Hello! On Tue, 28 Apr 2015 at 23:18:51 (+0300), Sergey Smitienko wrote:

Берете рекомендацию PCI DSS, в ней есть лист самооценки.

Слёту не нагуглил. Если есть под рукой, кинь ссылку на этот "лист самооценки". thanx.

А что косается IT Security service, то там скорее два вопроса - кто все эти люди и почему они требуют столько денег.

...

А не подскажите специалиста (или группу специалистов) по IT безопасности в Киеве, которые смогут сделать оценку IT безопасности небольшой компании (несколько десятков рабочих мест), выработать рекомендации по сегментированию сети, внедрению контроля доступа к ресурсам, управления пользователями и проследить за / помочь с внедрением выработанных рекомендаций?

-- George L. Yermulnik [YZ-RIPE]

PCI DSS его название selfexplained - Payment Card Industry Data Security Standard . Т.е. если надо прохдить сертификацию VISA/Matercard - тогда оно оправдано. В целом само по себе интересно почитать требования (они в Вики опубликованы), но жизнь и специализация вносят свои коррективы: там, где финансовая организация обязана получить сертификацию, для коммерческой организации нефинансового типа это может закончиться неоправданной финансовой тяжестью. --- Оригінальне повідомлення --- Від кого: "George L. Yermulnik" Дата: 28 квітня 2015, 23:28:49 Hello! On Tue, 28 Apr 2015 at 23:18:51 (+0300), Sergey Smitienko wrote:

Берете рекомендацию PCI DSS, в ней есть лист самооценки.

Слёту не нагуглил. Если есть под рукой, кинь ссылку на этот "лист самооценки". thanx.

А что косается IT Security service, то там скорее два вопроса - кто все эти люди и почему они требуют столько денег.

...

А не подскажите специалиста (или группу специалистов) по IT безопасности в Киеве, которые смогут сделать оценку IT безопасности небольшой компании (несколько десятков рабочих мест), выработать рекомендации по сегментированию сети, внедрению контроля доступа к ресурсам, управления пользователями и проследить за / помочь с внедрением выработанных рекомендаций?

-- George L. Yermulnik [YZ-RIPE]

Добрый день, А оно вам для галочки надо, цель какая ? В каком контексте необходима весьма непонятная, обтекаемая и весьма небезопасная процедура ? --- Оригінальне повідомлення --- Від кого: "Alex Tomashpolsky" Дата: 29 квітня 2015, 00:23:32 Спасибо за совет, но в данном случае это перебор, разговор идет о внедрении безопасности на уровне здравого смысла, контора не оказывает финансовых сервисов и сертификация ей не нужна. Надо правильно сконфигурировать брандмауэр, сегментировать сети, построить AD, обновления, антивирус, ACL'и и т.п. - и за всем этим смотреть... С уважением, --АТ. Sergey Smitienko wrote: Уважаемый коллега, Берете рекомендацию PCI DSS, в ней есть лист самооценки. А что косается IT Security service, то там скорее два вопроса - кто все эти люди и почему они требуют столько денег.   А не подскажите специалиста (или группу специалистов) по IT безопасности в Киеве, которые смогут сделать оценку IT безопасности небольшой компании (несколько десятков рабочих мест), выработать рекомендации по сегментированию сети, внедрению контроля доступа к ресурсам, управления пользователями и проследить за / помочь с внедрением выработанных рекомендаций? -- Sergey Smitienko

Доброй ночи! Так это стандартные задачи админа. Вопрос в том, есть ли желание внедрять правильно, или, послать админа (сразу или позже), который захочет внедрить правильно (мол, зачем же напрягаться. Все же работает). PCI DSS Вам порекомендовали именно за тем, чтобы Вы могли самостоятельно пройтись по списку. После этого Вам будет понятны следующие шаги (и их вариации). Особенно, готовы ли Вы будете мириться с некоторыми (иногда очень важными и значительными) ограничениями в Ваших процессах (не только ИТ, но, которые опираются на ИТ). Открытый процесс в виде "сейчас все перетащим на гуглопочту и пошарим все и всем" тут явно будет лишним. Так вот, снова же про PCI DSS, например, поставить отдельный вайфай для guest и staff. Сканить эфир на предмет открытых точек, логировать кто и куда ходит, как уничтожать битые винты (дабы никто с них ничего не стянул), как организовывается доступ к SaaS, PaaS и т.д. Какие есть процедуры в бумажном виде, как это все исполняется, кто-то про это все помнит и т.д. Набор вопросов может показаться банальным и не важным. Последствия могут быть только вполне материальными при несоблюдении сознательном или не очень. On 28/04/15 23:22, Alex Tomashpolsky wrote:

Спасибо за совет, но в данном случае это перебор, разговор идет о внедрении безопасности на уровне здравого смысла, контора не оказывает финансовых сервисов и сертификация ей не нужна.

Надо правильно сконфигурировать брандмауэр, сегментировать сети, построить AD, обновления, антивирус, ACL'и и т.п. - и за всем этим смотреть...

С уважением, --АТ.

Sergey Smitienko wrote:

...

Уважаемый коллега,

Берете рекомендацию PCI DSS, в ней есть лист самооценки. А что косается IT Security service, то там скорее два вопроса - кто все эти люди и почему они требуют столько денег.

...

А не подскажите специалиста (или группу специалистов) по IT безопасности в Киеве, которые смогут сделать оценку IT безопасности небольшой компании (несколько десятков рабочих мест), выработать рекомендации по сегментированию сети, внедрению контроля доступа к ресурсам, управления пользователями и проследить за / помочь с внедрением выработанных рекомендаций?

-- Sergey Smitienko

Чуть не забыл сказать спасибо! :) Alex Tomashpolsky wrote:

Доброе утро,

Эдуард,

Это мне понятно. Вопрос в том, или кто-то эти услуги может предоставить в качестве сервиса в Киеве - аудит / рекомендации / имплементация. Я нахожусь в другом городе и не могу предоставить этот сервис не могу.

Согласен, это может быть грамотный "сисадмин по вызову" (или соответствующая служба). Вопрос в том, кто и что в этом напровлении может сделать / порекомендовать (не по самой безопасности, а по соответствующему сервису / персонам).

С уважением, --АТ.

Eduard MELNYK wrote:

...

Доброй ночи!

Так это стандартные задачи админа.

Вопрос в том, есть ли желание внедрять правильно, или, послать админа (сразу или позже), который захочет внедрить правильно (мол, зачем же напрягаться. Все же работает).

PCI DSS Вам порекомендовали именно за тем, чтобы Вы могли самостоятельно пройтись по списку. После этого Вам будет понятны следующие шаги (и их вариации). Особенно, готовы ли Вы будете мириться с некоторыми (иногда очень важными и значительными) ограничениями в Ваших процессах (не только ИТ, но, которые опираются на ИТ). Открытый процесс в виде "сейчас все перетащим на гуглопочту и пошарим все и всем" тут явно будет лишним.

Так вот, снова же про PCI DSS, например, поставить отдельный вайфай для guest и staff. Сканить эфир на предмет открытых точек, логировать кто и куда ходит, как уничтожать битые винты (дабы никто с них ничего не стянул), как организовывается доступ к SaaS, PaaS и т.д. Какие есть процедуры в бумажном виде, как это все исполняется, кто-то про это все помнит и т.д. Набор вопросов может показаться банальным и не важным. Последствия могут быть только вполне материальными при несоблюдении сознательном или не очень.

On 28/04/15 23:22, Alex Tomashpolsky wrote:

...

Спасибо за совет, но в данном случае это перебор, разговор идет о внедрении безопасности на уровне здравого смысла, контора не оказывает финансовых сервисов и сертификация ей не нужна.

Надо правильно сконфигурировать брандмауэр, сегментировать сети, построить AD, обновления, антивирус, ACL'и и т.п. - и за всем этим смотреть...

С уважением, --АТ.

Sergey Smitienko wrote:

...

Уважаемый коллега,

Берете рекомендацию PCI DSS, в ней есть лист самооценки. А что косается IT Security service, то там скорее два вопроса - кто все эти люди и почему они требуют столько денег.

...

А не подскажете специалиста (или группу специалистов) по IT безопасности в Киеве, которые смогут сделать оценку IT безопасности небольшой компании (несколько десятков рабочих мест), выработать рекомендации по сегментированию сети, внедрению контроля доступа к ресурсам, управления пользователями и проследить за / помочь с внедрением выработанных рекомендаций?

-- Sergey Smitienko