Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Минюст обязал банки проводить пентесты и аудит кибербезопасности

13/08/2018

Банки обяжут соблюдать новые меры кибербезопасности, среди которых обязательными являются аудит информационной безопасности, различные тестирования на проникновение (пентесты), обязательная сертификация использованного программного обеспечения.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: Пред. 1 ... 3 4 5 6 7
RSS
[ Закрыто ] Сайт знакомств, соцсеть и так далее
Резервирование+средства восстановления, защита от НСД (запись/модификация/уничтожение), физическая защита.
Угроза нарушения целостности в процессе передачи ИМХО неактуальна.
Цитата
Сергей С. пишет:
Угроза нарушения целостности в процессе передачи ИМХО неактуальна.
вот-вот, а как это грамотно обосновать?
Нарушение целостности сообщения это:
1. Модификация=перехват+изменение+отправка дальше по адресу. Бред полный, кому это надо и зачем. Пользователь ведь почувствует :) разницу и может удалить это сообщение.
2. Потеря сообщения. Маловероятно но возможно. Закрываем угрозу повторной отправкой.
Изменено: Сергей С. - 05.04.2012 11:37:19
А по поводу отображения оценок? Родитель просматривает оценки ребёнка, а там одни двойки (хотя на самом деле пятёрки), не спрашивая наказывает ребёнка, тот обижается, уходит из дома... ну это самый такой мрачный вариант =)
Тут надо с НСД бороться к админке сайта, а не с ложным трафиком
Цитата
Сергей С. пишет:
Нарушение целостности сообщения это:

1. Модификация=перехват+изменение+отправка дальше по адресу. Бред полный, кому это надо и зачем. Пользователь ведь почувствует разницу и может удалить это сообщение.

2. Потеря сообщения. Маловероятно но возможно. Закрываем угрозу повторной отправкой.

По поводу 1, если эту угрозу считать актуальной, то никак кроме криптографическими методами её не закрыть
По поводу 2 - это угроза не целостности, а доступности, и с ней никак нельзя бороться, эту угрозу вообще в модели не стоит прописывать. Повторная передача точно также не спасет от потери. Если имеется ввиду случайная потеря пакетов от кратковременных проблем на линии связи, то она решается автоматически средствами протокола TCP.

Остается ещё угроза целостности в результате НСД самого сервера (как уже писалось выше) - используйте сертифицированное разграничение доступа (на уровне ОС или на уровне web-сервера) и/или используйте системы обнаружения атак
Возник такой вопрос.
Для придания ПДн категории "общедоступные" согласно ст.8 ФЗ 152 нужно письменное согласие пользователя.
Общедоступные - это ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (ст.6 п.10).
А если на Сайте доступ к ПДн предоставлен только ограниченному кругу лиц, т.е. только Пользователям, которые зареганы на Сайте. Просто есть возможность брать согласие в писм. форме у пользователей, но на "общедоступность" они вряд ли подпишутся. Можно ли взять согласие на предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц - только другим Пользователям Сайта? И кроме этого в Согласии на обработку указать обязанность пользователей не проводить сбор ПДн других Пользователей?
Можно ли так сделать и будет ли обеспечена законность обработки?
Изменено: Настя - 06.04.2012 13:10:09
Цитата
Настя пишет:
Возник такой вопрос.
Думаю да, по крайней мере, ничего лучше привести не могу.
Цитата
Настя пишет:
Для придания ПДн категории "общедоступные" согласно ст.8 ФЗ 152 нужно письменное согласие пользователя.

А если на Сайте доступ к ПДн предоставлен только ограниченному кругу лиц, т.е. только Пользователям, которые зареганы на Сайте. Просто есть возможность брать согласие в писм. форме у пользователей, но на "общедоступность" они вряд ли подпишутся. Можно ли взять согласие на предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц - только другим Пользователям Сайта? И кроме этого в Согласии на обработку указать обязанность пользователей не проводить сбор ПДн других Пользователей?

Можно ли так сделать и будет ли обеспечена законность обработки?
Будет сложно доказать определенность круга лиц: любой желающий может зарегаться и получить доступ. Это как книжка в библиотеке: воде как не доступна, но любой может записаться и почитать.

А если пользователи готовы подписаться на предоставление определенному кругу, почему они упрутся в случае с общедоступностью? Они такие привередливые?
Цитата
AlexG пишет:
Будет сложно доказать определенность круга лиц: любой желающий может зарегаться и получить доступ. Это как книжка в библиотеке: воде как не доступна, но любой может записаться и почитать.

А если пользователи готовы подписаться на предоставление определенному кругу, почему они упрутся в случае с общедоступностью? Они такие привередливые?
зарег-ся может не любой желающий, а только ученик/сотрудник/родитель определённого образовательного учреждения (ОУ). Пароль/логин выдаются в ОУ, под ними Пользователь 1-й раз заходит на Сайт, затем меняя пароль.
Боюсь, что не понравится, типа "а что это мы должны выставлять на всеобщее обозрение успеваемость нашего ребёнка" (ведь родители будут за него давать согласие.. Может был у кого-нибудь опыт взятия письменного согласия на общедоступность? Какие есть особенности человеческого фактора?
Изменено: Настя - 06.04.2012 13:57:21
Что же Вы себе проблем так ищете. У нас в школах по глупости управлений образования до сих пор согласия на обработку берутся и то многие родители не дают их, т.к. не понимают зачем, это в особенности касается не русских по национальности граждан, а Вы про общедоступность. Не хотите вопросов - делайте форму при регистрации, с кучей буков(которые никто не читает), включающую и согласие на обработку ПДн, в ней максимально полно излагайте, что обрабатывается, зачем, кто имеет доступ, что если кто не хочет - может не указывать сведения. Чем больше и понятней Вы напишите, тем меньше вопросов будет. Если регистрация на сайте не является обязательной - то все желающие посидеть там в обязательном порядке дадут согласие, у Вас проблем 0.
А я тоже не согласен, чтобы все видели успеваемость моего ребенка, делайте индивидуальные странички по каждому, можно добавить общую статистику, например после контрольной.
Я что-то не до конца понял. Создается портал, регистрируются на нем пользователи. В портале сведения об успеваемости учеников. Теперь вопрос - зарегистрированный пользователь может просматривать информацию об успеваемости других пользователей? Если да, то зачем? Не каждый согласится демонстрировать её и это его законное право.
Логично было бы предположить, что сведения об успеваемости пользователя должны предоставляться только учителям и ему самому.
Если полный доступ ко всей информации всех пользователей ИСПДн обеспечивается только для того, чтобы под статусом общедоступности не проводить шифрование передаваемых через Интернет данных, то ИМХО это некрасивый ход. При таком раскладе правильнее было бы не давать всем пользователям портала доступ ко всем данным, общедоступными признать только часть информации и давать неограниченный доступ только к ней (или указать в правилах регистрации, что разрешая неограниченный доступ к своим данным, пользователь признает их общедоступными). Ну а возможность просмотра успеваемости предоставлять только учителям (в пределах школы, тогда шифрования делать не надо, но это только в случае если web-сервер реально располагается тоже в помещении школы) и самому пользователю-обладателю (или его родителям), при этом когда пользователь просматривает свою успеваемость, то передавать эти данные в обезличенном виде (без фамилии, тогда тоже шифровать данные не надо)
Вот как-то так я видел бы себе организацию работы этого портала.
Изменено: Михаил - 06.04.2012 14:54:02
Страницы: Пред. 1 ... 3 4 5 6 7
Читают тему (гостей: 3, пользователей: 0, из них скрытых: 0)