Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Новая версия SIEM-системы КОМРАД: теперь с поддержкой масштабирования и без ограничений на производительность

22/11/2018

Группа компаний «Эшелон» представляет обновленную систему управления событиями информационной безопасности КОМРАД. Новая версия SIEM-системы поддерживает возможность масштабирования и включает ряд новых возможностей.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: 1 2 3 4 5 6 След.
Опечатывание помещений, Опечатывание помещений
Может Вы имеете в виду пользователей ПДн, а не Операторов!? Если на клиентском компьютере пользователя, например бухгалтера, установлено СКЗИ (КриптоПро или иное), то, сами понимаете, тогда надо.
Опечатывание помещений, Опечатывание помещений
Цитата
Андрей Яковлев пишет:
Подскажите, не могу понять. Нужно ли оборудованть устрйоствами опечатывания помещения ИСПДн?
Добрый день, Андрей. Вы ведете речь о Приказе ФСБ № 378 от 10 июля 2014 г.
Если вы осуществляете через Интернет:
1. Передачу данных в Пенсионный Фонд России ;
2. Передачу данных в фонд социального страхования;
3. Передачу данных в налоговую инспекцию;
4. Передачу данных в банк о заработной плате работников предприятия посредством систем дистанционного банковского обслуживания (ДБО);
5. и т.д. и т.п.
то Вы используете средства СКЗИ, по крайней мере, класса КС1. Следовательно, даже для 4 уровня защищенности про этому приказу "оснащения Помещений входными дверьми с замками, обеспечения постоянного закрытия дверей Помещений на замок и их открытия только для санкционированного прохода, а также опечатывания Помещений по окончании рабочего дня или оборудование "
Применение средств защиты
Добрый день Алиса. Уточните технологию работы с 1с:
1. База на сервере, режим клиент-файловый сервер.
2. На сервере развернут сервер от 1С + СУБД, режим клиент - сервер 1С- база.
3. Нечто иное.
Исходя и из Вашего описания (не уверен) программа 1с работает на сервере и база данных (в виде файла) расположена там же. Пользователь в режиме удаленного стола запускает свой экземпляр 1с на сервере и работает.
Необходимость и уровень защиты канала "рабочая станция" - сервер должен определяться частной моделью угроз безопасности и моделью нарушителя. Для 4-го уровня защищенности может оказаться вполне достаточно встроенных средств аутентификации на основе паролей.
Если возникли трудности напишите в stertur@mail.ru с темой "защита Пдн", помогу разобраться. Есть методика по защите ПДн.
Является ли ИП который обрабатывает только свои ПД оператором ПДн
Цитата
Владимир Коно пишет:
Цитата
Вера пишет:

Цитата
Сергей Терехов пишет:



Вы, естественно, оператор. Но можете сделать свои ПДн общедоступными и забыть о защите в какой-либо форме, кроме целостности.
Простите, а где написано, что общедоступные данные не требуют защиты?

Я бы на вашем месте работал и не парился по поводу ПДН вообще.
ZЯ же написал, что общедоступные данные не требуют защиты конфиденциальности и доступности, а только целостности.Для целостности используйте механизмы электронной подписи (хеши) или сделайте архив в безопасном месте :evil:
Является ли ИП который обрабатывает только свои ПД оператором ПДн
Вы, естественно, оператор. Но можете сделать свои ПДн общедоступными и забыть о защите в какой-либо форме, кроме целостности. :)
Помогите определить уровень защищенности
"Доказательством" отсутствия недекларированных возможностей в ПО считается положительное прохождение сертификации во ФСТЭК по соответствующему уровню. Если системное программное обеспечение (операционная система, к примеру) сертифицирована и время сертификата не закончилось, то угроз 1-го типа нет.
Видимо, для определения отсутствия НДВ в прикладном Вам придется обратиться во ФСТЭК :cry:
ИСПДн в образовательной организации, Как правильно создать перечень ИСПДН в образовательной организации
Цитата
Ирина пишет:
И возник такой вопрос - как обозначить эти вещи в качестве ИПДн?
Просто видела как некоторые школы пишут просто "ИСПДн - ПК" и все. Правильно ли это?
Добрый день, Ирина.
Если упрощенно, то ИСПДн – это компьютер+программа+данные. Компьютер в учительской - это ИСПДн, название ИСПДн лучше выбирать, исходя из цели обработки, например, ИСПДн «Итоговые оценки». Личные дела в кабинете секретаря – не ИСПДн. Правила их обработки диктуются постановлением Правительства от 15 сентября 2008 г. за номером 687: излагается порядок (требования и меры) при «ручной» обработке персональных данных.
ПП 538 от 2005 п.12 мертвый клиент
Добрый день, Роберт.
Цитата
Роберт пишет:
Доброго времени суток!
являемся маленьким оператором тел связи и на днях получили запрос из РНК в рамках которого идет запрос о причине обработки данных умершего недавно абонента.
.
Возможность обработка ПДн (понятие «хранение» входит в понятие «Обработка») в вашем случае определяется договором между субъектом ПДн (выгодопреобретателем) и вами - Оператором (предоставление услуги). Окончание обработки определяется достижением цели (ФЗ 152 «Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом»), а также разделом договора (порядок расторжения договора между вами и наследниками, ФЗ 152 «В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни») и разделом договора о согласии субъекта на обработку Пдн (здесь указывается срок обработки после расторжения договора).
Если наследники инициировали расторжение договора, то вы обязаны уничтожить ПДн в течении 30 дней, если иное не указано в согласии на обработку. Если вы получили извещение от компетентного органа о смерти, то утрачена необходимость в достижении цели договора, и вы также обязаны уничтожить их в течении 30 дней. Если не было ни 1-го, ни 2-го, то вы имели право на обработку в соответствии с действующим законодательством.
Модель угроз для ИСПДн, Вопрос к образовательным учреждениям (и не только)
Пишите в stertur@mail.ru с темой "ПДн", вышлю методику (13 лекций,ОРД и т.д.)
Модель угроз для ИСПДн, Вопрос к образовательным учреждениям (и не только)
Добрый день, Ирина. Мною для учебных заведений разработаны методическое обеспечение по защите ПДн (13 лекций и 5 :) лаб ), ОРД и т.д
Напишите в sterttur@mail.ru c темой "Защита ПДн" - помогу.
Отправка ПДн через электронную почту gmail
Цитата
Рафаэль пишет:
Добавлю. Ситуация изменилась)
Оказывается, данный научный сотрудник так же будет производить обмен данными по электронной почте с нами информацией содержащую ПДн физ. лиц проходящих клинические исследования.
Как быть в таком случае?)
Рафаэль, в Вашем случае все не так просто.
1.На каком основании научный сотрудник получает доступ к специальной категории персональных данных? Необходимо письменное разрешение субъектов на передачу их ПДн третьим лицам или иное основание.
2. Действительно, если доступ разрешен необходимо не только обеспечить безопасную передачу ПДн по общедоступным каналам связи, но и обеспечить обработку ПДн на стороне научного сотрудника в соответствии с требованиями действующего законодательства. Эти требования определяются Вами при заключении договора с тем (юридическим) лицом, которое представляет научный работник.
3. Технических решений много, напишите в stertur@mail.ru пришлю методобеспечение по защите ПДн. :)
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Цитата
Гость пишет:
Добрый день.
Скажите пожалуйста, на сколько необходима модель угроз?
У меня нет КЗ и установлена УЗ4, нужна ли мне модель угроз?

Уважаемый Гость. ЧМУ нужна, чтобы понять, какие угрозы актуальны для ваших ИСПДн. Теоретически, если не разработана ЧМУ, то необходимо применять все меры, предписанные 21 (или 17) приказом ФСТЭК. Далее, без моделирования достаточно затруднительно доказать, что системное и прикладное ПО не содержат недекларированных возможностей, а без этого доказательства уровень защищенности не может быть четвертым, как у Вас..









[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Цитата
Алексей пишет:
Добрый день уважаемые коллеги с моим вопросом наверное в эту ветку,помогите пожалуйста разобраться! Если мы операторы,пользователи ИСПД (не владельцы этих систем) нужно ли указывать эти системы в Перечне информационных систем персональных данных? Если владелец не выдвигает требований к защите должны ли мы сами разрабатывать модель угроз и принимать меры к защите?
Уважаемый Алексей. Судя по Вашему вопросу, Ваша организация поручила обработку ПДн Обработчику, которому принадлежат информационные системы. В таком случае, в договоре с Обработчиком необходимо указать все требования к защите, которые Обработчик обязан выполнить.Т.е. ваша задача как Оператора сформулировать адекватные требования. :)
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
[
Цитата
Гость пишет:
Но ведь пациенты организации сскорее всего откажутся лучше от этой услуги, чем будут ставить Крипто Про/VipNet и тем более даже они не подходят, т.к. у них как у СКЗИ класс до КС3 включительно, а для уровня защищенности выше 4 необходимо от КВ и выше.
Криптопровайдер VipNet - есть бесплатная версия. "Правильно" составленная модель нарушителя --> KC1.
Цитата
Гость пишет:
А согласие на передачу по открытым каналам решит проблему защиты?
Надо брать согласие на отнесение ПДн к общедоступным и тогда нужно обеспечить только целостность. Пишите в stertur@mail.ru с темой ОРД, вышлю методики по обработке ПДн.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Цитата
Гость пишет:
Ведь УЗ получается 1-3 и соответственно, если использовать СКЗИ то их класс должен быть не ниже "КВ" (и простые пользователи на своих ПК такое наврятли захотят поставить). К общедоступным скорее всего пациенты не согласятся их относить. Остается обезличивание и его вроде бы легко организовать... Но интересно а без него можно обойтись?
Уважаемый гость. На мой взгляд, ваша проблема решается многими способами. Вот традиционный. Пациент (субъект Пдн) и сайт должны проходить взаимную аутентификацию (доказательство подлинности участвующих в обмене данными сторон). Сайт доказывает свою подлинность, предъявляя клиентской программе (браузеру, к примере) сертификат, подписанный аккредитованным в России удостоверяющим центром. Субъект доказывает свою подлинность предъявляя логин и пароль. Логи и пароль передаются субъекту по безопасному каналу, например при заполнении карточки пациента. Безопасный канал через Интернет организуется по протоколу TLS с отечественным криптоалгоритмом. Уровень защищенности определяется по ПП 1119, а класс криптосредства по приказу ФСБ № 378.
Структура документов конфиденциального характера
Цитата
Андрей пишет:
подскажите все ФЗ ГОСТЫ Прказы УП в области защиты информации конфиденциального характера!?
Пишите в stertur@mail.ru с темой ОРД вышлю
Структура документов конфиденциального характера
Цитата
Кирилл пишет:
Подскажите Структуру документов в области защиты информации конфиденциального характера?
К информации конфиденциального характера (информация ограниченного доступа), в общем случае, на мой взгляд, относятся и персональные данные, и служебные данные и гостайна и т.д. Что Вы конкретно имеете в виду?
[ Закрыто] Акт классификации информационных систем персональных данных при новом П-1119, Правильное составление
Цитата
Леонид пишет:
подскажите как правильно составить акт, если в организации обрабатываются ПД как сотрудников , так и клиентов
В первом приближении к определению ИСПДн - это данные+программы+компьютеры. Выделение из существующих на предприятии информационных систем есть акт достаточно субъективный, однако каждая ИСПДн должна иметь четкую цель, из которой вытекает, в частности, перечень персональных данных, обрабатываемых данной ИСПДн. Следовательно, если Пдн сотрудников и клиентов обрабатываются на одних и тех же компьютерах, с помощью одних и тех же программ и они содержатся в одних и тех же структурах данных (например, СУБД), и цель обработки одна и та же, то у Вас одна ИСПДн и одна модель актуальных угроз, и один акт определения уровня защищенности. В противном случае, у Вас несколько ИСПДн и, соответственно, несколько моделей и несколько актов по уровням защищенности.
О назначении ответственного за организацию обработки ПДн, О назначении ответственного за организацию обработки ПДн
Цитата
Иосиф Шаповалов пишет:
Добрый день, уважаемое сообщество. Вопрос может и простой, но я только начинаю разбираться в теории и практике СЗПДн. Можно ли назначить несколько человек, ответственных за организацию обработки ПДн, например разделив между ними обязанности
Законодательство не ограничивает структуру ответственных за организацию обработки Пдн, не забудьте написать инструкцию для отдела ответственных и назначить "бригадира". :)
Передача персональных данных третьим лицам
Между Вами и банком - договор о предоставлении услуги (кредита). Если в этом договоре указано право банка передавать Ваши ПДн третьим лицам и договор Вами подписан, то банк имеет право на передачу при условии, что третье лицо ( в данном случае коллектор)обеспечит их безопасность в соответствии с требованиями действующего законодательства. :cry:
Страницы: 1 2 3 4 5 6 След.