Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Минюст обязал банки проводить пентесты и аудит кибербезопасности

13/08/2018

Банки обяжут соблюдать новые меры кибербезопасности, среди которых обязательными являются аудит информационной безопасности, различные тестирования на проникновение (пентесты), обязательная сертификация использованного программного обеспечения.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: Пред. 1 2 3 4 5 ... 7 След.
RSS
[ Закрыто ] Сайт знакомств, соцсеть и так далее
Цитата
Win сервера сертифицированы. Не нравится альт линукс, но хотите сидеть на нём? - покупайте навесное СЗИ, которое под линукс идёт, таких с 10ок точно найдёте.

Я не нашёл на сайте Microsoft никакой информации о том, что их сервера сертифицированы.

Цитата
Если Вы тут напишете, что Вы Иван Иваныч, паспортные данные такие-то, болеете энурезом, создатели форума не станут от этого оператором ПДн. Почитайте внимательно определение оператора и сами всё поймете. Другое дело с гос. органами и ФЗ, касающегося рассмотрения обращений граждан, но там определен состав ПДн.

Говорилось о том, что будет, если здесь зарегистрироваться под своим именем?
А по поводу организаций, ну с какой стати здесь нужен какой-то порядок определения состава ПДн?
Цитата
Как раз таки заботится, несколько лет назад, государство обязало Госстандарт публиковать все ГОСТы на оф. сайте, что они нехотя исполняют, можете сами проверить.

Проверялось неоднократно. Не выполняется. И это только госстандарт. А я говорю про всё законодательство.

Цитата
Основополагающую часть законодательства там можно в любое время посмотреть бесплатно, в том числе и скачать. Прочая часть, вплоть до областных законов там доступа во внерабочее время, думаю справедливо. Кроме того есть и гос. база законодательства, но она ИМХО неудобная и кривая, но это можно понять.

Ну тогда давайте я буду исполнять "Основополагающую часть законодательства", а остальную тогда, когда мне доступ откроют. Там ведь по времени доступ открывается? Со стольки до столько часов доступно одно, ночью - другое. Не пойдёт. Да и почему я должен обращаться к коммерческим проектам в поисках законодательства? Прокол? Да! Тут и обсуждать больше нечего. Не создало государство портала со всеми законами и прочей НД. И не создаст. Ещё Ленин писал, что законы надо писать так, чтобы простой народ их не понимал. А в современных условиях за доступ ещё и деньги надо платить. Вот так.
Цитата
Гость пишет:
А говорилось об абсурдности защиты ПДн. Нужно ведь понимать чётко, какие данные конфиденциальны, а какие нет. Если жизнь наша так устроена, что большинство моих ПДн становится полностью доступным всем членам общества, то почему появляется кто-то, кто эти данные объявляет нуждающимися в какой-то защите?
Проблема тут конечно есть, "минимальный набор ПДн", которые могут прямо, а теперь и "косвенно" идентифицировать субъекта до сих пор не сформирован. С другой стороны мне, думаю как и Вам, не хотелось бы, чтобы где-нибудь висела табличка с Вашими ФИО, адресом и паспортными данными на всеобщем обозрении. Ситуации в жизни бывают разные и конфиденциальность никому не повредит.
Цитата
Гость пишет:
И за это ещё денег требует и неимоверных трудочасов!!!
Согласен, не раз на это жаловались небольшие организации. Идеальным было бы сформировать наиболее полно, доступно и недвусмысленно требования в подзаконных актах и нормативке регуляторов, далее министерствам и ассоциациям выпустить свои отраслевые рекомендации с полными(!) шаблонами документов и разъяснениями. Попыток было много, но все они были какими-то незаконченными.
Цитата
Уж для банков, с их заработком, требования 152-ФЗ выполнимы точно, всё дело в желании.

Понимаете, мне всё равно сколько зарабатывают банки.
Почему их доить начинают? А потом, как говорится, у большого корабля большое плавание. У банков число серверов огромное, число сотрудников тоже огромное, число рабочих мест тоже огромное. Поэтому и расходы тоже огромные. Скорее всего, банки сюда вообще не надо было включать (в этот ФЗ). Они сами в состоянии позаботиться и о своей, и о моей безопасности. Это прямой их интерес, это их суть.

Цитата
Статья Михаила Емельянникова написана по старой версии ФЗ, 2 статья мягко говоря сп_орная.

Все статьи по этой теме очень *WOW* , потому как 152 ФЗ - абсурден в большей своей части.
Кто за это будет нести ответственность? С нас-то все горазды спросить. А вот мы когда и с кого будем спрашивать? Это в Верховный Суд надо обращаться? Наверное и в Суд по правам человека тоже?
Цитата
Проблема тут конечно есть, "минимальный набор ПДн", которые могут прямо, а теперь и "косвенно" идентифицировать субъекта до сих пор не сформирован. С другой стороны мне, думаю как и Вам, не хотелось бы, чтобы где-нибудь висела табличка с Вашими ФИО, адресом и паспортными данными на всеобщем обозрении. Ситуации в жизни бывают разные и конфиденциальность никому не повредит

Весь закон - одна большая проблема. Нужно ещё учитывать, в каком сочетании эти ПДн используются. Например, Имя + E-mail или Имя + Фамилия. Над этим тоже не потрудились поработать. Таблички с моими данными, скорее всего продаются на Горбушке. И вот здесь должны работать Органы. Мне как-то ни тепло от этого, ни холодно. Ну знает человек мои паспортные данные, и что дальше. Пусть запишет себе их на лобное место. Что он сможет сделать с этими данными? Придти ко мне по адресу? Ко мне и так может кто угодно позвонить в дверь. Не вижу ничего такого. А вот если у меня банковскую карточку выкрадут и под ножом спросят ПИН-код карты, то вот здесь плохая ситуация. Но это из другой оперы. Или, например, сопрут номер карты и CVV2. Это тоже плохо. Но у меня банк придумал что с этим делать. Так, что злоумышленник ничего не получит. Всё уже придумано и сделано. Никакой ФЗ не нужен. Я не против, когда "ВКонтакте" мне на мою страницу даёт таргетинговую рекламу. Мне это даже нравится. Так как большей частью я вижу то, что меня интересует, а не магазин нижнего женского белья. Если мне это не нравится, я могу удалиться. Да, Вы правы, ситуации бывают разные. Можно вечером пойти за жвачкой и нарваться на имбицилла с плохим настроением.

За всеми этими разговорами мы забыли самое главное: ФЗ вроде как должен защищать персональные данные. Он не может и не сможет даже теоретически это сделать, так как для хакера преград не существует. Он сломает всё, что ему попадётся под руку. Вот и всё. Поэтому этот ФЗ надо срочно переводить в ранг Методических рекомендаций, а для всех Госучреждений сделать узконаправленные ОСТы, каждый из которых будет полностью учитывать специфику конкретного учреждения. И написать это надо таким образом, чтобы никаких ни у кого вопросов не возникало, и не требовалось нанимать дорогостоящих специалистов-переводчиков. Но ведь понимаете... для этого надо работать, работать и работать...
Цитата
Гость пишет:

Я не нашёл на сайте Microsoft никакой информации о том, что их сервера сертифицированы.
В реестре сертифицированных СЗИ, если не ошибаюсь, были 2003 и 2008 сервера. Перечень можно найти на сайте ФСТЭК.
Цитата
Гость пишет:Да и почему я должен обращаться к коммерческим проектам в поисках законодательства?
http://ntc.duma.gov.ru/bpa/
Тут должны быть все ФЗ.
Постановления правительства - соответственно на сайте правительства, документы ФСТЭК и ФСБ - на их сайтах в открытом доступе.
Государство обеспечило доступ, если хотите удобства - можно и заплатить, не хотите платить - можно подождать.
Цитата
Проверялось неоднократно. Не выполняется. И это только госстандарт. А я говорю про всё законодательство.
По ИБ там были все последние ГОСТы, если не ошибаюсь.
Цитата
Скорее всего, банки сюда вообще не надо было включать (в этот ФЗ). Они сами в состоянии позаботиться и о своей, и о моей безопасности. Это прямой их интерес, это их суть.
По недавней статистике - банки чуть ли не главные нарушители 152-ФЗ. Сам устраивался в местный крупный банк на работу пару лет назад и удивился, что о защите ПДн там и не слышал почти никто из безопасников.
Изменено: Trotsky - 16.02.2012 23:15:14
Цитата
Государство обеспечило доступ, если хотите удобства - можно и заплатить, не хотите платить - можно подождать.

Нет и ещё раз нет. Я про удобства даже и не говорю, хотя и сортировка, поиск и тд должны быть, ведь на дворе 2012 год. Видимо Вы не сталкивались серьёзно с законодательством. Я не собираюсь бегать по всему интернету и выискивать сайты всех госучреждений. На каждом таком сайте только маленькая часть НД выложена. Более того, есть и региональные положения. Есть и муниципальные учреждения, которые тоже свои НД шлёпают.Я на этом "собаку съел". Ни разу ещё ничего не находил то, что надо было. А надо как всегда что-то очень специфичное.

Цитата
По недавней статистике - банки чуть ли не главные нарушители 152-ФЗ. Сам устраивался в местный крупный банк на работу пару лет назад и удивился, что о нём там и не слышал почти никто из безопасников.

))))) может они и нарушители этого 152 ФЗ, но они - не нарушители наших с ним договорных отношений. За эти долгие годы банк меня ни разу не подвёл, ни одна копейка не пропала с моего счёта. А больше мне от них ничего не надо. А если бы что-то пропала, то есть прокуратура, страхование вклада государством и много чего ещё. А если банк проверяет и использует мои ПДн, то я очень рад этому, значит банк работает и гарантирует мне стабильность.
Продолжают кошмарить оставшийся в России бизнес )))
Читаю вот эту статью )))

Особенно понравилось:

"Например, в прошлом году в МТС была похищена база телефонных номеров, и компании ничего за это не было. Впрочем, если бы то же самое произошло сейчас, после вступления в силу ЗоПД, наказания тоже не последовало бы. Ведь санкции предусмотрены не за утечку, а за "нарушение порядка обработки" ПД, то есть за отсутствие нужных бумаг с печатями. Да и западный опыт показывает, что ни жесткие требования к защите, ни штрафы от кражи ПД не спасают."

Вот об этом и речь, что никакие меры не спасают от кражи как ПДн, так и всего остального. Поэтому закон не имеет морального права требовать от нас что-то, тем более очень дорогое, так как траты эти ничего не принесут, кроме разорения. Таким образом, никакого технического регулирования и быть не может.
А после окончания всего этого безобразия, можно будет предъявлять соответствующие иски к Министерству Финансов?
Вот как работают в Европе: здесь
Там люди живут и для них приходится писать человеческие законы.

"Новые правила, содержащиеся в законе, учитывают облачные вычисления, социальные сети, сервисы определения местоположения и многие другие онлайн-сервисы, которых не было в 90-х годах."

"Создаются единые правила по защите персональных данных, действительные во всем ЕС. ... По оценкам экспертов эта мера позволит операторам сэкономить предприятиям примерно € 2,3 млрд. в год"

Налицо забота о людях и бизнесе и т.д. т.п.

:)
Принято решение полностью обезличить всех пользователей сайта.
Нашими усилиями была разработана прекрасная и пуленепробиваемая технология идентификации пользователей для обеспечения их же безопасности и поднятия престижа и привлекательности ресурса. Теперь эта схема работать не может в силу ФЗ 152. Таким образом, усилиями Роскомнадзора теперь на нашем сайте будут процветать маньяки, педофилы, мошенники, осужденные за изнасилования и другие граждане России. Вот она, защита и забота о людях и их ПДн в действии. Поздравляем и пользователей, и законодателей.
мое имхо:
Цитата
Гость пишет:
и компании ничего за это не было. Впрочем, если бы то же самое произошло сейчас, после вступления в силу ЗоПД, наказания тоже не последовало бы
Вот одна из главных проблем номер раз;
Проблема минимального набора ПДн номер два;
Проблема ограниченного государством и его древними, устаревшими законами и гостами набора средств и методов защиты номер три.

Есит конечно по мелочи, но, имхо, это наиболее крупные фейлы..
Цитата
Гость пишет:
для хакера преград не существует. Он сломает всё, что ему попадётся под руку. Вот и всё

Говорить, что законодательство о ПДн не нужно - абсурдно. По современным меркам оно просто необходимо.
Пока трудно понять в какой форме и каком размере, но, однозначно, необходимо.

А то, так можно и УК РФ отменять. Ведь все равно же преступник(убийца, насильник, вор... нужное подчеркнуть) совершит преступление..
Цитата
Гость пишет:
Ведь санкции предусмотрены не за утечку, а за "нарушение порядка обработки" ПД, то есть за отсутствие нужных бумаг с печатями.
Не соглашусь, есть определённые "карательные" статьи в законодательстве, в которых прописаны эти санкции
Вот цитата из Правил сайта Вконтакте:

Принимая настоящие Правила путем регистрации на Сайте, Пользователь подтверждает свое согласие на обработку Администрацией его персональных данных, предоставленных при регистрации, а также размещаемых Пользователем добровольно на своей персональной странице. Обработка персональных данных Пользователя осуществляется в соответствии с законодательством Российской Федерации. Администрация Сайта обрабатывает персональные данные Пользователя в целях предоставления Пользователю услуг, в том числе, в целях получения Пользователем персонализированной (таргетированной) рекламы; проверки, исследования и анализа таких данных, позволяющих поддерживать и улучшать сервисы и разделы Сайта, а также разрабатывать новые сервисы и разделы Сайта. Администрация Сайта принимает все необходимые меры для защиты персональных данных Пользователя от неправомерного доступа, изменения, раскрытия или уничтожения. Администрация предоставляет доступ к персональным данным Пользователя только тем работникам, подрядчикам и агентам Администрации, которым эта информация необходима для обеспечения функционирования Сайта и предоставления Услуг Пользователю. Администрация Сайта вправе использовать предоставленную Пользователем информацию, в том числе персональные данные, в целях обеспечения соблюдения требований действующего законодательства Российской Федерации (в том числе в целях предупреждения и/или пресечения незаконных и/или противоправных действий Пользователей). Раскрытие предоставленной Пользователем информации может быть произведено лишь в соответствии с действующим законодательством Российской Федерации по требованию суда, правоохранительных органов, а равно в иных предусмотренных законодательством Российской Федерации случаях.
Коль уж зашла речь про "Вконтакте" - то вот. Хоть статье чуть более двух месяцев, но в том же реестре операторов по-прежнему ничего.
Зато задекларировано, что обработка ПДн осуществляется в соответствии с законодательством РФ, да.
Цитата
Карбер пишет:
А то, так можно и УК РФ отменять. Ведь все равно же преступник(убийца, насильник, вор... нужное подчеркнуть) совершит преступление..


УК говорит - "если ты убил человека, то получишь от 0 до пожизненного после оценки обстоятельств судом".
Подход законодательства о ПДн - "ты должен доказать, что не убьешь человека, проведя сертификацию всех ножей в своем доме (тыщи денег, привлечение фирмы, имеющей соответствующую лицензию), всех молотков (тыщи денег, ...), всех окон (а вдруг выкинешь человека из окна? вот кстати и фирма, проверяющая прочность стекол, с лицензией). Как, хочешь выйти из дома? Нельзя, там ты можешь подобрать несертифицированный камень и убить им человека. Если уж очень надо - тыщи денег, согласованный со всеми инстанциями маршрут твоих перемещений и прошедший обучение (академическое образование, опыт работы по специальности от 4 лет) надсмотрщик.
А, так ты все же убил человека? Ну тогда с тебя штраф в три рубля за использование при этом не аттестованного сука, оторванного с ближайшего дерева.
Изменено: Vladislav S - 17.02.2012 12:20:30
Официальный интернет-портал правовой информации Государственная система правовой информации
Цитата
Se4 пишет:
Коль уж зашла речь про "Вконтакте" - то вот. Хоть статье чуть более двух месяцев, но в том же реестре операторов по-прежнему ничего. Зато задекларировано, что обработка ПДн осуществляется в соответствии с законодательством РФ, да.
Сейчас с ними бодаюсь, по поводу несанкционированного доступа к спецкатегории ПДн и отсутствия основания для её обработки. Как будут разъяснения отпишусь где-нибудь.
Страницы: Пред. 1 2 3 4 5 ... 7 След.
Читают тему (гостей: 2, пользователей: 0, из них скрытых: 0)