Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

AppChecker’ом по Бляйхенбахеру

01/04/2019


Эксперты НПО «Эшелон» в результате исследования открытых программных проектов выявили критическую угрозу для интернет-приложений – возможность проведения атаки Бляйхенбахера! В настоящее время самым эффективным средством для заблаговременного предупреждения данной атаки является статический анализатор кодов AppChecker!

Обучение

002. Техническая защита информации. Способы и средства защиты информации от несанкционированного доступа.
24 - 28 июня 2019 года

026. Подготовка к CISSP и CISM (курс от профессионалов-практиков).
15 - 17 июля 2019 года

003. Тестирование на проникновение: технологии хакеров для аудита информационной безопасности.
5 - 7 августа 2019 года

006. Разработка безопасного ПО в соответствии с требованиями ГОСТ Р 56939­-2016.
5 - 7 августа 2019 года

039. Межсетевое экранирование и обнаружение сетевых атак. Администрирование ПАК «РУБИКОН».
12 - 13 августа 2019 года

010. Администрирование SIEM-системы КОМРАД.
14 - 15 августа 2019 года

016.1. Основы администрирования Astra Linux SE 1.6.
19 - 21 августа 2019 года

016.2. Системное администрирование, сервисы и сетевые приложения в Astra Linux SE 1.6.
22 - 26 августа 2019 года

016.3. Администрирование комплекса средств защиты и Astra Linux Directory в Astra Linux SE 1.6.
27 - 29 августа 2019 года

016.4. Администрирование Astra Linux SE 1.6: работа в смешанных сетях.
2 - 4 сентября 2019 года 

Реклама





Партнеры





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: 1 2 3 4 5 6 7 След.
[ Закрыто] Какие нужны документы при работе с ПДн?
Цитата
Андрей пишет:
Достаточно ли этих документов или чего то не хватает?
Их намного больше, вот пример. Там же есть и обоснование того, для чего нужен каждый документ...
Grand Securities - исполнение Закона "О персональных данных"
[ Закрыто] Какие нужны документы при работе с ПДн?
Цитата
Андрей пишет:
Ещё вопрос по поводу хранения ПДн:
- для сотрудников работающих в организации до момента увольнения + 2 года (потом в архив или уничтожение)?
- для контрагентов (клиентов) организации до истечения действия договора или какой-то определённый срок?
По поводу сотрудников. Ч. 1 ст. 17 Закона об архивном деле: "Государственные органы, органы местного самоуправления, организации и граждане, занимающиеся предпринимательской деятельностью без образования юридического лица, обязаны обеспечивать сохранность архивных документов, в том числе документов по личному составу, в течение сроков их хранения, установленных федеральными законами, иными нормативными правовыми актами Российской Федерации, а также перечнями документов, предусмотренными частью 3 статьи 6 и частью 1 статьи 23 настоящего Федерального закона".
Эти сроки в данное время установлены Приказом Минкультуры РФ от 25 августа 2010 г. N 558 "Об утверждении "Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения".
Также существует акт рекомендательного характера – Распоряжение Правительства РФ №358-Р от 21.03.1994 "О сохранности документов по личному составу высвобождаемых работников" – в котором говорится о необходимости передачи документов по личному составу на госхранение при реорганизации или ликвидации любого юридического лица.
По поводу контрагентов (естественно - физ. лиц): обрабатывать их ПДн вы можете исключительно в целях исполнения соответствующих договоров и в течение сроков, определяемых этими целями. При формулировке сроков нужно также руководствоваться ст. 190 ГК РФ "Определение срока".
Grand Securities - исполнение Закона "О персональных данных"
Подача жалоб от населения
Цитата
Developer пишет:
Еще бы хорошо бы узнать легенду - что означает каждый цвет стрелочек
Просто выделяет отношения между разными участниками правоотношений. Получилось довольно запутано - как и все наше законодательство )))
Grand Securities - исполнение Закона "О персональных данных"
Подача жалоб от населения
Как-то довелось проанализировать новоиспеченный ФЗ об ОМС. Навоял карту распространения ПДн между участниками данных правоотношений, согласно ФЗ:
Grand Securities - исполнение Закона "О персональных данных"
[ Закрыто] Запросы со стороны субъектов
Цитата
Александр пишет:
оператор отказывает в прекращении обработки ПДн субъекту на том основании, что цели обработки не достигнуты (например, срок действия договора не истек). Прав ли оператор?
В случае с договором, срок действия которого еще не истек - оператор полностью прав. Не хочешь, чтоб твои ПДн обрабатывались - разрывай договор и спи спокойно))
Grand Securities - исполнение Закона "О персональных данных"
Сегментирование сетей (как быть с доменом), проблема поднятия второго домена при разделении сетей (защищенный сегмент и не защищенный)
Цитата
Егор пишет:
Не могу найти в каком именно документе указано на то, что компьютеры, на которых обрабатывается ПДн надо выносить в отдельный сегмент сети
Таких требований нет. Единственное, что сюда можно отнести - п. 2.11 Приказа 58: "Подключение информационной системы к информационной системе другого класса или к информационно-телекоммуникационной сети международного информационного обмена (сети связи общего пользования) осуществляется с использованием межсетевых экранов"
Grand Securities - исполнение Закона "О персональных данных"
[ Закрыто] Несколько ИСПДн в одной сети, Несколько ИСПДн в одной сети
Цитата
ITbez пишет:
Цитата
Дмитрий Свидин пишет:
Основной прогресс в данной области идет как раз благодаря РКН. По части технической защиты информации - все практически на "дозаконном" уровне.
Дмитрий, действительность говорит об обратном, пообщайтесь с практиками из различных контор.
Да мы каждый день с ними общаемся)) 80% отечественного бизнеса к ИБ отношения не поменяли и вряд ли поменяют, т.к. подходы к ИБ на законодательном уровне у нас изначально другие (в отличии от Европы или США). Темой ПДн сейчас действительно активно занимается средний и крупный "продвинутый" бизнес, для которого вопрос исполнения Закона "О персональных данных" - дело скорее статуса, имиджа, а не избежания отрицательных последствий проверок. Надеюсь, конечно, что со временем процент "продвинутости" бизнеса в России будет расти))
Grand Securities - исполнение Закона "О персональных данных"
[ Закрыто] Несколько ИСПДн в одной сети, Несколько ИСПДн в одной сети
Цитата
Антон пишет:
не нужно всех за дураков считать
Антон, за дураков всех считают те, кто все это время на курсах, форумах и прочих площадках трубили о необходимости получения лицензии на ТЗКИ всеми операторами, и о том как ФСТЭК каждый день этих бедных операторов проверяет и наказывает, проверяет и наказывает))
Цитата
Антон пишет:
скачок в развитии отрасли ИБ в РФ помог осуществить 152 ФЗ и подзаконные
Основной прогресс в данной области идет как раз благодаря РКН. По части технической защиты информации - все практически на "дозаконном" уровне.
Цитата
Антон пишет:
Вы готовите к проверкам, а не занимаетесь ИБ
Открою Вам секрет: для большинства отечественных фирм первостепенная задача - подготовиться и успешно пройти проверку. А не заниматься ИБ. Заниматься надо каждому своим делом.
Grand Securities - исполнение Закона "О персональных данных"
[ Закрыто] Несколько ИСПДн в одной сети, Несколько ИСПДн в одной сети
Цитата
Антон пишет:
Я понимаю, о чём Вы говорите, но я имел ввиду проверки ФСТЭК (тоже прекрасно понимаю сложившуюся ситуацию в РФ) и общие требования к безопасности ИС.
Насчет проверок ФСТЭК сложился прям миф какой-то. Кстати, не без помощи создателей данного форума. Мы еще в том году писали об этом. Недавно с внесением поправок в Закон "О лицензировании" отпал сам вопрос необходимости получения лицензии на ТЗКИ "для себя" операторами ПДн. А что мы видим в левом нижнем углу сайта - статью "Лицензирование как продукт осознанной необходимости"))) Готовится резниковский проект, который многое должен изменить в ЗоПД, Регламентов у ФСТЭКа и ФСБ все еще нет и не предвидится. Нет административной и судебной практики проведения этими органами проверок операторов-нелицензиатов. О чем еще можно говорить... Операторы ПДн - расслабьтесь уже наконец!)) Бояться надо РКН))
Grand Securities - исполнение Закона "О персональных данных"
[ Закрыто] Несколько ИСПДн в одной сети, Несколько ИСПДн в одной сети
Цитата
Гость пишет:
нет ничего ни про подсети, ни про тип МЭ. Есть ли другие пункты?
Других нет. Просто обычно делается именно отдельным МЭ между 2-мя сетями. В принципе, если хорошо подумать и найти нормальный персональный файер, возможно и так сделать получится: на каждой машине ИСПДн_1 запретить обращение к БД с ПДн из ИСПДн_2 и наоборот.
Цитата
Антон пишет:
Вопрос: как организационными мерами исключить данную ситуацию?
Прописать в техпаспорте что есть ОТСС и ВТСС в данной ИСПДн, какое ПО где разрешено для установки. Прописать порядок контроля за исполнением этих правил. Отразить все это в должностных инструкциях. И назначить дисциплинарную ответственность за неисполнение.
РКН в первую очередь будет смотреть именно Вашу документацию - хоть при выездной проверке, а особенно при невыездной. А кто будет проверять Вашу сегментацию и настройки МЭ я даже не догадываюсь))
Grand Securities - исполнение Закона "О персональных данных"
[ Закрыто] Несколько ИСПДн в одной сети, Несколько ИСПДн в одной сети
Цитата
Гость пишет:
Господа! спасибо за бурную дискуссию, но так никто и не ответил КАКИМ МЭ отделять разные ИСПДн в одной сети.
1)персональным на каждой машине в составе ИСПДн?
2)ставить отдельный МЭ и переделывать сеть?
Разные ИСПДн, согласно Приказу 58, придется отделять отдельным МЭ. Т.е., придется сетку разбивать на подсети с разными диапазонами айпи-адресов. Персональные МЭ на каждой машине этого не сделают.
Grand Securities - исполнение Закона "О персональных данных"
[ Закрыто] Несколько ИСПДн в одной сети, Несколько ИСПДн в одной сети
Цитата
Павел пишет:
Как можно сегментирование сервер приложений и SQL?
Ничего там сегментировать не нужно. По закону, главное - что сами базы с ПДн не объединены в одну (ст.5 ЗоПД). Ну если вдруг попадутся придирчивые проверяющие - можно два виртуальных сервера сделать на одном физическом.
Цитата
Антон пишет:
Для того, чтобы обозначить границы защищаемой ИСПДн нужна сегментация
Да где же Вы это вычитали? Причем тут границы ИСПДн и сегменты сети - не усложняйте себе и другим жизнь. Границы ИСПДн обычно обозначаются в ее техпаспорте, схематично, с указанием какие машины (инв. номера, можно добавить и ip-шники и пр.) в организации относятся к данной ИСПДн. Нормативка от Вас больше ничего не требует.
Grand Securities - исполнение Закона "О персональных данных"
[ Закрыто] Несколько ИСПДн в одной сети, Несколько ИСПДн в одной сети
Цитата
Павел пишет:
Возник вопрос с определением количества ИСПДн, одна большая или всё-таки несколько с разными классами.
Однозначно - несколько разных ИСПДн. В зависимости от субъектов ПДн и целей обработки ПДн.
Grand Securities - исполнение Закона "О персональных данных"
[ Закрыто] Несколько ИСПДн в одной сети, Несколько ИСПДн в одной сети
Цитата
Антон пишет:
Но необходимо для выделения сегмента, обрабатывающего ПД, если имеются АРМ, не обрабатывающие ПД.
Такого требования нигде нет. Там МЭ нужен только для отделения ИСПДн и сети Интернет - п.2.4 Приказа 58. А отделить ОТСС и ВТСС можно орг.мерами.
Grand Securities - исполнение Закона "О персональных данных"
[ Закрыто] Несколько ИСПДн в одной сети, Несколько ИСПДн в одной сети
Цитата
Гость пишет:
А зачем Вам разделять на несколько ИСПДн? Обзовите все это одной ИСПДн и защищайте ее.
А вот этого делать не надо. Сто раз уже говорили о том, что объединять ИСПДн с разными целями обработки нельзя...
Grand Securities - исполнение Закона "О персональных данных"
[ Закрыто] Несколько ИСПДн в одной сети, Несколько ИСПДн в одной сети
Читайте Приказ ФСТЭК №58, п 2.11.: "Подключение информационной системы к информационной системе другого класса или к информационно-телекоммуникационной сети международного информационного обмена (сети связи общего пользования) осуществляется с использованием межсетевых экранов"
Таким образом, т.к. у Вас ИСПДн одного класса, то использовать МЭ для разделения систем не нужно.
Второй вопрос, соответственно, отпадает. Ключ можно было бы использовать и в случае с разными классами ИСПДн.
Изменено: Дмитрий Свидин - 22.05.2011 14:48:36
Grand Securities - исполнение Закона "О персональных данных"
Образцы(шаблоны) основных документов, регламентирующих обработку ПД.
К счастью, таким "обезличенным" выкрикам из-за угла я уже давно не удивляюсь. Поверьте - читают, применяют, еще и спасибо говорят ;)
Grand Securities - исполнение Закона "О персональных данных"
Фото - Биометрические ПДн???, Является ли фотография в личном деле биометрическими ПДн?
Цитата
Kutyrs пишет:
Цитата
Дмитрий Свидин пишет:
Биометрия только тогда биометрия, когда есть определенная система
Не согласен.
Если исходить из ст.11 152-ФЗ,
Цитата
Сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные)
абсолютно не необходимо, чтобы была именно автоматическая или автоматизированная идентификация субъекта ПДн. При отнесении ПДн к биометрическим, нужно смотреть, можно ли установить личность человека и характеризуются ли его физиологические особенности.
Вот можно ли по фотографии охарактеризовать разрез и цвет глаз, форму носа или цвет волос? имхо, нужно исходить из этого.
Опять же, если исходить чисто из определения ст.11, то мы приходим к тупику с которого начали - когда все что угодно можно назвать биометрией.
Grand Securities - исполнение Закона "О персональных данных"
Фото - Биометрические ПДн???, Является ли фотография в личном деле биометрическими ПДн?
Цитата
Дмитрий Селянин пишет:
Цитата
Дмитрий Свидин пишет:
Перелопатил множество официальных документов (международных и отечественных) по биометрии и т.п. и пришел к выводу: фото - это ПДн, НО не биометрические.
А подпись, обычная на бумаге - это биометрические ПДн?
Биометрия только тогда биометрия, когда есть определенная система (предполагаю, что автоматизированная), работающая с такими "заготовками" как подпись, фото, схемы и т.п. Сами же по себе, такие заготовки однозначно не биометрия. Если предположить, что у оператора есть система идентификации человека по образцу его ручной подписи (отпечаткам пальцев и т.п.), то тут естественно будет идти речь о биометрии. А сама по себе подпись на бумаге (пусть даже в виде скана на ПК) - точно не биометрия. По крайней мере так принято в Европе, у нас же от РКН можно ожидать всего чего угодно...
Grand Securities - исполнение Закона "О персональных данных"
Фото - Биометрические ПДн???, Является ли фотография в личном деле биометрическими ПДн?
Цитата
Юрий пишет:
... получается, что доказательства получены с нарушением закона и не должны иметь юридической силы?
Это уже сфера "баланса интересов" личности, общества и государства - тема, не учтенная к сожалению в действующем ЗоПД. В Европе такие доказательства считались бы де юре значимыми, а у нас (в отсутствии института баланса интересов при обработке ПДн) только де факто получается...
Перелопатил множество официальных документов (международных и отечественных) по биометрии и т.п. и пришел к выводу: фото - это ПДн, НО не биометрические.
Grand Securities - исполнение Закона "О персональных данных"
Страницы: 1 2 3 4 5 6 7 След.