый параметр с именем "FileName" и значением "BSAT.exe";</div>
<div style="text-align: justify;">
4. В разделе "BSAT_Demo" создать строковый параметр с именем "FileName" и значением "BSAT_Demo.exe";</div>
<div style="text-align: justify;">
5. Перезагрузить компьютер.<br />
</div>
<div style="text-align: justify;">
Вы можете так же получить подробные инструкции по решению этой проблемы по телефону (861) 290-17-53 либо по электронной почте support@leetsoft.ru. </div>
<div style="text-align: justify;">
</div>
<div style="text-align: justify;">
</div>
<div style="text-align: justify;">
<span style="background-color: rgba(255, 255, 255, 0.918); color: #1f497d; display: inline ! important; float: none; font-family: Calibri,sans-serif; font-size: 14px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px;"></span></div>
</div>Anonymousnoreply@blogger.com1tag:blogger.com,1999:blog-4388282115382110715.post-8993183998786023812012-02-10T01:05:00.000-08:002012-02-10T01:05:44.335-08:00BSAT по подписке<div dir="ltr" style="text-align: left;" trbidi="on">
<div class="separator" style="clear: both; text-align: center;">
<a href="http://3.bp.blogspot.com/-9aYz_r5tP14/TzTNnIifL0I/AAAAAAAAACk/JOOcKmYuuOg/s1600/bsat+saas.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="239" src="http://3.bp.blogspot.com/-9aYz_r5tP14/TzTNnIifL0I/AAAAAAAAACk/JOOcKmYuuOg/s320/bsat+saas.png" width="320" /></a></div>
<div style="text-align: justify;">
Следуя за современными тенденциями в мире ИТ, сегодня мы рады представить вам новую модель распростронения нашего программного обеспечения - подписка на BSAT.</div>
<div style="text-align: justify;">
</div>
<a name='more'></a>Если по каким-либо причинам вы не хотите приобретать BSAT Standard, вы можете взять наше ПО в аренду сроком от 3х месяцев на выгодных финансовых условиях - цена на подписку составляет всего <span style="font-size: large;"><b>5 тыс. рублей</b></span> в месяц.<br />
<div style="text-align: justify;">
При этом вы получаете весь функционал BSAT Standard без ограничений, однако работа программы будет целиком зависеть от статуса вашей подписки.</div>
<div style="text-align: justify;">
Оплатить подписку теперь будет достаточно просто - нужно зайти на нашу <a href="http://saas.leetsoft.ru/service/bank_security_assessm/" target="_blank">ВИТРИНУ</a>, зарегистрироваться и запросить счёт. Затем после получения счёта, оплатить его с помощью банковского перевода. После этого вы получите уникальный ключ подписки и профиль вашей организации (файл, в котором содержатся сведения о вашей компании, необходимые для генерации отчетных документов программы). Далее осталось только <a href="http://leetsoft.ru/download/" target="_blank">скачать</a> дистрибутив BSAT Subcribe и начинать планировать самооценку.</div>
</div>Anonymousnoreply@blogger.com0tag:blogger.com,1999:blog-4388282115382110715.post-27190857000141421172011-12-07T21:48:00.001-08:002011-12-07T22:41:11.582-08:00АРБ о ПДн и СТО БР ИББС<div dir="ltr" style="text-align: left;" trbidi="on">
<div style="text-align: justify;">
<a href="http://www.arb.ru/site/action/list_news.php?id=4169#info" target="_blank">Тут </a>доступно информационное <a href="http://www.arb.ru/site/docs/ConsCenter/ConsCenter_Info-5_02-12-2011.doc" target="_blank">письмо </a>Ассоциации российских банков (АРБ) по поводу июльской редакции 152-ФЗ "О персональных данных".</div>
<div style="text-align: justify;">
Краткие выводы:</div>
<ul style="text-align: justify;">
<li>СТО БР ИББС, по-прежнему, полностью легитимен как альтернатива требованиям ФСТЭК/ФСБ по защите ПДн;</li>
<li>Поправки стоит ждать не ранее того, как Правительство выпустит РД по уровням защищённости;</li>
<li>Все спорные вопросы решены в пользу тех, кто принял СТО БР ИББС.</li>
</ul>
<div style="text-align: justify;">
Однако я хотел бы дать некоторые советы читателям, основываясь на собственной практике общения с регуляторами:</div>
<ul style="text-align: justify;">
<li>Классифицировать информационные системы стоит, в том числе, и по классификации К1-К4. Это обычно не несёт никаких негативных последствий, но значительно упрощает диалог с регуляторами;</li>
<li>По мнению представителя Роскомнадзора, обработка резюме требует согласия кандидата, т.к. факт заключения с ним трудового договора неизвестен. Вероятно другое мнение по этому вопросу прийдётся доказывать в суде;</li>
<li>Ксерокопия или скан паспорта является биометрической информацией;</li>
<li>Всем, кто направил уведомление в РКН без информации об ответственном и о мерах по защите ПДн, следует направить информационное письмо с недостающей информацией в РКН до 2013г;</li>
<li>Стоит так же озаботиться наличием некоторого количества сертифицированных СЗИ (например, ключей eToken). РКН может запрашивать копии сертификатов. ФСТЭК очень отрицательно относится к "одобренным руководством" несертифицированным СЗИ;</li>
<li>Следует так же различать архивное хранение ПДн от хранения ПДн в действующей ИС. Архивное хранение - это бэкап БД. Поэтому не следует допускать хранение сведений об уволённых сотрудниках непосредственно в ИСПДн после окончания отчётного периода.</li>
</ul>
</div>Anonymousnoreply@blogger.com9tag:blogger.com,1999:blog-4388282115382110715.post-40026506877903961692011-12-02T02:58:00.001-08:002011-12-02T03:08:52.104-08:00161-ФЗ "О национальной платежной системе" и СТО БР ИББС<div dir="ltr" style="text-align: left;" trbidi="on">
<div style="text-align: justify;">
Как мы знаем, июльская поправка к 152-ФЗ "О персональных данных" леголизовала СТО БР ИББС в качестве отраслевого стандарта безопасности персональных данных, однако это не единственный федеральный закон, ссылающийся на СТО БР ИББС.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<a href="http://www.consultant.ru/document/cons_doc_LAW_115625/?frame=3#p743" target="_blank">27 статья</a> ФЗ "О национальной платёжной системе" говорит нам о том, что Банк России так же устанавливает требования по защите информации в платёжных системах, обязательные для исполнения всеми операторами по переводу денежных средств, банковскими платежными агентами и субагентами, операторами платежных систем и операторами услуг платежной инфраструктуры. Срок вступления указанной статьи в силу - 27.06.2012. </div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Однако следует напомнить, что внедрение СТО БР ИББС - процесс затяжной, поэтому откладывать его на вторую половину года не стоит. </div>
</div>Anonymousnoreply@blogger.com5tag:blogger.com,1999:blog-4388282115382110715.post-43190132466215618092011-10-31T01:43:00.000-07:002011-10-31T01:43:07.174-07:00Глобальное обновление BSAT 1.3.<div dir="ltr" style="text-align: left;" trbidi="on">
<div style="text-align: justify;">
Сегодня мы выпускаем новое обновление BSAT - 1.3. Мы потратили много усилий на то, чтобы удовлетворить потребности и самых "ортодоксальных" аудиторов и тех, кто видит в методике не цель, а средство. </div>
<div style="text-align: justify;">
<br />
<br /></div>
<div style="text-align: justify;">
BSAT 1.3 <u><b>полностью</b></u> реализует все особенности Методики оценки СТО БР ИББС-1.2-2010, оставляя аудитору возможность активно влиять на процесс оценки ИБ.<br />
<br />
Теперь поподробней.. <br />
<br />
<a name='more'></a><br /></div>
<div style="text-align: center;">
<b>"Тройная" оценка показателей М1-М6.</b></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="http://1.bp.blogspot.com/-9Ucnf34jobQ/Tq0Brp4R3CI/AAAAAAAAAB0/yuTXDVK6OaY/s1600/%25D0%25A1%25D0%25BD%25D0%25B8%25D0%25BC%25D0%25BE%25D0%25BA.PNG" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" height="204" src="http://1.bp.blogspot.com/-9Ucnf34jobQ/Tq0Brp4R3CI/AAAAAAAAAB0/yuTXDVK6OaY/s320/%25D0%25A1%25D0%25BD%25D0%25B8%25D0%25BC%25D0%25BE%25D0%25BA.PNG" width="320" /></a></div>
<div style="text-align: justify;">
Согласно Методики оценки, оценивание частных показателей М1-М6 необходимо проводить раздельно по банковскому платежному технологическому процессу (БПТП), банковскому информационному процессу (БИТП) и банковскому технологическому процессу, в рамках которого обрабатываются персональные данные (БТППДн).</div>
<div style="text-align: justify;">
Учитывая общий характер большинства частных показателей в групповых показателях М1-М6, перед нами стояла задача реализовать "тройную" оценку таким образом, чтобы свести лишнюю работу аудитора по копированию оценок и свидетельств к минимуму. </div>
<div style="text-align: justify;">
Мы эту задачу успешно решили, предоставив аудитору выбор способа оценки частного показателя ИБ: либо по общей шкале, либо по "тройной".</div>
<div style="text-align: justify;">
Каждый из оцениваемых процессов в "тройной" шкале полностю независим, обладает собственными шкалами, оценкой и свидетельствами аудита. Таким образом, каждый из групповых показателей в диапазоне М1-М6 содержит по три оценки по каждому типу процессов, что и отображается на новой диаграмме соответствия. </div>
<div style="text-align: center;">
<br /></div>
<div style="text-align: center;">
<b>Полноценная реализация уточняющих вопросов Приложения В.</b></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="http://3.bp.blogspot.com/-iIvAFDlD8zs/Tq0JA01LJRI/AAAAAAAAACE/lwqYulKHydc/s1600/%25D0%25A1%25D0%25BD%25D0%25B8%25D0%25BC%25D0%25BE%25D0%25BA.PNG" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"><img border="0" height="166" src="http://3.bp.blogspot.com/-iIvAFDlD8zs/Tq0JA01LJRI/AAAAAAAAACE/lwqYulKHydc/s400/%25D0%25A1%25D0%25BD%25D0%25B8%25D0%25BC%25D0%25BE%25D0%25BA.PNG" width="400" /></a></div>
<div style="text-align: justify;">
Уточняющие вопросы Приложения В Методики оценки влияют на 80 частых показателей ИБ, и, как следствие, могут существенно влиять на итоговую оценку R. </div>
<div style="text-align: justify;">
Поэтому мы решили полностью переделать реализацию Приложения В в нашей программе и вот что получилось: </div>
<ul style="text-align: left;">
<li>уточняющие вопросы вынесены в отдельный "групповой показатель" и для удобства оценки разбиты на подвопросы;</li>
<li>состав уточняющих вопросов формируется на основе указанных типов ИСПДн;</li>
<li>влияние уточняющего вопроса на частный показатель отображается стрелкой напротив максимально допустимого уровня соответствующей шкалы (см. рисунок);</li>
<li>УВ поддерживают фиксацию свидетельств аудита, могут быть неактуальными, поддерживают смену шкал и т.д.</li>
</ul>
Мы так же добавили новый отчетный документ, отображающий оценки и свидетельства уточняющих вопросов.<br />
<br />
<div style="text-align: center;">
<b>Прикрепление файлов к оценкам</b>.</div>
<div style="text-align: justify;">
При проведении аудита приходится собирать множество документов, которые хотелось бы всегда потом иметь под рукой.<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://4.bp.blogspot.com/-tXYQWuDOVOI/Tq458_6S3zI/AAAAAAAAACU/6FBsXG-znD0/s1600/%25D0%25A1%25D0%25BD%25D0%25B8%25D0%25BC%25D0%25BE%25D0%25BA.PNG" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="139" src="http://4.bp.blogspot.com/-tXYQWuDOVOI/Tq458_6S3zI/AAAAAAAAACU/6FBsXG-znD0/s640/%25D0%25A1%25D0%25BD%25D0%25B8%25D0%25BC%25D0%25BE%25D0%25BA.PNG" width="640" /></a></div>
</div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div style="text-align: justify;">
Прикрепленные документы автоматически копируются в папку Мои документы\BSAT\<название оценки ИБ>\Документы.<br />
Таким же образом можно добавлять и результаты наблюдений аудитора - лог-файлы, отчеты, схемы и т.д.</div>
<div style="text-align: center;">
<b>Важные мелочи.</b></div>
<div style="text-align: justify;">
1. Копирование и экспорт оценок. Эти операции включают в себя полностью все параметры оценки, такие как выбранные шкалы, свидетельства аудита и даже прикрепленные документы.</div>
<div style="text-align: justify;">
2. Добавлены новые экспортные документы, в том числе, перечень устных свидетельств, который сортирует все устные свидетельства по сотрудникам для того, чтобы они могли прочитать все свои высказывания разом и расписаться за них.</div>
<div style="text-align: justify;">
Перечень документальных свидетельств позволяет легко отслеживать какие частные показатели зависят от того или иного документа.</div>
<div style="text-align: justify;">
3. Полноценная работа с вопросами-аналогами. Программа позволяет работать как с оригиналом, так и с аналогами. Все изменения отслеживаются в обе стороны.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Мы постоянно развиваем и совершенствуем нашу программу, опираясь на опыт реальных аудитов и аудиторов. Если у Вас есть пожелания или отзыв о нашем продукте - мы с удовольствием Вас выслушаем!</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Демоверсия BSAT 1.3 доступна на нашем <a href="http://leetsoft.ru/download/">сайте</a>. </div>
</div>Anonymousnoreply@blogger.com0tag:blogger.com,1999:blog-4388282115382110715.post-39587447440714513302011-10-20T03:45:00.000-07:002011-10-20T03:54:22.719-07:00Флешки, налоговая и ДБО<div dir="ltr" style="text-align: left;" trbidi="on">
<div style="text-align: justify;">
Теме мошейничества в системах ДБО уделяется сейчас много внимания. Главная проблема здесь - заражение вирусами наподобие Зевса компьютеров - клиентов системы ДБО банка.</div>
<div style="text-align: justify;">
Тут идёт настоящая торговля "загрузками" троянов на машину жертвы, и преступники постоянно ищут способ этот процесс автоматизировать/оптимизировать.</div>
<div style="text-align: justify;">
Как известно, налоговая недавно отказалась наконец-таки от дискет и перешла на флешки. Теперь между компьютером налогового инспектора и бухгалтериями юр.лиц курсируют флешки с отчётностью, причем "ширина канала" со стороны налоговой составляет сотни и тысячи флешек в день. Т.о. заражённый компьютер налогового инспектора способен заражать сотни компьютеров с установленным банк-клиентом ежедневно. Подсмотреть название антивируса, которым пользуются в налоговой, так же не составляет никакого труда. Спрятать вирус от конркетного антивируса - дело техники.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Так что будьте готовы.<br />
<br />
[UPDATE] Вбил в гугл фразу "принес вирус из налоговой". Да, всё так и есть.</div>
</div>Anonymousnoreply@blogger.com0tag:blogger.com,1999:blog-4388282115382110715.post-77776704231594711752011-10-04T22:34:00.000-07:002011-10-14T11:49:45.307-07:00BSAT 1.2.1.0<div dir="ltr" style="text-align: left;" trbidi="on">
<div class="separator" style="clear: both; text-align: center;">
<a href="http://4.bp.blogspot.com/-uHsPYY-Jcms/Tovr12f7KnI/AAAAAAAAABw/aaB-YarBRRA/s1600/%25D0%25A1%25D0%25BD%25D0%25B8%25D0%25BC%25D0%25BE%25D0%25BA.JPG" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="145" src="http://4.bp.blogspot.com/-uHsPYY-Jcms/Tovr12f7KnI/AAAAAAAAABw/aaB-YarBRRA/s320/%25D0%25A1%25D0%25BD%25D0%25B8%25D0%25BC%25D0%25BE%25D0%25BA.JPG" width="320" /></a></div>
Небольшое обновление программы. Добавлена возможность выбора шкалы. Цветовой индикатор вопроса теперь так же отображает численное значение частного показателя.<br />
<br />
Так же по просьбам пользователей поля "Дата" и "Кем утвержден" документальных свидетельств сделаны необязательными.<br />
<br />
[UPDATE] видеоролик, демонстрирующий новые возможности BSAT 1.2.1, выложен на <a href="http://www.youtube.com/watch?v=elTk-Dz6-Fw">youtube</a>.<br />
[UPDATE2] микроапдейт 1.2.1.1. Добавлена синхронизация потоков программы для лучшей производительности и корректной работы при быстром переключении групповых показателей. </div>Anonymousnoreply@blogger.com0tag:blogger.com,1999:blog-4388282115382110715.post-14177337531266276282011-09-28T02:57:00.000-07:002011-09-28T02:57:44.144-07:00Новая версия BSAT 1.2<div dir="ltr" style="text-align: left;" trbidi="on">
Закончили работу над новой версией BSAT. Демоверсия уже доступна на нашем <a href="http://leetsoft.ru/download/">сайте</a>.<br />
<br />
Это самое большое обновление BSAT с момента выхода программы: код программы вырос почти в два раза. <br />
<br />
Вот основные нововведения в версии 1.2:<br />
<br />
<a name='more'></a><br />
<ul style="text-align: left;">
<li>Добавлена возможность фиксации свидетельств аудита;</li>
<li>Цветовой индикатор вопроса отражает наличие свидетельств; </li>
<li>Добавлена возможность копирования свидетельств при копировании оценок ИБ;</li>
<li>Снята защита на редактирование отчётных документов программы (кроме «Подтверждения» и «Приложения А»);</li>
<li>Добавлена возможность просмотра диаграммы соответствия и оценок соответствия при неполной оценке ИБ;</li>
<li>Добавлена возможность генерации отчётных документов (Приложение А и Б) при неполной оценке ИБ;</li>
<li>Добавлена возможность выбора интересующих групп при генерации отчётных документов, а так же возможность сохранения оценок по каждой группе в отдельные файлы;</li>
<li>Профиль организации теперь необходимо выбирать только при первом запуске программы;</li>
<li>При выполнении длительных по времени задач теперь отображается процент выполнения задачи;</li>
<li>Изменено наименование шкал;</li>
<li>Изменены шкалы для ЧП: 2.6, 2.8, 2.9, 6.3, 9.2;</li>
<li>Исправлены опечатки, ошибки и увеличена стабильность работы программы.</li>
</ul>
<div style="text-align: left;">
Мы постарались организовать работу со свидетельствами просто и удобно для аудитора. Панель свидетельств появляется сразу как только вы наведете курсор на вопрос. Нет необходимости читать руководство и искать нужную кнопку - все у вас под рукой.</div>
<div style="text-align: left;">
Обязательно попробуйте экспорт свидетельств по форме приложения Б Методики оценки!</div>
<div style="text-align: left;">
</div>
<div style="text-align: left;">
<br /><!--[if gte mso 9]><xml>
<o:OfficeDocumentSettings>
<o:AllowPNG/>
</o:OfficeDocumentSettings>
</xml><![endif]--><!--[if gte mso 9]><xml>
<w:WordDocument>
<w:View>Normal</w:View>
<w:Zoom>0</w:Zoom>
<w:TrackMoves/>
<w:TrackFormatting/>
<w:PunctuationKerning/>
<w:ValidateAgainstSchemas/>
<w:SaveIfXMLInvalid>false</w:SaveIfXMLInvalid>
<w:IgnoreMixedContent>false</w:IgnoreMixedContent>
<w:AlwaysShowPlaceholderText>false</w:AlwaysShowPlaceholderText>
<w:DoNotPromoteQF/>
<w:LidThemeOther>RU</w:LidThemeOther>
<w:LidThemeAsian>X-NONE</w:LidThemeAsian>
<w:LidThemeComplexScript>X-NONE</w:LidThemeComplexScript>
<w:Compatibility>
<w:BreakWrappedTables/>
<w:SnapToGridInCell/>
<w:WrapTextWithPunct/>
<w:UseAsianBreakRules/>
<w:DontGrowAutofit/>
<w:SplitPgBreakAndParaMark/>
<w:EnableOpenTypeKerning/>
<w:DontFlipMirrorIndents/>
<w:OverrideTableStyleHps/>
</w:Compatibility>
<m:mathPr>
<m:mathFont m:val="Cambria Math"/>
<m:brkBin m:val="before"/>
<m:brkBinSub m:val="--"/>
<m:smallFrac m:val="off"/>
<m:dispDef/>
<m:lMargin m:val="0"/>
<m:rMargin m:val="0"/>
<m:defJc m:val="centerGroup"/>
<m:wrapIndent m:val="1440"/>
<m:intLim m:val="subSup"/>
<m:naryLim m:val="undOvr"/>
</m:mathPr></w:WordDocument>
</xml><![endif]--><!--[if gte mso 9]><xml>
<w:LatentStyles DefLockedState="false" DefUnhideWhenUsed="true"
DefSemiHidden="true" DefQFormat="false" DefPriority="99"
LatentStyleCount="267">
<w:LsdException Locked="false" Priority="0" SemiHidden="false"
UnhideWhenUsed="false" QFormat="true" Name="Normal"/>
<w:LsdException Locked="false" Priority="9" SemiHidden="false"
UnhideWhenUsed="false" QFormat="true" Name="heading 1"/>
<w:LsdException Locked="false" Priority="9" QFormat="true" Name="heading 2"/>
<w:LsdException Locked="false" Priority="9" QFormat="true" Name="heading 3"/>
<w:LsdException Locked="false" Priority="9" QFormat="true" Name="heading 4"/>
<w:LsdException Locked="false" Priority="9" QFormat="true" Name="heading 5"/>
<w:LsdException Locked="false" Priority="9" QFormat="true" Name="heading 6"/>
<w:LsdException Locked="false" Priority="9" QFormat="true" Name="heading 7"/>
<w:LsdException Locked="false" Priority="9" QFormat="true" Name="heading 8"/>
<w:LsdException Locked="false" Priority="9" QFormat="true" Name="heading 9"/>
<w:LsdException Locked="false" Priority="39" Name="toc 1"/>
<w:LsdException Locked="false" Priority="39" Name="toc 2"/>
<w:LsdException Locked="false" Priority="39" Name="toc 3"/>
<w:LsdException Locked="false" Priority="39" Name="toc 4"/>
<w:LsdException Locked="false" Priority="39" Name="toc 5"/>
<w:LsdException Locked="false" Priority="39" Name="toc 6"/>
<w:LsdException Locked="false" Priority="39" Name="toc 7"/>
<w:LsdException Locked="false" Priority="39" Name="toc 8"/>
<w:LsdException Locked="false" Priority="39" Name="toc 9"/>
<w:LsdException Locked="false" Priority="35" QFormat="true" Name="caption"/>
<w:LsdException Locked="false" Priority="10" SemiHidden="false"
UnhideWhenUsed="false" QFormat="true" Name="Title"/>
<w:LsdException Locked="false" Priority="1" Name="Default Paragraph Font"/>
<w:LsdException Locked="false" Priority="11" SemiHidden="false"
UnhideWhenUsed="false" QFormat="true" Name="Subtitle"/>
<w:LsdException Locked="false" Priority="22" SemiHidden="false"
UnhideWhenUsed="false" QFormat="true" Name="Strong"/>
<w:LsdException Locked="false" Priority="20" SemiHidden="false"
UnhideWhenUsed="false" QFormat="true" Name="Emphasis"/>
<w:LsdException Locked="false" Priority="59" SemiHidden="false"
UnhideWhenUsed="false" Name="Table Grid"/>
<w:LsdException Locked="false" UnhideWhenUsed="false" Name="Placeholder Text"/>
<w:LsdException Locked="false" Priority="1" SemiHidden="false"
UnhideWhenUsed="false" QFormat="true" Name="No Spacing"/>
<w:LsdException Locked="false" Priority="60" SemiHidden="false"
UnhideWhenUsed="false" Name="Light Shading"/>
<w:LsdException Locked="false" Priority="61" SemiHidden="false"
UnhideWhenUsed="false" Name="Light List"/>
<w:LsdException Locked="false" Priority="62" SemiHidden="false"
UnhideWhenUsed="false" Name="Light Grid"/>
<w:LsdException Locked="false" Priority="63" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Shading 1"/>
<w:LsdException Locked="false" Priority="64" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Shading 2"/>
<w:LsdException Locked="false" Priority="65" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium List 1"/>
<w:LsdException Locked="false" Priority="66" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium List 2"/>
<w:LsdException Locked="false" Priority="67" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Grid 1"/>
<w:LsdException Locked="false" Priority="68" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Grid 2"/>
<w:LsdException Locked="false" Priority="69" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Grid 3"/>
<w:LsdException Locked="false" Priority="70" SemiHidden="false"
UnhideWhenUsed="false" Name="Dark List"/>
<w:LsdException Locked="false" Priority="71" SemiHidden="false"
UnhideWhenUsed="false" Name="Colorful Shading"/>
<w:LsdException Locked="false" Priority="72" SemiHidden="false"
UnhideWhenUsed="false" Name="Colorful List"/>
<w:LsdException Locked="false" Priority="73" SemiHidden="false"
UnhideWhenUsed="false" Name="Colorful Grid"/>
<w:LsdException Locked="false" Priority="60" SemiHidden="false"
UnhideWhenUsed="false" Name="Light Shading Accent 1"/>
<w:LsdException Locked="false" Priority="61" SemiHidden="false"
UnhideWhenUsed="false" Name="Light List Accent 1"/>
<w:LsdException Locked="false" Priority="62" SemiHidden="false"
UnhideWhenUsed="false" Name="Light Grid Accent 1"/>
<w:LsdException Locked="false" Priority="63" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Shading 1 Accent 1"/>
<w:LsdException Locked="false" Priority="64" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Shading 2 Accent 1"/>
<w:LsdException Locked="false" Priority="65" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium List 1 Accent 1"/>
<w:LsdException Locked="false" UnhideWhenUsed="false" Name="Revision"/>
<w:LsdException Locked="false" Priority="34" SemiHidden="false"
UnhideWhenUsed="false" QFormat="true" Name="List Paragraph"/>
<w:LsdException Locked="false" Priority="29" SemiHidden="false"
UnhideWhenUsed="false" QFormat="true" Name="Quote"/>
<w:LsdException Locked="false" Priority="30" SemiHidden="false"
UnhideWhenUsed="false" QFormat="true" Name="Intense Quote"/>
<w:LsdException Locked="false" Priority="66" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium List 2 Accent 1"/>
<w:LsdException Locked="false" Priority="67" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Grid 1 Accent 1"/>
<w:LsdException Locked="false" Priority="68" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Grid 2 Accent 1"/>
<w:LsdException Locked="false" Priority="69" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Grid 3 Accent 1"/>
<w:LsdException Locked="false" Priority="70" SemiHidden="false"
UnhideWhenUsed="false" Name="Dark List Accent 1"/>
<w:LsdException Locked="false" Priority="71" SemiHidden="false"
UnhideWhenUsed="false" Name="Colorful Shading Accent 1"/>
<w:LsdException Locked="false" Priority="72" SemiHidden="false"
UnhideWhenUsed="false" Name="Colorful List Accent 1"/>
<w:LsdException Locked="false" Priority="73" SemiHidden="false"
UnhideWhenUsed="false" Name="Colorful Grid Accent 1"/>
<w:LsdException Locked="false" Priority="60" SemiHidden="false"
UnhideWhenUsed="false" Name="Light Shading Accent 2"/>
<w:LsdException Locked="false" Priority="61" SemiHidden="false"
UnhideWhenUsed="false" Name="Light List Accent 2"/>
<w:LsdException Locked="false" Priority="62" SemiHidden="false"
UnhideWhenUsed="false" Name="Light Grid Accent 2"/>
<w:LsdException Locked="false" Priority="63" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Shading 1 Accent 2"/>
<w:LsdException Locked="false" Priority="64" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Shading 2 Accent 2"/>
<w:LsdException Locked="false" Priority="65" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium List 1 Accent 2"/>
<w:LsdException Locked="false" Priority="66" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium List 2 Accent 2"/>
<w:LsdException Locked="false" Priority="67" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Grid 1 Accent 2"/>
<w:LsdException Locked="false" Priority="68" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Grid 2 Accent 2"/>
<w:LsdException Locked="false" Priority="69" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Grid 3 Accent 2"/>
<w:LsdException Locked="false" Priority="70" SemiHidden="false"
UnhideWhenUsed="false" Name="Dark List Accent 2"/>
<w:LsdException Locked="false" Priority="71" SemiHidden="false"
UnhideWhenUsed="false" Name="Colorful Shading Accent 2"/>
<w:LsdException Locked="false" Priority="72" SemiHidden="false"
UnhideWhenUsed="false" Name="Colorful List Accent 2"/>
<w:LsdException Locked="false" Priority="73" SemiHidden="false"
UnhideWhenUsed="false" Name="Colorful Grid Accent 2"/>
<w:LsdException Locked="false" Priority="60" SemiHidden="false"
UnhideWhenUsed="false" Name="Light Shading Accent 3"/>
<w:LsdException Locked="false" Priority="61" SemiHidden="false"
UnhideWhenUsed="false" Name="Light List Accent 3"/>
<w:LsdException Locked="false" Priority="62" SemiHidden="false"
UnhideWhenUsed="false" Name="Light Grid Accent 3"/>
<w:LsdException Locked="false" Priority="63" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Shading 1 Accent 3"/>
<w:LsdException Locked="false" Priority="64" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Shading 2 Accent 3"/>
<w:LsdException Locked="false" Priority="65" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium List 1 Accent 3"/>
<w:LsdException Locked="false" Priority="66" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium List 2 Accent 3"/>
<w:LsdException Locked="false" Priority="67" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Grid 1 Accent 3"/>
<w:LsdException Locked="false" Priority="68" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Grid 2 Accent 3"/>
<w:LsdException Locked="false" Priority="69" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Grid 3 Accent 3"/>
<w:LsdException Locked="false" Priority="70" SemiHidden="false"
UnhideWhenUsed="false" Name="Dark List Accent 3"/>
<w:LsdException Locked="false" Priority="71" SemiHidden="false"
UnhideWhenUsed="false" Name="Colorful Shading Accent 3"/>
<w:LsdException Locked="false" Priority="72" SemiHidden="false"
UnhideWhenUsed="false" Name="Colorful List Accent 3"/>
<w:LsdException Locked="false" Priority="73" SemiHidden="false"
UnhideWhenUsed="false" Name="Colorful Grid Accent 3"/>
<w:LsdException Locked="false" Priority="60" SemiHidden="false"
UnhideWhenUsed="false" Name="Light Shading Accent 4"/>
<w:LsdException Locked="false" Priority="61" SemiHidden="false"
UnhideWhenUsed="false" Name="Light List Accent 4"/>
<w:LsdException Locked="false" Priority="62" SemiHidden="false"
UnhideWhenUsed="false" Name="Light Grid Accent 4"/>
<w:LsdException Locked="false" Priority="63" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Shading 1 Accent 4"/>
<w:LsdException Locked="false" Priority="64" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Shading 2 Accent 4"/>
<w:LsdException Locked="false" Priority="65" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium List 1 Accent 4"/>
<w:LsdException Locked="false" Priority="66" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium List 2 Accent 4"/>
<w:LsdException Locked="false" Priority="67" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Grid 1 Accent 4"/>
<w:LsdException Locked="false" Priority="68" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Grid 2 Accent 4"/>
<w:LsdException Locked="false" Priority="69" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Grid 3 Accent 4"/>
<w:LsdException Locked="false" Priority="70" SemiHidden="false"
UnhideWhenUsed="false" Name="Dark List Accent 4"/>
<w:LsdException Locked="false" Priority="71" SemiHidden="false"
UnhideWhenUsed="false" Name="Colorful Shading Accent 4"/>
<w:LsdException Locked="false" Priority="72" SemiHidden="false"
UnhideWhenUsed="false" Name="Colorful List Accent 4"/>
<w:LsdException Locked="false" Priority="73" SemiHidden="false"
UnhideWhenUsed="false" Name="Colorful Grid Accent 4"/>
<w:LsdException Locked="false" Priority="60" SemiHidden="false"
UnhideWhenUsed="false" Name="Light Shading Accent 5"/>
<w:LsdException Locked="false" Priority="61" SemiHidden="false"
UnhideWhenUsed="false" Name="Light List Accent 5"/>
<w:LsdException Locked="false" Priority="62" SemiHidden="false"
UnhideWhenUsed="false" Name="Light Grid Accent 5"/>
<w:LsdException Locked="false" Priority="63" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Shading 1 Accent 5"/>
<w:LsdException Locked="false" Priority="64" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Shading 2 Accent 5"/>
<w:LsdException Locked="false" Priority="65" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium List 1 Accent 5"/>
<w:LsdException Locked="false" Priority="66" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium List 2 Accent 5"/>
<w:LsdException Locked="false" Priority="67" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Grid 1 Accent 5"/>
<w:LsdException Locked="false" Priority="68" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Grid 2 Accent 5"/>
<w:LsdException Locked="false" Priority="69" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Grid 3 Accent 5"/>
<w:LsdException Locked="false" Priority="70" SemiHidden="false"
UnhideWhenUsed="false" Name="Dark List Accent 5"/>
<w:LsdException Locked="false" Priority="71" SemiHidden="false"
UnhideWhenUsed="false" Name="Colorful Shading Accent 5"/>
<w:LsdException Locked="false" Priority="72" SemiHidden="false"
UnhideWhenUsed="false" Name="Colorful List Accent 5"/>
<w:LsdException Locked="false" Priority="73" SemiHidden="false"
UnhideWhenUsed="false" Name="Colorful Grid Accent 5"/>
<w:LsdException Locked="false" Priority="60" SemiHidden="false"
UnhideWhenUsed="false" Name="Light Shading Accent 6"/>
<w:LsdException Locked="false" Priority="61" SemiHidden="false"
UnhideWhenUsed="false" Name="Light List Accent 6"/>
<w:LsdException Locked="false" Priority="62" SemiHidden="false"
UnhideWhenUsed="false" Name="Light Grid Accent 6"/>
<w:LsdException Locked="false" Priority="63" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Shading 1 Accent 6"/>
<w:LsdException Locked="false" Priority="64" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Shading 2 Accent 6"/>
<w:LsdException Locked="false" Priority="65" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium List 1 Accent 6"/>
<w:LsdException Locked="false" Priority="66" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium List 2 Accent 6"/>
<w:LsdException Locked="false" Priority="67" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Grid 1 Accent 6"/>
<w:LsdException Locked="false" Priority="68" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Grid 2 Accent 6"/>
<w:LsdException Locked="false" Priority="69" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Grid 3 Accent 6"/>
<w:LsdException Locked="false" Priority="70" SemiHidden="false"
UnhideWhenUsed="false" Name="Dark List Accent 6"/>
<w:LsdException Locked="false" Priority="71" SemiHidden="false"
UnhideWhenUsed="false" Name="Colorful Shading Accent 6"/>
<w:LsdException Locked="false" Priority="72" SemiHidden="false"
UnhideWhenUsed="false" Name="Colorful List Accent 6"/>
<w:LsdException Locked="false" Priority="73" SemiHidden="false"
UnhideWhenUsed="false" Name="Colorful Grid Accent 6"/>
<w:LsdException Locked="false" Priority="19" SemiHidden="false"
UnhideWhenUsed="false" QFormat="true" Name="Subtle Emphasis"/>
<w:LsdException Locked="false" Priority="21" SemiHidden="false"
UnhideWhenUsed="false" QFormat="true" Name="Intense Emphasis"/>
<w:LsdException Locked="false" Priority="31" SemiHidden="false"
UnhideWhenUsed="false" QFormat="true" Name="Subtle Reference"/>
<w:LsdException Locked="false" Priority="32" SemiHidden="false"
UnhideWhenUsed="false" QFormat="true" Name="Intense Reference"/>
<w:LsdException Locked="false" Priority="33" SemiHidden="false"
UnhideWhenUsed="false" QFormat="true" Name="Book Title"/>
<w:LsdException Locked="false" Priority="37" Name="Bibliography"/>
<w:LsdException Locked="false" Priority="39" QFormat="true" Name="TOC Heading"/>
</w:LatentStyles>
</xml><![endif]--><!--[if gte mso 10]>
<style>
/* Style Definitions */
table.MsoNormalTable
{mso-style-name:"Обычная таблица";
mso-tstyle-rowband-size:0;
mso-tstyle-colband-size:0;
mso-style-noshow:yes;
mso-style-priority:99;
mso-style-parent:"";
mso-padding-alt:0cm 5.4pt 0cm 5.4pt;
mso-para-margin-top:0cm;
mso-para-margin-right:0cm;
mso-para-margin-bottom:10.0pt;
mso-para-margin-left:0cm;
line-height:115%;
mso-pagination:widow-orphan;
font-size:11.0pt;
font-family:"Calibri","sans-serif";
mso-ascii-font-family:Calibri;
mso-ascii-theme-font:minor-latin;
mso-hansi-font-family:Calibri;
mso-hansi-theme-font:minor-latin;
mso-bidi-font-family:"Times New Roman";
mso-bidi-theme-font:minor-bidi;}
</style>
<![endif]-->
</div>
<div style="text-align: left;">
Если у Вас есть какие-нибудь комментарии или пожелания по будущему функционалу - пишите сюда или на почту info@leetsoft.ru.<br /><!--[if gte mso 9]><xml>
<o:OfficeDocumentSettings>
<o:AllowPNG/>
</o:OfficeDocumentSettings>
</xml><![endif]--><!--[if gte mso 9]><xml>
<w:WordDocument>
<w:View>Normal</w:View>
<w:Zoom>0</w:Zoom>
<w:TrackMoves/>
<w:TrackFormatting/>
<w:PunctuationKerning/>
<w:ValidateAgainstSchemas/>
<w:SaveIfXMLInvalid>false</w:SaveIfXMLInvalid>
<w:IgnoreMixedContent>false</w:IgnoreMixedContent>
<w:AlwaysShowPlaceholderText>false</w:AlwaysShowPlaceholderText>
<w:DoNotPromoteQF/>
<w:LidThemeOther>RU</w:LidThemeOther>
<w:LidThemeAsian>X-NONE</w:LidThemeAsian>
<w:LidThemeComplexScript>X-NONE</w:LidThemeComplexScript>
<w:Compatibility>
<w:BreakWrappedTables/>
<w:SnapToGridInCell/>
<w:WrapTextWithPunct/>
<w:UseAsianBreakRules/>
<w:DontGrowAutofit/>
<w:SplitPgBreakAndParaMark/>
<w:EnableOpenTypeKerning/>
<w:DontFlipMirrorIndents/>
<w:OverrideTableStyleHps/>
</w:Compatibility>
<m:mathPr>
<m:mathFont m:val="Cambria Math"/>
<m:brkBin m:val="before"/>
<m:brkBinSub m:val="--"/>
<m:smallFrac m:val="off"/>
<m:dispDef/>
<m:lMargin m:val="0"/>
<m:rMargin m:val="0"/>
<m:defJc m:val="centerGroup"/>
<m:wrapIndent m:val="1440"/>
<m:intLim m:val="subSup"/>
<m:naryLim m:val="undOvr"/>
</m:mathPr></w:WordDocument>
</xml><![endif]--><!--[if gte mso 9]><xml>
<w:LatentStyles DefLockedState="false" DefUnhideWhenUsed="true"
DefSemiHidden="true" DefQFormat="false" DefPriority="99"
LatentStyleCount="267">
<w:LsdException Locked="false" Priority="0" SemiHidden="false"
UnhideWhenUsed="false" QFormat="true" Name="Normal"/>
<w:LsdException Locked="false" Priority="9" SemiHidden="false"
UnhideWhenUsed="false" QFormat="true" Name="heading 1"/>
<w:LsdException Locked="false" Priority="9" QFormat="true" Name="heading 2"/>
<w:LsdException Locked="false" Priority="9" QFormat="true" Name="heading 3"/>
<w:LsdException Locked="false" Priority="9" QFormat="true" Name="heading 4"/>
<w:LsdException Locked="false" Priority="9" QFormat="true" Name="heading 5"/>
<w:LsdException Locked="false" Priority="9" QFormat="true" Name="heading 6"/>
<w:LsdException Locked="false" Priority="9" QFormat="true" Name="heading 7"/>
<w:LsdException Locked="false" Priority="9" QFormat="true" Name="heading 8"/>
<w:LsdException Locked="false" Priority="9" QFormat="true" Name="heading 9"/>
<w:LsdException Locked="false" Priority="39" Name="toc 1"/>
<w:LsdException Locked="false" Priority="39" Name="toc 2"/>
<w:LsdException Locked="false" Priority="39" Name="toc 3"/>
<w:LsdException Locked="false" Priority="39" Name="toc 4"/>
<w:LsdException Locked="false" Priority="39" Name="toc 5"/>
<w:LsdException Locked="false" Priority="39" Name="toc 6"/>
<w:LsdException Locked="false" Priority="39" Name="toc 7"/>
<w:LsdException Locked="false" Priority="39" Name="toc 8"/>
<w:LsdException Locked="false" Priority="39" Name="toc 9"/>
<w:LsdException Locked="false" Priority="35" QFormat="true" Name="caption"/>
<w:LsdException Locked="false" Priority="10" SemiHidden="false"
UnhideWhenUsed="false" QFormat="true" Name="Title"/>
<w:LsdException Locked="false" Priority="1" Name="Default Paragraph Font"/>
<w:LsdException Locked="false" Priority="11" SemiHidden="false"
UnhideWhenUsed="false" QFormat="true" Name="Subtitle"/>
<w:LsdException Locked="false" Priority="22" SemiHidden="false"
UnhideWhenUsed="false" QFormat="true" Name="Strong"/>
<w:LsdException Locked="false" Priority="20" SemiHidden="false"
UnhideWhenUsed="false" QFormat="true" Name="Emphasis"/>
<w:LsdException Locked="false" Priority="59" SemiHidden="false"
UnhideWhenUsed="false" Name="Table Grid"/>
<w:LsdException Locked="false" UnhideWhenUsed="false" Name="Placeholder Text"/>
<w:LsdException Locked="false" Priority="1" SemiHidden="false"
UnhideWhenUsed="false" QFormat="true" Name="No Spacing"/>
<w:LsdException Locked="false" Priority="60" SemiHidden="false"
UnhideWhenUsed="false" Name="Light Shading"/>
<w:LsdException Locked="false" Priority="61" SemiHidden="false"
UnhideWhenUsed="false" Name="Light List"/>
<w:LsdException Locked="false" Priority="62" SemiHidden="false"
UnhideWhenUsed="false" Name="Light Grid"/>
<w:LsdException Locked="false" Priority="63" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Shading 1"/>
<w:LsdException Locked="false" Priority="64" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Shading 2"/>
<w:LsdException Locked="false" Priority="65" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium List 1"/>
<w:LsdException Locked="false" Priority="66" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium List 2"/>
<w:LsdException Locked="false" Priority="67" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Grid 1"/>
<w:LsdException Locked="false" Priority="68" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Grid 2"/>
<w:LsdException Locked="false" Priority="69" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Grid 3"/>
<w:LsdException Locked="false" Priority="70" SemiHidden="false"
UnhideWhenUsed="false" Name="Dark List"/>
<w:LsdException Locked="false" Priority="71" SemiHidden="false"
UnhideWhenUsed="false" Name="Colorful Shading"/>
<w:LsdException Locked="false" Priority="72" SemiHidden="false"
UnhideWhenUsed="false" Name="Colorful List"/>
<w:LsdException Locked="false" Priority="73" SemiHidden="false"
UnhideWhenUsed="false" Name="Colorful Grid"/>
<w:LsdException Locked="false" Priority="60" SemiHidden="false"
UnhideWhenUsed="false" Name="Light Shading Accent 1"/>
<w:LsdException Locked="false" Priority="61" SemiHidden="false"
UnhideWhenUsed="false" Name="Light List Accent 1"/>
<w:LsdException Locked="false" Priority="62" SemiHidden="false"
UnhideWhenUsed="false" Name="Light Grid Accent 1"/>
<w:LsdException Locked="false" Priority="63" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Shading 1 Accent 1"/>
<w:LsdException Locked="false" Priority="64" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Shading 2 Accent 1"/>
<w:LsdException Locked="false" Priority="65" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium List 1 Accent 1"/>
<w:LsdException Locked="false" UnhideWhenUsed="false" Name="Revision"/>
<w:LsdException Locked="false" Priority="34" SemiHidden="false"
UnhideWhenUsed="false" QFormat="true" Name="List Paragraph"/>
<w:LsdException Locked="false" Priority="29" SemiHidden="false"
UnhideWhenUsed="false" QFormat="true" Name="Quote"/>
<w:LsdException Locked="false" Priority="30" SemiHidden="false"
UnhideWhenUsed="false" QFormat="true" Name="Intense Quote"/>
<w:LsdException Locked="false" Priority="66" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium List 2 Accent 1"/>
<w:LsdException Locked="false" Priority="67" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Grid 1 Accent 1"/>
<w:LsdException Locked="false" Priority="68" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Grid 2 Accent 1"/>
<w:LsdException Locked="false" Priority="69" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Grid 3 Accent 1"/>
<w:LsdException Locked="false" Priority="70" SemiHidden="false"
UnhideWhenUsed="false" Name="Dark List Accent 1"/>
<w:LsdException Locked="false" Priority="71" SemiHidden="false"
UnhideWhenUsed="false" Name="Colorful Shading Accent 1"/>
<w:LsdException Locked="false" Priority="72" SemiHidden="false"
UnhideWhenUsed="false" Name="Colorful List Accent 1"/>
<w:LsdException Locked="false" Priority="73" SemiHidden="false"
UnhideWhenUsed="false" Name="Colorful Grid Accent 1"/>
<w:LsdException Locked="false" Priority="60" SemiHidden="false"
UnhideWhenUsed="false" Name="Light Shading Accent 2"/>
<w:LsdException Locked="false" Priority="61" SemiHidden="false"
UnhideWhenUsed="false" Name="Light List Accent 2"/>
<w:LsdException Locked="false" Priority="62" SemiHidden="false"
UnhideWhenUsed="false" Name="Light Grid Accent 2"/>
<w:LsdException Locked="false" Priority="63" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Shading 1 Accent 2"/>
<w:LsdException Locked="false" Priority="64" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Shading 2 Accent 2"/>
<w:LsdException Locked="false" Priority="65" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium List 1 Accent 2"/>
<w:LsdException Locked="false" Priority="66" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium List 2 Accent 2"/>
<w:LsdException Locked="false" Priority="67" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Grid 1 Accent 2"/>
<w:LsdException Locked="false" Priority="68" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Grid 2 Accent 2"/>
<w:LsdException Locked="false" Priority="69" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Grid 3 Accent 2"/>
<w:LsdException Locked="false" Priority="70" SemiHidden="false"
UnhideWhenUsed="false" Name="Dark List Accent 2"/>
<w:LsdException Locked="false" Priority="71" SemiHidden="false"
UnhideWhenUsed="false" Name="Colorful Shading Accent 2"/>
<w:LsdException Locked="false" Priority="72" SemiHidden="false"
UnhideWhenUsed="false" Name="Colorful List Accent 2"/>
<w:LsdException Locked="false" Priority="73" SemiHidden="false"
UnhideWhenUsed="false" Name="Colorful Grid Accent 2"/>
<w:LsdException Locked="false" Priority="60" SemiHidden="false"
UnhideWhenUsed="false" Name="Light Shading Accent 3"/>
<w:LsdException Locked="false" Priority="61" SemiHidden="false"
UnhideWhenUsed="false" Name="Light List Accent 3"/>
<w:LsdException Locked="false" Priority="62" SemiHidden="false"
UnhideWhenUsed="false" Name="Light Grid Accent 3"/>
<w:LsdException Locked="false" Priority="63" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Shading 1 Accent 3"/>
<w:LsdException Locked="false" Priority="64" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Shading 2 Accent 3"/>
<w:LsdException Locked="false" Priority="65" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium List 1 Accent 3"/>
<w:LsdException Locked="false" Priority="66" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium List 2 Accent 3"/>
<w:LsdException Locked="false" Priority="67" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Grid 1 Accent 3"/>
<w:LsdException Locked="false" Priority="68" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Grid 2 Accent 3"/>
<w:LsdException Locked="false" Priority="69" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Grid 3 Accent 3"/>
<w:LsdException Locked="false" Priority="70" SemiHidden="false"
UnhideWhenUsed="false" Name="Dark List Accent 3"/>
<w:LsdException Locked="false" Priority="71" SemiHidden="false"
UnhideWhenUsed="false" Name="Colorful Shading Accent 3"/>
<w:LsdException Locked="false" Priority="72" SemiHidden="false"
UnhideWhenUsed="false" Name="Colorful List Accent 3"/>
<w:LsdException Locked="false" Priority="73" SemiHidden="false"
UnhideWhenUsed="false" Name="Colorful Grid Accent 3"/>
<w:LsdException Locked="false" Priority="60" SemiHidden="false"
UnhideWhenUsed="false" Name="Light Shading Accent 4"/>
<w:LsdException Locked="false" Priority="61" SemiHidden="false"
UnhideWhenUsed="false" Name="Light List Accent 4"/>
<w:LsdException Locked="false" Priority="62" SemiHidden="false"
UnhideWhenUsed="false" Name="Light Grid Accent 4"/>
<w:LsdException Locked="false" Priority="63" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Shading 1 Accent 4"/>
<w:LsdException Locked="false" Priority="64" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Shading 2 Accent 4"/>
<w:LsdException Locked="false" Priority="65" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium List 1 Accent 4"/>
<w:LsdException Locked="false" Priority="66" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium List 2 Accent 4"/>
<w:LsdException Locked="false" Priority="67" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Grid 1 Accent 4"/>
<w:LsdException Locked="false" Priority="68" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Grid 2 Accent 4"/>
<w:LsdException Locked="false" Priority="69" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Grid 3 Accent 4"/>
<w:LsdException Locked="false" Priority="70" SemiHidden="false"
UnhideWhenUsed="false" Name="Dark List Accent 4"/>
<w:LsdException Locked="false" Priority="71" SemiHidden="false"
UnhideWhenUsed="false" Name="Colorful Shading Accent 4"/>
<w:LsdException Locked="false" Priority="72" SemiHidden="false"
UnhideWhenUsed="false" Name="Colorful List Accent 4"/>
<w:LsdException Locked="false" Priority="73" SemiHidden="false"
UnhideWhenUsed="false" Name="Colorful Grid Accent 4"/>
<w:LsdException Locked="false" Priority="60" SemiHidden="false"
UnhideWhenUsed="false" Name="Light Shading Accent 5"/>
<w:LsdException Locked="false" Priority="61" SemiHidden="false"
UnhideWhenUsed="false" Name="Light List Accent 5"/>
<w:LsdException Locked="false" Priority="62" SemiHidden="false"
UnhideWhenUsed="false" Name="Light Grid Accent 5"/>
<w:LsdException Locked="false" Priority="63" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Shading 1 Accent 5"/>
<w:LsdException Locked="false" Priority="64" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Shading 2 Accent 5"/>
<w:LsdException Locked="false" Priority="65" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium List 1 Accent 5"/>
<w:LsdException Locked="false" Priority="66" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium List 2 Accent 5"/>
<w:LsdException Locked="false" Priority="67" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Grid 1 Accent 5"/>
<w:LsdException Locked="false" Priority="68" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Grid 2 Accent 5"/>
<w:LsdException Locked="false" Priority="69" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Grid 3 Accent 5"/>
<w:LsdException Locked="false" Priority="70" SemiHidden="false"
UnhideWhenUsed="false" Name="Dark List Accent 5"/>
<w:LsdException Locked="false" Priority="71" SemiHidden="false"
UnhideWhenUsed="false" Name="Colorful Shading Accent 5"/>
<w:LsdException Locked="false" Priority="72" SemiHidden="false"
UnhideWhenUsed="false" Name="Colorful List Accent 5"/>
<w:LsdException Locked="false" Priority="73" SemiHidden="false"
UnhideWhenUsed="false" Name="Colorful Grid Accent 5"/>
<w:LsdException Locked="false" Priority="60" SemiHidden="false"
UnhideWhenUsed="false" Name="Light Shading Accent 6"/>
<w:LsdException Locked="false" Priority="61" SemiHidden="false"
UnhideWhenUsed="false" Name="Light List Accent 6"/>
<w:LsdException Locked="false" Priority="62" SemiHidden="false"
UnhideWhenUsed="false" Name="Light Grid Accent 6"/>
<w:LsdException Locked="false" Priority="63" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Shading 1 Accent 6"/>
<w:LsdException Locked="false" Priority="64" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Shading 2 Accent 6"/>
<w:LsdException Locked="false" Priority="65" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium List 1 Accent 6"/>
<w:LsdException Locked="false" Priority="66" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium List 2 Accent 6"/>
<w:LsdException Locked="false" Priority="67" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Grid 1 Accent 6"/>
<w:LsdException Locked="false" Priority="68" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Grid 2 Accent 6"/>
<w:LsdException Locked="false" Priority="69" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Grid 3 Accent 6"/>
<w:LsdException Locked="false" Priority="70" SemiHidden="false"
UnhideWhenUsed="false" Name="Dark List Accent 6"/>
<w:LsdException Locked="false" Priority="71" SemiHidden="false"
UnhideWhenUsed="false" Name="Colorful Shading Accent 6"/>
<w:LsdException Locked="false" Priority="72" SemiHidden="false"
UnhideWhenUsed="false" Name="Colorful List Accent 6"/>
<w:LsdException Locked="false" Priority="73" SemiHidden="false"
UnhideWhenUsed="false" Name="Colorful Grid Accent 6"/>
<w:LsdException Locked="false" Priority="19" SemiHidden="false"
UnhideWhenUsed="false" QFormat="true" Name="Subtle Emphasis"/>
<w:LsdException Locked="false" Priority="21" SemiHidden="false"
UnhideWhenUsed="false" QFormat="true" Name="Intense Emphasis"/>
<w:LsdException Locked="false" Priority="31" SemiHidden="false"
UnhideWhenUsed="false" QFormat="true" Name="Subtle Reference"/>
<w:LsdException Locked="false" Priority="32" SemiHidden="false"
UnhideWhenUsed="false" QFormat="true" Name="Intense Reference"/>
<w:LsdException Locked="false" Priority="33" SemiHidden="false"
UnhideWhenUsed="false" QFormat="true" Name="Book Title"/>
<w:LsdException Locked="false" Priority="37" Name="Bibliography"/>
<w:LsdException Locked="false" Priority="39" QFormat="true" Name="TOC Heading"/>
</w:LatentStyles>
</xml><![endif]--><!--[if gte mso 10]>
<style>
/* Style Definitions */
table.MsoNormalTable
{mso-style-name:"Обычная таблица";
mso-tstyle-rowband-size:0;
mso-tstyle-colband-size:0;
mso-style-noshow:yes;
mso-style-priority:99;
mso-style-parent:"";
mso-padding-alt:0cm 5.4pt 0cm 5.4pt;
mso-para-margin-top:0cm;
mso-para-margin-right:0cm;
mso-para-margin-bottom:10.0pt;
mso-para-margin-left:0cm;
line-height:115%;
mso-pagination:widow-orphan;
font-size:11.0pt;
font-family:"Calibri","sans-serif";
mso-ascii-font-family:Calibri;
mso-ascii-theme-font:minor-latin;
mso-hansi-font-family:Calibri;
mso-hansi-theme-font:minor-latin;
mso-bidi-font-family:"Times New Roman";
mso-bidi-theme-font:minor-bidi;}
</style>
<![endif]-->
</div>
</div>
Anonymousnoreply@blogger.com1tag:blogger.com,1999:blog-4388282115382110715.post-88729207999576652002011-09-17T09:59:00.000-07:002011-09-17T09:59:17.863-07:00Презентация BSAT<div dir="ltr" style="text-align: left;" trbidi="on">
<a href="https://skydrive.live.com/view.aspx?cid=1B21948CD0C4BBCF&resid=1B21948CD0C4BBCF%21124">Тут </a>небольшая презентация о нашей программе, рассчитанная на самого общего слушателя. Возможно, Вам будет интересно.</div>
Anonymousnoreply@blogger.com0tag:blogger.com,1999:blog-4388282115382110715.post-26492429458268380562011-09-09T02:03:00.000-07:002011-09-09T02:03:34.390-07:00Несколько фактов о BSAT<div dir="ltr" style="text-align: left;" trbidi="on">
<div style="text-align: justify;">
Конечно, зачем рассказывать о программе когда можно просто <a href="http://leetsoft.ru/download/">скачать</a> и <a href="http://www.youtube.com/bsatdevteam/">посмотреть</a> всё самим? Однако, есть ряд интересных фактов, которые скрыты от пользователей программы...</div>
<div style="text-align: justify;">
</div>
<a name='more'></a><div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Первое существенное отличие программы от конкурентов - это использование доверенного сертификата для подписи исполняемых файлов программы. Код программы подписан цифровым сертификатом Comodo (один из пяти удостоверяющих центров в мире, выдающий сертификаты для подписи программ), а это значит что ни вирусы, ни злоумышленники не смогут Вас обмануть, подменив или изменив файлы программы.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Второе отличие - это использование платформы Microsoft .Net при разработке BSAT. Код программы работает внутри "виртуальной машины", известной как <a href="http://ru.wikipedia.org/wiki/Common_Language_Runtime">CLR</a>, а значит более безопасен для операционной системы и пользовательских приложений, не может "повесить" систему, прозрачен и понятен для антивирусов, не зависим от аппаратной и программной платформы (главное, чтобы платформа поддерживала .Net). </div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Третье важное отличие программы - использование системы автообновления Microsoft <a href="http://ru.wikipedia.org/wiki/ClickOnce">ClickOnce</a>. Эта система автоматически проверяет наличие новых сборок и устанавливает обновления сама (пользователь может всегда это отключить). При скачивании дистрибутива проверяется цифровая подпись нашей компании, что исключает подмену файлов. Это позволяет нашим пользователям всегда работать с самой последней версией BSAT.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Четвертое - Ваши оценки хранятся в зашифрованном виде (не ГОСТ, однако не менее надежный криптоалгоритм) чтобы сохранить конфиденциальность. Вы так же можете очень просто и удобно сделать резервную копию всех оценок и сохранить её в надёжном месте.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Пятое, но не менее важное - наш проект постоянно развивается, раз в квартал выходят новые версии, причём совершенно бесплатно! Любой пользователь может поучаствовать в совершенствовании нашей программы, отправив нам свой отзыв, который мы обязательно рассмотрим и постараемся учесть в следующей версии программы.</div>
</div>
Anonymousnoreply@blogger.com0tag:blogger.com,1999:blog-4388282115382110715.post-58139700351375388972011-09-07T00:47:00.000-07:002011-09-07T00:52:03.310-07:00К вопросу о тройной оценке показателей М1-М6<div dir="ltr" style="text-align: left;" trbidi="on">
<div style="text-align: justify;">
В методике оценки СТО БР ИББС-1.2 есть пункт:</div>
<blockquote>
7.4. Оценивание частных показателей в рамках групповых показателей М1÷М6 необходи мо осуществлять раздельно по результатам анализа выполнения соответствующих требований СТО БР ИББС 1.0 по следующим направлениям: </blockquote>
<blockquote>
— банковский платежный технологический процесс (М7);<br />
— банковский информационный технологический процесс (М8);<br />
— банковский технологический процесс, в рамках которого обрабатываются персональные данные (М10). </blockquote>
<div style="text-align: justify;">
Давайте попробуем понять каким образом нам нужно правильно оценить эти показатели.</div>
<div style="text-align: justify;">
</div>
<a name='more'></a><div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Вначале хотелось бы сказать, что в большинстве банков на сегодняшний момент стоят комплексные АБС, которые с учётом дополнительных модулей обеспечивают весь требуемый функционал для деятельности банка, начиная от собственной кадровой работы и до работы с кредитами, выпуска пластиковых карт и т.д.</div>
<div style="text-align: justify;">
Поэтому разделение на БПТП, БИТП, БТП+ПДн и ИСПДн достаточно условно. СУБД, как правило, всё равно одна, технология доступа тоже. </div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Во-вторых, частные показатели М1-М6 содержат в большинстве своём общие вопросы, например М1.17 "Подписывают ли работники соглашение о конфиденциальности?" и т.д. Естественно, оценивать подобные вопросы трижды нет никакой необходимости.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Третье и самое важное. Указанные показатели М1-М6 влияют на показатель EV1, а тот, в свою очередь, влияет на всю оценку в целом. Т.о. оценив трижды показатели М1-М6 мы получим три комплекта итоговых оценок (кажется мне, что на такой эффект авторы Методики явно не рассчитывали). Какой из данных комплектов считать итоговым? Какой отправлять в ЦБ в Подтверждении?</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Столкнувшись с этой ситуацией мы решили применить принцип <a href="http://ru.wikipedia.org/wiki/%D0%91%D1%80%D0%B8%D1%82%D0%B2%D0%B0_%D0%9E%D0%BA%D0%BA%D0%B0%D0%BC%D0%B0">"Бритвы Оккама"</a> и выбрать самое простое решение: </div>
<div style="text-align: justify;">
<i><b>Все частные показатели, затрагивающие отдельные аспекты различных информационных систем оценивать по наихудшему показателю. </b></i></div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Ведь в конечном счете прочность любой цепи определяется по самому слабому звену, а итоговая оценка - по самой запущенной информационной системе.</div>
</div>
Anonymousnoreply@blogger.com9tag:blogger.com,1999:blog-4388282115382110715.post-16317975851303149192011-09-01T08:38:00.000-07:002011-09-01T08:38:10.261-07:00Глобальные дистрибьюторские системы<div dir="ltr" style="text-align: left;" trbidi="on">
<div style="text-align: justify;">
Каждый раз вставляя вашу карту в банкомат информация о вас и ваших транзакциях улетает в процессинговый центр VISA либо MasterCard, находящийся за рубежом. Каждый раз покупая авиабилет даже на внутренние авиалинии, ваши персональные данные так же улетают к дяде Сэму (или Генриху :)). Теперь чуть подробней...</div>
<div style="text-align: justify;">
</div>
<a name='more'></a>В мире существует всего несколько <a href="http://en.wikipedia.org/wiki/Computer_reservations_system">глобальных дистрибьюторских систем</a>, обслуживающих бронирование полётов, гостиниц и сопутствующие услуги типа бронирования автомобиля.<br />
<div style="text-align: justify;">
Практически весь мировой рынок поделен между 4 гигантами - Амадеус (Германия), Сейбр (США), Галилео и Габриэль (США). Есть ещё китайский TravelSky, но тот обслуживает только Азию.</div>
<div style="text-align: justify;">
В нашей стране есть собственная БД - Сирена. Однако крупнейшие авиаперевозчики все-таки сидят на западных ГДС: <a href="http://www.aeroflot.ru/cms/before_and_after_fly/rules_online">Аэрофлот </a>подключен к Сейбру, <a href="http://www.sibaviatours.de/ru/about_us/news/2003/06/2003-06-10-1.html">Сибирь </a>к Амадеусу, Трансаэро к Габриэлю и т.д. </div>
<div style="text-align: justify;">
Каждый раз бронируя авиарейс создаётся так называемая PNR запись, которая хранит такие персональные данные как:</div>
<ul style="text-align: justify;">
<li>паспортные данные;</li>
<li>сведения о месте покупки и форме оплаты (информация о банковской карте);</li>
<li>ip адрес; </li>
<li>сведения об особенностях питания (вегетарианский или кошерный обед);</li>
<li>инвалидность (если вам нужно спец.кресло в самолете);</li>
<li>сведения о сопровождающих лицах;</li>
<li>и т.д.</li>
</ul>
<div style="text-align: justify;">
Причём операторы ГМС считают подобные сведения технологической информацией и свободно обмениваются ей с друг другом в автоматическом режиме. Отработанные PNR записи естественно не удаляются, а дампятся преимущественно на американских серверах. </div>
<div style="text-align: justify;">
К тому же после терактов 11 сентября Министерство внутренней безопасности США затребовало себе все активные и архивные записи PNR со всех ГМС расположенных в США, и даже с европейского Амадеуса. Европейцы сопротивлялись но, в целом, проиграли. Через 15 минут после взлёта самолета из любого аэропорта Европы американские ГБшники знают всю информацию о пассажирах и экипаже. </div>
<div style="text-align: justify;">
В нашей стране так же создаётся единая государственная информационная система обеспечения транспортной безопасности (ЕГИС ОТБ), однако информацию она будет брать из западных ГМС и не претендует на мировое господство.</div>
<div style="text-align: justify;">
Для чего наши персональные данные нужны американским спец.службам? А права человека кто защищать будет?</div>
<div style="text-align: justify;">
Кстати США не ратифицировали Евроконвенцию по защите ПДн, а внутренние законы по защите ПДн (The Privacy Act of 1974) не распростроняются на иностранцев.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
... вот так вот....</div>
</div>
Anonymousnoreply@blogger.com0tag:blogger.com,1999:blog-4388282115382110715.post-6269157165153106962011-08-17T07:21:00.000-07:002011-08-17T07:21:13.498-07:00Советы аудитору 1<div dir="ltr" style="text-align: left;" trbidi="on"><div style="text-align: justify;">Занимаясь ответственной работой, всегда удобно иметь карту грабель под рукой. С другой стороны, давать советы приятно не менее :). "Ну, поехали?" (с)</div><div style="text-align: justify;"></div><a name='more'></a><b>Планируйте!</b><br />
<br />
<div style="text-align: justify;">Структура методики оценки не однородна. Больше всего на итоговую оценку влияет направление защиты персональных данных. Во-первых, через уточняющие вопросы Приложения В (от них зависит четверть ваших ответов!). Во-вторых, через групповой показатель М9, который в отличие от всех остальных считается по минимуму и, фактически, определяет верхний порог итоговой оценки R!</div><div style="text-align: justify;"><br />
</div><div style="text-align: justify;">Помним, что оценки по ПДн (EV*пд) попадут на стол Регуляторам, поэтому ближайшая цель аудита ИБ - показать хорошую оценку по ПДн!</div><div style="text-align: justify;"><br />
Самый оптимальный способ - <b>добиться одних единиц в показателе М9 и уточняющих вопросах Приложения В</b>. Это вполне осуществимо, и, в случае успеха, вознаградит вас хорошими оценками по безопасности ПДн, хорошей перспективой на высокую итоговую оценку и, кроме того, избавит вас от утомительной работы с Приложением В (если в Приложении В все единицы - про него можно забыть).</div><div style="text-align: justify;"><br />
</div><div style="text-align: justify;"><b>Работайте в паре!</b></div><div style="text-align: justify;">Это намного удобней и избавляет вас от необходимости говорить и писать одновременно. Один задаёт вопросы, другой со стороны наблюдает за разговором и формулирует выводы. Меняйтесь местами, иначе голосовые связки просто не выдержат!</div><div style="text-align: justify;"><br />
</div><div style="text-align: justify;">Вопросы в методике оценки разбиты по темам. Однако намного удобней <b>разбить вопросы по ролям</b> - т.е. по сотрудникам Банка, ответственным за оцениваемый ЧП. Выписав все вопросы к данному сотруднику, можно смело идти на беседу. В противном случае, вам придется постоянно отвлекать людей от работы, бегая к ним с вопросом по нескольку раз в день.</div><div style="text-align: justify;"><br />
</div><div style="text-align: justify;">Не допускайте двухсмысленных ответов. Если есть сомнение - ставьте "частично выполняется". Будет простор для роста. </div><div style="text-align: justify;"><br />
</div><div style="text-align: justify;">Если сотрудник не может определиться с ответом - помогите ему и сформулируйте ответ сами. Ему будет проще согласиться или откорректировать готовый ответ, чем вникать в новую для него область знаний.</div><div style="text-align: justify;"><br />
</div><div style="text-align: justify;">Все ответы сотрудника обязательно фиксируйте и давайте сотруднику на подпись. Без подписи получить такой же точно ответ во второй раз будет намного сложнее!</div><div style="text-align: justify;"><br />
</div><div style="text-align: justify;">Часто возникает момент, когда выявленный недостаток может быть устранён на месте. Что в таком случае делать? - придите на следующий день. Но никогда не фиксируйте в документах то, чего ещё нет. Ваша честность - залог получения удовольствия от вашей работы!</div><div style="text-align: justify;"><br />
</div><div style="text-align: justify;">продолжение следует...</div></div>Anonymousnoreply@blogger.com1tag:blogger.com,1999:blog-4388282115382110715.post-13892220596842521972011-08-02T04:34:00.000-07:002011-08-02T06:46:46.671-07:00и вновь мы ждём..<div dir="ltr" style="text-align: left;" trbidi="on">Ещё не отгремели на просторах сети баталии о поправке в 152-ФЗ, однако большинство из нас снова погрузилось в бесконечное ожидание.<br />
Вначале мы ждали требований ФСТЭК, потом - разъяснений требований ФСТЭК, потом - новых требований ФСТЭК, трижды ждали срока "приведения в соответствие", дважды ждали поправок в ФЗ.<br />
<br />
Теперь, когда все сроки, казалось бы, уже должны были подойти к концу... мы ждём дальше. <br />
<br />
Чего ждём? "Уровней защищённости" от Правительства, требований к этим уровням, новых РД ФСТЭК и ФСБ. Ждём информационного письма от Банка России с объяснениями: можно ли использовать "одобренные руководством СЗИ"? считать ли всё-таки АБС - ИСПДн?<br />
<br />
Порой мне кажется что это ожидание никогда не кончится.<br />
<br />
Недавно мне казалось, что "лучь света" все-таки появился на горизонте: ГНИИ ПТЗИ (ФСТЭКовские креативные мозги в Воронеже) активно работают над СТР-К 2.0 (Положение-К), в котором будут и терминалы, и виртуализация и много чего ещё. Появилась надежда, что КИ, КСИИ и ИСПДн будут мирно жить под одним крылом.<br />
Но тут я вспомнил классическое "выбери любые 2 из 3х: быстро, качественно, дешево".<br />
"Быстро" уже выбрано ст.19 152-ФЗ. Учитывая зарплаты в ГНИИ, вторым будет явно "дешево" :(.<br />
<br />
И все-таки, я надеюсь, что СТО БР прочно войдет в банковский ИБ мир и наступит эпоха определённости.... хотя бы до 2012 года* ;).<br />
______________________________________________<br />
* "Общие положения" обновляются раз в 2 года. В 2012 ожидаем 5 редакцию СТО БР ИББС-1.0!</div>Anonymousnoreply@blogger.com0tag:blogger.com,1999:blog-4388282115382110715.post-76551520501281827722011-08-01T07:21:00.000-07:002011-08-01T07:21:56.252-07:00152-ФЗ v2.0. Так ли всё плохо?<div dir="ltr" style="text-align: left;" trbidi="on">Прошедший месяц был удивительно богат на сенсации (если это слово применимо к некоторым событиям): катастрофы и террористы, мегафоны и яндексы, взломы и аресты за взломы. К этому списку можно добавить еще и жару "за сорок" без кондиционера (старый добрый советский электро "веер") и постоянно спотыкающийся интернет. В Краснодаре лето :).<br />
<br />
<a name='more'></a><br />
Однако по-настоящему жаркий месяц закончился и уже можно заняться небольшим подведением итогов.<br />
Прочитав новый закон я первым делом.. расстроился. Да, реакция вполне типовая. Кто хотел расстроиться - расстроился, кто хотел порадоваться - порадовался. Но расстроило меня, в первую очередь, сокращение прав субъектов ПДн, что лично я считаю не заслуженным. Я не видел ни одной проверки РКН, без повода вызванной претензией субъекта "они не ответили на мой запрос в срок", зато знаю много организаций, которые принципиально не удаляют ПДн, лезут в личную жизнь сотрудников и т.д. Ну да ладно... того что осталось хватит вполне чтобы отстоять свои права.<br />
<br />
Главное, что проверки теперь приходить будут только к ГОСам! Кроме того, Банк России отныне творец нормативки по ПДн, признали СТО БР ИББС и легализовали отраслевую частную модель угроз. Это ли не то, чего мы с Вами долго ждали?<br />
<br />
Правда статус СТО БР ИББС все-таки еще придется прояснить на форумах и конференциях, т.к. про "одобренные руководителем" не сертифицированные СЗИ в законе ни слова, АБС таки будет ИСПДн, а требования СТО БР ИББС могут лишь дополнять требования ФСТЭК а не заменять/отменять их.<br />
<br />
</div>Anonymousnoreply@blogger.com3tag:blogger.com,1999:blog-4388282115382110715.post-16515461290349378022011-06-09T04:12:00.000-07:002011-06-09T04:13:10.683-07:00Работа с Приложением В. Продолжаем...<div dir="ltr" style="text-align: left;" trbidi="on"><div style="text-align: justify;">Очередной неудобной особенностью работы с Приложением В Методики оценки СТО БР ИББС-1.2-2010 является выбор нужного уточняющего вопроса, влияющего на рассматриваемый частный показатель....</div><div style="text-align: justify;"></div><a name='more'></a><br />
<div style="text-align: justify;">Во-первых, авторы уточняющих вопросов от нас скрыли то, что каждый вопрос имеет свою "специализацию" и зависит от типа имеющихся у нас ИСПДн (подробнее о классификации банковских ИСПДн <a href="http://leetsoftru.blogspot.com/2011/06/blog-post.html">здесь</a>), что следует из анализа Таблицы 2 Приложения В. </div><div style="text-align: justify;"><br />
</div><div style="text-align: justify;">Вот она: </div><ul style="text-align: justify;"><li>Все типы ИСПДн - уточняющие вопросы 1-13;</li>
<li>ИСПДн-И+Б+С (т.е. любая ИСПДн, кроме ИСПДн-Д) - 14-22, 29;</li>
<li>ИСПДн-Б - 23;</li>
<li>ИСПДн-С - 24-28, 30-34.</li>
</ul><div style="text-align: justify;"><i>Не обошлось, кстати, и без ошибок. Согласно указанной ранее "Таблице 2 " 23 вопрос (про ПП512 "Требования к мат.носителям биометрических ПДн") ненароком причислен к ИСПДн-С у показателя М3.4. </i></div><div style="text-align: justify;"><br />
</div><div style="text-align: justify;">Если у вас есть только ИСПДн-И - 23-28 и 30-34 вопрос можете смело вычеркивать. <i><br />
</i></div><div style="text-align: justify;"><br />
</div><div style="text-align: justify;">Во-вторых, необходимым условием работы с Приложением В является таблица, фрагмент которой приведён на рисунке ниже (а полная версия доступна <a href="http://leetsoft.ru/install/prilbtable.pdf">тут</a>).</div><div class="separator" style="clear: both; text-align: center;"><a href="http://3.bp.blogspot.com/-TsUVllyLM5I/TfCpdLoandI/AAAAAAAAABc/qk0-r_TkZh0/s1600/%25D0%25A0%25D0%25B0%25D0%25B1%25D0%25BE%25D1%2582%25D0%25B0+%25D1%2581+%25D0%25BF%25D1%2580%25D0%25B8%25D0%25BB%25D0%25BE%25D0%25B6%25D0%25B5%25D0%25BD%25D0%25B8%25D0%25B5%25D0%25BC+%25D0%2592+%2528%25D1%2584%25D1%2580%25D0%25B0%25D0%25B3%25D0%25BC%25D0%25B5%25D0%25BD%25D1%2582%2529.JPG" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="http://3.bp.blogspot.com/-TsUVllyLM5I/TfCpdLoandI/AAAAAAAAABc/qk0-r_TkZh0/s1600/%25D0%25A0%25D0%25B0%25D0%25B1%25D0%25BE%25D1%2582%25D0%25B0+%25D1%2581+%25D0%25BF%25D1%2580%25D0%25B8%25D0%25BB%25D0%25BE%25D0%25B6%25D0%25B5%25D0%25BD%25D0%25B8%25D0%25B5%25D0%25BC+%25D0%2592+%2528%25D1%2584%25D1%2580%25D0%25B0%25D0%25B3%25D0%25BC%25D0%25B5%25D0%25BD%25D1%2582%2529.JPG" /></a></div><div style="text-align: justify;">Без нее попытка понять какие все-таки уточняющие вопросы влияют на выбранный частный показатель скорее всего сведёт вас с ума.</div><div style="text-align: justify;"><br />
</div><div style="text-align: justify;">PS. Расшифровка цветов на рисунке представлена в полной версии таблицы по ссылке выше.</div><div style="text-align: justify;">PPS. Еще про специфику работы с Приложением В <a href="http://leetsoftru.blogspot.com/2011/04/12.html">тут</a>.</div></div>Anonymousnoreply@blogger.com3tag:blogger.com,1999:blog-4388282115382110715.post-77692131410332517002011-06-09T02:24:00.000-07:002011-06-09T04:13:50.088-07:00Классификация ИСПДн "по-банковски"<div dir="ltr" style="text-align: left;" trbidi="on"><div style="text-align: justify;">Хотел бы коснуться вопроса классификации ИСПДн по Стандарту Банка России. Есть ряд тонкостей в этом вопросе...</div><a name='more'></a><div style="text-align: justify;"><br />
Обратимся к корням. </div><div style="text-align: justify;"><br />
</div><div style="text-align: justify;">п.6 Положения об обеспечении безопасности ПДн в ИСПДн (утверждено Постановлением Правительства № 781) гласит:</div><blockquote><div style="text-align: justify;">Информационные системы классифицируются государственными органами, муниципальными органами, юридическими или физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных (далее - оператор), в зависимости от <b>объема обрабатываемых ими персональных данных</b> и <b>угроз безопасности</b> жизненно важным интересам личности, общества и государства.</div></blockquote><blockquote><div style="text-align: justify;">Порядок проведения классификации информационных систем устанавливается <b>совместно Федеральной службой по техническому и экспортному контролю, Федеральной службой безопасности Российской Федерации и Министерством информационных технологий и связи Российской Федерации.</b> </div></blockquote><div style="text-align: justify;">Выводы:</div><ol style="text-align: justify;"><li> Классификация в зависимости от объёма и угроз;</li>
<li>Порядок классификации устанавливают ФСТЭК, ФСБ, Минсвязи (в структуру которого входит РКН). </li>
</ol><div style="text-align: justify;">Теперь рассмотрим классификацию Банка России, описанную в п.5.2 <a href="http://leetsoft.ru/sto/_%D0%A0%D0%A1%20%D0%91%D0%A0%20%D0%98%D0%91%D0%91%D0%A1-2.3-2010%20%D0%A2%D1%80%D0%B5%D0%B1%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D1%8F.pdf">РС БР ИББС-2.3.2010</a>:</div><ul style="text-align: justify;"><li>ИСПДн-С - система обрабатывающая спец. категории ПДн (главным образом сведения о здоровье);</li>
<li>ИСПДн-Б - система обрабатывающая биометрию (фотографию или скан паспорта с фото, к примеру);</li>
<li>ИСПДн-Д - система обрабатывающая обезличенные или общедоступные ПДн;</li>
<li>ИСПДн-И - система обрабатывающая все остальные типы ПДн (тут у нас сидят 99% всех ИСПДн).</li>
</ul><div style="text-align: justify;">Т.к. про объём обрабатываемых ПДн тут не слова нет, а в ПП781 нет ни слова про Банк России, большинство из нас смело игнорировало классификацию по стандарту Банка России до поры до времени.</div><div style="text-align: justify;">Потом пришла пора самооценок/аудитов и первый же уточняющий вопрос спросил нас "классифицированы ли все ИСПДн по-банковски?". Дабы не загнать себя в нули (а уточняющие вопросы с легкостью это могут), пришлось выполнять.</div><div style="text-align: justify;"><br />
</div><div style="text-align: justify;"><i>Однако дальше - интересней.</i></div><div style="text-align: justify;">Из <a href="http://leetsoft.ru/sto/_%D0%A1%D0%A2%D0%9E%20%D0%91%D0%A0%20%D0%98%D0%91%D0%91%D0%A1-1.2-2010%20%283%20%D1%80%D0%B5%D0%B4%29%20%D0%9C%D0%B5%D1%82%D0%BE%D0%B4%D0%B8%D0%BA%D0%B0%20%D0%BE%D1%86%D0%B5%D0%BD%D0%BA%D0%B8%20%D1%81%D0%BE%D0%BE%D1%82%D0%B2%D0%B5%D1%82%D1%81%D1%82%D0%B2%D0%B8%D1%8F.pdf">Методики оценки СТО БР ИББС-1.2-2010</a> (каждый частный показатель группы М9 так же решительным образом влияет на итоговую оценку):</div><blockquote><div style="text-align: justify;">М9.4 Проводится ли в организации классификация персональных данных в соответствии со <b>степенью тяжести последствий</b> потери свойств безопасности персональных для субъекта персональных данных?</div></blockquote><div style="text-align: justify;">Чтобы понять что за классификация имеется ввиду - откроем п.14 Порядка классификации (утверждён ФСТЭК, ФСБ, Минсвязи приказом №55/86/20:</div><div style="text-align: justify;"><br />
</div><div style="text-align: justify;"><br />
</div><blockquote><div class="MsoNormal">14. По результатам анализа исходных данных типовой информационной системе присваивается один из следующих классов: </div></blockquote><ul style="text-align: justify;"><li>класс 1 (К1) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к <b>значительным</b> негативным последствиям для субъектов персональных данных; </li>
<li>класс 2 (К2) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к <b>негативным</b> последствиям для субъектов персональных данных;</li>
<li>класс 3 (К3) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к <b>незначительным</b> негативным последствиям для субъектов персональных данных; </li>
<li>класс 4 (К4) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, <b>не приводит </b>к негативным последствиям для субъектов персональных данных.</li>
</ul><div style="text-align: justify;"> Вот мы и пришли к тому с чего начали. Т.о. классифицировать нужно <u><b>по двум подходам одновременно</b></u>, дабы угодить и тем и другим. Причем, т.к. ущерб (негативные последствия) определяет <b>собственник информации</b> (т.е. субъект персональных данных) - то при классификации "по-фстековски" лучше все-таки использовать стандартную шкалу - количество и категория ПДн.</div><div style="text-align: justify;">Слава богу особых трудностей вызвать это не должно, однако подобный дуализм в подходе к защите ПДн сильно подрывает веру в Стандарт, заставляет работать "на два фронта".</div></div>Anonymousnoreply@blogger.com6tag:blogger.com,1999:blog-4388282115382110715.post-17964198835947606802011-05-27T04:31:00.000-07:002011-05-27T04:32:18.305-07:00Количество без качества. Оценка частных показателей по 2 шкалам.<div dir="ltr" style="text-align: left;" trbidi="on"><div style="text-align: justify;">В методике оценки расписана <i>качественная </i>оценка частных показателей ИБ. Две шкалы: степень документированности требования и степень выполнения. Причем выполнение оценивается весомей, чем степень документированности, что, в общем, правильно. </div><div style="text-align: justify;"><br />
</div><div style="text-align: justify;">Рассмотрим подробней... </div><div style="text-align: justify;"></div><a name='more'></a><br />
<div style="text-align: justify;"></div><div style="text-align: justify;"></div><div class="separator" style="clear: both; text-align: justify;"><a href="http://3.bp.blogspot.com/-zVJdxlypN_c/Td-E9sHLgVI/AAAAAAAAABY/N4klN_BFY9I/s1600/%25D0%25BA%25D0%25B0%25D1%2587%25D0%25B5%25D1%2581%25D1%2582%25D0%25B2%25D0%25B5%25D0%25BD%25D0%25BD%25D0%25B0%25D1%258F+%25D0%25BE%25D1%2586%25D0%25B5%25D0%25BD%25D0%25BA%25D0%25B0+%25D0%25A1%25D0%25A2%25D0%259E+%25D0%2591%25D0%25A0.JPG" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="320" src="http://3.bp.blogspot.com/-zVJdxlypN_c/Td-E9sHLgVI/AAAAAAAAABY/N4klN_BFY9I/s320/%25D0%25BA%25D0%25B0%25D1%2587%25D0%25B5%25D1%2581%25D1%2582%25D0%25B2%25D0%25B5%25D0%25BD%25D0%25BD%25D0%25B0%25D1%258F+%25D0%25BE%25D1%2586%25D0%25B5%25D0%25BD%25D0%25BA%25D0%25B0+%25D0%25A1%25D0%25A2%25D0%259E+%25D0%2591%25D0%25A0.JPG" width="320" /></a></div><div style="text-align: justify;">При оценке частных показателей, руководствоваться нам с Вами необходимо именно качественной шкалой, однако отмечать в Приложении А придется <i>количественно</i>: столбцы разделены по оценкам <b>0</b>; <b>0,25</b>; <b>0,5</b>; <b>0,75</b> и <b>1</b>. </div><div style="text-align: justify;"><br />
</div><div style="text-align: justify;">Как видно из рисунка, уникальностью обладают только 2 оценки - <b>0,75</b> и <b>1</b>. Остальные же допускают двоякое толкование:</div><div style="text-align: justify;"><br />
</div><div style="text-align: justify;"></div><div style="text-align: justify;"><b>0,5</b> - два крайних положения на шкале: либо требование полностью документировано, либо не документировано вообще! Выполнение от полного до частичного. </div><div style="text-align: justify;"><b>0,25</b> - так же, только выполнение от никакого до частичного. </div><div style="text-align: justify;"><br />
</div><div style="text-align: justify;">Чем это нам грозит? В главную очередь, сложностями при последующем анализе. Учитывая сложность в фиксации свидетельств аудита и большой объем подобных работ (команда из 3-4 аудиторов занимается фиксацией свидетельств аудита 2 месяца. 1000 человеко-часов работы), основной анализ результатов самооценки будет проводится по Приложению А (таблица, в которой столбцы отражают количественную оценку частных показателей). А значит ситуация, в которой придется ломать голову что же "провалили" - выполнение или требование? - будет возникать постоянно. </div><div style="text-align: justify;">Через год или два встанет вопрос о повторной самооценке, и тогда может оказаться, что сотрудник, проводивший самооценку, больше не работает в банке. Понять, что он имел ввиду по оценке "0,25", учитывая 3 возможных абсолютно разных ситуации, может быть проблематично.</div><div style="text-align: justify;">Есть ли выход? Да. фиксировать качественную оценку по двум шкалам, оставив математику - программе. Именно так и построен BSAT - единственное приложение на сегодняшний день, которое поддерживает качественную оценку показателей ИБ.</div><div style="text-align: justify;"><br />
</div><div style="text-align: justify;">Бесплатная демоверсия доступна <a href="http://www.leetsoft.ru/bsat">здесь</a>.</div><div style="text-align: justify;"><br />
</div></div>Anonymousnoreply@blogger.com10tag:blogger.com,1999:blog-4388282115382110715.post-55173133014119721182011-05-26T06:13:00.000-07:002011-05-26T06:13:12.199-07:00Безработный - это преступление..<div dir="ltr" style="text-align: left;" trbidi="on"><div style="text-align: justify;">Посетил конференцию, организованную департаментом и службами занятости по поводу защиты персональных данных. Центры занятости спрашивали, как им быть: <strike>милиция </strike>полиция запрашивает постоянно списки безработных. Вместо целей и объяснений ссылается на закон об оперативно-розыскной деятельности. Конкретных фамилий не называет. Просто хочет раз в месяц базу безработных себе. </div><div style="text-align: justify;">Представитель ФСБ высказался четко и ясно. Мы ловим преступников. Нам надо знать всё обо всех, т.к. мы обеспечиваем безопасность и не должны центрам объяснять что и зачем (мол тайна следствия). </div><div style="text-align: justify;">Вот так вот в нашей стране безработные становятся преступниками. Вот так вот, ища работу, вы автоматически становитесь объектом "оперативно-розыскной деятельности". </div><div style="text-align: justify;">Ну чем не "презумпция виновности"? </div><div style="text-align: justify;"><br />
</div><div style="text-align: justify;">PS. Огромное уважение тем центрам занятости, которые отвечают полицейским и ФСБ "Для каких целей? На каком основании?". Побольше бы таких. </div></div>Anonymousnoreply@blogger.com2tag:blogger.com,1999:blog-4388282115382110715.post-72806264764169573792011-05-24T02:41:00.000-07:002011-05-24T06:21:07.949-07:00Подводные камни софта по аудиту СТО БР ИББС<div dir="ltr" style="text-align: left;" trbidi="on">Попалась в руки на днях одна достаточно известная программа по аудиту СТО БР ИББС...<br />
<br />
<br />
<a name='more'></a>Коллеги продают ее дешевле, чем наш BSAT, однако для работы программы обязательно необходим Microsoft SQL Server 2000, который:<br />
<ul style="text-align: left;"><li>стоит от 30 до 200 тысяч рублей (в зависимости от типа лицензирования);</li>
<li>не поддерживает Windows Vista, 7, Server 2008 (2003?);</li>
<li>не поддерживается Microsoft уже как 3 года (учитывая скорострельность windows update на критические дырки в SQL Server, может быть достаточно критично).</li>
</ul>Обидно ведь узнать об этом, когда ты уже купил программу. Все равно что купить машину без двигателя.<br />
<br />
Есть, конечно, MSDE. Однако тут встают проблемы с лицензией. Нужно иметь разрешение от MS на распространение MSDE с коммерческими приложениями, да и работоспособность подобной связки никто не гарантирует.<br />
<br />
Вспомнив "сапожника без сапог", скажу про "инструментарий оценки ИБ без ИБ".</div>Anonymousnoreply@blogger.com4tag:blogger.com,1999:blog-4388282115382110715.post-86406890546770097712011-04-28T00:19:00.000-07:002011-04-28T00:19:50.737-07:00Приложение В VS рекомендуемые частные показатели<div dir="ltr" style="text-align: left;" trbidi="on">Как влияют уточняющие вопросы на рекомендуемые показатели? (см. далее)<br />
<br />
<a name='more'></a>Есть такая прекрасная табличка в СТО БР ИББС-1.2<br />
<div class="separator" style="clear: both; text-align: center;"><a href="http://4.bp.blogspot.com/-932dPaLzcUo/TbkSpu7seLI/AAAAAAAAABU/jKYtyajbu8A/s1600/%25D0%25A1%25D0%25BD%25D0%25B8%25D0%25BC%25D0%25BE%25D0%25BA.JPG" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="310" src="http://4.bp.blogspot.com/-932dPaLzcUo/TbkSpu7seLI/AAAAAAAAABU/jKYtyajbu8A/s400/%25D0%25A1%25D0%25BD%25D0%25B8%25D0%25BC%25D0%25BE%25D0%25BA.JPG" width="400" /></a></div> вот она нам и рассказывает, как же оценивать частные показатели ИБ в зависимости от ответа на уточняющие вопросы Приложения В. Прекрасно работает, когда у нас 2 шкалы - Требование и Выполнение.<br />
<br />
<br />
<i>А когда у нас только "да" либо "не применим"? </i><br />
<br />
см. частный показатель М12.2, к примеру.<br />
<br />
Как тут быть? Прошу мысли в комментах :).<br />
<br />
PS. Про содержимое уточняющих вопросов я вообще промолчу. На классификацию активов влияет очистка освобождаемых областей памяти на носителях..<br />
<br />
<br />
<br />
</div>Anonymousnoreply@blogger.com5tag:blogger.com,1999:blog-4388282115382110715.post-63155931504185374922011-04-19T02:01:00.000-07:002011-04-19T02:02:00.021-07:00Вопросы-аналоги Методики оценки<div dir="ltr" style="text-align: left;" trbidi="on"><div style="text-align: justify;">Методика оценки содержит 425 вопросов. Из них 78 вопросов - вопросы-аналоги. Большинство из них сгруппированы в групповые показатели М28-М34. К слову сказать, оценка EV3 ("Уровень осознания ИБ") целиком формируется из вопросов-аналогов. </div><div style="text-align: justify;"><br />
</div><div style="text-align: justify;">Отвечать на вопросы аналоги <b>не нужно!</b> Оценка на данный вопрос копируется из вопроса - оригинала (а вот весовой коэффициент не копируется). Работая в BSAT Вы обнаружите, что оценивание вопросов-аналогов программа берет на себя. </div><div style="text-align: justify;"><br />
</div><div style="text-align: justify;">Не все аналоги ограничиваются групповыми показателями М28-М34.</div><div style="text-align: justify;"><br />
</div><div style="text-align: justify;">Например, частный показатель М19.2 "Сформирована и поддерживается ли в актуальном состоянии централизованная база инцидентов ИБ?" является аналогом частного показателя М13.6 "Создан ли и поддерживается ли в актуальном состоянии единый информационный ресурс (база данных), содержащий информацию об инцидентах ИБ?". </div><div style="text-align: justify;"><br />
</div><div style="text-align: justify;"><br />
</div></div>Anonymousnoreply@blogger.com0tag:blogger.com,1999:blog-4388282115382110715.post-29928238904985453182011-04-18T06:58:00.000-07:002011-04-18T07:01:35.196-07:00Перечень документов по СТО БР ИББС<div dir="ltr" style="text-align: left;" trbidi="on">На этапе подготовки к Аудиту, встает вопрос о том, какие документы должны в организации быть. Обычно, фраза "у всех всё по-разному" не спасает. Хотят перечень.<br />
<br />
Ну что ж, вот он:<br />
<br />
<a name='more'></a><br />
<b>1 Документы по ИСПДн.</b><br />
1.1 Акт классификации ИСПДн;<br />
1.2 Перечень ИСПДн;<br />
1.3 Уведомление в РКН;<br />
1.4 Положение об обработке и защите ПДн;<br />
1.5 Перечнь лиц, участвующих в обработке ПДн;<br />
1.6 Приказ об ответственном за защиту ПДн;<br />
<b>2 Проектная документация.</b><br />
2.1 Проект на создание подсистемы информационной безопасности ИСПДн;<br />
2.2 Проект на создание АБС;<br />
2.3 Проект на создание ДБО.<br />
<b>3 Политики безопасности</b><br />
3.1 Частная политика ИБ по антивирусной защите;<br />
3.2 Частная политика ИБ по работе с внешними носителями информации;<br />
3.3 Частная политика ИБ по резервированию и восстановлению информации;<br />
3.4 Частная политика ИБ по парольной защите;<br />
3.5 Частная политика ИБ по использованию Интернет;<br />
3.6 Частная политика ИБ по разработке ПО;<br />
3.7 Частная политика ИБ по использованию СКЗИ;<br />
3.8 Частная политика ИБ по мониторингу инцидентов и работе с рисками нарушения ИБ;<br />
<b>4 Эксплуатационная (исполнительная) документация.</b><br />
4.1 Руководство пользователя ИСПДн (АБС);<br />
4.2 Руководство администратора ИСПДн (АБС);<br />
4.3 Руководство администратора ИБ ИСПДн (АБС);<br />
4.4 Инструкция по контрольным проверкам, план контрольных проверок;<br />
4.5 Инструкция по мониторингу;<br />
4.6 Инструкция по доступу в помещения;<br />
4.7 Перечень информационных активов (типов).<br />
4.8 Перечень средств защиты информации ИСПДн с указанием сертификатов ФСТЭК, ФСБ (журнал учёта СЗИ);<br />
4.9 Перечень ПО АРМ ИСПДн (БПТП);<br />
4.10 План обработки рисков;<br />
4.11 План непрерывности бизнеса;<br />
4.12 Журнал регистрации событий (ведется в электронном виде);<br />
<b>5 Документы, определяющие роли сотрудников.</b><br />
5.1 Положение о Службе ИБ;<br />
5.2 Паспорт роли: Пользователь ИСПДн;<br />
5.3 Должностные инструкции сотрудников (либо Паспорт ролей), связанных с обеспечением ИБ;<br />
5.4 Должностные инструкции сотрудников (либо Паспорта ролей);<br />
5.5 Должностная инструкция разработчика ПО;<br />
5.6 Должностная инструкция администратора (сотрудника, обслуживающего информационные системы);<br />
5.7 Пакеты прав доступа в Интернет;<br />
<b>6 Документы по работе с СКЗИ.</b><br />
6.1 Приказ о допуске к работе с криптосредствами;<br />
6.2 Инструкция по работе с криптосредствами;<br />
6.3 Акт уничтожения ключевого носителя;<br />
6.4 Инструкция по доступу в режимные помещения;<br />
6.5 Технический (аппаратный) журнал;<br />
<b>7 Собственная безопасность.</b><br />
7.1 Регламент приёма на работу сотрудников, влияющих на обеспечение ИБ;<br />
7.2 План проверок профессиональных навыков и проф.пригодности сотрудников;<br />
7.3 Инструкция по проверке работников при выявлении фактов их нештатного поведения, участия в инцидентах ИБ или подозрений в таком поведении или участии;<br />
7.4 Обязательство о соблюдении конфиденциальности;<br />
7.5 Обязательство о соблюдении корпоративной этики;<br />
<b>8 Договора с контрагентами.</b><br />
8.1 Договор на разработку (обслуживание) АБС (ДБО);<br />
8.2 Договор с клиентом организации на ДБО;<br />
8.3 Договор с контрагентом.<br />
<br />
Перечень не претендует на полноту. Но в качестве отправной точки вполне не плох.</div>Anonymousnoreply@blogger.com4tag:blogger.com,1999:blog-4388282115382110715.post-22343015323327443052011-04-14T05:54:00.000-07:002011-12-13T04:25:52.899-08:00Особенности работы с Приложением В Методики оценки СТО БР ИББС-1.2 (Часть 2)<div dir="ltr" style="text-align: left;" trbidi="on">
<div style="text-align: justify;">
<a href="http://leetsoftru.blogspot.com/2011/04/12.html">Часть 1</a> Часть 2</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Рассмотрим все на примере.<br />
<br />
<a name='more'></a></div>
<div style="text-align: justify;">
Допустим в нашем банке есть только ИСПДн-И. Нет специальных, нет биометрических.<br />
<br />
Оцениваем частный показатель М5.15:<br />
<i>Определены ли в документах организации перечень защитных мер и порядок их использования для осуществления почтового обмена через сеть Интернет? </i><br />
<br />
Его "уточняют" 3 вопроса: 13, 22, и 34. Причем 34 - "специальный". Его вычеркиваем. Остаётся 2: <br />
13. Осуществляется ли передача персональных данных только при условии обеспечения их целостности с помощью защитных мер, механизмов и средств, применяемых по согласованию со структурным подразделением или должностным лицом (работником) организации, ответственным за обеспечение безопасности персональных данных? </div>
<div class="MsoNormal" style="text-align: justify;">
22. Осуществляется ли подключение ИСПДн к ИСПДн другого класса или к сети Интернет с использованием средств межсетевого экранирования (межсетевых экранов), которые обеспечивают выполнение следующих функций:</div>
<div>
</div>
<div class="MsoNormal" style="text-align: justify;">
- фильтрацию <span lang="EN-US">…;</span></div>
<div style="text-align: justify;">
</div>
<div class="MsoNormal" style="text-align: justify;">
- идентификацию <span lang="EN-US">…;</span></div>
<div style="text-align: justify;">
</div>
<div class="MsoNormal" style="text-align: justify;">
- регистрацию <span lang="EN-US">…?</span></div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: center;">
<b>Оцениваем уточняющие вопросы.</b></div>
<div style="text-align: justify;">
<b>13 вопрос.</b> Средства электронно-цифровой подписи почтового трафика в нашем банке отсутствуют. В документах закреплено лишь общее требование обеспечения целостности ПДн.</div>
<div style="text-align: justify;">
</div>
<div style="text-align: justify;">
<b>Итого: </b><i><b>Требования зафиксированы частично, не выполняются.</b></i></div>
<div style="text-align: justify;">
<b>22 вопрос. </b>В рамках построения подсистемы обеспечения ИБ банка, интегратор поставил нам и настроил сертифицированный межсетевой экран, сопроводив работы полной проектной документацией. Однако офис в здании напротив все еще ходит в Интернет "напрямую". </div>
<div style="text-align: justify;">
<b>Итого: <i>Требования зафиксированы полностью, но выполняются лишь частично.</i></b></div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<b>Общий итог: </b><b><i> Требования всех уточняющих вопросов зафиксированы частично, и выполняются не в полном объёме.</i></b></div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<i>Учитывая </i><i> Таблицу 7 Методики оценки, максимальная оценка частного показателя должна быть не более 0,25.</i><b><i><br />
</i></b></div>
<div style="text-align: justify;">
<b><i><br />
</i></b></div>
<div style="text-align: justify;">
</div>
<div style="text-align: justify;">
</div>
<div style="text-align: center;">
<b>Оцениваем частный показатель ИБ.</b></div>
<div style="text-align: justify;">
В банке разработана частная политика ИБ по электронной почте, поэтому можно сказать, что требование выполняется полностью. Однако, учитывая уточняющие вопросы, мы ставим оценку не выше, т.е.<b> 0,25</b>.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: center;">
<b>Распространенная ошибка</b></div>
<div style="text-align: justify;">
Если бы мы стали оценивать каждый из уточняющих вопросов количественно, то получили бы две оценки <b>0</b> на 13 вопрос и <b>0,5</b> на 22. Общая итоговая оценка частного показателя ИБ, если брать по-минимуму, была бы равна <b>0</b>. Отсутствие качественного подхода к оценке уточняющих вопросов привело бы к неправильной итоговой оценке частного показателя ИБ.</div>
<table border="0" cellpadding="0" cellspacing="0" style="margin-left: 0px; margin-right: 0px; text-align: left; width: 171px;"><tbody>
<tr height="20"><td class="xl63" height="20" style="height: 15pt; text-align: justify; width: 128pt;" width="171"><br /></td><td class="xl63" height="20" style="height: 15pt; text-align: justify; width: 128pt;" width="171"><br /></td><td class="xl63" height="20" style="height: 15pt; text-align: justify; width: 128pt;" width="171"><br /></td><td class="xl63" height="20" style="height: 15pt; text-align: justify; width: 128pt;" width="171"><br /></td></tr>
</tbody></table>
</div>Anonymousnoreply@blogger.com4tag:blogger.com,1999:blog-4388282115382110715.post-53709612907624744872011-04-13T12:39:00.000-07:002011-06-09T04:17:56.845-07:00Особенности работы с Приложением В Методики оценки СТО БР ИББС-1.2<div dir="ltr" style="text-align: left;" trbidi="on"><div style="text-align: justify;">Часть 1. <a href="http://leetsoftru.blogspot.com/2011/04/12-2.html">Часть 2. </a></div><div style="text-align: justify;"><br />
</div><div style="text-align: justify;">Ознакамливаясь с Методикой оценки СТО БР ИББС-1.2 рано или поздно вы наткнетесь на Приложение В "Уточняющие вопросы частных показателей ИБ". Перечитывать 2 странички Методики (10 раздел), посвященных работе с уточняющими вопросами, придется, вероятно, несколько раз. Тому есть 2 причины:</div><div style="text-align: justify;">- на фоне математически ясной Методики оценки Приложение В выглядит достаточно.. нечетко;</div><div style="text-align: justify;">- понять, как влияют уточняющие вопросы на частные показатели без <strike>поллитра</strike> глубокого анализа достаточно сложно.</div><div style="text-align: justify;"><br />
<a name='more'></a></div><div style="text-align: justify;"><b>Что же такое уточняющие вопросы?</b></div><div style="text-align: justify;">Приложение В это: </div><div style="text-align: justify;">- 34 вопроса, из них 13 общих, 10 про защищаемые типы ИСПДн, 10 про специальные, и один - "биометрический";</div><div style="text-align: justify;">- 69 подвопросов;</div><div style="text-align: justify;">- в общей сложности 80 зависимых частных показателей ИБ в 18 групповых.</div><div style="text-align: justify;">Все уточняющие вопросы касаются защиты персональных данных, выполнения требований РС БР ИББС-2.3, и должны, казалось бы, участвовать в формировании оценки EV1озпд. </div><div style="text-align: justify;"><br />
</div><div style="text-align: justify;"><i>Небольше отступление. Оценка EV1озпд. </i></div><div style="text-align: justify;">EV1озпд есть среднее арифметическое групповых показателей М1-М5, М8 и М10. Каким образом на оценку EV1озпд может влиять, к примеру, уточняющий вопрос №10 (влияющий на частные показатели М15.6, М15.8, М21.1, М21.7, М32.1) мне не понятно. Зачем нужен уточняющий вопрос по персональным данным, который не влияет ни на одну оценку, связанную с персональными данными?</div><br />
<b>Приступим к оценке..</b><br />
<div style="text-align: justify;">1. Из всего множества вопросов Приложения В выберем те вопросы, которые связаны с нашими ИСПДн <i>(подскажу - </i><i>Все: 1-13; </i><i>ИСПДн-И(Б,С): 14-22, 29; </i><i>ИСПДн-Б: 23; </i><i>ИСПДн-С: 24-28, 30-34</i><i>)</i>.</div><div style="text-align: justify;">2. Далее начинаем оценку. Дойдя до частного показателя, указанного в Таблице 1 Приложения В, выписываем все вопросы Приложения В, влияющие на данный частный показатель с учетом типов ИСПДн (см. п.1).</div><div style="text-align: justify;">3а. Оцениваем степень документированности требований: Смотря на все выписанные вопросы, решим, что:</div><div style="text-align: justify;">а) требования всех выписанных вопросов установлены полностью в документах организации;</div><div style="text-align: justify;">б) требования всех выписанных вопросов частично установлены в документах организации;</div><div style="text-align: justify;">в) требования всех выписанных вопросов не установлены в документах организации.</div><div style="text-align: justify;">3б. Оценим степень выполнения требований. Смотря на все выписанные вопросы, решим, что:</div><div style="text-align: justify;">а) требования всех выписанных вопросов выполняются в полном объеме;</div><div style="text-align: justify;">б) требования всех выписанных вопросов выполняются частично;</div><div style="text-align: justify;">в) требования всех выписанных вопросов не выполняются.</div><div style="text-align: justify;">4. Перейдем к оценке частного показателя. Прочитав вопрос, подготовив ответ, оценим степень документированности частного показателя <u>не выше</u> степени документированности всех уточняющих вопросов из п.3а, оценим степень выполнения требований частного показателя <u>не выше</u> степени выполнения п.3б.</div><div style="text-align: justify;">5. Идем дальше, пока не наткнемся на следующий частный показатель, указанный в Таблице 1. Далее снова идём на п.2.</div><div style="text-align: justify;"><br />
</div><div style="text-align: justify;"><a href="http://leetsoftru.blogspot.com/2011/04/12-2.html">Продолжение (Пример оценки)..</a><br />
<br />
<a href="http://leetsoftru.blogspot.com/2011/06/blog-post_09.html">Еще про Приложение В (+таблица, связывающая частный показатель с уточняющими вопросами) </a></div><div style="text-align: justify;"><br />
<a href="http://www.leetsoft.ru/bsat">Корректная реализация Приложения В - BSAT</a></div><div style="text-align: justify;"><br />
</div></div>Anonymousnoreply@blogger.com0