Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

GDPR: Новые правила обработки персональных данных в EU

15/06/2018

Все слышали о General Data Protection Regulation (GDPR) (Regulation (EU) 2016/679), который вступил в силу 25 мая 2018 года. Штрафы большие и придётся соответствовать. Как и любой официальный документ, он написан сухо и может трактоваться по-разному.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: 1 2 3 След.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
вот так умирает форум. сраные боты заспамили 10 страниц а админ в отпуске походу :!:
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
вот так умирает форум. сраные боты заспамили 10 страниц а админ в отпуске походу
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
[QUOTE]Гость пишет:
[QUOTE]Сергей пишет:

И вообще, как называется этот акт и что в нем надо указывать?
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Цитата
Гость пишет:
Цитата
Сергей пишет:

Добрый день!

Со стороны 21 и 17 приказов предъявлены требования по классум СВТ. В частности, в 17П для 3 класса защищенности ИС, СВТ должен быть не ниже класса. Требования для классов определены в РД " Средства вычислительной техники Защита от несанкционированного доступа к информации Показатели защищенности от несанкционированного доступа к информации " от 30 марта 1992 г.

Вопрос: Кто должен определять этот класс? Сам оператор должен оформить это с помощью некого акта?
наверное тот же кто присвоил 3 класс защищенности для ИСПДн.

Требования предъявляются наравне с классом МЭ или СОВ. А для них класс определяет ФСТЭК или ФСБ, и он (класс) указывается в сертификате соответствия. Вот я и подумал что...
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Добрый день!

Со стороны 21 и 17 приказов предъявлены требования по классум СВТ. В частности, в 17П для 3 класса защищенности ИС, СВТ должен быть не ниже класса. Требования для классов определены в РД "Средства вычислительной техники Защита от несанкционированного доступа к информации Показатели защищенности от несанкционированного доступа к информации" от 30 марта 1992 г.

Вопрос: Кто должен определять этот класс? Сам оператор должен оформить это с помощью некого акта?
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Добрый день. В то время как боты спамят темы, задам вопрос:
Подключение к сетям связи общего пользования и (или) сетям международного информационного обмена по методичке ФСТЭК бывает многоточечным и одноточечным.

Поясните пожалуйста разницу.

Скажем, есть ИС с 10 ПК. Все подключены в общую сеть и имеют доступ в инет. По идеи каждый ПК является точкой доступа в инет. Однако пограничным устройством для всех будет общий роутер. В этом случае подключение будет многоточечным или одноточечным?
Аналогичный случай при котором один из ПК имеет доступ в инет посредством USB модема (мегафон) сомнения не вызывает -подключение многоточечное. Но как быть в первом случае?
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Цитата
Сергей Терехов пишет:
Цитата
Сергей пишет:

Подскажите, необходимо ли разрабатывать в гос.органе Журнал

учета проверок, проводимых органами государственного контроля (надзора)???

В соответствии с какими требованиями его нужно создавать?

Ситуация такая что в "соседнем" госучреждении при проверке РосКомСвобода затребовал данный журнал. Его сделали по требованию, но что является основанием для его создания?
Согласно п.8 ст.16 Федерального Закона от 26.12.2008 № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» юридические лица, индивидуальные предприниматели обязаны вести журнал учета проверок по типовой форме, установленной федеральным органом исполнительной власти, уполномоченным Правительством Российской Федерации.

Так гос.орган это не индивидуальный предприниматель
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Доброго времени суток!
Подскажите, необходимо ли разрабатывать в гос.органе Журнал
учета проверок, проводимых органами государственного контроля (надзора)???
В соответствии с какими требованиями его нужно создавать?
Ситуация такая что в "соседнем" госучреждении при проверке РосКомСвобода затребовал данный журнал. Его сделали по требованию, но что является основанием для его создания?
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Подскажите где взять ГОСТ РО 0043-004? Нужно писать запрос во ФСТЭК?
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Цитата
Сергей Давидян пишет:
И вопрос который мучает меня уже давно.

Нужна ли лицензия по ТЗКИ для написания модели угроз?

нет не нужна
Набор ПО по 17 приказу
Цитата
Sat_Kelman пишет:
До этого работал только по 21 приказу с 17 не сталкивался
Да они практически идентичные.
Документы в ОРД ИСПДн
Цитата
Andrey80 пишет:
не соглашусь. 98-ФЗ только для коммерческой тайны

Цитата
Статья 1. Цели и сфера действия настоящего Федерального закона

1. Настоящий Федеральный закон регулирует отношения, связанные с установлением, изменением и прекращением режима коммерческой тайны в отношении информации, которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам.

2. Положения настоящего Федерального закона распространяются на информацию, составляющую коммерческую тайну, независимо от вида носителя, на котором она зафиксирована.

С другой стороны, мы используем "для служебного пользования" и "служебная информация" в коммерческих организациях.. По крайней мере по смыслу лучше всего подходит.



Я тут прикинул, если взять за основу когда-то существовавший проект ФЗ "О служебной тайне", то на его основе можно разработать вполне рабочее Положение. Там достаточно хороших, на мой взгляд, "формулировок", достаточно только адаптировать

информация, составляющая коммерческую тайну, - сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны

На мой взгляд информация из журнала учета СКЗИ это не "которые имеют действительную или потенциальную коммерческую ценность силу неизвестности их третьим лицам"

А что за проект по служебной тайне? слышал что в 2004 году собирались, так все и заглохло
Документы в ОРД ИСПДн
Цитата
Andrey80 пишет:
Цитата
А есть отдельное Положение по защите и приказ об установлении режима защиты служебной информации?
Сейчас прикинул и понял, что не совсем то наверное предлагаю. http://turbobit.net/g673guwmlss6.html

По служебной тайте вообще толком документов нет. Да и не понятно для кого "Для служебного пользования"..



вот документ Разрешительная система, где просто указывается что и как. Хотя есть Перечень конфиденциальной информации.



По сути мы на сегодня имеем только два вида конфиденциальной информации которые хоть как-то регламентированы: персональные данные - где без бутылки не разобраться и коммерческая тайна - где всего один ФЗ в котором вроде нормально написано, но чтобы исполнить, придётся помучится

В 98-фз написано. статья 10, 11, 13.

по служебной информации отдельного фз нет.

НО!

Исходя из существующих в действующем законодательстве формулировок, косвенно определяющих понятие служебной тайны, составляющие ее сведения не имеют коммерческой ценности, не удовлетворяют частным интересам и охраняются государственными органами.

Таким образом, служебная тайна – самостоятельный вид защищенной законом информации, доступной ограниченному кругу лиц в силу исполнения ими своих должностных функций в государственных или муниципальных органах.

Вся тех документация, внутренние журналы, данные по СЗИ, данные по СКЗИ (журналы, ключи, документация) являются служебной информацией. А то доводилось иногда встречать документы в которых инфа по СКЗИ приравнималась к коммТ. Да что там! ПДн тоже приравнивали...

В федеральных органах исполнительной власти ключевые документы, СКЗИ с введенными криптоключами относятся к материальным носителям, содержащим служебную информацию ограниченного распространения. При этом должны выполняться требования настоящей Инструкции и иных документов, регламентирующих порядок обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти.
ФАПСИ 152. пункт 23


ключевые документы - электронные документы на любых носителях информации, а также документы на бумажных носителях, содержащие ключевую информацию ограниченного доступа (ИОД) для криптографического преобразования информации с использованием алгоритмов криптографического преобразования информации (криптографический ключ) в шифровальных (криптографических) средствах
Документы в ОРД ИСПДн
Цитата
Andrey80 пишет:
Цитата
Сергей пишет:

Есть или у Вас рыба документов по служебной тайне?
Да, есть. Есть документ, где прописывались все виду конф.инф. по Указу.

Сейчас гляну и постараюсь выложить. Мы это впихнули в "Разрешительную систему"

А есть отдельное Положение по защите и приказ об установлении режима защиты служебной информации?
Документы в ОРД ИСПДн
Цитата
Andrey80 пишет:
Если кому-то нужна "рыба" какого-нибудь документа, то могу поделиться. Не факт что на все 100% он "правильный", но старался

Кстати. Вы же понимаете что наряду с ПДн в организации обрабатывается ещё и информация, составляющая комерческую тайну а так же служебная информация.
Есть или у Вас рыба документов по служебной тайне?
Изменено: Сергей - 29.10.2015 10:15:03
Документы в ОРД ИСПДн
Цитата
Andrey80 пишет:
Ну так не отменили :D Его уже лет 5 отменяют, типа "вот уже в ноябре регистрируем, а так всё готово..." И ничего толкового пока не написали касаемо этого вопроса. А в СТР-К пусть и устарело, но хоть как-то написано.

Есть мнение что использовать СТР-К нельзя, ибо он не зарегистрирован в минюсте...

Цитата
Andrey80 пишет:
Есть требование к парольной системе, т.е. необходимо менять пароли. Вот и придумали простой способ доказательства смены паролей. Суть в следующем: берётся учётный лист, на нём печатается логин и пароль. И именно этот лист передаётся пользователю по журналу. При этом старый лист сдаётся. Так получается и пароли меняем, и пароли никто не знает кроме пользователя. А там по сути можно и одинаковые логи-пароль использовать, главное листочки с данными во время менять

Пароли максимум могут печататься на листке бумаги и передаваться пользователю. Пароль подлежит запоминанию и уничтожению листка.

Либо пользователь сам должен устанавливать пароль. А что бы не было паролей 1234йфя или ячс123 существует политика паролей прописанная в инструкциях пользователей\администраторов. Во всех СЗИ от НСД эту политику можно настроить: минимальное число символов в пароле, наличие цифр, прописных букв, спецсимволов...а так же частоту смены пароля (раз в месяц...). За 3 дня (тоже настраивается) до истечения срока действия пароля пользователю предлагается его сменить. Причем пользователь не сможет установить легкий пароль (1234qaz).

Цитата
Andrey80 пишет:
А вот поэтому я и задал вопрос что да как в соседней теме :)
http://ispdn.ru/forum/forum1/topic3958/
Знаю что нужно что-то разработать, но не могу найти наработки в этой области

Читайте внимательно "МЕТОДИЧЕСКИЙ ДОКУМЕНТ МЕРЫ ЗАЩИТЫ ИНФОРМАЦИИ В ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ" пункт 2. Там все подробно написано.
Документы в ОРД ИСПДн
Цитата
Andrey80 пишет:
Если кому-то нужна "рыба" какого-нибудь документа, то могу поделиться. Не факт что на все 100% он "правильный", но старался
Ещё можно добавить регламент или инструкцию по бэкапу.
Документы в ОРД ИСПДн
Цитата
Andrey80 пишет:
* Акт классификации автоматизированной системы
* Акт определения класса защищённости ИС
* Акт определения уровня защищённости ПДн в ИСПДн

Одинаковые документы? Их можно объединить в один, если речь идет про ГИС.

Цитата
Andrey80 пишет:
* Журнал учета выдачи паролей пользователям АС

Сколько не пытался, так и не понял целесообразность этого документа.

Цитата
Andrey80 пишет:
* Инструкция по обеспечению безопасности информации при взаимодействии абонентов с информационными сетями общего пользования и сетями международного обмена

это, как и много чего ещё, по СТР-к который обещали отменить в 16 году. Инструкция пользователя обычно включает пункты из этого документа. Да и тут на выбор. Или СТР-к, или 21, или 17.

Цитата
Andrey80 пишет:
*Модель вероятного нарушителя ИСПДн

Их две. По требованиям ФСТЭК и по требованиям ФСБ (Модель нарушителя информационной безопасности действующего на этапе эксплуатации технических и программных средств криптосредства и СФК) потому что классификация нарушителей там разная.


Нет документов отражающих процесс выбора набора мер. (Базовый набор мер, адаптированный базовый набор мер, сопоставление актуальных угроз с адаптированным базовым набором мер, разработка компенсирующих мер, Дополненный уточненный адаптированный базовый набор мер…)
[ Закрыто] Документ по 17-му и 21-му Приказам, Какой документ
Цитата
Andrey80 пишет:
Существуют приказы ФСТЭК 17 и 21. Есть требования, но не нашёл что должно получится на выходе. Т.е. какой документ мне нужно составить на основании этих приказов и что там отражать?



И чем принципиально тогда этот документ будет отличаться от Модели угроз



Поделитесь опытом

Вам сюда.
УЦ как ИСПДн
Цитата
Евгений пишет:
Цитата
Сергей пишет:

Цитата
Сергей Терехов пишет:

Добрый день, Евгений.

На мой взгляд, ваша организация ничем не лучше других коммерческих организаций, поэтому нужен полный комплект ОРД в соответствии с требованиями 152 ФЗ, ПП 1119,ПП 687, приказа ФСТЭК № 21. Что касается технической защиты, то нужны детали, получаемые из модели угроз.
Полностью согласен. Но нужно разобраться . Мне известен случай когда УЦ был создан решением Правительства Республики и обязанности по выдачи ЭЦП для госорганов Республики были возложены на госучреждение. В этом случае нужно следовать 17 приказу.

Кстати, если выдавался аттестат соответствия по требованиям безопасности информации, то ОРД должны быть разработаны.

У нас похожая ситуация: мы казённая организация, сертификаты ЭП выдаём госоргану, используются сертификаты в ГИС. Но ведь наш УЦ от этого не становится ГИС? Поэтому нам нужно следовать всё же 21 приказу


Государственные информационные системы - федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов

Обратите внимание, не нормативных, а правовых актов, т.е. на основании любого правомочного решения государственного органа, например, обычного приказа или решения/протокола совещания

Такое правомочное решение может принять не орган исполнительной власти, не орган власти вообще, а любой обычный государственный орган
Ну да ладно.

У меня УЦ является ГИС ибо есть ПП Республики О создании Удостоверяющего центра
органов государственной власти Республики где функции этого УЦ возложены на нас.
Есть ПП республики о формировании информационного общества в республике. Там тоже указана наша организация и прописаны её функции по обеспечению взаимодействия госорганов. Наша организация находится в ведении Министерства науки, информатизации и новых технологий Республики. Учредитель сама Республика.

Государственные информационные системы создаются в целях реализации полномочий государственных органов и обеспечения обмена информацией между этими органами, а также в иных установленных федеральными законами целях. п. 1 ст. 14 149-ФЗ

В общем наш УЦ является ГИС. Аттестат мы сами себе выдадим потому что есть аккредитация ФСТЭК\ФСБ. 8)
Страницы: 1 2 3 След.