Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

В России хотят создать мегарегулятора информационной безопасности, взяв пример с США

18/11/2017

В рамках реализации программы «Цифровая экономика» предлагается определить единый госорган, ответственный за требования к средствам информационной безопасности.

Обучение

Бесплатный вебинар по применению комплексного средства защищенности «Сканер-ВС»
21 февраля 2018 года

036.2. Внедрение системы управления информационной безопасностью
27 - 28 февраля 2018 года

Бесплатный вебинар «SIEM-система КОМРАД. Часть 1 – сбор событий безопасности»
28 февраля 2018 года

036.3. Внутренний аудит СУИБ на соответствие требованиям международного стандарта ISO/IEC 27001:2013
01 - 02 марта 2018 года

037. Криптографические и технические методы защиты информации
12 - 23 марта 2018 года

002. Техническая защита информации. Способы и средства защиты информации от несанкционированного доступа
19 - 23 марта 2018 года

009. Администрирование АПКШ «Континент» Версия 3.7. Базовый курс
19 - 21 марта 2018 года

011. Администрирование АПКШ «Континент» Версия 3.7. Расширенный курс
22 - 23 марта 2018 года

015.1. Основы работы в операционной системе Astra Linux
26 - 27 марта 2018 года

015.2. Системное администрирование операционной системы Astra Linux Special Edition
28 - 30 марта 2018 года

015.3. Системное администрирование операционной системы Astra Linux Special Edition. Специальный курс
02 - 03 апреля 2018 года

015.4. Системное администрирование Astra Linux Special Edition (2 часть)
04 - 06 апреля 2018 года

Реклама

Партнеры

Лаборатория кибербезопасности



Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: Пред. 1 ... 3 4 5 6 7
Ответить
RSS
Сайт знакомств, соцсеть и так далее
Резервирование+средства восстановления, защита от НСД (запись/модификация/уничтожение), физическая защита.
Угроза нарушения целостности в процессе передачи ИМХО неактуальна.
Цитата
Сергей С. пишет:
Угроза нарушения целостности в процессе передачи ИМХО неактуальна.
вот-вот, а как это грамотно обосновать?
Нарушение целостности сообщения это:
1. Модификация=перехват+изменение+отправка дальше по адресу. Бред полный, кому это надо и зачем. Пользователь ведь почувствует :) разницу и может удалить это сообщение.
2. Потеря сообщения. Маловероятно но возможно. Закрываем угрозу повторной отправкой.
Изменено: Сергей С. - 05.04.2012 11:37:19
А по поводу отображения оценок? Родитель просматривает оценки ребёнка, а там одни двойки (хотя на самом деле пятёрки), не спрашивая наказывает ребёнка, тот обижается, уходит из дома... ну это самый такой мрачный вариант =)
Тут надо с НСД бороться к админке сайта, а не с ложным трафиком
Цитата
Сергей С. пишет:
Нарушение целостности сообщения это:

1. Модификация=перехват+изменение+отправка дальше по адресу. Бред полный, кому это надо и зачем. Пользователь ведь почувствует разницу и может удалить это сообщение.

2. Потеря сообщения. Маловероятно но возможно. Закрываем угрозу повторной отправкой.

По поводу 1, если эту угрозу считать актуальной, то никак кроме криптографическими методами её не закрыть
По поводу 2 - это угроза не целостности, а доступности, и с ней никак нельзя бороться, эту угрозу вообще в модели не стоит прописывать. Повторная передача точно также не спасет от потери. Если имеется ввиду случайная потеря пакетов от кратковременных проблем на линии связи, то она решается автоматически средствами протокола TCP.

Остается ещё угроза целостности в результате НСД самого сервера (как уже писалось выше) - используйте сертифицированное разграничение доступа (на уровне ОС или на уровне web-сервера) и/или используйте системы обнаружения атак
Возник такой вопрос.
Для придания ПДн категории "общедоступные" согласно ст.8 ФЗ 152 нужно письменное согласие пользователя.
Общедоступные - это ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (ст.6 п.10).
А если на Сайте доступ к ПДн предоставлен только ограниченному кругу лиц, т.е. только Пользователям, которые зареганы на Сайте. Просто есть возможность брать согласие в писм. форме у пользователей, но на "общедоступность" они вряд ли подпишутся. Можно ли взять согласие на предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц - только другим Пользователям Сайта? И кроме этого в Согласии на обработку указать обязанность пользователей не проводить сбор ПДн других Пользователей?
Можно ли так сделать и будет ли обеспечена законность обработки?
Изменено: Настя - 06.04.2012 13:10:09
Цитата
Настя пишет:
Возник такой вопрос.
Думаю да, по крайней мере, ничего лучше привести не могу.
Цитата
Настя пишет:
Для придания ПДн категории "общедоступные" согласно ст.8 ФЗ 152 нужно письменное согласие пользователя.

А если на Сайте доступ к ПДн предоставлен только ограниченному кругу лиц, т.е. только Пользователям, которые зареганы на Сайте. Просто есть возможность брать согласие в писм. форме у пользователей, но на "общедоступность" они вряд ли подпишутся. Можно ли взять согласие на предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц - только другим Пользователям Сайта? И кроме этого в Согласии на обработку указать обязанность пользователей не проводить сбор ПДн других Пользователей?

Можно ли так сделать и будет ли обеспечена законность обработки?
Будет сложно доказать определенность круга лиц: любой желающий может зарегаться и получить доступ. Это как книжка в библиотеке: воде как не доступна, но любой может записаться и почитать.

А если пользователи готовы подписаться на предоставление определенному кругу, почему они упрутся в случае с общедоступностью? Они такие привередливые?
Цитата
AlexG пишет:
Будет сложно доказать определенность круга лиц: любой желающий может зарегаться и получить доступ. Это как книжка в библиотеке: воде как не доступна, но любой может записаться и почитать.

А если пользователи готовы подписаться на предоставление определенному кругу, почему они упрутся в случае с общедоступностью? Они такие привередливые?
зарег-ся может не любой желающий, а только ученик/сотрудник/родитель определённого образовательного учреждения (ОУ). Пароль/логин выдаются в ОУ, под ними Пользователь 1-й раз заходит на Сайт, затем меняя пароль.
Боюсь, что не понравится, типа "а что это мы должны выставлять на всеобщее обозрение успеваемость нашего ребёнка" (ведь родители будут за него давать согласие.. Может был у кого-нибудь опыт взятия письменного согласия на общедоступность? Какие есть особенности человеческого фактора?
Изменено: Настя - 06.04.2012 13:57:21
Что же Вы себе проблем так ищете. У нас в школах по глупости управлений образования до сих пор согласия на обработку берутся и то многие родители не дают их, т.к. не понимают зачем, это в особенности касается не русских по национальности граждан, а Вы про общедоступность. Не хотите вопросов - делайте форму при регистрации, с кучей буков(которые никто не читает), включающую и согласие на обработку ПДн, в ней максимально полно излагайте, что обрабатывается, зачем, кто имеет доступ, что если кто не хочет - может не указывать сведения. Чем больше и понятней Вы напишите, тем меньше вопросов будет. Если регистрация на сайте не является обязательной - то все желающие посидеть там в обязательном порядке дадут согласие, у Вас проблем 0.
А я тоже не согласен, чтобы все видели успеваемость моего ребенка, делайте индивидуальные странички по каждому, можно добавить общую статистику, например после контрольной.
Я что-то не до конца понял. Создается портал, регистрируются на нем пользователи. В портале сведения об успеваемости учеников. Теперь вопрос - зарегистрированный пользователь может просматривать информацию об успеваемости других пользователей? Если да, то зачем? Не каждый согласится демонстрировать её и это его законное право.
Логично было бы предположить, что сведения об успеваемости пользователя должны предоставляться только учителям и ему самому.
Если полный доступ ко всей информации всех пользователей ИСПДн обеспечивается только для того, чтобы под статусом общедоступности не проводить шифрование передаваемых через Интернет данных, то ИМХО это некрасивый ход. При таком раскладе правильнее было бы не давать всем пользователям портала доступ ко всем данным, общедоступными признать только часть информации и давать неограниченный доступ только к ней (или указать в правилах регистрации, что разрешая неограниченный доступ к своим данным, пользователь признает их общедоступными). Ну а возможность просмотра успеваемости предоставлять только учителям (в пределах школы, тогда шифрования делать не надо, но это только в случае если web-сервер реально располагается тоже в помещении школы) и самому пользователю-обладателю (или его родителям), при этом когда пользователь просматривает свою успеваемость, то передавать эти данные в обезличенном виде (без фамилии, тогда тоже шифровать данные не надо)
Вот как-то так я видел бы себе организацию работы этого портала.
Изменено: Михаил - 06.04.2012 14:54:02
Страницы: Пред. 1 ... 3 4 5 6 7
Ответить
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку