Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

SIEM ОТ MCAFEE УСПЕШНО ПРОШЛА СЕРТИФИКАЦИЮ ФСТЭК РОССИИ

01/04/2015

McAfee Security Information and Event Management (версия 9.3) успешно прошла сертификационные испытания, результатом которых стал сертификат соответствия №3353 (от 18 февраля 2015), выданный ФСТЭК России.

Реклама

Партнеры

Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1 2 3 4 5 ... 15 След.
Ответить
RSS
Акт классификации информационных систем персональных данных при новом П-1119, Правильное составление
Есть старый Акт классификации ИСПДН
http://s54.radikal.ru/i146/1211/1f/bd02267189ed.jpg

Кто может помочь подкорректировать его под П-1119.
И выложить сюда же.

Буду оч благодарен :-)
Скорректировал ссылку:
http://s018.radikal.ru/i506/1211/77/03b7bd2f436b.jpg
Категория - иные (только сотрудников)
Объем - <100000
Вместо типа ИС -> Тип актуальных угроз - 3
Вывод: установить 4УЗ
Цитата
Сергей С. пишет:
Тип актуальных угроз - 3

Цитата
Сергей С. пишет:
Категория - иные (только сотрудников)
Объем - <100000
Вместо типа ИС -> Тип актуальных угроз - 3
Вывод: установить 4УЗ
Т.е. в готовом варианте акт будет выглядеть так ?
http://s019.radikal.ru/i629/1211/40/b10d1a3b2aa2.jpg
Прошу поправить.
иные (только сотрудники) - это для примера. Раз у вас нет требования по конфи, то ПДн похоже общедоступные?
Цитата
Сергей С. пишет:
иные (только сотрудники) - это для примера. Раз у вас нет требования по конфи, то ПДн похоже общедоступные?
В перечне ПДН которые подлежат защите у нас указано:

Фамилия, имя, отчество;

Место, год и дата рождения;

Паспортные данные (серия, номер паспорта, кем и когда выдан);

Адрес по прописке;

Адрес проживания (реальный);

Телефонный номер (домашний, рабочий, мобильный);

Информация об образовании (наименование образовательного учреждения, сведения о документах, подтверждающие образование: наименование, номер, дата выдачи, специальность);

Информация о трудовой деятельности до приема на работу;

Информация о трудовом стаже (место работы, должность, период работы, причины увольнения);

Семейное положение и состав семьи (муж/жена, дети);

Информация о знании иностранных языков;

Форма допуска;

Оклад;

Данные о трудовом договоре (№ трудового договора, дата его заключения, дата начала и дата окончания договора, вид работы, срок действия договора, наличие испытательного срока, режим труда, длительность отпуска, обязанности работника, дополнительные социальные льготы и гарантии, № и число изменения к трудовому договору, характер работы, форма оплаты, категория персонала, условия труда, продолжительность рабочей недели, система оплаты);

Сведения о воинском учете (категория запаса, воинское звание, категория годности к военной службе, информация о снятии с воинского учета);

ИНН;

Данные об аттестации работников;

Данные о повышении квалификации;

Данные о наградах, медалях, поощрениях, почетных званиях;

Информация о приеме на работу, перемещении по должности, увольнении;

Информация об отпусках;

Информация о командировках;

Информация о негосударственном пенсионном обеспечении.

Как мне тогда правльно написать в строке

Категория обрабатываемых персональных данных ???
Андрей, так чьи вы ПДн обрабатываете, если работников, то так и пишите - только сотрудников оператора, и почему в характеристиках безопасности нет конфиденциальности?
Цитата
Сергей С. пишет:
только сотрудников оператора
Спасибо Сергей поправил. Да только ПДН сотрудников.
Вот поправил:
http://s018.radikal.ru/i501/1211/1c/d2e2290cbe51.jpg
Ну и помимо акта нужна модель угроз с обоснованием неактуальности НДВ
Да, вот кто-бы поделился для примера моделью угроз по требованиям П-1119 :-)
Есть смельчаки ?
Да, вот кто-бы поделился для примера моделью угроз по требованиям П-1119 :-)
Есть смельчаки ?Сменить картинку
А у вас только одна ИСПДн получается (сотрудники)?
А как быть если их несколько? (Клиенты, сотрудники, и т.д)
По каждой ИСПДн свой АКТ делать, или все ИСПДн в одном можно перечислить?

Например, у нас есть программа 1С Зарплата и кадры (сотрудники), также есть программа для работы с ПДн клиентов (Клиенты).
Они стоят на одном сервере...доступ к ним имеют все пользователи ЛКС...но в базы доступ ограничен средствами самих программ.
Мало того...у нас с ПДн сотрудников работают программы Парус 4, 7; 1С Зарплата и кадры 7.7 и 8.2,
С клиентами работает 1С Бухгалтерия 7.7 и 8.2; Парус 4, 7, Здравница.

В этом случае как быть.... по всем этим Программам акты составлять?
Все они стоят на одном сервере и работают в одной ЛКС.
Всех приветствую коллеги !

У меня поликлиника, назначили меня лицом которое будет отвечать за безопасность ПДн вот как неделю.
Помогите с "классификацией"

Присутствует

1) Режим помещений
2) Сохранность носителей
3) Утверждены списки лиц кто будет обрабатывать информацию
4) Есть сертифицированные СЗИ
5) Назначен ответственный за безопасность ПДн
6) доступ к эл/журналу обращений


Прошу подсказать что мне вписать в следующие строки

Категория обрабатываемых персональных данных ?
Объем обрабатываемых персональных данных ?
Тип актуальных угроз ?
Какой УЗ назначить моей системе ?
1. УЗ присваивается для ИСПДн, а их выделение осуществляется по цели обработки: зарплата кадры (обработка с помощью 1С, Парус, и т.п.), клиенты (пациенты). Получаем 2 Акта.
2. Категория для мед. - специальная, объем кроме вас никто не определит.
3. Пока - Базовая модель угроз и Методика определения актуальных угроз ФСТЭК, если используете криптозащиту - ФСБ. Там нет НДВ, но есть угрозы, связанные с уязвимостями СПО и ППО (хрен редьки не слаще).
4. Определитесь с угрозами, тогда и с уровнем станет понятно.
5. Вроде для медиков есть отраслевая модель угроз, согласованная с регуляторами и никем не отмененная.
Сочувствую...
Все о чем ты спрашиваешь описано в 1119.
А в остальном чтобы определить ты хоть исходные данные то дай. А то ничего же не понятно.

Какие ПДн у тебя обрабатываются??? О Здоровье?
Какой объем ПДн в базе??? Сколько там данных о обладателях ПДн?
Допустим:

1) Категория как и писалось для медиков: СПЕЦИАЛЬНАЯ (p.s. Состояние здоровья однозначно)
2) Объем обрабатываемых ПДн: МЕНЕЕ 100 000
3)Вот с угрозами путаюсь прошу помочь
Думаю что угроза второго типа т.е.
Для ИС актуальны угрозы 2-го типа и ИС обрабатывает спец. Категории ПДн оператора, либо спец. Категории <100 000 не сотрудников.
Я, думаю что актуальная угроза 2 (лечим больных как приходящих, так и своих работников по обращению до 100 тыс полюбому)
Что скажете ?

4) Уровень защищенности я думаю 2 т.к.

а) Режим помещений
б) Сохранность носителей
в) Утверждены списки лиц кто будет обрабатывать информацию
г) Есть сертифицированные СЗИ
д) Назначен ответственный за безопасность ПДн
е) доступ к эл/журналу обращений


Цитата
Дмитрий пишет:
Сочувствую...
Все о чем ты спрашиваешь описано в 1119.
А в остальном чтобы определить ты хоть исходные данные то дай. А то ничего же не понятно.

Какие ПДн у тебя обрабатываются??? О Здоровье?
Какой объем ПДн в базе??? Сколько там данных о обладателях ПДн?
Вот ты сам себе и ответил на основные вопросы. :D

1 Категории обраб. данных: Специальная обрабатывающая ПДн не сотрудников.
2 Объем: менее 100 000
3 Заданные характеристики БПД: Целостность, доступность, конфиденциальность
4 Структура ИС: Локальная
5 Подключение ИС к сетям ОП и МИО: (уж не знаю как у тебя)...от этого тоже угрозы зависят.
6 Режим обработки: Многопользовательский
7 Режим разграничения прав доступа: с разграничением прав доступа
8 Местонахождение ТСИС: Все ТС находяться в пределах РФ
9 тип актуальных угроз: это уже сложнее...только специалисты их могут определить. Если хочешь сам то по рекомендациям ФСТЭк определять или ФСБ. Просто не помню как они обзываются. На форуме поищи про них много чего понаписано.

Лично я, с актуальными угрозами так и не определился по этим нормативкам. :D
Цитата
Дмитрий пишет:
тип актуальных угроз: это уже сложнее...только специалисты их могут определить. Если хочешь сам то по рекомендациям ФСТЭк определять или ФСБ. Просто не помню как они обзываются.
по актуальным угрозам только старая методика определения актуальных угроз.
По новому ПП 1119 должны выйти документы ФСТЭК, где будет указано, как определять угрозы по НДВ
А по "новому" 152ФЗ (да и в 1119 на это есть ссылка:7. Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором ... в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона «О персональных данных») модель угроз разрабатывает не оператор.
Страницы: 1 2 3 4 5 ... 15 След.
Ответить
Читают тему (гостей: 6, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку