Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

ФСБ: Национальному координационному центру по компьютерным инцидентам быть!

13/10/2018

Директор ФСБ России Александр Бортников распорядился создать государственный орган по борьбе с кибератаками. Текст соответствующего приказа размещен на официальном интернет-портале правовой информации.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: 1 2 3 След.
Обязательно ли должна быть должность "Инженер по защите информации" на предприятии??, или достаточно приказ
Насколько я понял, (если я правильно понял) требования к квалификации персонала предъявляются только в случае получения лицензии по ТЗКИ. А так, достаточно назначить ответственное лицо, или подразделение.
[ Закрыто] WingDOC ПД - коллеги есть опыт работы с данной программой? Ваше мнение., http://www.ntc-sfera.ru/products/wingdoc_pd/
Цитата
Oleg пишет:
Заказать демо-версию можно здесь http://www.wingdoc.ru/products/wingdoc_pd/download/ Интересная программа , никто не пробовал? Столько времени прошло.

Я пробовал - мне не понравилось. Документы получаются кривоваты и слабоваты. ИМХО.
[ Закрыто] WingDOC ПД - коллеги есть опыт работы с данной программой? Ваше мнение., http://www.ntc-sfera.ru/products/wingdoc_pd/
Не думаю, что таковая версия существует... Программа требует электронного ключа.
О шифровании трафика внутри КЗ и не только
Мое твердое убеждение: если все СВТ и линии передачи данных находятся внутри, то шифровать данные не нужно. Зачем? Насколько я помню, если необходимо шифрование внутри КЗ, то СКЗИ должно быть классом не ниже КС3, а такие средства установить не легко. Куда проще отсечь подобную необходимость организационными мерами.
Разделение ПДн с целью их обезличивания
Цитата
Гость123 пишет:
Данные позволяющие определить субъекта:

ФИО + паспортные данные (серия номер) или данные любого другого документа удостоверяющего личность (№ военного билета например)
ФИО + дата рождения (не год), место рождения.
ФИО + ИНН
Пол при известном ФИО вещь всетаки не очень важная, хотя казусы бывают...=)

А вот в Доп информацию входит по идее
- место жительства
- № ВУС
- марка автомобиля
- семейное положение
- кличка любимой собаки
- место отдыха прошлым летом и т.д....

В принципе, согласен с гостем - сам для себя принял примерно такое же разделение.
Документы для проверяющих
Цитата
Oleg пишет:
Интересно бы взглянуть на шаблоны документов регламентирующих внутренние проверки и расследование инциндентов безопасноти

Тоже интересно. Ни разу не встречал.
Думаю, что необязательно создавать отдельный документ по расследованию инцидентов безопасности ПД.Можно подкорректировать какой-нибудь общий документ по внутренним расследованиям, добавив несколько пунктов по ПД.

Кто-нибудь может поделиться каким-либо документом по расследованию внутренних инцидентов, нарушений, преступлений внутри организации? Был бы благодарен.
Определение ИСПДн
Ну вообще определение ИСПДн есть в ФЗ-152, ст.3:
"информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;"
Порядок разбирательства и составления заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, есть ли у кого типовой?
Если в организации уже есть какая-либо процедура разбирательств и расследований по фактам нарушений вообще, то можно выкрутиться, указав в каком-либо ином документе что-то вроде:
"разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных проводится тем-то в соответствии с принятым в Организации Порядком ....".
А "разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений" можно впаять в обязанности какого-либо должностного лица.
Средства защиты для Windows 7, Какие сертифицированные средства защиты от НСД есть для Windows 7?
Цитата
Гость пишет:
Ви шутите, ХРюша до сих пор не сертифицирована, какие тут семерки

А вот это враки:
1.844/2 03.12.2004 03.12.2010 Windows XP(SP2) Операционная система Microsoft Windows XP Professional соответствует заданию по безопасности MS.Win_XP.ЗБ и имеет оценочный уровень доверия ОУД 1 (усиленный) по РД «Безопасность информационных технологий. Критерии оценки безопасности информационных технологий» - Серия
2. 844/3 03.12.2008 03.12.2011 Windows XP(SP3) Операционная система Microsoft Windows XP Professional соответствует заданию по безопасности MS.Win_XP_SP3.ЗБ и имеет оценочный уровень доверия ОУД 1 (усиленный) по РД «Безопасность информационных технологий. Критерии оценки безопасности информационных технологий» - Серия.

Есть такие же сертификаты на Vista. А вот на 7 пока нет.
Другое дело, что я бы посоветовал осторожнее относится к использованию сертифицированной Windows в качестве СЗИ от НСД... Лучше все таки использовать наложенные средства.
Только вот, найти средства, поддерживающие Windows 7 думаю пока будет сложновато... Большинство из них не так давно стало поддерживать Vista. Проще всего протестировать работу СЗИ, поддерживающих Vista, на семерке, может будет работать.
В программах по расчету зарплаты - сведения об инвалидности. 1 категория?
Мое мнение (как и многих других) если не указано заболевание, вызвавшее инвалидность, то это не специальная категория. Но в Вашем сообщении меня смущает "история его инвалидности" - вполне возможно, там есть что-то о здоровье.
Нужна помощь в составлении документов для проверяющих.
Цитата
Евгений В. Казаков пишет:
ФСБ России сертифицирует по требованиям безопасноти информации, но в другой систтеме сертификации. Пока нет документов о взаимной корреляции систем сертификации ФСБ России и ФСТЭК России (и еще Минобороны России), сертификата ФСБ на МЭ недостаточно, нужен сертификат ФСТЭК.

Спасибо за ответ. Буду иметь ввиду ...
Нужна помощь в составлении документов для проверяющих.
Цитата
amt2001 пишет:
2. ViPNet Personal/Office Firewall сертифицрованны как МЭ 4 класса по требованиям ФСБ. Требования ФСБ и ФСТЭК по МЭ практически никак не коррелируются и при проверке со стороны ФСТЭК сертификатом ФСБ не отмажитесь.

Какое-то время назад думал на вопросом соотношения серфтификатов ФСТЭК и ФСБ на МЭ. Пришел к выводу:
Во всех документах сказано, что средство должно пройти оценку соответствия (если считать, что это обязательство к использованию сертифиц. средств). Конкретно про ФСТЭК не говорится, а чем сертификат ФСБ не оценка соответствия?

На счет СТР-К не вполне уверен, но там также написано: Для защиты конф. информации используются сертифицированные по требованиям безопасности информации тех. средства защиты инф. ФСБ сертифицирует не по требованиям безопасности?

Я знаю, что ФСБ сертифицирует для органов власти и его требования отличаются от ФСТЭКовских, но по-моему их сертификат тоже подойдет.

Поправьте если не прав. Только, пожалуйста, без домыслов. Хотелось бы услышать комментарии людей, аттестовывавших конфи по СТР-К.
Нужно ли защищать персональные данные? Кто прав?, защита персональных данных
Вот если бы они еще это бумажкой оформили ...
При создании (описании) ИС в организации могут быть использованы компьютеры, купленные другим юр. лицом?
Кстати интересный вопрос. Хотелось бы услышать мнения сообщества по данному вопросу.
Сам недавно соприкасался с подобной ситуацией. В общих чертах было принято решение, что в фирме 2 готовится минимальный набор документов. Затем между фирмой 1 и фирмой 2 оформляется договор на передачу ПД фирмы 2 фирме 1 на обработку.
Изменено: Николай - 21.06.2010 10:45:14
Защита ПДн от системы защиты ПДн, Обсуждение проблемы легетимности защиты ПДн связанных со здоровьем субъекта
Странный вопрос какой-то...
Что вы подразумеваете под всеми окружающими? И причем тут система защиты?
Система защиты устанавливается в больнице. Она не перекрывает доступ к данным тому, кому это нужно, т.е. врачам. Или вы считаете, что если Вам на улице станет нехорошо, то прохожий подключится к какой-либо сети, узнает Ваш диагноз и поможет Вам? Носите тогда с собой, скажем в документах, записку, на которой будет указан диагноз и краткая инструкция.
[ Закрыто] Базы данных, созданные для несовместимых между собой целей
Вопрос примерно по той же теме.

Есть 1С. В ней есть два справочника (или как они там называются): с информацией о клиентах и информацией о сотрудниках.
Вопрос противоположный предыдущему: можно ли считать эти справочники различными базами данных? Либо это все же одна база?
Ведь насколько я знаю, у 1С все справочники хранятся вместе, в одном или двух файлах. Было принято решение разделить ИСПДн по категориям ПДн. Соответственно возникает вопрос, а можно ли отнести 1С к различным ИСПДн, включив в каждую из которых свой справочник?

Может выразился немного непонятно, но как уж смог...
Защита отдельных компьютеров...., нужен совет гуру
Владимир.

А можно поподробнее, каких именно требований не выполняет сертифицированная XP?
Приказ ФСТЭК России от 5.02.2010 N 58, на сколько это влияет на построение систем защиты ПД?
Дмитрий, про этот приказ очень много говорилось на форуме. Почитайте соответствующие ветки.
Изменено: Николай - 06.05.2010 11:08:17
Снова согласие на обработку ПДн
Устанавливают личность не по снимкам отдельных зубов, а по стоматологической карте.
Снимок отдельного зуба, или даже 2-3 ничего не даст.
Снова согласие на обработку ПДн
Цитата
Павел пишет:
А если вам рентген зуба будут делать - это вообще биометрические данные - согласие обязательно.

Интересное заявление. Вы по снимку зуба можете идентифицировать человека?
Страницы: 1 2 3 След.