Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

AppChecker’ом по Бляйхенбахеру

01/04/2019


Эксперты НПО «Эшелон» в результате исследования открытых программных проектов выявили критическую угрозу для интернет-приложений – возможность проведения атаки Бляйхенбахера! В настоящее время самым эффективным средством для заблаговременного предупреждения данной атаки является статический анализатор кодов AppChecker!

Реклама





Партнеры





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: Пред. 1 ... 166 167 168 169 170 След.
RSS
[ Закрыто ] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Как часто нужно проводить аудит в ГИС (2ур защищенности) после получения аттестата соответствия?
17 приказ фстэк и пп1119 говорят, что он проводится не реже чем один раз в три года. Однако лицензиат ФСТЭК, выдавший аттестат, утверждает, что это нужно делать каждый год. Основывает это ссылкой из госта для служебного пользования:
"Согласно ГОСТ РО 0043-0063-2012 в организации должен проводиться периодический (не реже одного раза в год), а также в случаях изменения условий и технологии обработки защищаемой информации, контроль состояния (эффективности)защиты информации в организации."

Так как этот ГОСТ имеет ДСП, нет возможности ознакомиться с ним и убедиться в наличии требования ежегодного аудита. В связи с чем вопрос: как часто все-таки нужно проводить аудит после получения аттестата? Раз в 3 года или каждый год? Есть ли вообще в госте РО 0043-0063-2012 требование ежегодичного аудита?
Доброго дня господа,
есть у кого-нибудь пример полномочий ответственного за ПДн лица в компании?
Еще один вопрос, есть связка трех компаний: компания А Б и С.
Компания А и Б операторы, имеют между собой договор на аренду помещения, те компания Б арендует площадь у компании А и располагает там оборудования, которое находится в обслуживании у компании С.
Для осуществления пропускного режима, компания А направляет в компанию Б формуляры, на осуществления пропускного режима, содержащие ПДн имя фамилия должность гражданство.
Компания Б для осуществления пропуска сотрудников компании С вписывает в формуляры компании А сотрудников компании С. Соответственно компания А не имея договорных отношений с компанией С начинает обработку ПДн сотрудников компании С, те получается нелегально.
Вопрос в следующем, каким образом можно легализовать данный процесс? как минимизировать риски и есть ли они?
Цитата
Роберт пишет:
Доброго дня господа,
есть у кого-нибудь пример полномочий ответственного за ПДн лица в компании?
Роберт, есть администратор безопасности и ответственный за организацию обработки ПДн. Кого Вы имеете в виду?
Цитата
Сергей Терехов пишет:
Цитата
Роберт пишет:

Доброго дня господа,

есть у кого-нибудь пример полномочий ответственного за ПДн лица в компании?
Роберт, есть администратор безопасности и ответственный за организацию обработки ПДн. Кого Вы имеете в виду?
Лицо ответственное за организацию. Тот кто указан в реестре РНК.
Здравствуйте.
Имеет ли право медицинская организация предоставлять своим пациентам доступ к их результатам анализов и обследований через свой веб-сайт?
И как это можно реализовать?
Ведь УЗ получается 1-3 и соответственно, если использовать СКЗИ то их класс должен быть не ниже "КВ" (и простые пользователи на своих ПК такое наврятли захотят поставить). К общедоступным скорее всего пациенты не согласятся их относить. Остается обезличивание и его вроде бы легко организовать... Но интересно а без него можно обойтись?
Цитата
Гость пишет:
Ведь УЗ получается 1-3 и соответственно, если использовать СКЗИ то их класс должен быть не ниже "КВ" (и простые пользователи на своих ПК такое наврятли захотят поставить). К общедоступным скорее всего пациенты не согласятся их относить. Остается обезличивание и его вроде бы легко организовать... Но интересно а без него можно обойтись?
Уважаемый гость. На мой взгляд, ваша проблема решается многими способами. Вот традиционный. Пациент (субъект Пдн) и сайт должны проходить взаимную аутентификацию (доказательство подлинности участвующих в обмене данными сторон). Сайт доказывает свою подлинность, предъявляя клиентской программе (браузеру, к примере) сертификат, подписанный аккредитованным в России удостоверяющим центром. Субъект доказывает свою подлинность предъявляя логин и пароль. Логи и пароль передаются субъекту по безопасному каналу, например при заполнении карточки пациента. Безопасный канал через Интернет организуется по протоколу TLS с отечественным криптоалгоритмом. Уровень защищенности определяется по ПП 1119, а класс криптосредства по приказу ФСБ № 378.
Но ведь пациенты организации сскорее всего откажутся лучше от этой услуги, чем будут ставить Крипто Про/VipNet и тем более даже они не подходят, т.к. у них как у СКЗИ класс до КС3 включительно, а для уровня защищенности выше 4 необходимо от КВ и выше. Или есть еще какое-то СКЗИ, которое можно принимать? А согласие на передачу по открытым каналам решит проблему защиты?
[
Цитата
Гость пишет:
Но ведь пациенты организации сскорее всего откажутся лучше от этой услуги, чем будут ставить Крипто Про/VipNet и тем более даже они не подходят, т.к. у них как у СКЗИ класс до КС3 включительно, а для уровня защищенности выше 4 необходимо от КВ и выше.
Криптопровайдер VipNet - есть бесплатная версия. "Правильно" составленная модель нарушителя --> KC1.
Цитата
Гость пишет:
А согласие на передачу по открытым каналам решит проблему защиты?
Надо брать согласие на отнесение ПДн к общедоступным и тогда нужно обеспечить только целостность. Пишите в stertur@mail.ru с темой ОРД, вышлю методики по обработке ПДн.
Вопрос такой.
Относится ли еТокен (или флешка) с электронной подписью к носителю персональных данных?
По 152-ФЗ машинные носители ПДн подлежат учету, является ли в таком случае еТокен с ЭП машинным носителем?

П.С. в ЭП вроде же есть данные типа СНИЛС и ФИО, которые можно узнать... пусть даже они защищены паролем и зашифрованы...
Добрый день!

Со стороны 21 и 17 приказов предъявлены требования по классум СВТ. В частности, в 17П для 3 класса защищенности ИС, СВТ должен быть не ниже класса. Требования для классов определены в РД "Средства вычислительной техники Защита от несанкционированного доступа к информации Показатели защищенности от несанкционированного доступа к информации" от 30 марта 1992 г.

Вопрос: Кто должен определять этот класс? Сам оператор должен оформить это с помощью некого акта?
Цитата
Сергей пишет:
Добрый день!



Со стороны 21 и 17 приказов предъявлены требования по классум СВТ. В частности, в 17П для 3 класса защищенности ИС, СВТ должен быть не ниже класса. Требования для классов определены в РД " Средства вычислительной техники Защита от несанкционированного доступа к информации Показатели защищенности от несанкционированного доступа к информации " от 30 марта 1992 г.



Вопрос: Кто должен определять этот класс? Сам оператор должен оформить это с помощью некого акта?
наверное тот же кто присвоил 3 класс защищенности для ИСПДн.
Цитата
Гость пишет:
Цитата
Сергей пишет:

Добрый день!

Со стороны 21 и 17 приказов предъявлены требования по классум СВТ. В частности, в 17П для 3 класса защищенности ИС, СВТ должен быть не ниже класса. Требования для классов определены в РД " Средства вычислительной техники Защита от несанкционированного доступа к информации Показатели защищенности от несанкционированного доступа к информации " от 30 марта 1992 г.

Вопрос: Кто должен определять этот класс? Сам оператор должен оформить это с помощью некого акта?
наверное тот же кто присвоил 3 класс защищенности для ИСПДн.

Требования предъявляются наравне с классом МЭ или СОВ. А для них класс определяет ФСТЭК или ФСБ, и он (класс) указывается в сертификате соответствия. Вот я и подумал что...
[QUOTE]Гость пишет:
[QUOTE]Сергей пишет:

И вообще, как называется этот акт и что в нем надо указывать?
Цитата
Сергей пишет:
[QUOTE]Гость пишет:

[QUOTE]Сергей пишет:



И вообще, как называется этот акт и что в нем надо указывать?
а у тебя ГИС? если да, то наверное при аттестации все это и делается, аттестация для ГИС обязательная, думаю, лучше чтобы её проводила на платной основе организация, которая на этом специализируется... тогда все сделают как надо и уже все претензии в случае чего к этой организации...

Мое мнение такое...

Ну а так чтобы присвоить какой-то класс, наверняка нужна комиссия (т.е. приказ о комиссии), плюс акт классификации, ну и собственно в этом акте указывается какой класс присваивается... наверное так, по аналогии с определением уровня защищенности ИСПДн...
Цитата
Сергей пишет:
Вот я и подумал что...
Может кто-то более знающий ответит, пока нет ответов, помогаю чем могу :)


П.С. на мой вопрос уже полгода нет ответа :) но я уже сам разобрался :)
Цитата
Максим пишет:

П.С. на мой вопрос уже полгода нет ответа но я уже сам разобрался

странно, обычно отвечают в течении дня или двух.
Если в должностные обязанности "инженера по обслуживанию информационных систем" входит администрирование информационных систем, нужно ли еще и приказом назначать администратора того же человека?

Или тут как бы наоборот нужно отталкиваться... назначается приказом ответственность и соответствующие изменения вносятся в должностные обязанности?

И еще вот такой момент, имеется куча разных ИС.... для каждой нужно назначать администратора и т.п., или можно 1 раз назначить 1 человека для всех ИС организации?
Для меня логичный второй вариант, но малоли...

:)
вот так умирает форум. сраные боты заспамили 10 страниц а админ в отпуске походу
вот так умирает форум. сраные боты заспамили 10 страниц а админ в отпуске походу :!:
Страницы: Пред. 1 ... 166 167 168 169 170 След.
Читают тему (гостей: 12, пользователей: 0, из них скрытых: 0)