Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

SIEM ОТ MCAFEE УСПЕШНО ПРОШЛА СЕРТИФИКАЦИЮ ФСТЭК РОССИИ

01/04/2015

McAfee Security Information and Event Management (версия 9.3) успешно прошла сертификационные испытания, результатом которых стал сертификат соответствия №3353 (от 18 февраля 2015), выданный ФСТЭК России.

Реклама

Партнеры

Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: Пред. 1 2 3 4 5 ... 12 След.
Ответить
RSS
Active directory & Почта, Считать ли их ИСПДн?
knyaz,
В организации БС РФ должен быть определен и документально зафиксирован перечень ИСПДн. В перечень ИСПДн должны быть включены как минимум АБС, целью создания и использования которых является обработка персональных данных.
АБС, реализующие банковские платежные технологические процессы, не относятся к ИСПДн.
knyaz
К сожалению мы не банк.
Цитата
knyaz пишет:
Для Банков тут вообще всё просто ...

"Просто" потому что вы не пытались понять, что имели ввиду авторы данного документа;), а если вчитаться понять их можно ой как поразному...

Цитата
Максим Репин пишет:
knyaz
К сожалению мы не банк.

А что тут сожалеть-то? Active directory & Почта - под Почтой скорее всего подразумевается - Адресная книга - у вас являются ИСПДн а у них нет?
Цитата
Сергей С. пишет:
knyaz,
В организации БС РФ должен быть определен и документально зафиксирован перечень ИСПДн. В перечень ИСПДн должны быть включены как минимум АБС, целью создания и использования которых является обработка персональных данных.
АБС, реализующие банковские платежные технологические процессы, не относятся к ИСПДн.

Вот в том то и дело, что целью которых является обработка ПДн. В данном случае цели создания совсем другие.

Цитата
Developer пишет:
"Просто" потому что вы не пытались понять, что имели ввиду авторы данного документа , а если вчитаться понять их можно ой как поразному...
ЦБ важно, чтобы были защищены платёжные процессы в первую очередь. Комплекс РС БР ИББС согласоввывался с регуляторами. Если в Банке принят Комплекс, выполнена оценка соответствия по нему, то регуляторы и слова не скажут. Иначе просто будет скандал.

http://ispdn.ru/forum/index.php?PAGE_NAME=read&FID=1&TID=1512 - здесь я писал почему Комплекс выгоднее.

Тут всё однозначно написано.
Изменено: knyaz - 08.02.2011 09:17:25
Сергей С. Вы почитайте не только сам стандарт СТО, но и рекомендации по его внедрению.
Если вы не банк, то что? Если у вас нет отраслевых стандартов, то кто вам мешает использовать СТО БР с корректировкой под свои особенности? И классифицировать как ИСПДн только те ИС, целью создания которых является обработка ПДн. И при проверке регуляторов ссылаться на СТО БР, или что позволено Юпитеру, не позволено быку? И скандал будет еще больше. ИМХО, если вы осуществите защиту ПДн в соответствии с СТО БР вопросы у регуляторов вряд ли возникнут, уж у РКН точно.
Сергей С.
Получается, что можно взять, понавыпускать собственных стандартов и давай друг на друга ссылаться, вообще никаких концов не найдешь. ИМХО самое правильное признать это 4м классом, о чем я писал выше, это не создаст никаких затруднений.
Цитата
Максим Репин пишет:
Получается, что можно взять, понавыпускать собственных стандартов
Не только понавыпускать, но и понасогласовывать с регуляторами. Пока правительство не установит единые для всех, приемлемые по затратам и понятные для исполнения правила игры, другого пути нет. Иначе бардак в нашей нормативной базе так и будет компенсироваться необязательностью исполнения.
Комплекс РС БР ИББС отраслевой. Специально для данного вида деятельности. Вы требования почитайте к АС в целом, а не только то, что касается ПДн. В данном случает более критична финансовая информация. И будте уверены, что технологические процессы защищены на должном уровне, соответственно и ПДн защищаются. К системам, целью которых является обработка ПДн, есть отдельные требования. Если сравнить документы ФСТЭК и стандарт СТО, то разница только в том, что СТО заточен именно под АС Банка. Подобные АС в обычных фирмах и организациях не встерчаются.
To knyaz,
1С и передача отчетности в СЭД есть у всех - это общая ИСПДн для всей страны. А из СТО нужно брать сам подход к классификации ИС - цель создания.
И если в ИС, созданной, например, для торговли, обрабатываются ПДн, это еще не делает ее ИСПДн. Я не говорю, что не надо осуществлять защитных мер. Защита нужна, и может более "крутая", чем для ПДн.
Господа, а если в AD присутствуют фотографии сотрудников? Реально ли под 4 класс загнать?
Гость
Можно собирать согласия с сотрудников, что эти данные общедоступны.
Цитата
Сергей С. пишет: Иначе бардак в нашей нормативной базе ...

Бардак пока похоже у вас в мыслях что поддаетесь на провокации knyaz вместо того что бы задать себе вопрос а соответствует ли его стандарт Фз-152? :evil:

Цитата
knyaz пишет:

http://ispdn.ru/forum/index.php?PAGE_...1&TID=1512 - здесь я писал почему Комплекс выгоднее.

Там вы рассказали только о плюсах Комплекса и умолчали о минусах Комплекса - что этот документ с прицелом на будущие и а сейчас он мягко говоря немножко не соответствует действующему законодательству... и что бы ваше определение:

Цитата
knyaz пишет:
Для Банков тут вообще всё просто - "Автоматизированные системы, в которых обрабатываются персональные данные, но целью работы которых не является обработка персональных данных, включаются в перечень систем, обрабатывающих персональные данные, но не классифицируются как ИСПДн".

реально заработало и такие автоматизированные банковские системы (АБС) можно было защищать по требованиям защиты банковской тайны, а не требованиям по защите персональных данных необходимо

выпустить несколько документов для ээээ...... прикрытия спины :oops: :
1) Внести изменения в Фз-152 (что действия не распространяются и тд
2) Выпустить наконец таки :o ФЗ об Банковской Тайне

А Скандал действительно могет быть - если ЦБ не воспользуется паузой и документы не будут выпущены и Фз-152 снова не получит отсрочку - регуляторы со спокойной душой могут придти...
Цитата
Максим Репин пишет:
ИМХО самое правильное признать это 4м классом.
Если AD работает только в режиме адресной книги - то ИМХО другого варианта и пока нету :( кроме как письменное разрешение (хотя есть мнения что адресная книга в организации - это 3й класс)

Цитата
Максим Репин пишет:
это не создаст никаких затруднений.

Ну кроме того что потребуется сбор этих самых письменных разрешений, хранение, отказ в таком разрешении и отзыв в любой момент :cry:
Цитата
Гость пишет:
Бардак пока похоже у вас в мыслях что поддаетесь на провокации knyaz вместо того что бы задать себе вопрос а соответствует ли его стандарт Фз-152? smile:evil:
Стандарт не его, а ЦБ.
ЗоПДн,Статья 2. Цель настоящего Федерального закона
Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
Намерения благие, но сами знаете, что ими выстлано. В нынешней редакции закона и существующих подзаконных актах для 90% операторов выполнить их требования НЕ ВОЗМОЖНО :!: А значит это еще один механизм давления на неугодных со стороны государства, конкурентов, обиженных (как по делу, так и не по делу).
А посмотрите КоАП:
Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)
Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) -
влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей.
Статья 13.12. Нарушение правил защиты информации
2. Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну), -
влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей с конфискацией несертифицированных средств защиты информации или без таковой; на должностных лиц - от одной тысячи до двух тысяч рублей; на юридических лиц - от десяти тысяч до двадцати тысяч рублей с конфискацией несертифицированных средств защиты информации или без таковой.
Статья 13.13. Незаконная деятельность в области защиты информации
1. Занятие видами деятельности в области защиты информации (за исключением информации, составляющей государственную тайну) без получения в установленном порядке специального разрешения (лицензии), если такое разрешение (такая лицензия) в соответствии с федеральным законом обязательно (обязательна), -
влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей с конфискацией средств защиты информации или без таковой; на должностных лиц - от двух тысяч до трех тысяч рублей с конфискацией средств защиты информации или без таковой; на юридических лиц - от десяти тысяч до двадцати тысяч рублей с конфискацией средств защиты информации или без таковой.
Получается, если я не защищаю ПДн, то меня могут только оштрафовать, если защищаю, но регулятором не нравится, как я это делаю - конфискуют СЗИ, и все, можно закрывать лавочку, даже приостановление деятельности не нужно.
Цитата


Там вы рассказали только о плюсах Комплекса и умолчали о минусах Комплекса - что этот документ с прицелом на будущие и а сейчас он мягко говоря немножко не соответствует действующему законодательству... и что бы ваше определение:
Цитата
knyaz пишет:
Для Банков тут вообще всё просто - "Автоматизированные системы, в которых обрабатываются персональные данные, но целью работы которых не является обработка персональных данных, включаются в перечень систем, обрабатывающих персональные данные, но не классифицируются как ИСПДн".

реально заработало и такие автоматизированные банковские системы (АБС) можно было защищать по требованиям защиты банковской тайны, а не требованиям по защите персональных данных необходимо

выпустить несколько документов для ээээ...... прикрытия спины :
1) Внести изменения в Фз-152 (что действия не распространяются и тд
2) Выпустить наконец таки ФЗ об Банковской Тайне

А Скандал действительно могет быть - если ЦБ не воспользуется паузой и документы не будут выпущены и Фз-152 снова не получит отсрочку - регуляторы со спокойной душой могут придти...

Так я и не спорю. Просто пока спину банков прикрывает ЦБ. И претензии будут к ЦБ. А вот чтобы поднимался скандал... Думаю "наверху" этого не допустят. ;) Такая уж у нас страна 8) :|
Developer
Ну тут работает принцип "Хочешь работать - не выпендривайся" Адресная книга и прочие фентиклюшки прежде всего созданы для удобства самих работников, никуда за пределы Компании эта информация не выходит, к тому же все кроме ФИО является внутрикорпоративной информацией и бесполезна вне Компании.
Цитата
Максим Репин пишет:
Адресная книга и прочие фентиклюшки прежде всего созданы для удобства самих работников, никуда за пределы Компании эта информация не выходит, к тому же все кроме ФИО является внутрикорпоративной информацией и бесполезна вне Компании.
Адресную книгу нельзя переслать контрагенту по почте? Или эл. письма не пишутся внешним адресатам?
Не говоря уже о том, что если корпоративный домен не верхнего уровня, а интегрирован (что нередко случается в крупных компаниях с кучей "дочек") в домен верхнего уровня, то информация из AD видна всем, входящим в корневой домен.
Kutyrs
Ну например меня не сильно напрягает, что кто-то узнает мой рабочий телефон.
А разве рабочий телефон обычно не общедоступные сведения ? :D к слову так. 8)
Страницы: Пред. 1 2 3 4 5 ... 12 След.
Ответить
Читают тему (гостей: 4, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку