Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Особенности аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции (работ, услуг), поставляемой по гособоронзаказу.

12/08/2019 

08 мая 2019 г. утверждены новые Правила аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции работ, услуг), поставляемой по государственному оборонному заказу (постановление Правительства Российской Федерации от 30 апреля 2019 г. № 548).

Новые Правила аккредитации кардинально меняют сложившуюся систему не только аккредитации, но и сертификации СМК предприятий, работающих в области государственного оборонного заказа.

Реклама





Партнеры





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: 1
Документы, Ссылки на документы по информационной безопасности, в том числе и по защите ПД
Что-то не нашел отдельной темы с таким назначением, или может быть плохо искал, но тогда приношу извинения.
Собственно хотел создать тему, в которой мы могли бы делиться разными документами в области информационной безопасности.
Вот привожу пару ссылок на два документа, может у кого-то их нет:
RFC-2196 - http://narod.ru/disk/17085950000/%D0%9F%D0%B5%D1%80%D0%B5%D0%B2%D0%BE%D0%­B4%20RFC%202196%20%E2%80%94%20%D0%A1%D0%BF%D1%80%D0%B0%D0%B2­%D0%BE%D1%87%D0%BD%D0%B8%D0%BA%20%D0%BF%D0%BE%20%D0%B1%D0%B5­%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D0%B8­%20%D1%81%D0%B5%D1%82%D0%B5%D0%B2%D0%BE%D0%B3%D0%BE%20%D1%83­%D0%B7%D0%BB%D0%B0%20%D0%A0%D1%83%D1%81%D1%81%D0%BA%D0%B8%D0­%B5%20%D0%9F%D0%B5%D1%80%D0%B5.html
РД Гостехкомиссии "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации" - http://narod.ru/disk/17085927000/%D0%A0%D1%83%D0%BA%D0%BE%D0%B2%D0%BE%D0%­B4%D1%8F%D1%89%D0%B8%D0%B9%20%D0%B4%D0%BE%D0%BA%D1%83%D0%BC%­D0%B5%D0%BD%D1%82.htm.html
Чуть не забыл, документы в формате HTML и я, как обычно, их не запаковал.
Изменено: Анатолий М - 20.01.2010 13:41:27
И тогда, все будет так, как должно было бы быть..., даже если будет наоборот...
Российское законодательство, Описание некоторых возможностей, предоставляемых законодательством в области защиты информации операторам информационных систем
Законодательных актов в области защиты информации достаточно много, еще больше подзаконных актов и некоторые из них устанавливают настолько жесткие требования, что операторам информационных систем остается только охать и ахать и пытаться найти денежные средства на приобретение сертифицированных по требованиям безопасности СЗИ.
Собственно говоря, в этой теме я хотел бы предложить изучать наше законодательство с целью выявления способов избежать чрезмерных затрат и мой первый пост в этой теме вот о чем:
На сегодняшний день одним из важнейших законодательных актов в области защиты информации является Федеральный закон от 27 июля 2006 года (от той же даты, что и навязший в зубах у многих 152-ФЗ) № 149-ФЗ "Об информации, информационных технологиях и защите информации".
Статья 3 данного 149-ФЗ устанавливает принципы правового регулирования в сфере информации, информационных технологий и защиты информации. Судя по всему, данные принципы не должны нарушаться ни кем и ни чем.
В этой статье есть замечательный пункт - п.8, в котором буквально дословно говорится следующее - "недопустимость установления нормативными правовыми актами каких-либо преимуществ применения одних информационных технологий перед другими, если только обязательность применения определенных информационных технологий для создания и эксплуатации государственных информационных систем не установлена федеральными законами."
То есть никто не имеет права заставить операторов (за исключением государственных информационных систем, по которым это предусмотрено законодательством) применять те или иные технологии и их элементы. Теперь применительно к имеющимся РД Гостехкомиссии РФ, СТР-К, РД-4 ФСТЭК РФ и РД-2 ФСБ РФ замечу, что эти документы прямо заставляют применять определенные технологии при защите информации с ограниченным доступом (не гостайна), а именно применять сертифицированные по их требованиям безопасности средства защиты информации, то есть идет фактическое навязывания использования определенных технологий в ущерб другим технологиям. А ведь на Российском рынке есть множество, в том числе и сертифицированных в системе РОСС-стандарта программных и аппаратных средств и несертифицированных, но разрешенных к использованию в РФ. Таким образом каждый оператор абсолютно на законных основаниях может сам выбирать средства защиты информации не следуя слепо требованиям регуляторов.
Но...
Существует одно большое НО :( . Дело в том, что пункт 8 статьи 3 149-ФЗ запрещает устанавливать преимущество одних технологий перед другими в нормативных ПРАВОВЫХ актах. А РД и ФСТЭК и ФСБ и Гостехкомиссии, да и СТР-К тоже позиционируются не как нормативные правовые акты, а как регламенты и руководства и, таким образом, учитывая, что 152-ФЗ возлагает обязанность по разработке требований к защите ПД на Правительство, а то, в свою очередь, на регуляторов, выполнять их требования вроде бы надо.
Собственно говоря практики применения этого пункта 8 статьи 3 149-ФЗ еще нет, но, думаю, что суды будут рассматривать его как обязательный к исполнению и в отношении РД, так как по действующему Российскому законодательству (да и международному тоже) ни один подзаконный акт не может противоречить действующим в стране законам, а значит есть шанс отвертеться от использования сертифицированных средств защиты информации при защите информации в негосударственных информационных системах (заметьте, о муниципальных и местного самоуправления в этом пункте нет ни слова так что их тоже можно отнести к негосударственным) которая не является гостайной.
Очень бы хотелось услышать мнение других участников форума, в том числе и официальных лиц :)
И тогда, все будет так, как должно было бы быть..., даже если будет наоборот...
Персональные данные, Персональные данные, что к ним отнести, а что будет лишним...
В общем в данной ветке я решил попробовать с обоснованиями привести примеры того, что нужно относить к персональным данным, а что будет лишним.
Начну с самого начала. Персональные данные - это те данные, которые непосредственно "принадлежат" субъекту, потому они и персональные, а не какие-то еще. Персональные, от слова "Персона", то есть принадлежащие или присущие персоне.
Теперь собственно перечень или список (он далеко не полный, будем наполнять по мере того как...):
Фамилия, Имя и Отчество - ну они-то прямо указаны в законе, да и потом это как бы самоназвание человека, данное ему при рождении и неотъемлемые от него без его желания атрибуты;
Дата и место рождения - по аналогии с вышеуказанным;
Образование, профессия (специальность, специализация) - получены в процессе жизни-деятельности человека и остаются с ним до самой его смерти, неотъемлемы. Образование можно повысить, получить дополнительно новое, но прежнее все равно сохранится. То же и по профессии (специальности);
Адрес места жительства - привязан к субъекту и субъект к нему привязан. Каждый где-то живет (бомжи в подвалах и на свалках, нормальные люди в домах и квартирах);
Семейное положение - может изменяться в течении жизни, но память штука интересная;
Социальное и имущественное положение - ну буквально то же самое;
Доходы - ну это совсем личное ;)
Пол, рост, возраст, натуральный цвет волос и глаз, форма глаз, ушей, носа и рта... - ну сплошная биометрия;
Состав семьи - тоже ПД;
Данные из паспорта, военного билета, удостоверения личности, пенсионного удостоверения, трудовой книжки - все ПД;
ИНН - индивидуальный номер (налогоплательщика), сохраняется практически до самой смерти и не меняется в течении жизни субъекта;
Должность, которую субъект занимает в настоящее время - временное явление и принадлежит его работодателю, а не субъекту, тоже самое касается номеров служебных и рабочих телефонов - не ПД - сведения о работнике;
Сведения о прежних местах работы и должностях - ПД субъекта, сведения о нем как о субъекте;
Номера документов, удостоверяющих личность, номер договоров, государственные регистрационные номера транспортных средств - это не номера субъекта, а значит не его ПД;
Сведения о привычках, вкусах, пристрастиях, характере, темпераменте, интеллекте, навыках, опыте, хобби и т.д. - абсолютно личная информация, - ПД субъекта;


Продолжаем?
И тогда, все будет так, как должно было бы быть..., даже если будет наоборот...
Наши ПП 678 и 781 и ФЗ, Обсуждаем нюансы законодательства
ПП678
1. Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее - персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
2. Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.
3.Правила обработки персональных данных, осуществляемой без использования средств автоматизации, установленные нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации, должны применяться с учетом требований настоящего Положения.

ПП781
1. Настоящее Положение устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации (далее - информационные системы).
Под техническими средствами, позволяющими осуществлять обработку персональных данных, понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.
...
15.Запросы пользователей информационной системы на получение персональных данных, включая лиц, указанных в пункте 14 настоящего Положения, а также факты предоставления персональных данных по этим запросам регистрируются автоматизированными средствами информационной системы в электронном журнале обращений. Содержание электронного журнала обращений периодически проверяется соответствующими должностными лицами (работниками) оператора или уполномоченного лица.

Вот уже какой месяц сижу я и размышляю над этими загадочными пунктами двух великих постановлений и никак не могу понять, в каком из них все же содержится ошибка. Нет, чисто по человечески мне бы хотелось, чтобы ошибка оказалась в ПП781 (тогда получалось бы, что ПП678 вносит коррективы в него), но сдается мне, что все не так просто и ошибки могут быть в обоих документах. Обратите внимание на п.1 ПП781 «...с использованием средств автоматизации...», а может быть здесь подразумевается «...при помощи автоматических средств...», иначе тогда как понять п.15 того же ПП781 «...запросы пользователей и других указанных лиц...должны регистрироваться в электронном журнале обращений...». То есть тут понятно, что каждое обращение должно тут же регистрироваться, но ведь тогда основная часть рабочего дня будет уходить как раз на регистрацию этих обращений, а не на сами обращения. Значит такая регистрация должна происходить автоматически. Это снова играет на версию об ошибке в первом пункте этого ПП.
Тогда что же получается? Значит ПП678 надо читать дословно, но и в нем сокрыта ошибка «...средств автоматизации...», а должно быть «...автоматических средств...»?
Самое интересное, когда заменяем в обоих положения «средства автоматизации» на «автоматические средства», тут же все становится на свои места. И что в ПП781 регистрация обращений, и что упоминаются ИСПД как информация, информационные технологии, технические и программные средства, но не упоминается ЧЕЛОВЕК, и что все таки получается в ПП678 пункты 1 и 2 написаны к месту.
Тогда у нас получается вот что:
ПП678
1. Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее - персональные данные), считается осуществленной без использования автоматических средств (неавтоматической), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
2.Обработка персональных данных не может быть признана осуществляемой с использованием автоматических средств только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.

И тут же оба эти пункты приобретают правильный смысл
И тут же пункт 1 из ПП781 тоже приобретает смысл:

1Настоящее Положение устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием автоматизации процессов (далее - информационные системы).
Под техническими средствами, позволяющими осуществлять обработку персональных данных, понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.

Вот и о человеке не упоминается, и потому такая разработана методика защиты однобокая, совершенно не учитывающая человеческий фактор, что человек при такой обработке является необязательным элементом.

И тут же, кстати, появляется смысл у требования о "недопустимости принятия решений с юридическими последствиями на основании исключительно автоматизированной (может быть все же автоматической?) обработки"

Ну как, помуссируем этот нюанс?

А вот пункт 7 ПП781
7.Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) путем применения технических средств.

Обратите внимание на и(или)
Изменено: Анатолий М - 26.11.2009 17:10:45
И тогда, все будет так, как должно было бы быть..., даже если будет наоборот...
Способы защиты ИСПД на базе больших АС, Обсуждаем и предлагаем способы построения систем защиты ИСПД на базе достаточно крупных АС
Один из способов, хоть и связанный с некоторыми начальными затратами мы начали осуществлять на нашей АС, в которой около 500 компьютеров. ЛВС построена на доменной архитектуре типа "лес". Есть один корневой домен и два субдомена. В одном из субдоменов и находится ИСПД. Но беда вся в том, что ЛВС строилась еще до ввода в действие не только 152-ФЗ, но и нового ТК, поэтому в этом субдомене есть АРМ, которые не должны иметь доступа к ИСПД. Решили ИСПД выделить в отдельный субдомен, ставим на точку входа в ЛВС МЭ, ну и дальше уже проводим защиту. Затраты начальные здесь вот в каких местах: дополнительный МЭ, необходимость приобретения дополнительных коммутаторов (и лучше управляемых), перекроссировка. Далее для К3 можно, предварительно обосновав, ограничиться приобретением сертифицированной ОС (достаточно будет одного дистрибутива), ПО и антивиря. Организовываем двухфакторную аутентификацию средствами самой ОС (в нашем случае Windows XP Pro), кадровой службе открываем доступ в Инет к одному единственному сайту по вакансиям и резюме и доступ для программ ПФР, для бухгалтерии открываем доступ для Контура-Экстерн и все остальное блокируем. Все остальное организовано оргмерами и физической охраной (всякая сигнализация, видеорегистрация событий, сама охрана...). После некоторых консультаций пришли к выводу, что этих мер защиты будет более чем достаточно, ну а в случае непримиримости регуляторов можно будет доустановить таблетки. Серверы защищены изначально достаточно хорошо (хоть под гостайну аттестовывай).
Ну а по классу К2 и К1 (слава парусам у нас не они) по любому придется приобретать и устанавливать СЗИ НСД и остальную шнягу.
В общем-то этот способ не оригинальный, но не самый худший.
Хотя я до сих пор уверен, что самый эффективнй способ защиты - это обезличивание. Эх разработать бы универсальную, эффективную, надежную и удобную в работе саму процедуру обезличивания, но пока фантазии не хватает.
И тогда, все будет так, как должно было бы быть..., даже если будет наоборот...
Статьи, Обсуждение статей о ПД
Интересная заметка - http://infowatch.livejournal.com/72296.html
И тогда, все будет так, как должно было бы быть..., даже если будет наоборот...
Классификация АС и ИС, Впоросы по классификации автоматизированных и информационных систем
"Внезапно"! всплыл такой вопрос у меня.
При проведении мероприятий по классификации и защите ИСПД есть ссылка о привязке ИСПД по классу АС (К3 - 1Д, К2 - 1Г...).
Так вот сам вопрос, кто-то реально классифицировал АС до классификации ИСПД? Или все упустили этот вопрос? Я так полагаю, что эта процедура предполагается должна быть обязательной. Регламенты есть, проводи не хочу.
Заодно, кто проводил, подскажите какие документы помимо актов инвентаризации и классификации и приказа необходимы при этом? А также, стоит ли реально обязательной считать данную процедуру? Я так полагаю ответ должен быть ДА. Собственно проблемы с этим возникли в неожиданном месте, а именно в проведении инвентаризации. Ее родимую никто здесь не проводил отродясь (а сам я в этой организации не так давно работаю и только недавно узнал, что такую инвентаризацию и классификацию никто здесь не делал) и найти сейчас кучу всего (номера, модели и т.д.) проблематично. Сеть большая, порядка 500 машин, сервера, принтеры, сканеры, плотеры и т.д. и т.п.
И тогда, все будет так, как должно было бы быть..., даже если будет наоборот...
[ Закрыто] Сокращения и термины, Основные, принятые в ГОСТах, законах, нормативных документах и в среде информбезопасников, сокращения и термины для непосвященных
Предлагаю здесь вносить ясность по поводу разных специфических терминах и сокращениях (если, конечно, я не проглядел где-нибудь здесь на форуме уже открытую такую тему, если дублируюсь - пшепрашем модераторы, удаляйте ее). Например:

АРМ - автоматизированное рабочее место (проще говоря компьютер или терминал в терминал-серверной системе)
АС - автоматизированная система (совокупность аппаратных и программных средств обработки информации и автоматизации производства)
ЛВС - локальная вычислительная сеть
ПД (ПДн) - персональные данные (любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных))
ИС - информационная система (совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств)
ИСПД (ИСПДн) - информационная система персональных данных (информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств)
СЗИ - средства защиты информации
СКЗИ - средства криптографической (шифровальной) защиты информации
СТЗИ - средства технической защиты информации
НСД - несанкционированный доступ
НДВ - не декларированные возможности
СОВ - средства обнаружения вторжения
ПМВ - программно-математическое воздействие (проще говоря вирусы, программные закладки, трояны, черви и другое вредоносное ПО)
ТЗ - техническое задание
ФЗ - федеральный закон
ФСБ, ФСТЭК, Роскомнадзор - регуляторы (расшифровка, думаю, не требуется)
ЭВМ - электронная вычислительная машина
ПЭВМ - персональная ЭВМ
ПЭМИН - побочные электромагнитные излучения и наводки
РИ - речевая (акустическая) информация
ВИ- видовая (оптическая) информация
ИБ - информационная безопасность
ОИБ - обеспечение информационной безопасности
СМИБ - система менеджмента информационной безопасности
КУИБ - комиссия (комитет) по управлению информационной безопасностью
ОИ - объект информатизации
ОВТ - объект вычислительной техники
СВТ - средства вычислительной техники
ОТСС - основные технические средства и системы
ВТСС - вспомогательные технические средства и системы
КЗ - контролируемая зона
МЭ - межсетевой экран
ФВ (FW) - файрвол, брандмауэр
ОС - операционная система
ПО - программное обеспечение
ППО - прикладное ПО
СПИ - стеганографическое преобразование информации
ТСОИ - технические средства обработки информации
КУИ - канал(ы) утечки информации
ТКУИ - технические КУИ
СЗИ НСД - средства защиты информации от несанкционированного доступа

Продолжайте...
И тогда, все будет так, как должно было бы быть..., даже если будет наоборот...
Страницы: 1