Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Минюст обязал банки проводить пентесты и аудит кибербезопасности

13/08/2018

Банки обяжут соблюдать новые меры кибербезопасности, среди которых обязательными являются аудит информационной безопасности, различные тестирования на проникновение (пентесты), обязательная сертификация использованного программного обеспечения.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1 2 След.
RSS
[ Закрыто ] Журнал учета машинных носителей персональных данных
Добрый день, подскажите плиз кто как ведет данный журнал. В темах по форуму нашла что оказывается надо учитывать в том числе и жесткие диски компов и получается флешки. Системники опечатываются и создается какой то регламент о том что нельзя их вскрывать? Как учитываются флеш накопители персональных данных - прописывается что их нужно получать у такого то лица и нельзя хранить где попало? На знаю с чего даже начать по этому вопросу копать.......
Учитываются физические машинные носители, т.е HDD, флешки (если они используются для хранения/переноса ПДн), CD и т.п. Можете на каждый носитель наклеить номерки - 1,2,3...
Опечатывать или нет компы - это вам решать.
Журнал состоит из граф (у нас):[TABLE][TR][TD]
№ п/п
[/TD][/TR][/TABLE][TABLE][TR][TD]
Наименование (тип и емкость) носителя
[/TD][/TR][/TABLE][TABLE][TR][TD]
№ носителя
[/TD][/TR][/TABLE][TABLE][TR][TD]
Местонахождение носителя
[/TD][/TR][/TABLE][TABLE][TR][TD]
Дата установки (регистрации) носителя
[/TD][/TR][/TABLE][TABLE][TR][TD]
Ответственное за учет должностное лицо (ФИО и роспись), дата и сведения об уничтожении носителя
[/TD][/TR][/TABLE]

Подпункты пункта "местонахождение" - "№ кабинета" и "шкаф, стойка, сервер и др.".
Можно добавить графу "выдача/получение носителя" и "подпись ответственного лица".
Порядок учета флешек тоже сами придумываете - если необходимо, то получать у ответственного лица, хранить в сейфе и т.д.
что-то с форумом не то :|
А если на текущее время уже блоки опечатаны, можно ли учитывать HDD под номерами серийными или инвентарными блоков? А кто то вообще флешки выдает? Если все базы хранятся на сервере то учет жестких дисков будет только тех АРМ на которых именно лежат ПД и + жесткий сервера, либо жесткие АРМ которые участвуют в обработке тоже должны учитываться?
Состав и содержание
организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных
(проект, должны скоро утвердить)
8.5. Меры по защите машинных носителей информации должны исключать несанкционированный доступ к носителям и персональным данным хранящимся на них, а также несанкционированное использование съемных машинных носителей информации.
Меры по защите машинных носителей информации включают:
маркировку и учет машинных носителей информации;
управление доступом к машинным носителям информации;
контроль перемещения машинных носителей информации за пределы контролируемой зоны;
использование способов хранения персональных данных на машинных носителях информации, не позволяющих несанкционированно ознакомиться с ее содержанием, а также использовать носитель информации в иных информационных системах;
контроль использования интерфейсов ввода (вывода);
контроль ввода (вывода) персональных данных на машинные носители информации;
контроль подключения машинных носителей информации;
уничтожение (стирание) персональных данных на машинных носителях информации;
контроль уничтожения (стирания) персональных данных на машинных носителях информации.
да учтите всё, где присутствуют ПДн. HDD учесть вообще не проблема, их не нужно никому выдавать, они стационарно закреплены за киким-либо АРМ. запускаете программу Everest, он показывает серийники "жёстких". Проверено: 100 случаев из 100, серийник совпал с тем что написано на самом HDD.
Что то я не нашел серийных номеров ни в Эвересте ни в новой AIDA 64 где она их показывает??? Название модели HDD есть, а серийника это прога не показывает. :(
Перед учетом носители нужно маркировать. Серийник вполне подходит, если его нельзя посмотреть (ящик опломбирован) - маркируйте и учитывайте системный блок.
По большому счёту, во всех приличных организациях все основные средства, в т.ч. ПК ставятся на инвентарный (управленческий) учёт с присвоением инвентарного (учётного) номера или учитывается серийный номер. Опять же в техпаспорте ИСПДн должны указываться все техсредства, обрабатывающие ПДн, также с указанием на учётные номера. Это всё и можно принять за учёт машинных носителей ПДн. И я что-то не встречал такого, чтобы учитывался HDD отдельно от ПК. При любой аттестации АРМ учитывается только ОТСС - системный блок как одно целое.
А тут как я понимаю именно в журнале учета носителей ПД должны быть учтены все винчестеры
Так что вносить в журнал Учета носителей информации содержащих ПДн?
Только те флешки, жесткие диски, диски, дискетки содержащие ПДн....или все используемые в ИСПДн и когда либо подключаемые носители? Если ПДн хранятся на винчестерах сервера, а обращение к ним идет с других машин ЛКС надо ли вносить в данный журнал винчестеры машин запрашивающих эту информацию?
(Например 1С 8.2 установлена на сервер а клиенты находятся на других ПК и работают с ПДн через клиента 1С.)
Цитата
Дмитрий пишет:
Так что вносить в журнал Учета носителей информации содержащих ПДн?
Вносить только те носители, на которых содержатся ПДн. В примере с 1С - винчестер сервера, винты рабочих станций вносить не надо
Ясно спасибо!
Цитата
Дмитрий пишет:
Что то я не нашел серийных номеров ни в Эвересте ни в новой AIDA 64 где она их показывает??? Название модели HDD есть, а серийника это прога не показывает. :(
Серийник показывается в разделе ATA или SMART
ААА....нашел....спасибо за подсказку, действительно написан серийник.

Жаль только на сервере вместо названия и серийника Everest выдает что подключен Raid масив.
Цитата
Дмитрий пишет:
ААА....нашел....спасибо за подсказку, действительно написан серийник.

Жаль только на сервере вместо названия и серийника Everest выдает что подключен Raid масив.
Так и должно быть. На сервере серийники можно посмотреть в БИОС рэйд-массива.
Завели журнал учета электронных носителей содержащих ПДн. :D
В него внес: HDD серверов,
HDD съемных жестких дисков на которых содержаться архивы программ обрабатывающих ПДн,
DVD- диски с архивами программ

HDD - рабочих станций на которых стоят клиенты программ в журнал заносить не стал...

А что делать с носителями передаваемыми в контролирующие органы? Те же флопики передаются в банк, миграционную службу и др контролирующие органы, их тоже учитывать в этом журнале???
Если да то тогда чего писать в столбце получивший, и Роспись получившего.....журнал что ли в эти органы возить чтобы они в нем расписывались????

Или все же не учитывать эти носители с ПДн в данном журнале???
Цитата
Дмитрий пишет:
Или все же не учитывать эти носители с ПДн в данном журнале???
В журнале учитывается именно носитель, а не ПДн на нем. Вы его учли, выдали под роспись ответственному сотруднику вашей организации и все. А что и куда он на этом носителе возит - отдельная песня, или вы носитель отдаете "с концами"? Тогда каждый раз списывать с вашего сотрудника с пометкой куда этот носитель "ушел".
Спасибо.
Некоторые носители отдаем с концам, а некоторые нам возвращают.
Страницы: 1 2 След.
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)