Перейти из форума на сайт.


Система IP-видеонаблюдения "Линия". Скачать бесплатную демо-версию для 16 камер. НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Вы уже обеспечили защиту персональных данных на предприятии?

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39

Открыть новую тему     Написать ответ в эту тему

Вы уже обеспечили защиту персональных данных на предприятии?
 ОтветГолосаПроценты
Нет и не собираемся143
12.57%
Нет, но собираемся152
13.36%
Находимся в стадии оценки угрозы170
14.94%
Да, проводим подготовительные работы180
15.82%
Да, соответствуем новым требованиям58
5.10%
В первый раз слышу!435
38.22%
Гости не могут голосовать, зарегистрируйтесть!Всего Голосов: 1138
emx



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Уважаемые коллеги!
К 1 января 2010 года все предприятия Российской Федерации должны привести cвою инфраструктуру и регулятивную базу в соответствие с требованиями Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Закон).
 
Общий коленкор таков.
Согласно Закону к персональным данным относится:
"любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;"
п. 1, ст. 3 Закона
 
Чем это грозит для предприятия?
В любой компании есть те или иные системы кадрового учета (HR-контур), который содержит подробную информацию о сотруднике (ФИО, дата рождения, ИНН, № Страхового свидетельства Пенсионного фонда, №№ страховых свидетельств ОМС/ДМС, сведения о постановке на воинский учет, №№ банковских счетов, сведения о заработной плате и так далее).  
 
Кроме того, в ряде предприятий имеются различные CRM-cистемы, в которых аккумулируется информация о клиентах (в том числе клиентах - физических лицах), причем часто персонифицированная и детализированная, вплоть до предпочтений тех или иных лиц. Мы же стараемся удовлетворить клиента всеми возможными способами и учесть максимум нюансов?
 
Ряд компаний также осуществляет сбор и обработку тех или иных персональных данных клиентов через веб-сайты (интернет-продажи и тому подобное).
 
В ряде случаев есть ещё и бухучет (если клиент физическое лицо, которое оплачивает товары/услуги прямым банковским платежом, на основании договора или без такового).
 
Стало быть предприятие осуществляет сбор, хранит и обрабатывает персональные данные.
 
Далее...
 
п. 2, ст. 3 Закона вводит определение "оператора" (по обработке персональных данных):

Цитата:
2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;

 
Поздравляю. Мы все - операторы.
 
Помимо определенных прав субъекта персональных данных, исполнение которых оператор должен обеспечивать (в основном это чисто бумажные штуки вещей - особого вреда компании причинить не могут), существуют ещё и обязательные требования в отношении оператора - они гораздо страшнее.
 
Закон определяет перечнь таких требований:
 

Цитата:
Статья 19. Меры по обеспечению безопасности персональных данных при их обработке
1. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
2. Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.
3. Контроль и надзор за выполнением требований, установленных Правительством Российской Федерации в соответствии с частью 2 настоящей статьи, осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.
4. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.

ст. 19 Закона
 
Относительно того, как выполнить требования 1 пункта пока данных не слишком много. В общем случае на предприятии должны быть:
- Положение о персональных данных
- Положение о контрольно-пропускном режиме (где определен конечный круг лиц, который имеет доступ в помещения, где эта красота хранится физически)
- Регламент по информационной безопасности
 
Кроме того, предприятие должно использовать сертифицированные (да, разумеется с потайным ключиком у ФСБ) криптографические решения на серверах, на которых расположены базы данных. Также инфраструктура должна быть аттестована (за счет предприятия у уполномоченного органа), что уж совсем ужасно.
 
Санкции.
Санкции за нарушение Закона незначительны:
 

Цитата:
Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)
Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) -
влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей.

ст. 13.11 КоАП РФ
 
Но при проверке вам могут вынести предприсание об устранении выявленных нарушений. За неисполнение предписания санкции более другие:
 

Цитата:
Статья 19.5. Невыполнение в срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль)
1. Невыполнение в установленный срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), об устранении нарушений законодательства -
влечет наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от одной тысячи до двух тысяч рублей или дисквалификацию на срок до трех лет; на юридических лиц - от десяти тысяч до двадцати тысяч рублей.

ст. 19.5 КоАП РФ
И так далее, вплоть до отзыва лицензии у предприятия на осуществление основной деятельности и уголовной ответственности для ген. директора.
 
Давайте что-ли обсудим - как жить дальше...
Или может кто уже лазейку какую нашел?

Всего записей: 11321 | Зарегистр. 05-06-2002 | Отправлено: 09:13 01-07-2009 | Исправлено: emx, 12:00 01-07-2009
oaf56

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
YurikGL
По секрету: для Госучреждений сабж и др. уже давно действует.
для Госструктур:
 Корче по Гражданскому кодексу любая Госконтора не является владельцем имущества.
А наделяется правом пользования, оперативного управления. Фишка в том, что контора не может продать, сдать в аренду, списать(т.е. распоряжаться) имущество без разрешения/согласования с уполномоченым органом/вышестоящей организацией. Имущество - это деньги, расчеты, и здания, машины, техника, материалы и т.п. Потому руководитель не вправе тратить деньги на проведение мероприятий по защите без разрешения и согласования с выщестоящей конторой. Надо обосновать обязательность, необходимость. И составить смету..... защита инфы проводится при наличии денег...
Надо только грамотно отбиваться. Пусть идут к ним....
 
Тоже самое может быть и в отношении коммерческих структур.  
 
Опять же. "Разделяй и Властвуй". - панацея не только для богатых, но и для бедных.  
 
В защищаемой сети выделяешь 1или более станций с сменными носителями/подключениями портов и поручаешь только сидорову и петрову выполнять операции чтения/записи со сменных носителей. Описываешь процедуру.Чтобы вирусов не нахватали. Ведешь учет заявок в журнале.  
 
У остальных Отрубаешь все порты и переферию. Печать на сетевой принтер
 
Обработка инфы может быть БЕЗ выч техники и С НЕЙ. Требования и методика защиты информации при этом могут СУЩЕСТВЕННО отличаться. В часности при небольшом объеме и высокой степени секретности, низкой востребованости данных/услуг можно делать все на бумаге. Это способно радикально снизить временные, организационные и финансовые затраты. ))))
 
Читаем открытые нормативные документы. Поиск РУЛит. Руководящие документы СТР-К. http://www.google.ru/search?q=%D0%A1%D0%A2%D0%A0-%D0%9A&btnG=%D0%9F%D0%BE%D0%B8%D1%81%D0%BA&hl=ru&lr=&newwindow=1&sa=2
 
Смотрим нормативные документы, акты, статьи читаем. Отвечаем на свои вопросы.
 
поиск: Информационная безопасность.
 
Уполномоченый орган по защите инфы http://www.fstec.ru
 
Разработчик средств защиты http://www.infotecs.ru - описание систем и общих принципов построения защиенных сетей
www.cryptopro.ru/ - криптогрфия - ЭЦП, шифрование  
 
 
Но там изложено все муторно. Осознать материал тяжело, но надо. Перед этим почитайте открытые материалы. думать, решать и отвечать ... Вам. Вообще тема не из легких. Готового решения для всех и на все случаи жизни нет. потому как у одних вечно нехватка денег, а у других - есть желание законно заработать. + закрытость, разбросаность информации информации. Лучше самому разобраться в предмете. Удачи.

Всего записей: 124 | Зарегистр. 23-11-2006 | Отправлено: 14:20 12-08-2009 | Исправлено: oaf56, 14:47 12-08-2009
svanyashev

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Т.е. считается, что неконтролируемый USB безопаснее, чем контролируемый инет? Но ведь при этом очевидно, что вероятность утечки возрастает (вопрос риторический)?  

Почему неконтролируемый USB, Ты эту флешку пропишешь на инвентарный учет и зарегистрируешь в системе безопасности (каждая флешка имеет свой уникальный номер).
 

Цитата:
Тогда не совсем ясно, что значит "отсутствие подключения к сети Internet". Ведь что бы сделать внешнее соединение, нужно иметь белые IP с обоих сторон. Т.е. железки, находящиеся в защищаемой зоне должны иметь белые IP с другой стороны. Кроме того, на локальных компьютерах в качестве шлюза должена быть железка, которая смотрит в инет.

Там создается криптоканал на основе односторонних математических функций, все остальное закрыто. Это работает на 100 процентов.
 

Цитата:
А можно ссылку на документ (желательно с указанием пункта) где указано, что ОС обязательно должна быть сертифицирована, а прикладное ПО - нет? И где указано какому классов сертификации операционных систем классам испдн?

Такого документа нет. В регламентирующих документах написано, что должно применяться сертифицированное средство защиты  и все.
Дальше смотришь описание на это средство защиты.
По поводу прикладного ПО вообсче ничего не написано так, что делай что хочешь, единственно, что явно запрещено это средства разработки и отладки и средства удаленного управления типа R-admin, так как не выполняются требования по журналированию действий администратора и как следствие невозможность проведения расследования.

Цитата:
Затраты организаций и предприятий по всей этой сертификации будут просто бешенными..  
Имхо, при вступлении сабжевого закона в силу, проведутся несколько громких проверок (показательных, как это называется) и всё стихнет.  

Для рассчета цены нужно всего несколько параметров, количество комнат с компами и общее колво компов, давай эти данные я тебя дам стоимость всех работ связанных с аттестацией под ключ. (Без учета закупки и установки/настройки средст защиты от ПЭМИН (они я надеюсь увас неопасный канал утечки).

Цитата:
И где указано какому классов сертификации операционных систем классам испдн?

http://www.fstec.ru/_doc/reestr_sszi/_reestr_sszi.xls
здесь
 
 
Добавлено:
все что написал oaf56 нечитать.
Поясню:
1.
Цитата:
По секрету: для Госучреждений сабж и др. уже давно действует.  
для Госструктур:

Закон для всех действует одинаково
2.
Цитата:
А наделяется правом пользования, оперативного управления. Фишка в том, что контора не может продать, сдать в аренду, списать(т.е. распоряжаться) имущество без разрешения/согласования с уполномоченым органом/вышестоящей организацией. Имущество - это деньги, расчеты, и здания, машины, техника, материалы и т.п. Потому руководитель не вправе тратить деньги на проведение мероприятий по защите без разрешения и согласования с выщестоящей конторой. Надо обосновать обязательность, необходимость. И составить смету..... защита инфы проводится при наличии денег...  
Надо только грамотно отбиваться. Пусть идут к ним....

Все бред кроме того, что надо составлять смету, ну так такие весчи без проекта вообсче не делаются.  
3.
Цитата:
В защищаемой сети выделяешь 1или более станций с сменными носителями/подключениями портов и поручаешь только сидорову и петрову выполнять операции чтения/записи со сменных носителей. Описываешь процедуру.Чтобы вирусов не нахватали. Ведешь учет заявок в журнале.  

Раз два человека допущено то снижение требований по безопасности уже нет, а антивирусник в любом случае обязателен.
4.
Цитата:
Разработчик средств защиты http://www.infotecs.ru - описание систем и общих принципов построения защиенных сетей  
www.cryptopro.ru/ - криптогрфия - ЭЦП, шифрование  

Есть масса других, а это реклама.

Цитата:
Лучше самому разобраться в предмете

Так не выйдет аттестовывать всеравно могут только специализированные организации.

Всего записей: 57 | Зарегистр. 07-11-2007 | Отправлено: 18:40 12-08-2009
Yrik123

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Всем привет.
Меня волнует такой вопрос, где найти вот эти доки:
Перечень нормативно-методических документов ФСТЭК России в области персональных данных
1. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных;  
2. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных;  
3. Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных;  
4. Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
 
Может у кого есть?

Всего записей: 62 | Зарегистр. 22-09-2006 | Отправлено: 09:24 13-08-2009
svanyashev

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
1. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных;  
2. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных;  
3. Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных;  
4. Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.

Все это запрашивай во ФСТЭК на организацию они все ДСП

Всего записей: 57 | Зарегистр. 07-11-2007 | Отправлено: 09:33 13-08-2009
oaf56

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
все что написал oaf56 нечитать.


Цитата:
2.
.....
Все бред кроме того, что надо составлять смету, ну так такие весчи без проекта вообсче не делаются.  

Возможно писал сумбурно, но это был примерный мой ответ оперативным сотрудникам, пришедшим  по факту проверки оперативной информации по вопросу получения оборудования и состояния дел по ИБ. Обоснованый ответ со ссылкой на нормативные акты успокоил их. А они хотели наказать нас. Я в товремя исполнял обязаности админа, ИБ +1С. сейчас только занимаюсь только 1С. Но основы еще помню.
 

Цитата:
Почему неконтролируемый USB, Ты эту флешку пропишешь на инвентарный учет и зарегистрируешь в системе безопасности (каждая флешка имеет свой уникальный номер).  

Потому что можно всунуть ЛЮБУЮ флейку. можно записать на нее Ваши данные, а можно запустить троян по незнанию. Есть конечно ПО и железо по защите и мониторингу на уровне портов. Но вопрос в цене и необходимости такой защиты, мониторинга, реагирования на ВСЕХ станциях и серверах сети. Проще и дешевле выделить отдельные ПК с такой функцией.

Всего записей: 124 | Зарегистр. 23-11-2006 | Отправлено: 10:36 13-08-2009
svanyashev

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Потому что можно всунуть ЛЮБУЮ флейку. можно записать на нее Ваши данные, а можно запустить троян по незнанию. Есть конечно ПО и железо по защите и мониторингу на уровне портов. Но вопрос в цене и необходимости такой защиты, мониторинга, реагирования на ВСЕХ станциях и серверах сети. Проще и дешевле выделить отдельные ПК с такой функцией.

Защита на уровне портов в таких системах обязательна иначе ни о какой защите иречи быть не может.

Всего записей: 57 | Зарегистр. 07-11-2007 | Отправлено: 10:40 13-08-2009
oaf56

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Цитата:Лучше самому разобраться в предмете  
 
Так не выйдет аттестовывать всеравно могут только специализированные организации.

Это правда. Но, здесь же в основном не хозяева, а наемные работники. ЭТО ИМ начальник поручает сделай так, КАК надо и БЕЗ денег.
Так чо им и ПРИЙДЕТСЯ разобраться. Не боги горшки обжигают. Аттестуют лицензированые организации. НО ВЫ определяете ЧТО и КАК будуте защитать. Может они ВАМ запроектируют столько, что вы просто не потянете и будете все равно виноваты.

Всего записей: 124 | Зарегистр. 23-11-2006 | Отправлено: 10:54 13-08-2009 | Исправлено: oaf56, 13:32 13-08-2009
YurikGL



Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Цитата:
Цитата:
>Тогда не совсем ясно, что значит "отсутствие подключения к сети Internet". Ведь что бы  
>сделать внешнее соединение, нужно иметь белые IP с обоих сторон. Т.е. железки,  
>находящиеся в защищаемой зоне должны иметь белые IP с другой стороны. Кроме того, на  
>локальных компьютерах в качестве шлюза должена быть железка, которая смотрит в инет.
 
>Там создается криптоканал на основе односторонних математических функций, все  
>остальное закрыто. Это работает на 100 процентов.
 

Я проксирую  выход в инет, открываю на доступ только нужные ресурсы, все остальное закрыто... работает на 100 процентов. Так тоже можно что ли? Просто называю это не доступом до интернета, а доступом до сайта www.icq.com и т.д.
 
 

Цитата:
Почему неконтролируемый USB, Ты эту флешку пропишешь на инвентарный учет и зарегистрируешь в системе безопасности (каждая флешка имеет свой уникальный номер).  

Как уже писали, вставить можно любую флешку. Поэтому с точки зрения здравого смысла, предложенная система с флешкой резко снижает защищенность системы. И
ли предлагается устанавливать софт, который понимает только зарегистрированные флешки? Но что мне мешает на зарегистрированной флешке унести информацию? И вообще, что мне мешает перетащить информацию на флешке на комп, где есть инет и слить наружу? Дырка то осталась.
 

Цитата:
Все это запрашивай во ФСТЭК на организацию они все ДСП

По моему, вроде в инете уже все давно есть.
 

Всего записей: 308 | Зарегистр. 02-09-2004 | Отправлено: 12:45 13-08-2009
oaf56

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Защита на уровне портов в таких системах обязательна иначе ни о какой защите и речи быть не может.

защита должна быть адекватна  
1)уровню секретности
2) ПОТЕНЦИАЛЬНЫМ угрозам
3) выделеным деньгам.
Разработка Проекта ИБ, технологии работы с информацией - это попытка выйти на приемлемые показатели за разумные деньги.
 
Хороший буклет по ИБ http://www.iemag.ru/upload/iblock/8c0/jrnkjmcginy_nnqcadjevvja_gtzkdxfjgxwq_hjsosg.pdf
и для общего развития
http://www.iso27000.ru/zakonodatelstvo/postanovleniya-pravitelstva-rf/ob-utverzhdenii-polozheniya-ob-obespechenii-bezopasnosti-personalnyh-dannyh-pri-ih-obrabotke-v-informacionnyh-sistemah-personalnyh-dannyh
Кстати набрел на такой ресурс - Проект «Многие грани безопасности»
: http://it4business.ru/itsec/MnogieGraniBezopasnosti?v=1asi
и нормативная база на этом ресурсе http://www.it4business.ru/itsec/NormativnajaBazaRossijjskojjFederaciiPoBezopasnosti2
 
Добавлено:
Источник http://www.iso27000.ru/zakonodatelstvo/ukazy-prezidenta-rf/o-merah-po-obespecheniyu-informacionnoi-bezopasnosti-rossiiskoi-federacii-pri-ispolzovanii-informacionno-telekommunikacionnyh-setei-mezhdunarodnogo-informacionnogo-obmena/
Ну или любая БД Законов.
Читаем внимательно:  
О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена  
   
 
Указ Президента РФ № 351 от 17 марта 2008 года
В целях обеспечения информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей, позволяющих осуществлять передачу информации через государственную границу Российской Федерации, в том числе при использовании международной компьютерной сети "Интернет", постановляю:  
 
1. Установить, что:  
 
а) подключение информационных систем, информационно- телекоммуникационных сетей и средств вычислительной техники, применяемых для хранения, обработки или передачи информации, содержащей сведения, составляющие государственную тайну, либо информации, обладателями которой являются государственные органы и которая содержит сведения, составляющие служебную тайну, к информационно-телекоммуникационным сетям, позволяющим осуществлять передачу информации через государственную границу Российской Федерации, в том числе к международной компьютерной сети "Интернет" (далее информационно-телекоммуникационные сети международного информационного обмена), не допускается;  
 
б) при необходимости подключения информационных систем, информационно-телекоммуникационных сетей и средств вычислительной техники, указанных в подпункте "а" настоящего пункта, к информационно-телекоммуникационным сетям международного информационного обмена такое подключение производится только с использованием специально предназначенных для этого средств защиты информации, в том числе шифровальных (криптографических) средств, прошедших в установленном законодательством Российской Федерации порядке сертификацию в Федеральной службе безопасности Российской Федерации и (или) получивших подтверждение соответствия в Федеральной службе по техническому и экспортному контролю.  
 
Выполнение данного требования является обязательным для операторов информационных систем, владельцев информационно-телекоммуникационных сетей и (или) средств вычислительной техники;

 
в) государственные органы в целях защиты общедоступной информации, размещаемой в информационно-телекоммуникационных сетях международного информационного обмена, используют только средства защиты информации, прошедшие в установленном законодательством Российской Федерации порядке сертификацию в Федеральной службе безопасности Российской Федерации и (или) получившие подтверждение соответствия в Федеральной службе по техническому и экспортному контролю;
 
г) размещение технических средств, подключаемых к информационно-телекоммуникационным сетям международного информационного обмена, в помещениях, предназначенных для ведения переговоров, в ходе которых обсуждаются вопросы, содержащие сведения, составляющие государственную тайну, осуществляется только при наличии сертификата, разрешающего эксплуатацию таких технических средств в указанных помещениях.  
 
Финансирование расходов, связанных с размещением технических средств в указанных помещениях федеральных органов государственной власти, осуществляется в пределах бюджетных ассигнований, предусмотренных в федеральном бюджете на содержание этих органов.
 
2. Федеральной службе охраны Российской Федерации обеспечивать поддержание и развитие сегмента международной компьютерной сети "Интернет" (далее - сеть "Интернет") для федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации.  
 
3. Администрации Президента Российской Федерации, Аппарату Совета Федерации Федерального Собрания Российской Федерации, Аппарату Государственной Думы Федерального Собрания Российской Федерации, Аппарату Правительства Российской Федерации, аппаратам Конституционного Суда Российской Федерации, Верховного Суда Российской Федерации, Высшего Арбитражного Суда Российской Федерации и Генеральной прокуратуре Российской Федерации осуществлять взаимодействие с сетью "Интернет" и представлять в нее информацию через сегмент сети "Интернет" для федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации, находящийся в ведении Федеральной службы охраны Российской Федерации.  
 
В исключительных случаях по согласованию с Федеральной службой охраны Российской Федерации указанные государственные органы могут осуществлять взаимодействие с сетью "Интернет" и представлять в нее информацию через сегменты сети "Интернет" и технологические серверные площадки, находящиеся в ведении федеральных органов исполнительной власти, подведомственных им учреждений и организаций, Российской академии наук, научных академий и иных научных организаций, имеющих государственный статус, а также государственных образовательных учреждений высшего профессионального образования.  
 
4. Признать утратившими силу: Указ Президента Российской Федерации от 12 мая 2004 г. №611 "О мерах по обеспечению информационной безопасности Российской Федерации в сфере международного информационного обмена" (Собрание законодательства Российской Федерации, 2004, ь 20, ст. 1938); пункт 12 приложения №1 к Указу Президента Российской Федерации от 22 марта 2005 г. №329 "О внесении изменений в некоторые акты Президента Российской Федерации" (Собрание законодательства Российской Федерации, 2005, №13, ст. 1137); Указ Президента Российской Федерации от 3 марта 2006 г. №175 "О внесении изменений в Указ Президента Российской Федерации от 12 мая 2004 г. №611 "О мерах по обеспечению информационной безопасности Российской Федерации в сфере международного информационного обмена" (Собрание законодательства Российской Федерации, 2006, ь 10, ст.1090).  
 
5. Настоящий Указ вступает в силу со дня его подписания.  
 
Президент Российской Федерации
 
В. Путин
   
 
 
Добавлено:
svanyashev
на основе  личного опыта: аттестуется Конкретный и конечный набор ПО. Типа поискали закладки и ненашли. Особо продвинутые и обеспокоеные ведут учет файлов и их контрольных сумм. Не поменял ли Кто?
например Сбербанк так передает ПО ЭЦП по договору.
Добавление или изменение установленого ПО - нарушение режима ИБ. -> За ЧТО Отвечает администратор ИБ. ((( Вот такие делишки.
 
Сертификат на ПО облегчит и ускорит аттестацию, при условии соблюдения условий эксплуатации требуемым в формуляре по ИБ к продукту. Кстати Сертифицированое ПО не просто скачивается, а приходит обычной/спецпочтой в упаковке, гарантирующей отсутствие вскрытия. Только оно существенно дороже, чем обычное.

Всего записей: 124 | Зарегистр. 23-11-2006 | Отправлено: 13:23 13-08-2009 | Исправлено: oaf56, 13:57 13-08-2009
svanyashev

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Может они ВАМ запроектируют столько, что вы просто не потянете и будете все равно виноваты.

Цены на проект тоже фиксированы давай количество комнат с компами я скажу цену проекта

Всего записей: 57 | Зарегистр. 07-11-2007 | Отправлено: 17:00 13-08-2009
YurikGL



Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Цитата:
Цены на проект тоже фиксированы давай количество комнат с компами я скажу цену проекта

1000 компьютеров, рассеяных по городу? ))
 
Глупость ИМХО состоит в том, что аттестуют не систему, а рабочее место. И глубоко пофиг, насколько защищенный софт там стоит.

Всего записей: 308 | Зарегистр. 02-09-2004 | Отправлено: 19:31 13-08-2009
svanyashev

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Я проксирую  выход в инет, открываю на доступ только нужные ресурсы, все остальное закрыто... работает на 100 процентов. Так тоже можно что ли? Просто называю это не доступом до интернета, а доступом до сайта www.icq.com и т.д.

Нет так нельзя, там тоже должна стаять машина с криптографией они создают канал друг с другом

Цитата:
И  
ли предлагается устанавливать софт, который понимает только зарегистрированные флешки? Но что мне мешает на зарегистрированной флешке унести информацию? И вообще, что мне мешает перетащить информацию на флешке на комп, где есть инет и слить наружу? Дырка то осталась.

Это все закрывается организационными мерами

Цитата:
Сертификат на ПО облегчит и ускорит аттестацию, при условии соблюдения условий эксплуатации требуемым в формуляре по ИБ к продукту. Кстати Сертифицированое ПО не просто скачивается, а приходит обычной/спецпочтой в упаковке, гарантирующей отсутствие вскрытия. Только оно существенно дороже, чем обычное.

Совершенно справедливо

Цитата:
Глупость ИМХО состоит в том, что аттестуют не систему, а рабочее место. И глубоко пофиг, насколько защищенный софт там стоит.

атестуют именно систему, если вам атестовали армы это развод

Всего записей: 57 | Зарегистр. 07-11-2007 | Отправлено: 20:49 13-08-2009
YurikGL



Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Цитата:
атестуют именно систему, если вам атестовали армы это развод

ха-ха-ха....
судя по

Цитата:
Цены на проект тоже фиксированы давай количество комнат с компами я скажу цену проекта

вас не интересует ни какой софт стоит,  ни какая ос, ни какие данные ходят..... Вам нужно число комнат и компов... т.е. рабочих мест...
 
Повторяю еще раз... аттестовать нужно систему вне зависимости от того, сколько компов... Вот сделали защищенную конфигурацию 1С но так, что подключаться можно с любого места ЛВС. Ее и аттестовали. И ставим дальше без проблем на рабочие места. Вы же аттестуете комнату-компьютер

Всего записей: 308 | Зарегистр. 02-09-2004 | Отправлено: 15:46 14-08-2009
svanyashev

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
вас не интересует ни какой софт стоит,  ни какая ос, ни какие данные ходят..... Вам нужно число комнат и компов... т.е. рабочих мест...

Это конечно бред но больше на цену проекта ничего не влияет.
 

Всего записей: 57 | Зарегистр. 07-11-2007 | Отправлено: 16:56 14-08-2009
YurikGL



Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Цитата:
 
Это конечно бред но больше на цену проекта ничего не влияет.  

Вот я и говорю... что способа аттестации программной системы на произвольное количество мест нет... Потому что аттестовываются рабочие места, помещения... А на программную составляющую - пофиг

Всего записей: 308 | Зарегистр. 02-09-2004 | Отправлено: 18:01 14-08-2009
svanyashev

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
А на программную составляющую - пофиг

Не пояиг конечно но это лишь один из этапов обеспечения безопасности

Всего записей: 57 | Зарегистр. 07-11-2007 | Отправлено: 21:26 14-08-2009
lovec123

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
YurikGL

Цитата:
Уважаемые коллеги!  
К 1 января 2010 года все предприятия Российской Федерации должны привести cвою инфраструктуру и регулятивную базу в соответствие с требованиями Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Закон).  

по этому закону санкции будут применятся позже сейчас это всё совещательно
 
Добавлено:
svanyashev
просто не могу себе представить комп на котором обрабатывается перс информация, на котором стоит куча прог типа winzip acrobat riader и проч которые для работы должны обновлятся как это будет происходить? а тот же антивирус который обновляется гораздо чаще что с ним? можно ли обновлятся или эти компы можно будет обновлять только с серверов фстека? и потянет ли это сам фстек? потому как часть работы по развёртыванию защищёных сетей уже переложена на компании типа инфотекс и проч?

Всего записей: 2729 | Зарегистр. 26-02-2007 | Отправлено: 23:30 14-08-2009 | Исправлено: lovec123, 23:42 14-08-2009
svanyashev

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
просто не могу себе представить комп на котором обрабатывается перс информация, на котором стоит куча прог типа winzip acrobat riader и проч которые для работы должны обновлятся

Таких компов полно

Цитата:
должны обновлятся как это будет происходить?

Да очень просто под переатестацию.

Цитата:
а тот же антивирус который обновляется гораздо чаще что с ним?

Без проблем обновляй и все

Цитата:
 можно ли обновлятся или эти компы можно будет обновлять только с серверов фстека?

Можно и с флешки, главное в журнале регистрировать когда и какое обновление было наложено

Цитата:
потому как часть работы по развёртыванию защищёных сетей уже переложена на компании типа инфотекс и проч?

Нет таких регламентирующих документов мы сейчас реализуе несколько крупных проектов по персональным данным

Всего записей: 57 | Зарегистр. 07-11-2007 | Отправлено: 10:36 15-08-2009
lovec123

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
svanyashev

Цитата:
Да очень просто под переатестацию.  

а в чём она заключается, кто её будет проводить, и сколько это будет стоить?

Всего записей: 2729 | Зарегистр. 26-02-2007 | Отправлено: 18:05 15-08-2009
svanyashev

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
а в чём она заключается, кто её будет проводить, и сколько это будет стоить?

Переатестация проводится в объеме аттестационных испытаний, цена зависит от количества компов

Всего записей: 57 | Зарегистр. 07-11-2007 | Отправлено: 20:12 15-08-2009
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Вы уже обеспечили защиту персональных данных на предприятии?

Имя:
Пароль:
Сообщение

Для вставки имени, кликните на нем.

Опции сообщенияДобавить свою подпись
Подписаться на получение ответов по e-mail
Добавить тему в личные закладки
Разрешить смайлики?
Запретить коды


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2017

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru