Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

SIEM ОТ MCAFEE УСПЕШНО ПРОШЛА СЕРТИФИКАЦИЮ ФСТЭК РОССИИ

01/04/2015

McAfee Security Information and Event Management (версия 9.3) успешно прошла сертификационные испытания, результатом которых стал сертификат соответствия №3353 (от 18 февраля 2015), выданный ФСТЭК России.

Реклама

Партнеры

Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: 1 2 3 4 5 6 7 8 9 10 11 ... 30 След.
Тупые вопросы, которые вы хотели, но боялись спросить, Разное
По моему, если все ПК в ЛКС подключаются к интернет сети через 1 маршрутизатор, или какой то ПК на котором стоит корпоративный фаервол (Kerio control например), то подключение является одно точечным.

А если у вас в ЛКС на каждом ПК стоит по модему, и через них идет доступ к интернет, тогда многоточечный.
Что относится к ИСПДн
А если ЛКС в которой обрабатываются ПДн не разделена на подъсети, то по идее вся эта ЛКС со всеми ПК к ней подключенными, даже с теми на которых нет программ обрабатывающих ПДн, является ИСПДн? И соответственно средства защиты нужно ставить на все ПК в такой ЛКС? Я правильно мыслю?
Договор между фирмой и банком по зарплатному проекту. Нет поручения.
И тут наспамили. :evil:
Пересылка ПДн по электронной почте, Пересылка ПДн по электронной почте
Ну так никто не встречал такого документа? Значит можно забить на это все пусть шлют как шлют?
Пересылка ПДн по электронной почте, Пересылка ПДн по электронной почте
Никто не встречал такой приказ или постановление от регулятора, где черным по белому было бы написано: Для передачи ПДн по открытым источникам связи, необходимо использовать прошедшие соответствующую проверку программы, осуществляющие шифрацию по гост. стандартам? Программы использующиеся для шифрации и кодирования должны быть сертифицированными регуляторами?

Если Обладатель ПДн дал согласие на передачу своих ПДн по открытым каналам связи и для передачи 3 лицам, то фирма получившая эти ПДн должна ли отправлять их 3 стороне с применением защиты (криптографии и шифрации)?
Пересылка ПДн по электронной почте, Пересылка ПДн по электронной почте
1. Это ладно, на своей стороне мы их защищаем эти ПДн, но передачу то мы не защищаем так как это должна организовать фирма бронировщик, и потом уже от нас этого потребовать в договоре на обслуживание. Спрос то от обладателей ПДн в первую очередь с них идет...а уж фирма бронировщик с нас должна спросить.

2. В общедоступные источники, по моему, обладатели ПДн нигде не дают согласие на это. Вот на передачу по открытым каналам связи и третим лицам в онлайн форме фигурирует.

3. Алгоритмы в Enigmail OpenPNG. Хотелось бы все же бумажку почитать где написано что требуется защищать информацию гостовским шифрованием. Наверное у ФСБ такая есть. Если знает где ееможно посмотреть напишите пожалуйста.
Пересылка ПДн по электронной почте, Пересылка ПДн по электронной почте
Спасибо! Хоть кто то, что то написал.
1) Мы не являемся оператором, этих данных, так как мы их непосредственно не получаем а нам их предают. Скорее мы являемся третей стороной которой фирма занимающаяся бронирование делегирует обработку этих ПДн. И по идее она и должна бы нам инструкцию предоставить как эти ПДн должны передаваться и хранится. Но как я понимаю там такие же спецы как и я работают. ;) :D :D :D

2) По второму пункту: все уже сделано и реализовано, даже проверку РОСКОМНАДЗОРА прошли 3 года назад. Правда они только бумажки смотрят, а что там да как им знать не положено, да и что они могут знать две тетки одна лет 18, другая лет 50. :D

3-6 пункты было бы интересно разобрать.
Например кто запрещает пользоваться той же Enigmail в Thunderbirde? Она также создает сертификаты и при помощи них подписывает и кодирует письма. Так же передаешь партнеру свой открытый сертификат и он может получать письма и расшифровывать и проверить что это действительно я послал.

Смущает только вопрос того, что за криптографию отвечает ФСБ, и не придерется ли проверяющие при проверке к тому, что сертификат создан самостоятельно и шифрация не по госту...и т.д.

То есть как я понимаю:
Шифровать и подписывать письма содержащие ПДн все же нужно, если они передаются по открытым каналам связи, даже если обладатель дал свое согласие на их передачу третьим лицам по открытым каналам связи. Это так?

Если да, то остается вопрос нужно ли использовать для этого сертифицированные ФСБ, ФСТЭК и т.д средства или можно обойтись бесплатными? Обосновать это тем что эти данные при их утечке принесут минимальный вред обладателю, поэтому выделять на их защиту н-ное кол-во денег является не выгодным. Но для их защиты все же применяется бесплатное средство с подобным функционалом, без сертификатов и лицензий.
Пересылка ПДн по электронной почте, Пересылка ПДн по электронной почте
Вот это темку я поднял :D :D :D :D

Никто даже не знает что делать. Или боится написать, так как у каждого наверняка на рабочем месте есть такая электронная почта...по которой передают ПДн без всякой защиты.
Пересылка ПДн по электронной почте, Пересылка ПДн по электронной почте
В письмах подтверждения бронирования пересылается следующая информация: Ф.И.О, Гражданство, тел, Email, номер брони, дата заезда и выезда, тариф (проживание с лечением или без), стоимость бронирования - Обладателя ПДн.

Конечно не ахти какая информация с которой можно причинить вред обладателю, но все же. Оператором наверное все же является фирма через которую осуществляется бронирование, а мы уже 3 лицом которому эти данные передаются.
Пользователи заходят на наш сайт и там через некую форму вносят свои ПДн для бронирования. Которые пересылаются фирме занимающейся бронированием. А они уже нам тоже через их сайт по протоколу https. Ну и на нашу почту приходят подтверждения брони.

На сайте имеются ссылки на "Пользовательские соглашения с этой фирмой" и "Политикой конфиденциальности" где написано:

Защита информации

а) Данные, введенные клиентом, передаются в средство размещения в объеме, необходимом для бронирования номеров (услуг) в средствах размещения. Кроме того, данные, введенные клиентом, могут быть использованы для передачи третьей стороне. Такая третья сторона может связаться с клиентом посредством e-mail, на пример, в целях получения отзывов и качестве сервиса, забронированного клиентом средства размещения. При этом при получении первого электронного письма от такой третьей стороны клиент имеет возможность отказаться от последующей рассылки.

б) Соглашаясь с условиями настоящего Пользовательского соглашения, клиент дает свое согласие на сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, передачу в адрес средства размещения и обозначенных в пункте а параграфа 8 третьих лиц, обезличивание, уничтожение своих персональных данных: фамилия, имя, отчество, адрес электронной почты, номер телефона, гражданство. Указанные персональные данные запрашиваются с целью предоставления клиентам запрошенных услуг, либо ответа на запросы клиента. Данные отображаются в Ваучере, отчетной и бухгалтерской документации. Такие данные, как адрес электронной почты используются для получения отзывов о качестве сервиса средства размещения. Настоящее согласие предоставляется клиентом для осуществления любых не противоречащих законодательству Российской Федерации действий в отношении персональных данных, направленных на достижение указанных в Пользовательском соглашении целей, в том числе: онлайн бронирование клиентом выбранного средства размещения, составления отчетной и бухгалтерской документации, получение отзывов о качестве сервиса, забронированного средства размещения.

В случае предоставления клиенту рекламных и маркетинговых материалов, ему также предоставляется возможность отказа от получения таких материалов в будущем
Пересылка ПДн по электронной почте, Пересылка ПДн по электронной почте
Добрый день, форумчане!

У нас в организации производится онлайн бронирование номеров и путевок. Делает это сторонняя фирма. Так вот она пересылает нам ПДн бронирующих по электронной почте на ящик расположенный в gmail.ru. Никакой шифрации или паролирования не используется при этом.

Мне кажется это не совсем правильно.

Во первых: mail-server (gmail) находится у 3 стороны, фиг знает где может за рубежом. И они могут свободно посмотреть эти ПДн пересылаемые по почте.

Во вторых: электронная почта сама по себе не шифруется и ее можно свободно где нибудь перехватить на промежуточном узле.
___________________________________________________________

Что можно сделать чтобы обезопасить пересылаемые по почте данные обезопасить?


Я думаю:
1) Поднять свой mail-server, находящийся непосредственно в нашей организации.
2) Использовать какую то программу для шифрации и паролирования почты содержащей ПДн.

Правильно ли я мыслю? Или может и не стоит заморачиваться с этим, пусть шлют как шлют?

Кто знает программы или почтовые клиенты которые могут шифравать и паролировать эл.почту напишите пожалуйста. Пока нашел для клиента Thunderbird плагин Enigmail. Можно ли им пользоваться, или нужны программы с сертификатами ФСБ и ФСТЭК? Мы не гос. орган, мы частная организация.
Набор ПО по 17 приказу
Цитата
Дмитрий пишет:
А разве по закону (например ПП-1119, ФСБ-378) можно иные СЗИ использовать для нейтрализации актуальных угроз? Например фирма - 21-й приказ - ставлю то, что сочту нужным?

Можно ставить то что сочтешь нужным, но нужно провести проверку этих средств и иметь об этом бумажку для контролирующих органов. Поэтому проще купить СЗИ с сертификатом ФСТЭК чем самому делать такие проверки и писать бумажки о том что проверка произведена, как она произведена от чего и как защищает.
Набор ПО по 17 приказу
В гос организациях по 17 приказу должны использоваться только сертифицированные регуляторами и прошедшие проверку средства защиты.
Отправка персональных данных через почту
Что за ссылки во всех темах такие появляются...спамеры что ли взломали этот сайт и теперь везде свои ссылки проставляют?
Отправка персональных данных через почту
Что тут за боты все ветки захломили?
Как проводить внутреннюю проверку по обеспечению Защиты ПДн сотрудниками организации?, Как проводить внутреннюю проверку по обеспечению Защиты ПДн сотрудниками организации?
Может ли вообще ответственный за организацию обработки ПДн еще и Администратором сетевой безопасности быть? В данный момент я являюсь и тем и тем, да докучи сис.админом. :D

По моему нет. Так как получается что он сам все делает и сам себя же и проверяет...ерунда полная. :D
Как проводить внутреннюю проверку по обеспечению Защиты ПДн сотрудниками организации?, Как проводить внутреннюю проверку по обеспечению Защиты ПДн сотрудниками организации?
Может ли вообще ответственный за организацию обработки ПДн еще и Администратором сетевой безопасности быть? В данный момент я являюсь и тем и тем, да докучи сис.админом. :D

По моему нет. Так как получается что он сам все делает и сам себя же и проверяет...ерунда полная. :D
Как проводить внутреннюю проверку по обеспечению Защиты ПДн сотрудниками организации?, Как проводить внутреннюю проверку по обеспечению Защиты ПДн сотрудниками организации?
Может ли вообще ответственный за организацию обработки ПДн еще и Администратором сетевой безопасности?

По моему нет. Так как получается что он сам все делает и сам себя же и проверяет...ерунда полная. :D
Как проводить внутреннюю проверку по обеспечению Защиты ПДн сотрудниками организации?, Как проводить внутреннюю проверку по обеспечению Защиты ПДн сотрудниками организации?
Спасибо Владимир.
Хорошая ссылочка...много познавательного можно там узнать. И сразу идти увольняться :D ... Нафиг надо этой фигней заниматься! Надо как минимум юридическое образование иметь, плюсом к моему техническому.
Как проводить внутреннюю проверку по обеспечению Защиты ПДн сотрудниками организации?, Как проводить внутреннюю проверку по обеспечению Защиты ПДн сотрудниками организации?
Добрый день!
Назначили меня ответственным за организацию обработки ПДн.
Все документы, косаемые обработки и защиты ПДн, в нашей организации уже есть, даже проверку 2 года назад Роскомнадзора прошли.

Что я как ответственный за организацию обработки ПДн должен делать в моменты между проверками?

Кто то уже проводил внутренние проверки защиты ПДн? Как они проводятся, какие документы составляются, какая периодичность этих проверок должна быть?

С какой переодичностью нужно ознакомлять работников работающих с ПДн с законодательством косаемым ПДн, и их служебными инструкциями...где описывается как работник должен работать с ПДн?
Запрос Полиции
Согласен с Владимиром, что если запрос пришел не пойми от кого, и проверить его что он пришел именно от МВД не представляется возможным, то ни о какой передаче ПДн не может быть и речи, о чем просильщика нужно известить.

Хочешь данные запрашивай как положено. :D
Страницы: 1 2 3 4 5 6 7 8 9 10 11 ... 30 След.