Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

ФСБ: Национальному координационному центру по компьютерным инцидентам быть!

13/10/2018

Директор ФСБ России Александр Бортников распорядился создать государственный орган по борьбе с кибератаками. Текст соответствующего приказа размещен на официальном интернет-портале правовой информации.

Обучение

015.3. Системное администрирование операционной системы Astra Linux Special Edition. Специальный курс.
06 - 07 ноября 2018 года

002. Техническая защита информации. Способы и средства защиты информации от несанкционированного доступа.
12 - 16 ноября 2018 года

001. Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных. Курс согласован ФСТЭК России.
19 - 23 ноября 2018 года

026. Подготовка к CISSP и CISM (курс от профессионалов-практиков).
28 - 30 ноября 2018 года

036.2. Внедрение системы управления информационной безопасностью.
04 - 05 декабря 2018 года

036.3. Внутренний аудит СУИБ на соответствие требованиям международного стандарта ISO/IEC 27001:2013.
06 - 07 декабря 2018 года

015.1. Основы работы в операционной системе Astra Linux.
10 - 11 декабря 2018 года

015.2. Системное администрирование операционной системы Astra Linux Special Edition.
12 - 14 декабря 2018 года

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: 1 2 След.
Части 5 и 7 Статьи 19, Необходимость согласования модели угроз с ФСТЭК
Согласно Части 5 Статьи 19 закона о Персональных данных
............органы государственной власти субъектов Российской Федерации, ..........................., иные государственные органы в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки.
Возник вопрос - нужно ли Управлению архитектуры региона согласно части 7 статьи 10 закона о Персональных данных согласовывать Модель угроз с ФСТЭК РФ ?
Изменено: Михаил Батурицкий - 04.04.2013 16:53:56
Изменения положения об обработке персональных данных
N 152-ФЗ

Статья 18.1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом

2. Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных.

Статья 22.1. Лица, ответственные за организацию обработки персональных данных в организациях

4. Лицо, ответственное за организацию обработки персональных данных, в частности, обязано:

2) доводить до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;

Если есть вопросы - E-mail 9009404@mail.ru
Трнанс национальная передача персональных данных, Особенности выполнения требований ФЗ при транснациональной передаче ПДн
Предлагаю обсудить вопрос выполнения требований ФЗ при трансграничной передаче ПДн.

1. До начала осуществления трансграничной передачи персональных данных оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных.

Каким образом убедиться?

3. Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:
1) наличия согласия в письменной форме субъекта персональных данных;

Как строить защиты при обработке на территории РФ ?
Изменено: Михаил Батурицкий - 28.02.2011 14:33:15
[ Закрыто] 1С:Предприятие 8.2z (152-ФЗ "О персональных данных"), ФСТЭКом завершена сертификация (152-ФЗ "О персональных данных") защищенного программного комплекса "1С:Предприятие, 8.2z", включающего полный комплект технологической платформы версии 8.2 (в т.ч. со всеми видами серверов приложений).
Добрый вечер !

Сертифицированы следующие программные продукты:

Защищенный программно-аппаратный комплекс "1С:Предприятие, версии 8.2z" на соответствие требованиям руководящих документов по защите от НСД -5 класс. Классификация по уровню контроля отсутствия НДВ по 4 уровню контроля, использованию в АС до класса 1Г включительно, а также на соответствие требованиям, предъявляемым к СЗИ, входящим в состав ИСПДн, по обработке персональных данных до класса К2 включительно (ожидаемое время получения сертификата – январь-февраль 2010);
Защищенный программно-аппаратный комплекс "1С:Предприятие, версии 7.7z" по обработке персональных данных до К3 включительно (ожидаемое время получения сертификата – февраль 2010).

Кто имеет опыт применения ? Какие отзывы ?
Самописное ПО
Общедоступными эти данные сделать нельзя?
Класс ИСПДН
1. ИСПДн К2.
2. Если кадровое агенство имеет данные о клиенте только Ф.И.О - К4 . Остальная информация на бумажных носителях с идентификацией по какому то коду ,номеру и т.д..

Но может иметь случай что и ИСПДн К1 .Вопрос лишь в том -какие данные обрабатываются в ИСПДн.
Класс ИСПДН
Получается 2-я. Можно иденцифицировать субьект и получить о нем дополнительные сведения.
Терминальный сервер в медицинском учреждении
СКЗИ по классу КС1 и КС2 могут производить внедрение непосредственно специалисты предприятия. ViPNet Client содержит встроенный криптопровайдер СКЗИ «Домен-К» .Если способны -стройте систему сами. Если привлекаете стороннюю организацию - наличие соответствующих лицензий и сертификата специалиста по технологии VipNet. Для образца -смотрите по ссылке http://www.terminal62.ru/sertifikat.html .
Как классифицировать
Данный вариант подходит когда ИСПДн вс пределах контролируемой зоны.
Как классифицировать
Попробуйте отправить официальный запрос в Минздрав !Думаю ,что ответ вы официальный не получите. Ато что написано в методике это только рекомендации и часть документов по которым она была написана -отменены (кажется через месяц-два после согласования с ФСТЭК).
Я делал пакет документов для одного ЛПУ ,поэтому читал эти документы.Если по этой методике сделать к3 - то наверное персонал не сможет выполнять свои обязанности или начнет лечить неизвестно от каких болезней. Если есть вопросы пишите 9009404@mail.ru
Построение модели нарушителя
Если есть модель угроз то в ней и описана модель нарушителя. Кто Вам делал модель угроз? Получается, что моделировали угрозы неизвестно от кого.
Класс ИСПДн в медицине, Рекомендации Минздрава и реальность
Я делаю также как описал Гость2.Так как методических документов по специальным ИСПДн нет,или по крайней мере они официально нигде не представлены.
Изменено: Михаил Батурицкий - 30.10.2010 09:46:10
Использование защищенных каналов связи, Приложение к приказу ФСТЭК России от 5 февраля 2010 г. №58. II. Методы и способы защиты информации от несанкционированного доступа
СПЕЦИАЛЬНЫЕ ТРЕБОВАНИЯ И РЕКОМЕНДАЦИИ ПО ТЕХНИЧЕСКОЙ ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ
(СТР-К)Москва 2001

5.2.5. Для передачи информации по каналам связи, выходящим за пределы КЗ, необходимо использовать защищенные каналы связи, в том числе защищенные волоконно-оптические линии связи или предназначенные для этого криптографические средства защиты информации. Применяемые средства защиты информации должны быть сертифицированы.
Использование защищенных каналов связи, Приложение к приказу ФСТЭК России от 5 февраля 2010 г. №58. II. Методы и способы защиты информации от несанкционированного доступа
Вопрос в другом ,что счтать защищенным каналом связи ?
Реализация требований к ИСПДн
Тогда у Вас две ИСПДн. Вдобавок с испольбзованием СКЗИ. Как защитили эту машину?
Реализация требований к ИСПДн
А отчеты в соответствующие фонды как формируете и отправляете ?
[ Закрыто] Сокращения и термины, Основные, принятые в ГОСТах, законах, нормативных документах и в среде информбезопасников, сокращения и термины для непосвященных
Кто подскажет где найти определение защищиенного канала связи в номатиных документах
Как правильно передать СКЗИ?
Так вы дойдете до того , что будет нужна еще ицензия на оказание услуг по шифрованию информации,техническому обслуживанию крипторгафических(шифровальных )средств и т.д..

Возникает вопрос о построении защищенной информационной системы в целом. Как она будет построена,кто будет обслуживать ,возиожно, потребуется аттестация ии т.д..
Первоначально был вопрос поставлен как продать - и все . А что дальше. Даже если Вы сможете оплатить потавщику ,как оплатят Вам ваши затраты ? И еще . Элементы ViPNet CUSTOM стоят денег. Не надо забывать и о 94 ФЗ О гос.закупках.

Привлеките организацию ,которая имеет соответствующие лицензии .Она сделает все правильно.
Можете обратиться к нам 9009404@mail.ru . Даже для оказания консультаций .
Измерительное оборудование для ТЗКИ, Измерительное оборудование для ТЗКИ
Имею обрудования для аттестации ЗП ,необходимо для ПЭМИНа .Предлагаю взаимовыгодное сотрудничество.Мой e-mail: 9009404@mail.ru
Антивирус
Если не подключать внешие носители и нет доступа к внутренним и внешним сетям -можно в модели угроз прописать что угроза неактуальна .Сделайте обоснование.
Относительно аттестации :
- ее может и не быть.
- а если решили аттестовывать -то этот вопрос должен быть решен заранее.
Изменено: Михаил Батурицкий - 13.11.2010 20:22:57
Страницы: 1 2 След.