Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Испытательная лаборатория НПО «ЭШЕЛОН» успешно провела инспекционный контроль ОС ASTRA LINUX для процессоров «БАЙКАЛ»»

01/07/2019


Российская операционная система специального назначения Astra Linux Special Edition(релиз «Севастополь») для процессоров «Байкал-T1» (MIPS) успешно прошла инспекционный контроль на соответствие требованиям безопасности информации к операционным системам типа «А» 2-го класса защиты в системе сертификации СЗИ ФСТЭК России. Инспекционный контроль релиза «Севастополь», как и других релизов защищенной ОС Astra Linux Special Edition, был проведен  испытательной лабораторией НПО «Эшелон».

Реклама





Партнеры





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: 1 2 След.
Как влияют на классификацию ИСПДн пункты 8-14 приказа "Об утверждении Порядка проведения классификации"
Цитата
АдмИБ пишет:
на данный момент аттестация не обязательна. то же самое с сертифицированными СЗИ (естественно, за исключением К1)
а на документ ссылочку можно?
Как влияют на классификацию ИСПДн пункты 8-14 приказа "Об утверждении Порядка проведения классификации"
то есть требования к мерам защиты (то есть требования к ПО)
особо не изменились, просто из нескольких доков ФСТЭК сделали один, "более" систематизированный..
так?

там про аттестацию рабочих мест ничего не сказано... все по прежнему? для 1..3 класса делают лицензиаты ФСТЭК?
далее, наличие сертификатов для установки средств защиты у сотрудников либо привлечение спец. организаций
и ток сертифицированное ФСТЭК/ФСБ ПО - эти требования остаются в силе?
Уведомление о намерении осуществлять обработку персональных данных
Извиняюсь, если дублирую топик, не нашел ничего в поиске

хочется для себя уточнить...

Ранее, из разговора с коллегами, я понял, что надо как минимум
быстренько отправлять уведомление, и по мере возможности, заниматься
приведением ИС в соответствие с законом, и уложиться к концу года

Нашел электронную форму
http://www.rsoc.ru/personal-data/forms/notification/

там есть пункт
"Описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке"
но это ведь станет известно, только когда будет разработан проект защиты, и подобранно ПО...

выходит, уведомление надо отправлять, когда уже все приведено в соответствие со 152ФЗ?
[ Закрыто] Как обезличить данные, Как обезличить данные
подскажите, а если ситуация такая...
сейчас есть база абонентов
хранится ФИО заключившего договор, номер договора, адрес и данные по платежам
договора также хранятся и в бумажном виде
надо бы "обезличить", но в виду специфики работы, надо хотябы иметь возможность
от фамилии абонента + улица/дом к его счету. То есть если полностью убрать ФИО то работать
проблематично.
в виду вышесказанного, при обезличивании данных, до 4-го класса, какой из вариантов прокатит:
1. хранить только фамилию, номер договора, адрес и данные по платежам
(Фамилия + адрес, там может быть несколько человек, и однозначно не скажешь кто это)

2. хранить часть фамилиии, некоторый идетефикатор, номер договора, адрес и данные по платежам
(например для Иванов А.П - Ивв, две первые и последняя буквы, то есть, зная фамилию
можно будет упростить поиск по базе, и с другой стороны, от от этих 3х букв не узнать что именно за фамилия)

3. хранить в базе только номер договора, адрес и данные по платежам

какой вариант прокатит для "регуляторов"?
Приказ ФСТЭК России от 5.02.2010 N 58, на сколько это влияет на построение систем защиты ПД?
кто-нибудь может прокомментировать этот документ и хотябы в общих чертах
обозначить как в связи с этим, изменяется процедура построения системи защиты ПД?
[ Закрыто] Обучение персонала оператора ПД, какое обучение должны пройти сотрудники оператора ПД?
спасибо за ответ
в нашем случае это скорее п.4

попутный вопрос: если организация обучила специалиста (п.2), то возможно ли теоретически, самостоятельно разработать проект защиты, и установить средства защиты?

понятно, что могут возникнуть сложности с аттестацией и наверное с первого раза не получится, но в принципе, это возможно?
Изменено: Дмитрий - 04.02.2010 13:21:21
[ Закрыто] Обучение персонала оператора ПД, какое обучение должны пройти сотрудники оператора ПД?
Как я понял, обучение обучению рознь...
можно рассказать сотрудникам как пользоваться средствами защиты ПД, и чтоб все дружно расписались в журнале обучения
можно послать, например, "ответственного за защиту ПД" на обучение в области защиты ПД
и можно после обучение ещё и аттестовать и за сертификат заплатить

Вопрос в том, какое именно обучение должны пройти сотрудники оператора ПД?
В каких руководящих документах и НПА есть относительно этого указания?

извиняюсь если повтор темы, к сожалению в поиске по форуму не нашел ответа на свои вопросы
ЖКХ, Особенности защиты персональных данных в сфере ЖКХ.
Александр... по мерам защиты... К2 распределённая, и К2 на локальном компе без выхода в сети - это две ну очень разные системы.
для абонентских отделов, удалённых касс, поставщиков - распределённую систему с обезличенными данными, иначе правда, либо очень большие деньги, либо в камнный век...
неудобно... но, решаемо, даже с двумя счетами на одну квартиру )

а там где обрабатываются договора, формируются документы в суд, списки для обхода - сделайте и заявите как отдельную не распределённую К2...
понятно, что придётся решать проблемы синхронизации, выгрузки... но это на пару нулей дешевле чем распределённая К2

и обязательно попадите на какой-нить семенар по данной теме, сможете в живую помучать вопросами специалистов.
может лазейки есть, или возможность безболезнено обезличить...
ЖКХ, Особенности защиты персональных данных в сфере ЖКХ.
Я вот думаю... если нет функций паспортного стола, то в базе по учёту/расчету услуг ЖКХ, держать только:
- номер счета (договора)
- фамилию
- адрес
- данные по услугам, суммы...

ведь по сути, главный идентефикатор - это номер счета.
фамилия и адрес - это чтобы операторам было проще...
по одной фамилии нельзя даже однозначно идентефицировать человека, даже если будут инициалы стоять - "Иванов И.И."
мало ли может быть Ивановых.. Иваны, Игори, или Ильи...

то есть это будут обезличенные данные... если не Хпд=4, то точно не Хпд=2

я правильно рассуждаю?
ЖКХ, Особенности защиты персональных данных в сфере ЖКХ.
Цитата
Stas Lutatovsky пишет:
в одной базе можно хранить только ФИО, паспортные данные клиента, год рождения и его идентификатор (персональные данные, позволяющие только идентифицировать субъекта персональных данных, категория Хпд=3)
хм..
в паспортные данные входит:
- ФИО
- серия/номер
- дата рождения
- место регистрации
- кто где и когда выдал паспорт
это Хдп=3?
Аттестация в сфере ЖКХ, вопросы по защите персональных данных в сфере ЖКХ
О... тоже очень интересно, и актуально )

Паспортная база - тут явно от К2 ни куда не уйти (

а вот рассчет кварплаты:
- номер счета (договора)
- ФИО
- адрес
- площадь, показания учетных приборов
- суммы оплачено/начислено
тут вроде К2... от этого можно как-нибудь уйти на К3?

например разбить систему на две отдельные программы

в одной "номер счета"+адрес+фио = К3
в другой "номер счета"+площадь+показания счётчиков+суммы, всё обезличено = К4

и всех абонентов парить чтоб наизусть учили свой счет

либо есть другой способ перейти к К3?

если две программы будут установлены на одном ПК, но между собою никак программно не связаны...
одна К3, другая К4 - такое возможно? система не будет считаться К2?
или надо физически на разных машиных ставить?

если программа учёта кварплаты - самописка на MSSQL, 2 ПК не подключенные к другим сетям...
у пользователей права - одинаковые..
защитить по К2, с помощью установки, например соболь+VipNet(или SecretNetNG)+антивир+приказы/инструкции
то есть максимально защитить эти ПК от доступа посторонних лиц...
этого будет достаточно? сети в принципе нету...
само приложение MSSQL никак переделывать не надо?
оно как бы внутри очень защищённой среды...

или для К2 никаких самописок только сертифицированное лицензированным разработчиком ПО?
Изменено: Дмитрий - 17.09.2009 09:45:37
[ Закрыто] Что делать, если субъект отказывается давать разрешение на обработку своих ПДн, ... бывают и такие неадекватные субъекты, сам сегодня столкнулся
Цитата
Stas Lutatovsky пишет:
Ну тогда можно пересчитать ему стоимость обучения, исходя из себестоимости ручной обработки его ПДн
точно! :-D
[ Закрыто] Что делать, если субъект отказывается давать разрешение на обработку своих ПДн, ... бывают и такие неадекватные субъекты, сам сегодня столкнулся
Цитата
Stas пишет:
То есть, в рамках исполнение договора мы имеем право обрабатывать ПДн субъекта (в том числе и автоматизированными методами) независимо от мнения субъекта? Даже если он завалит нас и Роскомнадзор письмами о своем несогласии?
вот тут рядом юрист сидит... говорит что такой договор можно и опротестовать в суде... так как законодательством утверждён перечень документов которые абитурьент должен сдать... но вроде ничего нету об обязательно обработке в электронном виде... типа вы ущемляете его права, дескриминируете... отказывая ему в обучении из-за "ваших хотелок"

мде... засада...

пойдитесь по ФЗ на основании которых вы работаете, уставным документам, приказам... может там есть на что ссылаться...
хотя завалить письмами, и опротестовать может в любом случае... вопрос выиграите в суде или нет
как соотнести К1, К2, К3 с 1А(Б,В,Г,Д), 2А(Б), 3А(Б)?
2Дмитрий Левиев

у меня та что в интернете... и по названию от того что вы привели отличается (
Цитата

ТРЕБОВАНИЯ И РЕКОМЕНДАЦИИ ПО ЗАЩИТЕ ИНФОРМАЦИИ
СПЕЦИАЛЬНЫЕ ТРЕБОВАНИЯ И РЕКОМЕНДАЦИИ ПО ТЕХНИЧЕСКОЙ ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ
(СТР-К)
Москва 2001

С О Д Е Р Ж А Н И Е
1. Термины, определения и сокращения
2. Общие положения
3. Организация работ по защите информации
4. Требования и рекомендации по защите речевой информации
4.1. Общие положения
4.2. Основные требования и рекомендации по защите информации, циркулирующей в
защищаемых помещениях
4.3. Защита информации, циркулирующей в системах звукоусиления и звукового
сопровождения кинофильмов
4.4. Защита информации при проведении звукозаписи..
4.5. Защита речевой информации при ее передаче по каналам связи
5. Требования и рекомендации по защите информации, обрабатываемой средствами
вычислительной техники
5.1. Общие требования и рекомендации
5.2. Основные требования и рекомендации по защите служебной тайны и персональных
данных
5.3. Основные рекомендации по защите информации, составляющей коммерческую тайну
5.4. Порядок обеспечения защиты конфиденциальной информации при эксплуатации АС
5.5. Защита конфиденциальной информации на автоматизированных рабочих местах на
базе автономных ПЭВМ
5.6. Защита информации при использовании съемных накопителей большой емкости для
автоматизированных рабочих мест на базе автономных ПЭВМ
5.7. Защита информации в локальных вычислительных сетях
5.8. Защита информации при межсетевом взаимодействии
5.9. Защита информации при работе с системами управления базами данных
6. Рекомендации по обеспечению защиты информации, содержащейся в
негосударственных информационных ресурсах, при взаимодействии абонентов с
информационными сетями общего пользования
6.1. Общие положения
6.2. Условия подключения абонентов к Сети
6.3. Порядок подключения и взаимодействия абонентских пунктов с Сетью, требования и
рекомендации по обеспечению безопасности информации
7. Приложения:

очень очень хочется увидеть официальный экземпляр!
как соотнести К1, К2, К3 с 1А(Б,В,Г,Д), 2А(Б), 3А(Б)?
Так.. начинает проясняться...
сопоставив http://www.fstec.ru/_docs/doc_3_3_004.htm (требования для ИС по условиям функционирования)
и
требования для МЭ - http://www.fstec.ru/_docs/doc_3_3_006.htm
то можно определиться с МЭ...
но опять... как это привязать к классификации инф.систем с ПД?

здесь - http://forum.razved.info/index.php?t=104&p=691#pp691 - это пример результата анализа... человек делал для своей ИС... да и есть много сомнений/вопросов...

есть какой-то третий РД...
и судя по результатам поисков, это один из документов "чертверокнижия ФСТЭК"
"рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"
как я понимаю здесь должны быть требования по классам ПД... которые и можно сопоставлять с данными по ссылкам выше..
это так? или есть другой документ?
на этот кто-нить ссылочку знает?

Цитата
Предлагаю рассматривать Вашу информационную систему как специальную - тогда многие вопросы решаются проще.
Как правило, систему аттестовывают еще и по требованиям на 1Г - поскольку кроме ПДн, есть еще и другая конфиденциальная информация в системе.
где про это можно подробнее прочитать?
как соотнести К1, К2, К3 с 1А(Б,В,Г,Д), 2А(Б), 3А(Б)?
разобрался как классифицировать ИСПД
разобрался что означают 1А(Б,В,Г,Д), 2А(Б), 3А(Б) - по условиям функционирования

не могу понять как влияет класс ИСПД (К1..К4) на выбор класса защиты по условиям функционирования.

допустим у меня ИСПД К3... условия функционирования попадают под 2А(Б)...
и также К2 с условиями функционирования 2А(Б)
у систем степень важности данных разная... их обе защищать по 2А(Б)?

ведь наверняка есть какие-то правила выбора "степени" защиты?

и как определить 2А или 2Б?

подскажите "руководящий документ"
Как разработчику сертифицировать свое ПО, Как разработчику сертифицировать свое ПО
Если я не ошибаюсь, вы должны свой софт сертифицировать по определённому классу на предмет отсутствия незадекларированных возможностей, программных закладок и т.д...
Также вы можете прикрутить к своему ПО, возможность использовать для верификации пользователей, и например журналирования действий - сертифицированные ФСБ СКЗИ... типа чтоб войти в систему, надо рутокен вставить, и пин ввести )

пользователи когда сами классифицируют свои данные, и основываясь на своей "инфраструктуре" - определят перечень требований к защите... и далее будт смотреть, подходит ли ваш "сертификат" под их "требования"
Подскажите с классификацией ПД. Администрация городского поселения
Цитата
Дмитрий Левиев пишет:
Будете поднимать сельское хозяйство в Сибири??
ага, каждому комбайну по соболю )
Подскажите с классификацией ПД. Администрация городского поселения
Спасибо за доки... а я всё думал что за ПП.. :-D
по поводу суда... по крайней мере в нашем случае проще и дешевле будет купить СКЗИ )
[ Закрыто] Межсетевой экран для ИСПДн, Выбираю стратегию покупки недорогих сертифицированных межсетевых экранов
Вы хотите из обычного ПК сделать МЭ?
Может какую-нить сертифицированую Cisco поставить? думаю должно быть что-то в районе $600
И дешевле вашего варианта, и во много раз проще в эксплуатации
Страницы: 1 2 След.