Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

GDPR: Новые правила обработки персональных данных в EU

15/06/2018

Все слышали о General Data Protection Regulation (GDPR) (Regulation (EU) 2016/679), который вступил в силу 25 мая 2018 года. Штрафы большие и придётся соответствовать. Как и любой официальный документ, он написан сухо и может трактоваться по-разному.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: Пред. 1 2 3 4
RSS
[ Закрыто ] Сертифицированные средства для защиты ПД, На данном сайте приведен список сертифицированных средств для защиты ПД . А где ссылки на информацию (первоисточник ) ,номер и дата получения сертификата ?
Сертифицированы должны быть СЗИ для любого класса ИСПДн.
Цитата из "Методики определения актуальных угроз":
"С использованием данных о классе ИСПДн и составленного перечня актуальных угроз, на основе «Рекомендаций по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» и «Основных мероприятий по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» формулируются конкретные организационно-технические требования по защите ИСПДн от утечки информации по техническим каналам, от несанкционированного доступа и осуществляется выбор программных и технических средств защиты информации, которые могут быть использованы при создании и дальнейшей эксплуатации ИСПДн."
Т.е. на основе разработанного и имеющегося формулируем конкретные организационно-технические требования по защите ИСПДн.
Вопрос:
Если ИСПДн классифицирована (по табличке) как К1, а требования сформулированы ниже тех, что указаны в "Основных мероприятиях" для К1. Т.е. обоснована неактуальность некоторых требований. Тогда все-равно необходимо приобретать СЗИ сертифицированные для использования в ИСПДн К1? Или надо чтобы данное СЗИ обеспечивало выполнение только тех требований, которые являются актуальными для данной ИСПДн?
Здравствуйте!
Я пытаюсь оценить, во сколько нам встанет защита всех наших ИСПДн. Всего их 3: 1, 2 и 3 класса.
В основных мероприятиях перечислены все требования к средствам защиты.
Проблема заключается в незнании тех средств защиты, в которых все эти требования выполнены.
То есть, для К3 и К1 разные средства защиты, я правильно понимаю?
Каков минимальный набор средств для каждого из классов?
В моем понимании, как для К3, так и для К1, это: антивирь, шифрование, ср-во от НСД и МЭ. (при условии, что сеть К3 распределенная, имеет выход в интернет. К1, К2 - локальные)
Если в чем-то неправ, просьба указать на ошибку. Вообще, в голове каша...
Цитата
Гость пишет:
Я пытаюсь оценить, во сколько нам встанет защита всех наших ИСПДн. Всего их 3: 1, 2 и 3 класса.
Стоимость мер защиты может варьироваться в зависимости от конкретной исходной защищенности Ваших ИСПД, а также от того кто будет эти меры осуществлять, если интегратор, то зависит еще и от его аппетитов.

Цитата
В основных мероприятиях перечислены все требования к средствам защиты.
Проблема заключается в незнании тех средств защиты, в которых все эти требования выполнены.
То есть, для К3 и К1 разные средства защиты, я правильно понимаю?
Каков минимальный набор средств для каждого из классов?
В моем понимании, как для К3, так и для К1, это: антивирь, шифрование, ср-во от НСД и МЭ. (при условии, что сеть К3 распределенная, имеет выход в интернет. К1, К2 - локальные)
Если в чем-то неправ, просьба указать на ошибку. Вообще, в голове каша...
Для К2 подойдут и те, которые для К1, для К3 подойдут как те, что для К2, так и те, что для К1. Это по требованиям.
Ну а конкретно чего и сколько надо можно сказать только если знать как и что у Вас организована. Межсетевые экраны необходимы для защиты ИСПД на точках их стыка с другими сетями или компьютерами, на точках выхода в глобальную сеть Интернет. СКЗИ необходимы для К1 вне зависимости передается информация через другие сети или циркулирует только внутри ИСПД. СЗИ НСД нужны для всех классов, ну а требования для всех классов разные, единственно то, что средства, обеспечивающие должный уровень защиты на более высоких классах подойдут и для более низких классов.
К1 и К2 у Вас локальные, а что локальные? ЛВС или отдельные машины? К3 распределенная в каком плане?
И тогда, все будет так, как должно было бы быть..., даже если будет наоборот...
Анатолий, спасибо за ответ. Будем обращаться к лицензиатам, просто хотелось бы знать во сколько нам обойдется 1 машина для каждого из классов. Читал, что можно закупить и установить самим, а специалистов пригласить только для настройки. Только вот что и для какого класса закупать - пока не ясно.
СКЗИ, я так понимаю, необходим только для 1 класса?
3 класс распределенная: ПДн отправляем через e-mail самим их обладателям (а так же они отправляют нам свои ПДн), и в наш же офис, но в другом конце города (а если мы будем возить на флешке в офис, система все еще будет считаться распределенной из-за пересылки ПД клиентам?).
Иногда ноутбуки (3 класс) сотрудники берут домой для работы. Тут не нужно СКЗИ? И еще некоторые индивиды ходят в интернет через вай-фай, наверное, дешевле беспроводную связь будет убрать?
2 класс - локальная сеть, 7 машин в двух кабинетах.
1 класс (есть информация о состоянии здоровья) - 2 машины в кабинете, общаются по сети. Поправьте, если ошибаюсь: нужны СКЗИ, антивирус, ср-во от НСД. Если (теоретически) мы подключаться будем к интернету, нужен будет еще МЭ, так? И еще, нужно ли защищать от ПЭМИН эти 2 машины?

Общий вопрос ко всем классам: нужно ли сертифицировать Windows? Местами стоит виста, местами ХР.
Цитата
Гость пишет:
Будем обращаться к лицензиатам, просто хотелось бы знать во сколько нам обойдется 1 машина для каждого из классов. Читал, что можно закупить и установить самим, а специалистов пригласить только для настройки. Только вот что и для какого класса закупать - пока не ясно.
На сайте www.fstec.ru есть перечень сертифицированных средств защиты информации, они там перечислены с классами защищенности (правда, вроде не все) по НДВ и т.д. Из них сможете что-то подобрать. Стоимость одной машины, как уже говорил, варьируется исходя из исходной защищенности и аппетитов интеграторов. В нашем регионе интеграторов всего два и цены они ломят аховые, например, чтобы только придти и посмотреть какие работы нужны они просят почти 10000 рубликов за одну машину. Одиночный компьютер и выделенное помещение по гостайне нам обошлось почти 150000 рубликов (и это учитывая, что нужна была всего лишь переаттестация, то есть продление аттестации).

Цитата
СКЗИ, я так понимаю, необходим только для 1 класса?
Для распределенных систем также нужны СКЗИ при передаче информации за пределы контролируемой зоны.

Цитата
3 класс распределенная: ПДн отправляем через e-mail самим их обладателям (а так же они отправляют нам свои ПДн), и в наш же офис, но в другом конце города (а если мы будем возить на флешке в офис, система все еще будет считаться распределенной из-за пересылки ПД клиентам?).
Не обязательно, Вы можете объявить их двумя разными ИСПД, а обмен между ними информацией посредством флэшки будет относится к неавтоматизированной обработке и, соответственно, подпадать под ПП687

Цитата
Иногда ноутбуки (3 класс) сотрудники берут домой для работы. Тут не нужно СКЗИ?
Да, это рекомендуется даже для просто конфиденциалки. слишком участились в последнее время потери ноутов.

Цитата
И еще некоторые индивиды ходят в интернет через вай-фай, наверное, дешевле беспроводную связь будет убрать?
Думаю, что да, Wi-Fi защищать слишком хлопотно и недешево. Подключитесь, если так необходим интернет, по кабелю, тогда достаточно будет межсетевого экрана (естественно сертифицированного ФСТЭК).

Цитата
2 класс - локальная сеть, 7 машин в двух кабинетах.
Какая топология сети? Имеется ли сервер и где он расположен? Какая внутренняя организация сети? имеется ли физическая охрана, сигнализация, контроль климата...?

Цитата
1 класс (есть информация о состоянии здоровья) - 2 машины в кабинете, общаются по сети. Поправьте, если ошибаюсь: нужны СКЗИ, антивирус, ср-во от НСД. Если (теоретически) мы подключаться будем к интернету, нужен будет еще МЭ, так? И еще, нужно ли защищать от ПЭМИН эти 2 машины?
Для начала неплохо было бы уточнить какая информация о здоровье? Две машины общаются через сеть или через интернет? Межсетевые экраны нужны на точках выхода в сети общего пользования или глобальные сети, также в этом случае нужны и СКЗИ на шифрование трафика или пересылаемой информации. Антивирус в любых ИСПД необходим (рекомендую Каспера, хоть сам его терпеть не могу, но у него очень есть хороший модуль администрирования, пока другие антивирусы таким не могут похвастаться). СЗИ НСД также нужны для любых ИСПД (другое дело, что в некоторых ИСПД их можно заменить штатными средствами сертифицированных ОС, но не для К1). Для ИСПД лучше вообще закрыть выход в интернет, либо настроить на машинах дополнительный профиль, из которого не будет доступа к основному профилю, но будет доступ к Интернету, а из основного профиля будет доступ к папкам дополнительного профиля (грубо говоря завести еще одну учетную запись на машине и разграничить доступ).

Цитата
Общий вопрос ко всем классам: нужно ли сертифицировать Windows? Местами стоит виста, местами ХР.
Для К1 скорее всего потребуется (возможно и для К2), а для остальных необходим, только если будете использовать ОС как СЗИ. Главное, чтобы ОС и ПО были лицензионными, а не пиратками.
И тогда, все будет так, как должно было бы быть..., даже если будет наоборот...
Позволю себе Вам ответить. По поводу Windows: сертифицировать не надо, но ОС обязательно должна быть лицензионной. Также, как и ПО.
По поводу 1го класса все правильно. От ПЭМИН защита нужна.
Вай-фай убирать необязательно, ведь это часть локальной сети, а значит к ней предъявляются такие же требования как и для обычной витой пары.
Из-за пересылки ПДн клиентам система распределенной считаться не будет, это к наличию подключений к сетям общего пользования относится. Но и флешка Вас не спасет: ИСПДн-то одна и та же, просто способ передачи информации поменялся. В любом случае, если ИСПДн расположена в двух офисах, то она - распределенная.
Цитата
Casey_Jones пишет:
По поводу 1го класса все правильно. От ПЭМИН защита нужна.
Точно, забыл сказать.

Цитата
Вай-фай убирать необязательно, ведь это часть локальной сети, а значит к ней предъявляются такие же требования как и для обычной витой пары.
Не соглашусь по одной простой причине, к Wi-Fi точке подключиться можно и со стороны и защитить такие сети не в пример сложнее и дороже.

Цитата
Из-за пересылки ПДн клиентам система распределенной считаться не будет, это к наличию подключений к сетям общего пользования относится.
Клиентам если отправляются их данные СКЗИ не нужны и система не распределенная, а вот в удаленный офис - надо и система распределенная.

Цитата
Но и флешка Вас не спасет: ИСПДн-то одна и та же, просто способ передачи информации поменялся. В любом случае, если ИСПДн расположена в двух офисах, то она - распределенная.
Если обмен посредством флешки то можно объявить две разные ИСПД и тогда флешка спасет. Количество ИСПД определяет сам оператор. Можно конечно и за одну считать, но тогда система действительно будет распределенной.
И тогда, все будет так, как должно было бы быть..., даже если будет наоборот...
Анатолий, Casey_Jones, спасибо, все становится более менее понятным.
Есть сомнения по поводу правильности определения 3 класса для ИСПД: в системе обрабатываются ПД 2 категории, как работников, так и клиентов. Количество субъектов - всегда меньше 1000, со временем появляются новые записи, а старые удаляются (попутный вопрос: необходимо ли специальное ПО для уничтожения?), многопользовательский режим обработки, у всех одинаковые права. Вроде по всем параметрам К3, надеюсь, я не ошибаюсь?

Casey_Jones, а лицензионным должно быть абсолютно все ПО, или только то, которое участвует в обработке ПД?

Анатолий, информация о здоровье следующая: наличие прививок, аллергии, инвалидности (точно не знаю что еще есть, но думаю этих трех полей уже достаточно).
Машины (в К1) общаются по локалке.
В сетях К2 и К3 серверы, расположены в серверной (отдельное помещение). Есть охрана и сигнализация.

Цитата
СЗИ НСД также нужны для любых ИСПД (другое дело, что в некоторых ИСПД их можно заменить штатными средствами сертифицированных ОС
в каких ИСПД так можно сделать?
Цитата
Гость пишет:
Есть сомнения по поводу правильности определения 3 класса для ИСПД: в системе обрабатываются ПД 2 категории, как работников, так и клиентов. Количество субъектов - всегда меньше 1000, со временем появляются новые записи, а старые удаляются (попутный вопрос: необходимо ли специальное ПО для уничтожения?), многопользовательский режим обработки, у всех одинаковые права. Вроде по всем параметрам К3, надеюсь, я не ошибаюсь?
Во первых у Вас здесь две разные ИСПД, одна ИСПД работников, другая ИСПД клиентов. Цели обработки разные, значит базы должны быть разделены и соответственно это две разные ИСПД. А в остальном класс К3, возможно специальный, если требуется еще что-то помимо конфиденциальности.
Уничтожение информации, это тоже своеобразный способ ее защиты, потому средства должны быть сертифицированными (хотя я что-то о таких не знаю, есть ли они вообще не в составе каких-либо других продуктов). Многие СЗИ НСД (если не все) имеют в своем составе такие средства гарантированного уничтожения.

Цитата
Casey_Jones , а лицензионным должно быть абсолютно все ПО, или только то, которое участвует в обработке ПД?
Если не хотите попасть под 146 УК, то все. Можете использовать некоторое ПО из freeware-продуктов или из open-source.

Цитата
Анатолий , информация о здоровье следующая: наличие прививок, аллергии, инвалидности (точно не знаю что еще есть, но думаю этих трех полей уже достаточно).
Думаю наличие прививок - это не сведения о здоровье, а сведения о профилактике здоровья. Группа инвалидности, тут в одном топе была жаркая дискуссия по ней. Если нет характера инвалидности, а есть только группа (цифирька), то это сведения о профессиональной пригодности или пригодности к выполнению работ, точнее об ограничении. Инвалидность многие выставляют на показ (не сам характер, а ее наличие). А вот сведения об аллергии... Это уже серьезно, тут мне кажется, что даже информация о ее наличии на что-то тоже можно отнести к сведениям о состоянии здоровья.

Цитата
Машины (в К1) общаются по локалке.
В сетях К2 и К3 серверы, расположены в серверной (отдельное помещение). Есть охрана и сигнализация.
С серверами понял, а вот топологию сети все равно никак не пойму. Поправьте меня. У Вас одна автоматизированная система, в которой находится несколько ИСПД, одна К1, другая К2 и третья К3, все они завязаны в одну локальную сеть. ЛВС наверняка построена на Active Directory, раз встал вопрос о лицензионном софте. Топология типа лес. Один домен, он же корневой. Я правильно понял?

Цитата
Цитата
СЗИ НСД также нужны для любых ИСПД (другое дело, что в некоторых ИСПД их можно заменить штатными средствами сертифицированных ОС
в каких ИСПД так можно сделать?
В ИСПД класса К4 и К3 нераспределенной, но это если строить защиту от НСД средствами ОС Windows. В этом случае ОС Windows должна иметь сертификат по требованиям безопасности информации ФСТЭК РФ, и использовать надо будет многофакторную аутентификацию. Недавно Alt Linux сертифицировали свою систему (и сервер и воркстейшн-десктоп) по требованиям безопасности информации, как СЗИ НСД, если не ошибаюсь, до класса К2 включительно (надо уточнить на сайте ФСТЭК). В комплекте к ним есть адаптированная 1С.
Изменено: Анатолий М - 03.12.2009 11:39:22
И тогда, все будет так, как должно было бы быть..., даже если будет наоборот...
Да, лицензионным должно быть все ПО. Можно еще здесь посмотреть:
http://ispdn.ru/forum/index.php?PAGE_NAME=message&FID=2&TID=11&MID=3836#message3836
Описанная в начале поста система 3 класса, специальным ПО пользоваться не надо.
Цитата
Гость пишет:
Цитата
СЗИ НСД также нужны для любых ИСПД (другое дело, что в некоторых ИСПД их можно заменить штатными средствами сертифицированных ОС

в каких ИСПД так можно сделать?
Это надо в реестре сертифицированных СЗИ смотреть, для класса 1 это не прокатит. А для 3 класса можно Linux в качестве межсетевого экрана настроить, например.
Цитата
Во первых у Вас здесь две разные ИСПД, одна ИСПД работников, другая ИСПД клиентов. Цели обработки разные, значит базы должны быть разделены и соответственно это две разные ИСПД.
Вот этого не учел, спасибо!

Цитата
Многие СЗИ НСД (если не все) имеют в своем составе такие средства гарантированного уничтожения.
Secret Net подойдет?

Цитата
С серверами понял, а вот топологию сети все равно никак не пойму.
Эх.. Скажу сразу, я не айтишник, поэтому буду объяснять как умею. ;)
Все три сети разделены физически: К1 - одноранговая, просто 2 компьютера. К2 - отдельная сеть со своим сервером (7 машин). К3 - другая сеть с другим сервером, с доступом в интернет (20 машин - стационарные и ноутбуки).
Точнее, мы сейчас имеем два сервера и сеть, где все ПД свалены в одну кучу, а то что я описал - это то, как все должно будет выглядеть после приведения в соответствие с требованиями.
Разделяем все это, чтобы минимизировать затраты, особенно с К1 (возможно, что здесь оставим уже всего 1 компьютер).
Остальных подробностей я не знаю, если это принципиально важно, могу уточнить у нашего сисадмина.
Цитата
Гость пишет:
Secret Net подойдет?
Надо смотреть по требованиям. Для класса К3 точно подойдет, для К2 и К1 врать не буду. Загляните в перечень сертифицированных средств, там обычно пишут какие требования выполняет, а иной раз и для каких классов ИСПД разрешено применять. Dallas Lock вроде и для класса К1 подходит, но тоже не хочу вводить в заблуждение.


Цитата
Все три сети разделены физически: К1 - одноранговая, просто 2 компьютера.
Размещены в одном помещении внутри контролируемой зоны? Выхода в интернет нет? К другим ЛВС не подключены? Тогда СЗИ НСД на оба компа, экранированная витая пара и защита от ПЭМИН, ВИ и РИ (если не сделаете эту угрозу неактуальной и не обоснуете это), антивирусное ПО, оргмеры и отдыхайте. СКЗИ, на мой взгляд здесь не нужны, разве только для случаев копирования информации на съемные носители. Но здесь я могу ошибаться, так как не могу определить достаточность мер, но все таки мне кажется СКЗИ не нужны здесь.

Цитата
К2 - отдельная сеть со своим сервером (7 машин).
Защита сервера (СЗИ НСД). СЗИ НСД на все 7 АРМ (здесь Dallas Lock точно подойдет, а возможно и Secret Net тоже). Проверить все ПЭМИН и если неактуальны - прописать в модели угроз, ну а если актуальны - защищать. Проверить РИ и ВИ и точно так же как с ПЭМИН. Оргмеры. Антивирус. Если сеть вся внутри контролируемой зоны и выходов за периметр контролируемой зоны не имеет и все шнуры проложены внутри контролируемой зоны, то этого достаточно будет вполне. Ну может быть еще потребуется СКЗИ, если будете копировать информацию на съемные носители.

Цитата
К3 - другая сеть с другим сервером, с доступом в интернет (20 машин - стационарные и ноутбуки).
Если сеть не распределенная, то: на интернет межсетевой экран, на ноутбуки, если их предполагается отделять от сети - СКЗИ, СЗИ НСД (либо вместо СЗИ НСД средствами ОС - многофакторная аутентификация). Выход в интернет централизуем на одну точку (не для каждой машины отдельно, а один на все). АРМы средствами сертифицированной ОС многофакторную аутентификацию, либо СЗИ НСД на каждую. СЗИ НСД на сервер, либо помещаем его в защищенное помещение с ограниченным доступом, запирающееся и с выделенной зоной для сервера (допустим большое помещение, а в нем поменьше для серверов, каждое помещение под своим замком), опечатывание, охранная и пожарная сигнализация, средства видеонаблюдения и видеорегистрации событий, короче защищаем от несанкционированного доступа сервера как можем. Антивирус и оргмеры.
От Wi-Fi лучше отказаться, так как получится слишком дорого защищать и ненадежно. Радиоканал все таки. Куда там ПЭМИНам.
Вроде ничего не упустил.

Цитата
Точнее, мы сейчас имеем два сервера и сеть, где все ПД свалены в одну кучу, а то что я описал - это то, как все должно будет выглядеть после приведения в соответствие с требованиями.
Разделяем все это, чтобы минимизировать затраты, особенно с К1 (возможно, что здесь оставим уже всего 1 компьютер).
Ну так правильный подход - разделяй и властвуй. Так Вы снижаете затраты на защиту, хотя удобства работы, наверняка, будет меньше. Будет три разные ИСПД. Правда модели угроз и акты классификации нужны будут на каждую в отдельности тогда. Кстати, затраты в предложенном Вами способе с двумя компами по К1 будут не намного выше, чем с одним компом, поэтому можно и два компа. На фоне всех затрат примерно 20 - 30 тыс. руб. не сильно будут заметны.
В Вашем случае можно перестроить сеть по другому, пусть К3 будет в корневом домене, а К2 и К1 в разных субдоменах. На все подсети ставите межсетевые экраны (отделяете друг от друга), настраиваете их соответствующим образом, затем СЗИ НСД на серверы и АРМ. Правда в этом случае затраты все же будут больше - больше межсетевых экранов, контролеры доменов тоже необходимо защищать ну и т.д. Зато появится возможность подняв почтовый сервер осуществлять обмен информацией между работниками по электронной почте или запустить систему электронного документооборота. Выходы есть, главное, чтобы ИСПД были друг от друга защищены и от внешнего воздействия (вторжения и т.д.). Ваш способ менее затратный получается. Либо посмотрите топ "Построение бюджетных ИСПД" там есть предложения по использованию терминал-серверных решений. Тоже возможность снижения затрат.
И тогда, все будет так, как должно было бы быть..., даже если будет наоборот...
Подскажите по поводу сертификатов у СЗИ, если не ошибаюсь сертификат может выдаваться на отдельную единицу СЗИ (аппаратную или программную), либо на серию (выпущенную единоразово?) либо на все производство конкретного СЗИ.
Отсюда вопрос: в организации имеются Антивирусы которые есть в списке СЗИ и в таблице "реестр ссзи", однако куплен давно и теперь непонятно распространяется ли выданный ФСТЭКом сертификат на "серию" для наших антивирусов, или же в любом случае придется сносить старое ПО и покупать новое, к которому будет прилагаться конкретная бумажка? Возможно ли в таком случае сертифицировать имеющийся дистрибутив для продолжения использования?
Цитата
Guest пишет:
Подскажите по поводу сертификатов у СЗИ, если не ошибаюсь сертификат может выдаваться на отдельную единицу СЗИ (аппаратную или программную), либо на серию (выпущенную единоразово?) либо на все производство конкретного СЗИ.
Отсюда вопрос: в организации имеются Антивирусы которые есть в списке СЗИ и в таблице "реестр ссзи", однако куплен давно и теперь непонятно распространяется ли выданный ФСТЭКом сертификат на "серию" для наших антивирусов, или же в любом случае придется сносить старое ПО и покупать новое, к которому будет прилагаться конкретная бумажка? Возможно ли в таком случае сертифицировать имеющийся дистрибутив для продолжения использования?
Если Вы приобретали свои СЗИ именно из этой серии и сможете это подтвердить, то само подтверждение и будет свидетельством того, что они сертифицированы. А подтвердить Вы сможете только наличием копии сертификата, доказательством принадлежности к сертифицированной серии (допустим какой-то номер из этой серии, либо накладная либо еще что-то), ну и разные гламурные наклеечки от ФСТЭКа. Также можете и имеющиеся попробовать сертифицировать во ФСТЭК.
И тогда, все будет так, как должно было бы быть..., даже если будет наоборот...
прошу прощения, пришлось недолго отсутствовать. заодно накопилось еще пара вопросов:

Анатолий М , спасибо Вам за ответы!
если можно, то вот к этому:
Цитата
Во первых у Вас здесь две разные ИСПД, одна ИСПД работников, другая ИСПД клиентов. Цели обработки разные, значит базы должны быть разделены и соответственно это две разные ИСПД.
укажите пожалуйста закон/постановление/рд, в котором это говорится (чтобы обосновать для коллег)

Цитата
Проверить РИ и ВИ
а можно расшифровку?

Цитата
(если не сделаете эту угрозу неактуальной и не обоснуете это)
а обосновать - это определить неактуальность по фстэковской методике определения актуальных угроз, правильно?

Цитата
Цитата
Общий вопрос ко всем классам: нужно ли сертифицировать Windows?
Для К1 скорее всего потребуется (возможно и для К2), а для остальных необходим, только если будете использовать ОС как СЗИ.
Для К1 - скорее всего или обязательно потребуется? где можно узнать точно? (лучше всего было бы знать название документа, где указано это требование)
ФЗ-152 Глава 2. ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

1) Статья 5. Принципы обработки персональных данных
1. Обработка персональных данных должна осуществляться на основе принципов:
5) недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.

2) Речевая Информация, Видовая Информация.

3) Да. Очень творческая деятельность.

4) По Винде - не подскажу. Забыл.
еще такой вопросик - обосновать неактуальность угрозы по ПЭМИН могут только лицензиаты, так как только у них есть измерительное оборудование, верно? то есть нам для составления модели угроз без ПЭМИН нужно в любом случае обращаться к ним?
Цитата
Александр пишет:
еще такой вопросик - обосновать неактуальность угрозы по ПЭМИН могут только лицензиаты, так как только у них есть измерительное оборудование, верно? то есть нам для составления модели угроз без ПЭМИН нужно в любом случае обращаться к ним?
Нет, можно с использованием метода экспертного опроса. Берем несколько экспертов, задаем им одинаковые вопросы по ПЭМИН, получаем ответы, систематизируем и смотрим, что получается, какие актуальны, какие нет.
И тогда, все будет так, как должно было бы быть..., даже если будет наоборот...
Анатолий М, а разве можно без измерений сказать, что излучения не выходят за пределы контролируемой зоны? или можно обосновать неактуальность ПЭМИН без измерений вообще?
Страницы: Пред. 1 2 3 4
Читают тему (гостей: 2, пользователей: 0, из них скрытых: 0)