Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Минюст обязал банки проводить пентесты и аудит кибербезопасности

13/08/2018

Банки обяжут соблюдать новые меры кибербезопасности, среди которых обязательными являются аудит информационной безопасности, различные тестирования на проникновение (пентесты), обязательная сертификация использованного программного обеспечения.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: 1 2 3 4 5 6 След.
Помогите определить уровень защищенности
"Доказательством" отсутствия недекларированных возможностей в ПО считается положительное прохождение сертификации во ФСТЭК по соответствующему уровню. Если системное программное обеспечение (операционная система, к примеру) сертифицирована и время сертификата не закончилось, то угроз 1-го типа нет.
Видимо, для определения отсутствия НДВ в прикладном Вам придется обратиться во ФСТЭК :cry:
ИСПДн в образовательной организации, Как правильно создать перечень ИСПДН в образовательной организации
Цитата
Ирина пишет:
И возник такой вопрос - как обозначить эти вещи в качестве ИПДн?
Просто видела как некоторые школы пишут просто "ИСПДн - ПК" и все. Правильно ли это?
Добрый день, Ирина.
Если упрощенно, то ИСПДн – это компьютер+программа+данные. Компьютер в учительской - это ИСПДн, название ИСПДн лучше выбирать, исходя из цели обработки, например, ИСПДн «Итоговые оценки». Личные дела в кабинете секретаря – не ИСПДн. Правила их обработки диктуются постановлением Правительства от 15 сентября 2008 г. за номером 687: излагается порядок (требования и меры) при «ручной» обработке персональных данных.
ПП 538 от 2005 п.12 мертвый клиент
Добрый день, Роберт.
Цитата
Роберт пишет:
Доброго времени суток!
являемся маленьким оператором тел связи и на днях получили запрос из РНК в рамках которого идет запрос о причине обработки данных умершего недавно абонента.
.
Возможность обработка ПДн (понятие «хранение» входит в понятие «Обработка») в вашем случае определяется договором между субъектом ПДн (выгодопреобретателем) и вами - Оператором (предоставление услуги). Окончание обработки определяется достижением цели (ФЗ 152 «Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом»), а также разделом договора (порядок расторжения договора между вами и наследниками, ФЗ 152 «В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни») и разделом договора о согласии субъекта на обработку Пдн (здесь указывается срок обработки после расторжения договора).
Если наследники инициировали расторжение договора, то вы обязаны уничтожить ПДн в течении 30 дней, если иное не указано в согласии на обработку. Если вы получили извещение от компетентного органа о смерти, то утрачена необходимость в достижении цели договора, и вы также обязаны уничтожить их в течении 30 дней. Если не было ни 1-го, ни 2-го, то вы имели право на обработку в соответствии с действующим законодательством.
Является ли ИП который обрабатывает только свои ПД оператором ПДн
Вы, естественно, оператор. Но можете сделать свои ПДн общедоступными и забыть о защите в какой-либо форме, кроме целостности. :)
Модель угроз для ИСПДн, Вопрос к образовательным учреждениям (и не только)
Пишите в stertur@mail.ru с темой "ПДн", вышлю методику (13 лекций,ОРД и т.д.)
Модель угроз для ИСПДн, Вопрос к образовательным учреждениям (и не только)
Добрый день, Ирина. Мною для учебных заведений разработаны методическое обеспечение по защите ПДн (13 лекций и 5 :) лаб ), ОРД и т.д
Напишите в sterttur@mail.ru c темой "Защита ПДн" - помогу.
Отправка ПДн через электронную почту gmail
Цитата
Рафаэль пишет:
Добавлю. Ситуация изменилась)
Оказывается, данный научный сотрудник так же будет производить обмен данными по электронной почте с нами информацией содержащую ПДн физ. лиц проходящих клинические исследования.
Как быть в таком случае?)
Рафаэль, в Вашем случае все не так просто.
1.На каком основании научный сотрудник получает доступ к специальной категории персональных данных? Необходимо письменное разрешение субъектов на передачу их ПДн третьим лицам или иное основание.
2. Действительно, если доступ разрешен необходимо не только обеспечить безопасную передачу ПДн по общедоступным каналам связи, но и обеспечить обработку ПДн на стороне научного сотрудника в соответствии с требованиями действующего законодательства. Эти требования определяются Вами при заключении договора с тем (юридическим) лицом, которое представляет научный работник.
3. Технических решений много, напишите в stertur@mail.ru пришлю методобеспечение по защите ПДн. :)
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Цитата
Гость пишет:
Добрый день.
Скажите пожалуйста, на сколько необходима модель угроз?
У меня нет КЗ и установлена УЗ4, нужна ли мне модель угроз?

Уважаемый Гость. ЧМУ нужна, чтобы понять, какие угрозы актуальны для ваших ИСПДн. Теоретически, если не разработана ЧМУ, то необходимо применять все меры, предписанные 21 (или 17) приказом ФСТЭК. Далее, без моделирования достаточно затруднительно доказать, что системное и прикладное ПО не содержат недекларированных возможностей, а без этого доказательства уровень защищенности не может быть четвертым, как у Вас..









[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Цитата
Алексей пишет:
Добрый день уважаемые коллеги с моим вопросом наверное в эту ветку,помогите пожалуйста разобраться! Если мы операторы,пользователи ИСПД (не владельцы этих систем) нужно ли указывать эти системы в Перечне информационных систем персональных данных? Если владелец не выдвигает требований к защите должны ли мы сами разрабатывать модель угроз и принимать меры к защите?
Уважаемый Алексей. Судя по Вашему вопросу, Ваша организация поручила обработку ПДн Обработчику, которому принадлежат информационные системы. В таком случае, в договоре с Обработчиком необходимо указать все требования к защите, которые Обработчик обязан выполнить.Т.е. ваша задача как Оператора сформулировать адекватные требования. :)
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
[
Цитата
Гость пишет:
Но ведь пациенты организации сскорее всего откажутся лучше от этой услуги, чем будут ставить Крипто Про/VipNet и тем более даже они не подходят, т.к. у них как у СКЗИ класс до КС3 включительно, а для уровня защищенности выше 4 необходимо от КВ и выше.
Криптопровайдер VipNet - есть бесплатная версия. "Правильно" составленная модель нарушителя --> KC1.
Цитата
Гость пишет:
А согласие на передачу по открытым каналам решит проблему защиты?
Надо брать согласие на отнесение ПДн к общедоступным и тогда нужно обеспечить только целостность. Пишите в stertur@mail.ru с темой ОРД, вышлю методики по обработке ПДн.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Цитата
Гость пишет:
Ведь УЗ получается 1-3 и соответственно, если использовать СКЗИ то их класс должен быть не ниже "КВ" (и простые пользователи на своих ПК такое наврятли захотят поставить). К общедоступным скорее всего пациенты не согласятся их относить. Остается обезличивание и его вроде бы легко организовать... Но интересно а без него можно обойтись?
Уважаемый гость. На мой взгляд, ваша проблема решается многими способами. Вот традиционный. Пациент (субъект Пдн) и сайт должны проходить взаимную аутентификацию (доказательство подлинности участвующих в обмене данными сторон). Сайт доказывает свою подлинность, предъявляя клиентской программе (браузеру, к примере) сертификат, подписанный аккредитованным в России удостоверяющим центром. Субъект доказывает свою подлинность предъявляя логин и пароль. Логи и пароль передаются субъекту по безопасному каналу, например при заполнении карточки пациента. Безопасный канал через Интернет организуется по протоколу TLS с отечественным криптоалгоритмом. Уровень защищенности определяется по ПП 1119, а класс криптосредства по приказу ФСБ № 378.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Цитата
Роберт пишет:
Доброго дня господа,
есть у кого-нибудь пример полномочий ответственного за ПДн лица в компании?
Роберт, есть администратор безопасности и ответственный за организацию обработки ПДн. Кого Вы имеете в виду?
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Роберт, укажите реквизиты закона, по которому необходимо так работать с ПДн в случае однократного пропуска на территории компании. В 687 постановлении правительства я такого не обнаружил.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Добрый день, Данил. Включать ли новую ИСПДн в состав существующих или обосабливать - это решение Оператора. Защищать ее надо в соответствии с вычисленным уровнем защищенности, не обязательно по второму. Если включить новую ИСПДн в состав существующих, то уровень защищенности объединенной ИСПДн должен быть равен максимальному из объединяемых.
Структура документов конфиденциального характера
Цитата
Андрей пишет:
подскажите все ФЗ ГОСТЫ Прказы УП в области защиты информации конфиденциального характера!?
Пишите в stertur@mail.ru с темой ОРД вышлю
Структура документов конфиденциального характера
Цитата
Кирилл пишет:
Подскажите Структуру документов в области защиты информации конфиденциального характера?
К информации конфиденциального характера (информация ограниченного доступа), в общем случае, на мой взгляд, относятся и персональные данные, и служебные данные и гостайна и т.д. Что Вы конкретно имеете в виду?
[ Закрыто] Акт классификации информационных систем персональных данных при новом П-1119, Правильное составление
Цитата
Леонид пишет:
подскажите как правильно составить акт, если в организации обрабатываются ПД как сотрудников , так и клиентов
В первом приближении к определению ИСПДн - это данные+программы+компьютеры. Выделение из существующих на предприятии информационных систем есть акт достаточно субъективный, однако каждая ИСПДн должна иметь четкую цель, из которой вытекает, в частности, перечень персональных данных, обрабатываемых данной ИСПДн. Следовательно, если Пдн сотрудников и клиентов обрабатываются на одних и тех же компьютерах, с помощью одних и тех же программ и они содержатся в одних и тех же структурах данных (например, СУБД), и цель обработки одна и та же, то у Вас одна ИСПДн и одна модель актуальных угроз, и один акт определения уровня защищенности. В противном случае, у Вас несколько ИСПДн и, соответственно, несколько моделей и несколько актов по уровням защищенности.
[ Закрыто] Аттестация ИСПДн
Антонина, да, кроме оценки эффективности в ГИС.
Доводы:
1.Многочисленные запросы во ФСТЭК побудили ее опубликовать «информационное сооб-щение по вопросу необходимости получения лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации» от 30 мая 2012 г. № 240/2222. Из этого сообщения следует, что лицензия на ТЗКИ необходима в трех случаях:
 Предприятие извлекает прибыль из деятельности по ТЗКИ (т.е. предоставляет услуги другим предприятиям);
 Деятельность по ТЗКИ указана в уставных документах предприятия;
 Защита конфиденциальной информации в явной форме поручена ее обладателем предприятию (т.е. предприятию поручена не обработка информации, которая должна защищаться по действующему законодательству, а именно техническая защита конфиденциальной информации).
Таким образом, если предприятие самостоятельно для своих нужд проектирует, разраба-тывает, внедряет, сопровождает технические средства защиты персональных данных, то лицензия на ТЗКИ не требуется. Остается только один вопрос, какую юридическую силу имеет информационное сообщение ФСТЭК, может ли оно изменить нормативную сущ-ность Постановление Правительства?
2. В соответствии с пунктом 6 Состава и содержания мер, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. N 21, оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. При этом Составом и содержанием мер, утвержденными приказом ФСТЭК России от 18 февраля 2013 г. N 21, форма оценки эффективности, а также форма и содержание документов, разрабатываемых по результатам (в процессе) оценки, не установлены.
Таким образом, решение по форме оценки эффективности и документов, разрабатываемых по результатам (в процессе) оценки эффективности, принимается оператором самостоятельно и (или) по соглашению с лицом, привлекаемым для проведения оценки эффективности реализованных мер по обеспечению безопасности персональных данных.
Оценка эффективности реализованных мер может быть проведена в рамках работ по аттестации информационной системы персональных данных в соответствии с национальным стандартом ГОСТ РО 0043-003-2012 "Защита информации. Аттестация объектов информатизации. Общие положения".
В части государственных информационных систем, в которых обрабатываются персональные данные, оценка эффективности принимаемых мер по обеспечению безопасности персональных данных проводится в рамках обязательной аттестации государственной информационной системы по требованиям защиты информации в соответствии с Требованиями, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. N 17, национальными стандартами ГОСТ РО 0043-003-2012 и ГОСТ РО 0043-004-2013 "Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний".
:)
О назначении ответственного за организацию обработки ПДн, О назначении ответственного за организацию обработки ПДн
Цитата
Иосиф Шаповалов пишет:
Добрый день, уважаемое сообщество. Вопрос может и простой, но я только начинаю разбираться в теории и практике СЗПДн. Можно ли назначить несколько человек, ответственных за организацию обработки ПДн, например разделив между ними обязанности
Законодательство не ограничивает структуру ответственных за организацию обработки Пдн, не забудьте написать инструкцию для отдела ответственных и назначить "бригадира". :)
Передача персональных данных третьим лицам
Между Вами и банком - договор о предоставлении услуги (кредита). Если в этом договоре указано право банка передавать Ваши ПДн третьим лицам и договор Вами подписан, то банк имеет право на передачу при условии, что третье лицо ( в данном случае коллектор)обеспечит их безопасность в соответствии с требованиями действующего законодательства. :cry:
Страницы: 1 2 3 4 5 6 След.