Перейти из форума на сайт.


Система IP-видеонаблюдения "Линия". Скачать бесплатную демо-версию для 16 камер. НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Вы уже обеспечили защиту персональных данных на предприятии?

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39

Открыть новую тему     Написать ответ в эту тему

Вы уже обеспечили защиту персональных данных на предприятии?
 ОтветГолосаПроценты
Нет и не собираемся143
12.57%
Нет, но собираемся152
13.36%
Находимся в стадии оценки угрозы170
14.94%
Да, проводим подготовительные работы180
15.82%
Да, соответствуем новым требованиям58
5.10%
В первый раз слышу!435
38.22%
Гости не могут голосовать, зарегистрируйтесть!Всего Голосов: 1138
emx



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Уважаемые коллеги!
К 1 января 2010 года все предприятия Российской Федерации должны привести cвою инфраструктуру и регулятивную базу в соответствие с требованиями Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Закон).
 
Общий коленкор таков.
Согласно Закону к персональным данным относится:
"любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;"
п. 1, ст. 3 Закона
 
Чем это грозит для предприятия?
В любой компании есть те или иные системы кадрового учета (HR-контур), который содержит подробную информацию о сотруднике (ФИО, дата рождения, ИНН, № Страхового свидетельства Пенсионного фонда, №№ страховых свидетельств ОМС/ДМС, сведения о постановке на воинский учет, №№ банковских счетов, сведения о заработной плате и так далее).  
 
Кроме того, в ряде предприятий имеются различные CRM-cистемы, в которых аккумулируется информация о клиентах (в том числе клиентах - физических лицах), причем часто персонифицированная и детализированная, вплоть до предпочтений тех или иных лиц. Мы же стараемся удовлетворить клиента всеми возможными способами и учесть максимум нюансов?
 
Ряд компаний также осуществляет сбор и обработку тех или иных персональных данных клиентов через веб-сайты (интернет-продажи и тому подобное).
 
В ряде случаев есть ещё и бухучет (если клиент физическое лицо, которое оплачивает товары/услуги прямым банковским платежом, на основании договора или без такового).
 
Стало быть предприятие осуществляет сбор, хранит и обрабатывает персональные данные.
 
Далее...
 
п. 2, ст. 3 Закона вводит определение "оператора" (по обработке персональных данных):

Цитата:
2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;

 
Поздравляю. Мы все - операторы.
 
Помимо определенных прав субъекта персональных данных, исполнение которых оператор должен обеспечивать (в основном это чисто бумажные штуки вещей - особого вреда компании причинить не могут), существуют ещё и обязательные требования в отношении оператора - они гораздо страшнее.
 
Закон определяет перечнь таких требований:
 

Цитата:
Статья 19. Меры по обеспечению безопасности персональных данных при их обработке
1. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
2. Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.
3. Контроль и надзор за выполнением требований, установленных Правительством Российской Федерации в соответствии с частью 2 настоящей статьи, осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.
4. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.

ст. 19 Закона
 
Относительно того, как выполнить требования 1 пункта пока данных не слишком много. В общем случае на предприятии должны быть:
- Положение о персональных данных
- Положение о контрольно-пропускном режиме (где определен конечный круг лиц, который имеет доступ в помещения, где эта красота хранится физически)
- Регламент по информационной безопасности
 
Кроме того, предприятие должно использовать сертифицированные (да, разумеется с потайным ключиком у ФСБ) криптографические решения на серверах, на которых расположены базы данных. Также инфраструктура должна быть аттестована (за счет предприятия у уполномоченного органа), что уж совсем ужасно.
 
Санкции.
Санкции за нарушение Закона незначительны:
 

Цитата:
Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)
Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) -
влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей.

ст. 13.11 КоАП РФ
 
Но при проверке вам могут вынести предприсание об устранении выявленных нарушений. За неисполнение предписания санкции более другие:
 

Цитата:
Статья 19.5. Невыполнение в срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль)
1. Невыполнение в установленный срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), об устранении нарушений законодательства -
влечет наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от одной тысячи до двух тысяч рублей или дисквалификацию на срок до трех лет; на юридических лиц - от десяти тысяч до двадцати тысяч рублей.

ст. 19.5 КоАП РФ
И так далее, вплоть до отзыва лицензии у предприятия на осуществление основной деятельности и уголовной ответственности для ген. директора.
 
Давайте что-ли обсудим - как жить дальше...
Или может кто уже лазейку какую нашел?

Всего записей: 11317 | Зарегистр. 05-06-2002 | Отправлено: 09:13 01-07-2009 | Исправлено: emx, 12:00 01-07-2009
lovec123

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
самое интересное что закон есть и скоро вступит в силу а чёткого регламента по поводу обновлений как самой ос так и стороннего необходимого софта нет

Всего записей: 2729 | Зарегистр. 26-02-2007 | Отправлено: 14:03 31-07-2009
svanyashev

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Мы сейчас активно работаем в этом направлении, так что задавайте любой вопрос отвечу.

Всего записей: 57 | Зарегистр. 07-11-2007 | Отправлено: 20:49 04-08-2009
Ed_73



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
а если на файло сервере стоит zfs, его тоже надо сертифицировать?

Всего записей: 137 | Зарегистр. 07-09-2007 | Отправлено: 17:20 05-08-2009
oaf56

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Цитата:доступ в ИНЕТ с отделногоПК, не полключено к сети,  
 
хм, а насколько усложняется задача, если несколько бухгалтеров в филиалах работают через цитрикс с базой, находящейся в центральном офисе? а если филиалов, скажем, порядка  


Цитата:
Цитата:доступ в ИНЕТ с отделногоПК, не полключено к сети,  
 
  У нас электронная налоговая отчетность, в Украине, думаю в России тоже такое же что-то должно быть. В программах отчетности даные по предприятию, директору, сотрудниках, вынести на отдельный компьютер невозможно.  
   Электронная почта. Часть документооборота идет через шифрованные электронные сообщения. Как это перенести? 0_о  
    И при всем этом, существует множество возможностей для доступа к данным, на которые эта вся защита не повлияет. От человеческого фактора, типа подкупа, угроз, до силового захвата оборудования.  
 

Кхе. Ну что Вы плачите? Читайте не только :"доступ в ИНЕТ с отделногоПК, не полключено к сети". Прочтите мой полность пост и не 1 раз. Осознайте.
Осознали? Поищите методические рекомендации по ИБ. например много наработок/материалов было в Центробанке. и др. подобных учреждениях. была публичная инфа в инете.  
 
Суть в том что денег и др. ресурсов можно потратить немерено и всеравно не достичь цели.
 Защиается вся информация на всех этапах и местах ее обработки. Нельзя защитить все и везде. Потому полюбому требуется оптимизация защищаемой инфы.
Если инфа обрабатывается на одном ПК, то ставим его в отдельную комнату Аттестуем, защищаем помещение, ПК, принтер, ПО и все другое что используется ВПЛОТЬ до Элктро сети, телефона, охраны . Если обработка ведетсся в локальной сети, то прийдется защищать локальную сеть(свичи сертифицированые , провода джеки, розеткидолжны быть экранированые) исключить физический доступ к ЛС. А также ВСЕ ПК, перефирию вклюеные в эту ЛС. И ВСЕ ПОМЕЩЕНИЯ.
Если в ЛС ЕСть сервера и сервисы, то они тоже должны быть сертифицированы и аттестваны по требуемому классу защиты. Шлюзы в инет, криптография - особая песня и ОЧЕНЬ дорогая.
Потому и говорю легче и дешеве сделать по другому: определить класс требуемый защиты(по обрабатываемой инфе), вести обработку отдельно, ну и инет отдельно. Потом если появятся деньги и возможности.... сделаете как надо.
 
Есть информация подлежащая обязательной защите, а есть "коммерческая тайна" - здесь требования к защите определяет руководство организации. Здесь Можно и не защищать, оставить как есть.
 
Кстати системы клиент-банк, сдачи отчетности в электронном виде и др. при применениии криптографии ЭЦП ДОЛЖНЫ иметь накладные, опись комплектации сертификаты и аттестацию на конкретные экземпляры(серийные номера)и документацию. Требуйте смело. Завереные копии. Иначе накажут ВАС. Кроме этого дожны быть в составе документации формуляры/руководства по установке, требованиям по соблюдению соответствия заявленому классу зашиты. инсрукции по ИБ  

Всего записей: 124 | Зарегистр. 23-11-2006 | Отправлено: 10:04 06-08-2009
hammer10

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Valery12
 
У нас поступили проще: каждый вноь прибывший сотрудник пишет расписку, о том, что он согласен на использование нашей фирмой своих персональных данных для кадрового и финансового учета на предприятии и претензий не имеет.

Всего записей: 10 | Зарегистр. 08-07-2009 | Отправлено: 09:56 07-08-2009
svanyashev

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
а если на файло сервере стоит zfs, его тоже надо сертифицировать?

Впрос вообсче не имеет смысла. Поподробнее.
 

Цитата:
Если обработка ведетсся в локальной сети, то прийдется защищать локальную сеть(свичи сертифицированые  

Сертифицированные свичи потребуются только при разделении сетей с разными классами, в остальных случаях подойдут любые свичи третьего уровня

Цитата:
розеткидолжны быть экранированые

Обязательно только если принято решение пользоваться сетевыми помехоподавляющими фильтрами

Цитата:
Если в ЛС ЕСть сервера и сервисы, то они тоже должны быть сертифицированы и аттестваны по требуемому классу защиты.

Нет никакой сертификации, а темболее аттестации сервисов  

Цитата:
ЭЦП ДОЛЖНЫ иметь накладные, опись комплектации сертификаты и аттестацию на конкретные экземпляры(серийные номера)и документацию.

Аттестация на конкретные экземпляры в комплект поставки не входит.  

Цитата:
У нас поступили проще: каждый вноь прибывший сотрудник пишет расписку, о том, что он согласен на использование нашей фирмой своих персональных данных для кадрового и финансового учета на предприятии и претензий не имеет.

Это все виговый листок он вам не поможет

Всего записей: 57 | Зарегистр. 07-11-2007 | Отправлено: 22:28 09-08-2009
YurikGL



Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Есть несколько вопросов...
 
Как быть с софтом, который пишется в пределах организации и регулярно развивается?
Как быть с кадровой системой, если она связана с бухгалтерией, которой необходим интернет?
 
Что есть изолированная сеть в понимании ФСТЭК (в части рекоммендаций по защите)? Если есть транспортная локалка по которой ходит шифрованная сеть с перс.данными. Вторая будет являться изолированной? Если между двумя сетями стоит сервер, который отдает сервисы в обе сети, но не является шлюзом, такие сети изолированы друг от друга?

Всего записей: 308 | Зарегистр. 02-09-2004 | Отправлено: 21:29 10-08-2009
svanyashev

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Как быть с софтом, который пишется в пределах организации и регулярно развивается?

Нет проблем он никого не итересует
 

Цитата:
Что есть изолированная сеть в понимании ФСТЭК (в части рекоммендаций по защите)?  

Для разделения сетей нужно применять сертифицированный файрвол
 

Цитата:
сли между двумя сетями стоит сервер, который отдает сервисы в обе сети, но не является шлюзом, такие сети изолированы друг от друга?

С этого места поподробнее, имеется ввиду СУБД или нет?

Всего записей: 57 | Зарегистр. 07-11-2007 | Отправлено: 22:37 10-08-2009
YurikGL



Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Цитата:
Цитата:
>Как быть с софтом, который пишется в пределах организации и регулярно развивается?
Нет проблем он никого не итересует

А если он обрабатывает персональные данные? Как тогда?
 

Цитата:
Для разделения сетей нужно применять сертифицированный файрвол  

Если есть маршрутизатор 3-го уровня, который просто по VLAN-м раздает DHCP-help-ром ip-адреса разных сетей, то это запрещено?
 
Все таки, что есть "изолированная сеть"? Есть какое-то определение?
 

Цитата:
 
Цитата:
>сли между двумя сетями стоит сервер, который отдает сервисы в обе сети, но не является  
>шлюзом, такие сети изолированы друг от друга?
 
С этого места поподробнее, имеется ввиду СУБД или нет?
 

Нет... Есть сеть А. Есть сеть B. И есть сервер с двумя сетевухами, который одной сетевухой смотрит в сеть А, а другой - в сеть B. На нем расположен, скажем, консультант. Сети А и B будут изолированными?

Всего записей: 308 | Зарегистр. 02-09-2004 | Отправлено: 06:47 11-08-2009
oaf56

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Из черного юмора:
Пессимист  : "Как Все плохо...."
Оптимист: "А будет еще хуже....";)
 

Цитата:
Цитата:Цитата:  
>Как быть с софтом, который пишется в пределах организации и регулярно развивается?  
Нет проблем он никого не итересует  
 
А если он обрабатывает персональные данные? Как тогда?  
 

По идее ПО и среда разработки, разработчики Должны быть сертифицированы. Но где это может быть и кто потянет : банки, корпорации, Вояки, секретСервисы, ОператорыСвязи.... Знакомый Директор говорит 10,000 рублей за бухгалтерию это так дорого. А зачем еще надо покупать зарплату за 12т. Руб.? это нам дорого. Мы это не потянем((
ПОсмотрите ПО КриптоПро. Там Сертифицируется конкретная СТАБИЛЬНАЯ версия продукта. Изменил - снова сертифицуруй )))
потому старайтесь ЛЕГАЛЬНО уйти.
 

Цитата:
Цитата:Как быть с кадровой системой, если она связана с бухгалтерией, которой необходим интернет?

Для доступа в интернет:
1. Куппить сертифицированный аппаратно-програмный файервол за тыс 200-600, например ДИОНИС.
2. Купить ПК, Сертифицированный програмный Фаервол, аттестовать самим. Выйтет для 1 штуки тоже самое, если не  дороже, долго, муторно, ответственно, и не бесплатно для конторы, но Вам и спасибо не скажут. ОТВЕЧАТЬ БУДЕТЕ ВЫ.
 КСТАТИ ЕСТЬ ТАКАЯ НОРМА в Гражданском Кодексе : Срок давности на Взысканние убытков <=3 года, (Даже если сотрудник уволился).
3. выгружать отчетность в файл на отдельную дискету. и с дискетой двигать на ПК с Инетом.
4. пОХерить П.1-3. И РАБОТАТЬ. Сообщить варианты руководству и ждать реакции или проверки.
 

Цитата:
Цитата:Все таки, что есть "изолированная сеть"? Есть какое-то определение?

 
1. Никуда и ни кчему не подключеная с ограниченым доступом- дешево и сердито
2. Спец. Сертифицированые средства защиты(файервол с криптография) - дорого.  
 

Цитата:
Цитата:Если в ЛС ЕСть сервера и сервисы, то они тоже должны быть сертифицированы и аттестваны по требуемому классу защиты.  
 
Нет никакой сертификации, а темболее аттестации сервисов

Это смотря КАК. Если В защищаемой сети есть Сервер на сертифированом железе с сертифицированной ОС, а надо запусть на нем почту, WEBсервер, файловую систему с криптографией и т.д. При этом эти новые сужбы "сторонние"? Тогда надо аттестовывать и их. Если же они встроены в ОС или ПО и сертифицированы в их составе - тогда ненадо.
 
Локальная сеть это комплекс. защита комплекса НЕ может быть ВЫШЕ, чем защита ЛЮБОГО элемента с НАИМЕНЬШИМ уровнем защиты. потому достаточно одного незащищенного элемента и ВСЯ ваша защита =00000,0.
 
Вынесите эту простую мысь в шапку и красным цветом, БОЛЬШИМИ БУКВАМИ.
 
Для этого все сервисы и службы должны быть в сети. иначе начинаются сложности+деньги.

Цитата:
Цитата:  
Цитата:  
>сли между двумя сетями стоит сервер, который отдает сервисы в обе сети, но не является  
>шлюзом, такие сети изолированы друг от друга?  
 
С этого места поподробнее, имеется ввиду СУБД или нет?  
 
Нет... Есть сеть А. Есть сеть B. И есть сервер с двумя сетевухами, который одной сетевухой смотрит в сеть А, а другой - в сеть B. На нем расположен, скажем, консультант. Сети А и B будут изолированными?  

Хе, VLAN не является(НЕ ПРИЗНАНА) сертифицированой технологией для разграничения сетей/доступа. Для коммерческих сетей - дешево и сердито. Даже если применить криптографию, то на свичах есть транк порты(более чем 1 VLAN- объединение 1 VLAN сетей, например для общих серверов) и перевод порта в спец режим отладки - перенаправление всего трафика на определенный IP. )
 
Между обычной и защищаемой сетью должен быть файервол, если вы не хотите защищать сервер "между сетями".  
В вашем случае сети А и Б будут
- не изолировыаны(сервер в 2-х сетях заходи и ты в защищенной сети);
- не защищены !!!!!! .

Всего записей: 124 | Зарегистр. 23-11-2006 | Отправлено: 09:00 11-08-2009
svanyashev

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Постараюсь ответить поподробнее.
 
Если Ваша организация пишет софт, то он является прикладным програмным обеспечением и сертификация на него не требуется. Ни кто не требут сертификат на winRar, это тоже самое.
Вам нужно атестовать арм или ЛВС для обработке персональных данных, применяйте наложенные средства защиты и все.
 
Требование к маршрутизатарам третьего уровня возникло именно с VLAN вы разделяете порты и в тех. процессе обрабоки информации указываете как у вас идет инфа.
 
Для разделения сетей разных уровне конфиденциальности применяются сертифицированные файрволы.
 
Нет определения изолированная сеть.
 

Цитата:
Нет... Есть сеть А. Есть сеть B. И есть сервер с двумя сетевухами, который одной сетевухой смотрит в сеть А, а другой - в сеть B. На нем расположен, скажем, консультант. Сети А и B будут изолированными?

Нет не будет.
 

Цитата:
По идее ПО и среда разработки, разработчики Должны быть сертифицированы.  

Сертификации подлежат средства защиты и операционные системы. прикладное ПО сертификации не подлежит
Про сертификацию среды разработки вообсче ничего не слышал
 

Цитата:
3. выгружать отчетность в файл на отдельную дискету. и с дискетой двигать на ПК с Инетом.

Самый лучший вариант
 

Цитата:
Куппить сертифицированный аппаратно-програмный файервол за тыс 200-600, например ДИОНИС.

Зачем же сразу такой вполне подойдет Cisco (для 2 ксласса ИСПДН), ССПТ-2М (Для 1 класса ИСПДН)
 

Цитата:
Это смотря КАК. Если В защищаемой сети есть Сервер на сертифированом железе с сертифицированной ОС, а надо запусть на нем почту, WEBсервер, файловую систему с криптографией и т.д. При этом эти новые сужбы "сторонние"? Тогда надо аттестовывать и их. Если же они встроены в ОС или ПО и сертифицированы в их составе - тогда ненадо.

Ты путаешь понятия сертификации и аттестации
Давай разберем:
-  сертифированом железе (это что такое?)
-  сертифицированной ОС (Все понятно и правильно)
-  Атестовывать надо в любом случае
 

Всего записей: 57 | Зарегистр. 07-11-2007 | Отправлено: 10:10 11-08-2009
YurikGL



Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Цитата:
Вам нужно атестовать арм

АРМ включает в себя софт, который регулярно (раз в неделю) модифицируется. Как быть? Аттестовывать раз в неделю?  
 
Если не требуется сертификат на WinRAR, то почему от требуется на операционную систему?  Или все же не требуется, просто цена вопроса аттестации будет выше?
 

Цитата:
Нет не будет.  

А если в общей локалке делать VPN на сертифицированный шлюз, за которым защищаемая зона? А в локалке есть инет?
 

Цитата:
 
Цитата:
3. выгружать отчетность в файл на отдельную дискету. и с дискетой двигать на ПК с Инетом.
Самый лучший вариант  

Т.е. иметь отдельную версию 1С-ки за отдельные деньги.... Так что ли?

Всего записей: 308 | Зарегистр. 02-09-2004 | Отправлено: 10:28 11-08-2009 | Исправлено: YurikGL, 10:36 11-08-2009
svanyashev

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
АРМ включает в себя софт, который регулярно (раз в неделю) модифицируется. Как быть? Аттестовывать раз в неделю?  

Нет не требуется, например обновление антивирусных баз не влечет автоматическую переаттестацию. Опиши свою процедуру в тех процессе и аттестуй объект вместе с ней.
 

Цитата:
Если не требуется сертификат на WinRAR, то почему от требуется на операционную систему?  

Потому что все наложенные средства защиты живут на ней. Причем если используются наложенные средства защиты то сертифицированная винда не нужна нужна  просто лицензионная.
 

Цитата:
А если в общей локалке делать VPN на сертифицированный шлюз, за которым защищаемая зона? А в локалке есть инет?

Подключения к инету в класическом понимании вообсче запрещено, под инетом понимается наличие защищенного крипто канала через недоверенную среду (например интернет).  
 

Цитата:
Т.е. иметь отдельную версию 1С-ки за отдельные деньги.... Так что ли?

А что обновляться с флешки нельзя?

Всего записей: 57 | Зарегистр. 07-11-2007 | Отправлено: 12:15 11-08-2009
YurikGL



Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
>Потому что все наложенные средства защиты живут на ней. Причем если используются  
>наложенные средства защиты то сертифицированная винда не нужна нужна  просто  
>лицензионная.  
Как быть с Linux ? Только Alt или Mandriva Spring 2008 ? Если вторая установлена из бесплатного дистрибутива?
 
>Подключения к инету в класическом понимании вообсче запрещено, под инетом понимается
> наличие защищенного крипто канала через недоверенную среду (например интернет).  
эээ... для коммерческой организации (а иногда и для гос.организации) подключение к инету необходимо по роду деятельности. Поэтому полностью исключить его нельзя. Особенно если CRM построена на web-приложении, которое смотрит напрямую в инет посетителям.
Оттого и вопрос. Попробую описать схему подключения более подробно.
Есть локалка, из которой есть наружу проксируемый и NAT-й интернет. В этой локалке стоит сертифицированный VPN-сервер, за которым находится защищаемая зона. При подключении к защищаемой зоне каждый компьютер создает PPTP (IpSEC или подобное) соединение до VPN-сервера. Для большей надежности можно разрешить создание такого соединения только при наличии е-токена. Насколько данная схема допустима с точки зрения 152-ФЗ
 

Цитата:
А что обновляться с флешки нельзя?

Речь не об обновлении, а о необходимости наличия отдельной лицензии, отдельной железки-сервера на которой должно крутиться.

Всего записей: 308 | Зарегистр. 02-09-2004 | Отправлено: 12:35 11-08-2009 | Исправлено: YurikGL, 12:36 11-08-2009
svanyashev

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Как быть с Linux ?  

Вот сертификаты
1.Сертификат 1501. Операционная система ALT Linux 4.0 Server Edition – по 4 уровню контроля НДВ, по 5 классу СВТ
2. Сертификат 1649. Операционная система ALT Linux 4.0 Desktop Professional, децимальный номер 46.21376425.501110-02 DVD – по 4 уровню контроля НДВ, по 5 классу СВТ (может использоваться для защиты информации  в ИСПДн до 2 класса включительно) НЕНУЖНО НАЛОЖЕНЫХ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ ВСЕ В КОМПЛЕКТЕ.
 

Цитата:
Насколько данная схема допустима с точки зрения 152-ФЗ

Для аттестации данной системы тех процесс обработки информации в любом случае будеьт направляться на согласование в региональный ФСТЭК. Там и будет принято решение.
 
Мое мнение. Для аттестации такой системы орган по аттестации должен имень лицензию на противодействие компьютерной разведке.
 

Цитата:
Речь не об обновлении, а о необходимости наличия отдельной лицензии, отдельной железки-сервера на которой должно крутиться.

На это придется потратиться

Всего записей: 57 | Зарегистр. 07-11-2007 | Отправлено: 16:29 11-08-2009
YurikGL



Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Цитата:
На это придется потратиться

Чет подумалось, что фишка с дискетой и флешкой не пройдет. Причина:
На компьютерах защищаемой сети не должно быть дисководов, а USB должны быть отключены. Иначе грош цена безопасности. С точки зрения банальной эрудиции, безопаснее дать контролируемый (проксируемый, NAT-й, логирумый, зафайрволленй и т.д.) выход в инет, чем оставить бесконтрольными USB-порты.
 
И еще вопрос: как быть если персональные данные все же необходимо передавать через интернет? Скажем, филиалу банка сдавать отчетность по кредитам в центр? Скажем, из Петропавловско-Камчатского в Москву?
 
p.s. А что насчет бесплатного дистрибутива Mandriva? На нее то сертификат типа тоже есть.

Всего записей: 308 | Зарегистр. 02-09-2004 | Отправлено: 19:57 11-08-2009
svanyashev

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Чет подумалось, что фишка с дискетой и флешкой не пройдет. Причина:  
На компьютерах защищаемой сети не должно быть дисководов, а USB должны быть отключены. Иначе грош цена безопасности. С точки зрения банальной эрудиции, безопаснее дать контролируемый (проксируемый, NAT-й, логирумый, зафайрволленй и т.д.) выход в инет, чем оставить бесконтрольными USB-порты.

Пойдет поверь мне мы саме раз 20 так аттестовывали.
 

Цитата:
И еще вопрос: как быть если персональные данные все же необходимо передавать через интернет? Скажем, филиалу банка сдавать отчетность по кредитам в центр? Скажем, из Петропавловско-Камчатского в Москву?

Можно используйте ViPNet сертификат 1549. Имено ваш случай, вам не нужен интернет вам нужен доверенный канал через него.
 

Цитата:
p.s. А что насчет бесплатного дистрибутива Mandriva? На нее то сертификат типа тоже есть.

Сертификат есть № 1766 действует до 27.01.2012г.. Операционные системы Mandriva Corporate Server 4 Update 3 (32 х и 64-х разрядные версии), Mandriva PowerPack 2008(32 х и 64-х разрядные версии), Mandriva Flash(32 х разрядная версия) по 4 уровню контроля отсутствия НДВ и 5 классу СВТ.
Только вот вопрос какой класс испдн если 1 то его не хватит.

Всего записей: 57 | Зарегистр. 07-11-2007 | Отправлено: 20:34 11-08-2009
YurikGL



Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Цитата:
Пойдет поверь мне мы саме раз 20 так аттестовывали.

Т.е. считается, что неконтролируемый USB безопаснее, чем контролируемый инет? Но ведь при этом очевидно, что вероятность утечки возрастает (вопрос риторический)?  
 

Цитата:
Можно используйте ViPNet сертификат 1549. Имено ваш случай, вам не нужен интернет вам нужен доверенный канал через него.

Тогда не совсем ясно, что значит "отсутствие подключения к сети Internet". Ведь что бы сделать внешнее соединение, нужно иметь белые IP с обоих сторон. Т.е. железки, находящиеся в защищаемой зоне должны иметь белые IP с другой стороны. Кроме того, на локальных компьютерах в качестве шлюза должена быть железка, которая смотрит в инет.  
 

Цитата:
Только вот вопрос какой класс испдн если 1 то его не хватит.

А можно ссылку на документ (желательно с указанием пункта) где указано, что ОС обязательно должна быть сертифицирована, а прикладное ПО - нет? И где указано какому классов сертификации операционных систем классам испдн?

Всего записей: 308 | Зарегистр. 02-09-2004 | Отправлено: 20:42 11-08-2009
Tim2000



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Затраты организаций и предприятий по всей этой сертификации будут просто бешенными..  
Имхо, при вступлении сабжевого закона в силу, проведутся несколько громких проверок (показательных, как это называется) и всё стихнет. При том я сильно сомневаюсь, что эти проверки коснуться гос.организаций, тут кто-то уже говорил об этом..

Всего записей: 860 | Зарегистр. 07-11-2006 | Отправлено: 07:13 12-08-2009
YurikGL



Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Цитата:
Имхо, при вступлении сабжевого закона в силу,  

Закон уже вступил в силу
 

Цитата:
При том я сильно сомневаюсь, что эти проверки коснуться гос.организаций

Уже коснулись.
 

Всего записей: 308 | Зарегистр. 02-09-2004 | Отправлено: 07:16 12-08-2009
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Вы уже обеспечили защиту персональных данных на предприятии?

Имя:
Пароль:
Сообщение

Для вставки имени, кликните на нем.

Опции сообщенияДобавить свою подпись
Подписаться на получение ответов по e-mail
Добавить тему в личные закладки
Разрешить смайлики?
Запретить коды


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2017

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru