Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

AppChecker’ом по Бляйхенбахеру

01/04/2019


Эксперты НПО «Эшелон» в результате исследования открытых программных проектов выявили критическую угрозу для интернет-приложений – возможность проведения атаки Бляйхенбахера! В настоящее время самым эффективным средством для заблаговременного предупреждения данной атаки является статический анализатор кодов AppChecker!

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: 1 2 3 След.
Еще несколько вопросов
Спасибо за формулировки целей, Виктория.
Да мы получали письмо от 29.07. 2009 г. № 17-110, но их разъяснения мало что разъясняют на самом деле, хотя без них было бы еще хуже. И слава Богу, что от регионального РКН мы не получали ничего. Думаю, уже лучше теперь ничего никому не отправлять. Для начала подгоним базу данных "Студенты" под требования закона и когда начнем обрабатывать в ней их ПД, тогда и пошлем уведомление об изменении состава ИСПДн.
Еще несколько вопросов
Цитата
Виктория пишет:
Отослали,т.к. получили от РКН соответствующее письмо.
Что за письмо вы получили? И почему они решили, что вы обязаны отсылать уведомление?
Еще несколько вопросов
Виктория, если не сложно, не могли бы вы написать цели обработки, которые указали в уведомлении.
Еще несколько вопросов
Цитата
Виктория пишет:
2 Денис

Подскажите, пожалуйста, а сколько у вас получилось ИСПДН - 3 (сотрудники, студенты, абитуриенты) или больше?

Да вот теперь я уж и не знаю как их считать. Скажем на ПД сотрудников у нас хранятся в 4 разных программах. И я думал, что это 4 разных ИСПДн. Все что на бумажках я вообще в расчет не брал.
Для студентов мы внедряем БД "Мониторинг" где есть ПД студентов и преподавателей. Такие как ФИО, отметки, номера зачеток, курс и группу. Т.е. тоже ИСПДн.
Учет абитуриентов у нас пока в бумажном виде, т.е. я тоже не рассматривал как ИСПДн.
Иными словами в качестве ИСПДн я рассматривал только те, в которых автоматизированная обработка и для которых необходимо проводить установленный комплекс мер по защите (регламенты, инструкции, модели угроз и т.д.)
Но чем больше я тут читаю, тем меньше понимаю что нужно делать.
Может возможно объединить все программы бухгалтерии в 1 ИСПДн, но на каком основании это можно сделать. Базы у них разные установлены на разных компьютерах. В общем в голове каша.
Отсылали ли вы уведомление?
Еще несколько вопросов
Эх, если бы кто ответил на эти вопросы. Та же засада. Положение сделали, стали делать список допущенных для работы с ПД и засели. Столько народу надо указывать, потому что почти все в той или иной мере имеют доступ к ПД. Может сконцентрироваться только на автоматизированных ИСПДн?

PS. С абитуриентов нужно брать согласие в обязательном порядке.
Изменено: Денис - 23.12.2009 12:27:57
Неавтоматизированная обработка на ПК
Вопрос как определить какая обработка и как это грамотно сформулировать. А еще не плохо бы посмотреть, прокатило это у кого-нибудь или нет.
Неавтоматизированная обработка на ПК
Цитата
Simon пишет:
to Eugene

А в чем приемущество в данном случае "притягивания за уши" 687-го ПП? Не проще ли "признать" автоматизированную обработку, а не "изголяться" с "отдельными матеральными носителями", "типовыпи формами" со спец. полями и пр.?

Если я правильно понимаю, то в случае не автоматизированной не надо проводить кучу мероприятий, модели угроз делать и прочее. Или я не прав?
Неавтоматизированная обработка на ПК
Цитата
Eugene пишет:
Подскажите пожалуйста выход из такой ситуации. В организации существуют ПК, на которых происходит обработка ПДн, при этом по всем признакам эта обработка считается "без использования средств автоматизации" - так как пользователи все виды обработки совершают руками.

А можно поподробней об этом. По каким признакам?
Если я правильно понимаю, то если в ИСПДн все операции производит пользователь (у нас скажем зарплата вручную рассчитывается, а программу от 1С вносится только для того, чтобы на выходе печатные формы нужные получить) то такая обработка является не автоматизированной?
А если в отделе кадров стоит программа которая стаж считает, т.е. каждый год приплюсовывает год, это уже автоматизированная обработка или нет?

Блин, может у меня все системы не правильно классифицированы. Может там автоматизированной обработки-то и нет.
Изменено: Денис - 21.12.2009 11:08:58
Классификация ИСПДн исходя из модели угорз, Коллеги, помогите составить грамотную формулировку
Т.е. не нужно указывать специальная класса К3, а достаточно написать класса К3 в акте?
Что именно переносится до 1.1.2011 ?, анализируем противоречивые мнения
Я опять со своим колледжем влезу :) Хотя вроде и говорили уже, но я все-таки еще раз уточню.
Если брать бухгалтерию и отдел кадров в которых хранятся и обрабатываются данные сотрудников, то можно не уведомлять. Но если я все же надумаю еще данные студентов обрабатывать с помощью каких либо автоматизированных систем, то уведомление уже обязательно?
Образовательное учреждение
В общем, как мне теперь понятно, каждая из этих АС относится не просто к классу К3, а еще вдобавок и специальная, поскольку конфиденциальность не единственное требование.

Скорее всего это класс К3Б
Изменено: Денис - 08.12.2009 13:32:08
Образовательное учреждение
Вот такие ИСПДн использует наш колледж:

1) 1С: Предприятие Камин Расчет заработной платы
2) 1С: Налогоплательщик для выгрузки 2НДФЛ в ИФНС
3) 1С: Предприятие – бухгалтерский учет (бюджет)
4) Документы ПУ5. Программа подготовки данных Персонифицированного учета для ПФР.
5) Перечень льготных профессий

Может кто встречал какую-нибудь документацию по ним в свете закона ПДн.
Я их все классифицировал как К3. Работают в физически изолированной ЛВС.
Данные передаются с помощью программы для сдачи отчетности в электронном виде "Спринтер". Т.е. 1 компьютер в бухгалтерии имеет доступ в Инет, на нем и стоит эта программа.

Может у кого аналогичная архитектура и уже есть модель угроз? Ну или давайте мыслями поделимся что и как делать дальше.
Образовательное учреждение
Эх, закопаемся мы все (образовательные учреждения), я так чувствую. Специалистов нет, денег нет, ничего нет, а делать надо. Поговорил с людьми из некоторых вузов, так понял, что максимум - разработали положение о защите, взяли согласие с сотрудников, и состряпали акты классификации. Все. Финиш.
Посоветуйте средства защиты.
Подскажите, а могу я объявить все эти бухгалтерские программы частями одной ИСПДн, ведь они все в 1 локальной сети?
Посоветуйте средства защиты.
Да, если сделать так, что 1 пользователь может работать с 1С, так как для него раздел диска куда она установлена виден, но у него нет доступа к Инету, так как во время его работы сетевая карта отключена. Для второго наоборот. Есть ли вообще такие программы? И необходим ли в этом случае межсетевой экран?
Посоветуйте средства защиты.
Если у меня есть бухгалтерия, в которой 6 компьютеров.
1 комп.:
1С: Предприятие Камин Расчет заработной платы
Документы ПУ5. Программа подготовки данных Персонифицированного учета для ПФР.
Перечень льготных профессий
1С: Предприятие – бухгалтерский учет (бюджет)
2 комп.:
1С: Налогоплательщик для выгрузки 2НДФЛ в ИФНС
1С: Предприятие – бухгалтерский учет (бюджет)
3 комп.:
1С: Предприятие – бухгалтерский учет (бюджет)
4 комп.:
1С: Предприятие – бухгалтерский учет (бюджет)
5 комп.:
1С: Предприятие – бухгалтерский учет (бюджет)
6 комп.:
1С: Предприятие – бухгалтерский учет (бюджет)

Т.е. 1С: Предприятие – бухгалтерский учет (бюджет) имеется на всех компьютерах.
Со 2 и 5 компьютеров необходима передача данных по внешним каналам. Все ИСПДн класса К3.
Какие программно-технические средства необходимы для решения данной задачи (желательно сами наименования продуктов)?
Вообще сначала планировал выделить бухгалтерию в физически отделенную сеть. И выделить 2 дополнительных компа для связи с внешним миром. Но вот сейчас есть такая идея: использовать специальный софт, который позволит создать несколько пользователей на компе с различными правами доступа к устройствам компьютера. Т.е. 1 виртуальный пользователь может работать с ИСПДн, а второй может выходить в Инет, причем дисковое пространство так же разграничено. Если кто знает, то подскажите название такого сертифицированного софта (если таковой имеется).
Заранее благодарен.
[ Закрыто] Являются ли оценки студента его персональными данными?, Можно ли без разрешения студента выставлять его оценки на веб-сайт?
Виктория, я думаю, согласие брать со студентов все равно необходимо, так как не только оценки входят в их ПД.
[ Закрыто] Являются ли оценки студента его персональными данными?, Можно ли без разрешения студента выставлять его оценки на веб-сайт?
Цитата
Гость пишет:
С учетом нашего-то времени, ну что тут скажешь...
Идиотизм в высшей стадии :(
[ Закрыто] Являются ли оценки студента его персональными данными?, Можно ли без разрешения студента выставлять его оценки на веб-сайт?
У меня вопрос к гостю, какие ИСПДн у вас используются и делали ли вы для них модели угроз? Сам из СПО, поэтому интересно.
П. 2. ст. 22 ФЗ (данные полученные в связи с заключением договора), Освобождает ли данный пункт ФЗ от беспокойств на тему ИСПДн или рано радоваться?
А чем, вообще говоря, чревато уведомление? В чем проблема сделать этот документ и отослать по адресу полномочного органа?
Страницы: 1 2 3 След.