Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

SIEM ОТ MCAFEE УСПЕШНО ПРОШЛА СЕРТИФИКАЦИЮ ФСТЭК РОССИИ

01/04/2015

McAfee Security Information and Event Management (версия 9.3) успешно прошла сертификационные испытания, результатом которых стал сертификат соответствия №3353 (от 18 февраля 2015), выданный ФСТЭК России.

Реклама

Партнеры

Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: 1 2 3 4 5 6 7 8 9 10 11 ... 33 След.
Положение
Цитата
Гость пишет:
Я так понимаю, что это для автоматизированной обработке. А для неавтоматизированной нужно таую же матрицу или список?
Что Вы подразумеваете под неавтоматизированной? Если целиком и полностью бумажные работы, без использования средств автоматизации, то это ПП-687 и никаких матриц не нужно, но приказ о допуске конкретных лиц сделать необходимо с запретом допуска остальных. Если же с использованием средств автоматизации, то такая обработка скорее всего будет признана автоматизированной, отсюда и последствия с матрицами и т.д.
И тогда, все будет так, как должно было бы быть..., даже если будет наоборот...
Положение
Цитата
Семен пишет:
Цитата
Как правильно расписать

Вы фильтруйте все что здесь читаете... Правильно будет - регламент доступа + матрица доступа. Вместе с перечнем ИСПДн эти документы решают проблему с лицами. В Положении этих лиц не надо писАть Не будете же Вы переделать Положение ежемесячно?
А также, к матрице, хорошо бы заручиться приказом или распоряжением по организации о закреплении конкретных лиц к конкретным должностям или о их допуске к обработке, указывать что конкретноо они могут делать в самом приказе нет необходимости, это же будет в Положении о защите ПД
И тогда, все будет так, как должно было бы быть..., даже если будет наоборот...
Нужно ли СТР-К при аттестации ИСПДн
Цитата
Svyazist пишет:
Насчёт отличий. Как изменился СТР-К образца 2002 года после 3-х корректировок (все ДСП)?
Если принять во внимание, что сам документ так и не появился в открытом доступе, то наверняка все еще ДСП и именно эта пометка пока еще удерживает отдельных специалистов от того, чтобы объявить его обязательным не только для госучреждений, но и для всех без исключения коммерческих, которые защищают конфиденциальную информацию (то есть вообще для всех). Поясню, не все коммерческие организации имеют лицензию ФСБ, а документ для его исполнения должен быть доступным
И тогда, все будет так, как должно было бы быть..., даже если будет наоборот...
Нужно ли СТР-К при аттестации ИСПДн
По информации, полученной от наших окружных специалистов ФСТЭК, СТР-К является для госучреждений при защите конфиденциальной информации обязательным, для коммерческих - носит рекомендательный характер. При аттестации по требованиям к защите необходимо, в том числе, им руководствоваться для всех организаций. По защите ПД, которые тоже конфиденциальные с госучреждениями уже сказал, а для коммерческих его статус не понятен, но как разъяснили, опять же, при аттестации - обязателен, без аттестации следует придерживаться и его рекомендаций. То есть, проверяющие от ФСТЭК будут на это обращать внимание по любому, а уж все остальное зависит от того, насколько конкретным специалистам покажутся эффективными принятые меры защиты.
И тогда, все будет так, как должно было бы быть..., даже если будет наоборот...
Законные основания для разработки Концепции и Политики
Цитата
Newby пишет:
В законодательстве таких требований нет.
Совершенно точно, однако рекомендации по созданию системы менеджмента информационной безопасности прямо рекомендуют необходимость хотя бы одного из таких документов (ГОСТ Р ИСО/МЭК 17799, ГОСТ Р ИСО/МЭК 27001, а ISO-27002 прямо требует, правда этот пока не имеет в России статуса Р ИСО/МЭК). Так что их наличие (политики в частности) приветствуется, а в достаточно крупных организациях и еще необходимо.
Изменено: Анатолий М - 09.09.2010 12:34:55(очепятка)
И тогда, все будет так, как должно было бы быть..., даже если будет наоборот...
Разберем 687е постановление, что понимается под этим
Цитата
Владимир Юрьевич пишет:
и всё же как определить кол-во таких испдн (по скриншоту) как мне узнать одна она или нет. Так называемых баз данных мы не используем.
Если у Вас учебное заведение, то у Вас как минимум две ИСПД, одна та, что по работникам и другому персоналу, другая - ученики и их данные.
Изменено: Анатолий М - 09.09.2010 12:23:03(очепятка)
И тогда, все будет так, как должно было бы быть..., даже если будет наоборот...
Категорирование персональных данных, обрабатываемых без средств автоматизации
Цитата
Гость пишет:
И что Вы сейчас написали такого, о чем не упоминалось выше в данной теме?
А я разве сказал, что есть что-то новое?
Кто-то тут *WOW* настаивал, что в ФЗ-152 нет категорий и не знал как категорировать по ПП-687. К тому и разъяснения...
Изменено: Анатолий М - 09.09.2010 12:17:39(очепятка)
И тогда, все будет так, как должно было бы быть..., даже если будет наоборот...
Категорирование персональных данных, обрабатываемых без средств автоматизации
Некоторые разъяснения. Постановления Правительства это прямые подзаконные акты. ПП-687 и ПП-781 это абсолютно отдельные документы, оговаривающие порядок работы с ПД. Приказ трех издавался к ПП-781. Под ПП-687 такого приказа нет. Приказ трех должен был разъяснять и упорядочить работу с ПП-781. Под ПП-687 этого нет, а потому как еще и является прямым подзаконным нормативным правовым актом, он и оперирует некоторыми понятиями из самого закона, то есть теми самыми категориями, а в ФЗ-152 к ним прямо отнесены специальные (одна категория), биометрические (другая категория) и, я бы еще сказал, - основные идентифицирующие, определяющие, относящиеся..., хотя по сути в самом законе не сказано, что это отдельная категория, стоит их таковой рассматривать, так как они тоже рассматриваются в законе, а специальные и биометрические отделены (или скорее дополнены) некими требованиями. В свою очередь общие также можно разбить на две подкатегории (опять же для упрощения уведомления субъектов), на те, по которым можно его однозначно идентифицировать с некими дополнительными данными и на те, по которым субъекта идентифицировать нельзя (кто знает, может Вы научились обезличивать или выяснили, что некоторые данные субъекта есть общедоступные). Так что для ПП-781 - приказ трех, для ПП-687 - ФЗ-152.
Кстати, к вопросу об обезличивании, Алексей Лукацкий в недавних статьях у себя в блоке предлагает рассматривать шифрование как процесс обезличивания.
И тогда, все будет так, как должно было бы быть..., даже если будет наоборот...
Частная модель угроз: Персональные данные версия 4.0
Вообще, имхо, по анализу выходного документа из этой программы, как здесь правильно чуть выше заметили, не очень хороший копипаст, студачнее и качественнее будет сделанный собственными руками документ. Кроме того собственноручное написание дает просторы для творчества в области ухода от актуальности угроз :) . Грамотно обоснованные имеющиеся меры и отсутствие актуальных угроз помогут проще отбиться от проверок
И тогда, все будет так, как должно было бы быть..., даже если будет наоборот...
Новое Положение ФСТЭК. Методы и способы защиты ПДн
Этот документ 1 марта 2010 года вступил в полную силу. Он также зарегистрирован в Минюсте. Эпохальное событие ;) !
И тогда, все будет так, как должно было бы быть..., даже если будет наоборот...
Отчуждаемые машинные носители - это?
Отчуждаемые - то есть съемные носители информации. подразумеваются те носители, которые не входят в комплектность системного блока, но могут подключаться и отключаться. Например, дискеты, оптические и магнито-оптические диски, флэшки, съемные HDD и т.д. Короче говоря те, которые могут быть извлечены без вмешательства в системный блок, внешние то есть.
И тогда, все будет так, как должно было бы быть..., даже если будет наоборот...
[ Закрыто] Тестирование
Цитата
Simon пишет:
То есть у Вас в организации как только поступает сигнал о неудачной попытке подключния тут же реагирует оперативная группа и потенциального нарушителя вяжут по рукам и ногам?
Нет, не вяжут, но проще доказать вину, если застукаешь на месте, чем потом доказывать, что его учеткой не воспользовался какой-нибудь мифический злоумышленник. Это первое, а второе оперативность реагирования позволяет быть более уверенным, что подключающий флэшку не придумал или не узнал какой-то способ обойти защиту, ну и так далее.
По поводу избавления от уязвимостей - это не средство избавления от уязвимостей, а средство защиты информации, которое перекрывает некоторые каналы утечки. Кстати, недавно вышла версия 6.4, в ней помимо всего прочего есть возможность использовать контекстный фильтр и вести контроль печати не только по имени файла, но и по его содержимому. Может такое средство предоставить ОС? Ответ однозначный - пока нет. Может быть в будущем что-то изменится.
И тогда, все будет так, как должно было бы быть..., даже если будет наоборот...
[ Закрыто] Актуальность угроз
Цитата
Simon пишет:
Дак это было на какой технике? ЭЛТ мониторы фонят порядочно. Но сейчас то ЖК мониторы получили повсеместное распространение.
ЭЛТ мониторы здесь не причем, фонил блок радиоканала приставки и телевизора :) , ну и провода тоже :)
Изменено: Анатолий М - 09.02.2010 14:24:17
И тогда, все будет так, как должно было бы быть..., даже если будет наоборот...
[ Закрыто] ПДн, рабочие документы, терминальные клиенты
Цитата
Гость13 пишет:
по К1 идет.
1. Можно ли на рабочих станциях, где обрабатываются ПДн (есть сетевая версия программы), работать сотрудникам со своими обычными документами (тексты, презентации, таблицы), также распечатывать из этого при необходимости...?
Где-то я вроде уже отвечал на подобный пост. К АРМ, на которых осуществляется обработка ПД должен быть доступ только допущенных к обработке ПД работников, либо обеспечивать защиту разделов и ПО с обрабатываемыми ПД с помощью, например, средств криптографической защиты информации (Зашифрованный раздел диска, диск или системный раздел). Вообще не понимаю зачем такое городить? Можно кстати, с помощью создания дополнительного профиля с дестким разграничением доступа, но это не для К1, средств ОС не хватит по требованиям. Можно установку дополнительной ОС, но тоже для К1 не потянет. Так что если есть необходимость допускать других работников, не допущенных к обработке ПД, реально можно защитить (да и то не со 100% гарантией) только с использованием криптографии. Другие прибамбасы, в виде СЗИ НСД дадут еще меньше гарантий защиты.

Цитата
2. ...sorry, skip
Если еще не на всех ПК стоит лицензионка (но мы стремимся заменить всё, но денег дают редко и мало), повлияет ли это на результаты проверки?
Для защиты АРМ - СЗИ НСД, целый спект имеется в реестре сертифицированных СЗИ на сайте ФСТЭК.
Отсутствие лицензий на ПО может повлечь, в том числе, и уголовное преследование к нарушителям, в Вашем случае в отношении юридического лица, а это не есть хорошо. :(
И тогда, все будет так, как должно было бы быть..., даже если будет наоборот...
[ Закрыто] Резюме в отделе кадров.
Очень интересно, и каким же образом они используются? Посмотрели, а потом стали что-то с ними делать? Стали их собирать? Стали их систематизировать? Стали их накапливать, обрабатывать, изменять, уничтожать, передавать, распространять и т.д.? Нет, посмотрели, по требованиям удовлетворяет, позвонили, субъект пришел (заметьте сам пришел, добровольно), побеседовали, субъект сам о себе рассказал, что посчитал нужным. И какие юридические последствия для субъекта? Ну а то, что ознакамливаются с ними с какой-то целью, так мы вот пищу принимаем тоже с какой-то целью, и при этом цель не (извиняюсь) в туалет потом сходить, а наполнить организм топливом. Само по себе ознакомление не действие с ПД, а вот передача этого резюме со всей информацией уже будет действием. А вот если будем созваниваться с предыдущим работодателем субъекта, тут уже будут действия по получению дополнительных сведений о субъекте.
Вот положа руку на сердце, как долго Вы храните резюме кандидатов? И храните ли вообще их? А может Вы их просто на сайте просматриваете и все?
Но..., при просмотре через интернет-браузер или по электронной почте, программа, которая показывает Вам эти данные, предварительно их обрабатывает, причем в автоматическом режиме и без Вашего участия. Вот где происходит обработка, а не в простом ознакомлении, с бумажкой, например.
И тогда, все будет так, как должно было бы быть..., даже если будет наоборот...
Необходимость использования уничтожителя бумаг для материальных носителей
Цитата
Павел пишет:
3 степень – «конфиденциально», перекрестная 4*80 мм/продольная 2мм..
4 степень – «секретно», перекрестная 2*16 мм..
5 степень – «сов.секретно», перекрестная 0,8*13 мм..
Для уничтожения документов с грифом "Секретно" шредера 4 класса будет недостаточно, и даже 5 класс не подойдет, так как в спецтребованиях есть указание на размер допустимого максимального фрагмента уничтоженного документа, а он должен быть по площади не крупнее 2,5 квадратных миллиметров. 2*16 - это 32 квадрата, 0,8*13 - 10,4 квадрата. Не слушайте производителей этих машинок, они Вам такое нахвалят. Так что класс шредера должен быть для уничтожения секретных документов не ниже 6+. Кстати, если у Вас достаточно ценная конфиденциальная информация имеется (например какие-нибудь разработки, ноу-хау и т.д.), то и для нее такой класс будет хорошим, потом эту труху можно будет на макулатуру сдавать.
Изменено: Анатолий М - 09.02.2010 13:19:09
И тогда, все будет так, как должно было бы быть..., даже если будет наоборот...
Тысячи документов .doc .docx форматах с фамилиями людей, ..не допонимаю
Цитата
Илья пишет:
Вот и я думаю, что это я вно неавтоматизированная. ее по положению 687 надо, вот если все скинуть на сервак и с него работать - тогда может ИСПДн.
Неавтоматизированной Вы сможете считать, если сможете грамотно доказать и обосновать проверяющим, что программное обеспечение, в котором эти документы открываются, изменяются, удаляются и т.д. не осуществляет никакой автоматизированной обработки. О Word такого сказать нельзя, да и о других текстовых процессорах тоже. У каждого такого процессора есть свой собственный формат файлов, в который введенные Вами данные конвертируются при сохранении, без Вашего участия в автоматическом виде, прозрачно для Вас, а значит уже есть автоматизированная обработка. Учитывая, что оператор обязан соблюдать не только конфиденциальность, но и целостность, доступность, а программа без Вашего участия при сохранении файла документа, в результате программной ошибки может внести несанкционированные изменения в текст и уничтожить в конечном итоге содержимое, а при использовании электронной почты почтовый клиент может случайно в автомате разослать информацию (вспомните интеграцию продуктов в MS Office), а это уже нарушит и конфиденциальность. Думаю сложно будет признать такое неавтоматизированной обработкой. Вот в этом и вся проблема. Пока не будет выработана практика, что считать автоматизированной, а что нет, или пока ППшки не станут содержать более точные формулировки, гарантировать что-то в этом пункте нельзя.
Изменено: Анатолий М - 09.02.2010 13:07:12(очепятки замучали)
И тогда, все будет так, как должно было бы быть..., даже если будет наоборот...
[ Закрыто] Сайт ФСТЭК России, Что бы вы хотели увидеть на сайте ФСТЭК России, предложения
Содержание этого документа (кстати, он вчера вступил в законную! силу) прямо отсылает к четырехкнижию для построения модели угроз и в тоже время само определяет методы и способы. То есть, действительно заменяет Основные мероприятия и Рекомендации. Учитывая, что данное положение введено в действие как полагается по нашему законодательству, оно имеет приоритет перед четырехкнижием. Кстати, в базе консультанта+ и гаранта этот документ уже есть, а вот на сайте ФСТЭК РФ пока отсутствует. Надо бы исправить эту ошибочку. Может сразу надо заменить Положением Основные мероприятия и Рекомендации?
И тогда, все будет так, как должно было бы быть..., даже если будет наоборот...
Лента новостей ФСТЭК к 15 февраля 2008 г.
Подарок к Ярилину дню (древнему Новому году)!

Принят и вступил в силу приказ ФСТЭК РФ от 05.02.2010 г. № 58 «Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных».
Зарегистрирован в Минюсте 19.02.2010 г. За № 16456.
Текст из базы консультанта+
http://www.consultant.ru/online/base/?req=doc;base=LAW;n=97942

Текст из базы гаранта
http://www.garant.ru/hotlaw/federal/232923/ъ

Вроде нам чуток полегчало.

Кстати, на сайте ФСТЭК РФ этого документа еще почему-то нет.
Изменено: Анатолий М - 02.03.2010 08:44:45
И тогда, все будет так, как должно было бы быть..., даже если будет наоборот...
Районный суд о ФЗ 152
Цитата
Simon пишет:
Да это пожалуйста, пускай публикуют информацию о заседаниях. Нельзя опубликовывать ПДн (кто, как и при каких обстаятельствах совершил/не совершил правонарушение, адрес, возраст, сведения об имуществе, сведения о состоянии здоровья и пр.). Разглашение этой информации может нанести вреда больше, чем утечка инфы из какой-нибудь поликлиники.
Еще раз повторюсь. При чем здесь ПД нарушителя? Все данные, абсолютно все, по ходу открытого судебного разбирательства не подлежат закрытию. Заседание открытое, на нем имеют право присутствовать все желающие, в том числе вестись телеконференцсвязь и телемосты, эти данные становятся ОБЩЕДОСТУПНЫМИ вне зависимости от того, какими они были ранее. Другое дело закрытые процессы, но эти процессы допустимы только в отношении некоторых видов правонарушений.
И тогда, все будет так, как должно было бы быть..., даже если будет наоборот...
Страницы: 1 2 3 4 5 6 7 8 9 10 11 ... 33 След.