Факультет ИСиТ Воскресенье, 18.04.2021, 20:09
Приветствую Вас Гость | RSS
[ Персональный раздел · Новые сообщения · Участники · Правила форума · Поиск · RSS ]
  • Страница 1 из 5
  • 1
  • 2
  • 3
  • 4
  • 5
  • »
Модератор форума: lamama  
Факультет ИСиТ СыктГУ - Форум » Компьютеры / Интернет / Информационные системы и технологии » Информационная безопасность и криптология » Защита персональных данных (Защита ПД с практической точки зрения)
Защита персональных данных
Sanny Дата: Среда, 11.02.2009, 11:03 | Сообщение # 1
Правдоборец
Группа: СуперАктив
Сообщений: 6225
Награды: 0
Статус: Offline
Итак у студентов 4 курса началась практика.

Наиболее актуальный и в тоже время самый трудный (ввиду своей новизны и недостатка отработанных методик) вопрос это защита персональных данных. Нам, студентам вечернего отделения, труднее еще потому, что в большинстве своем, проходим практику по месту работы. Следовательно у нас нет руководителя от организации компетентного в этом вопросе, и почти всю систему защиты ПД приходится строить с нуля.

Предлагаю в этой ветке обсудить именно практические аспекты создания и функционирования СЗПД (теории нас вроде научили).

Первый вопрос: с чего начать? Быть может с уточнения нормативной базы?
Всяких нормативных документов вроде много, вот список который смог составить:

1. Федеральный закон от 27 июля 2006 года № 152-ФЗ "О персональных данных".
2. Федеральный закон от 19 декабря 2005 года № 160-ФЗ "О ратификации конвенции совета Европы о защите физических лиц при автоматизированной обработке персональных данных".
3. Указ Президента Российской Федерации от 6 марта 1997 года № 188 "Об утверждении перечня сведений конфиденциального характера".
4. Постановление Правительства РФ от 17 ноября 2007 года № 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных".
5. Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 года № 55/86/20 "Об утверждении порядка проведения классификации информационных систем персональных данных".
6. Нормативно-методический документ (НМД) ФСТЭК России "Основные мероприятия по организации..." от 15 февраля 2008 года.
7. НМД ФСТЭК России "Рекомендации по обеспечению безопасности..." от 15 февраля 2008 года.
8. НМД ФСТЭК России "Базовая модель угроз безопасности..." от 15 февраля 2008 года.
9. НМД ФСТЭК России "Методика определения актуальных угроз безопасности..." от 15 февраля 2008 года.

Может я чего то упустил? И что в этом списке наиболее важно, а что не очень?


У меня есть план - выпить столько, сколько смогу. Отличный план!

Сообщение отредактировал Sanny - Среда, 11.02.2009, 11:06
 
Gaika Дата: Среда, 11.02.2009, 14:58 | Сообщение # 2
Школьник
Группа: Актив
Сообщений: 7
Награды: 0
Статус: Offline
Перечень законодательных и нормативно-правовых актов можно посмотреть на сайте Федеральной службы по надзору в сфере связи и массовых коммуникаций http://www.rsoc.ru/main/directions/874/916.shtml
 
Expert Дата: Среда, 11.02.2009, 16:25 | Сообщение # 3
Главный
Группа: Администраторы
Сообщений: 6114
Награды: 1
Статус: Offline
Sanny, спасибо за тему и за важную проблему, которую подняли.

Защита персональных данных, это как бесконечное "совершенствование налогового законодательства": сколько не совершенствуй, а число коллизий не уменьшается cool .

--

Только сегодня с Л.С. Носовым и Д.Н. Едомским разговаривали на эту тему часа полтора.

Дмитрий Николаевич сейчас активно готовит курс лекций по "персоналке" на текущий семестр (в т.ч. и у группы 1433 они будут, как семестр начнётся => кстати, напоминаю, что это будет 9 или 10 марта => потом дополнительно сообщим).

Он сказал, что владеет всей ДСП-нормативкой (что неудивительно cool ), но в то же время универсальных алгоритмов и методик защиты персональных данных нет.

То есть, к примеру, нет четких инструкций с наличием методик, "как быть" в различных исключительных ситуациях, которые могут возникнуть при создании и организации ЗПД. Как согласовать систему ЗПД с особенностями конкретного документооборота в конкретном учреждении конкретной отрасли - тоже непонятно...

--
Я, конечно, ужасно далёк от прикладной защиты информации.

(... и, скорее всего, уже вряд ли буду вникать во все тонкости её, но за это "не пинайте" wink .
Напомню, что в настоящее время я как декан - по большому счёту временный завхоз-организатор и "разруливатор", и после окончания "командировки" на факультет, вернусь к своим проектам.

Поэтому по содержательной части КЗОИ и всех её составляющих обращаемся к Леониду Сергеевичу => советы, указания и принятие решений по существу ЗИ - за ним).

В то же время замечу, что вся ситуация с ЗПД почти "как капля воды" напоминает мне ситуацию с вводом с 01.01.2002 обязательного ведения налогового учёта на предприятиях всех отраслей, даже на тех, где налога на прибыль вообще не могло быть даже теоретически.

Затем было почти два года (до 2004 г.), когда было вообще непонятно, как его (НУ) вести и самое главное - как согласовывать его с бухгалтерским учётом (а у нас в СыктГУ - ещё и с Бюджетным кодексом wacko ).

Сколько копий было сломано, сколько различных консалтеров обогатились...

Вздохнули спокойно только в году 2006-м.

Также и с ЗПД будет. Года 2010-2012 (но, imho, дольше) понадобятся только на то, чтобы вообще только начать понимать, а как же всё-таки полностью защитить персональные данные...

--

Gaika, спасибо за ссылку! smile

--

Надеюсь, в обсуждении примут участие не только вечерники cool .


Блог декана

Уведомление для прессы и всех пользователей сети интернет: администрация форума может не заметить вовремя нецензурных слов и других, возможно, оскорбительных выражений/картинок/прочих материалов. Если вы заметили косвенный либо прямой факт оскорбления кого бы то ни было, пожалуйста, сообщите об этом администратору форума для принятия решения об удалении/модерировании соответствующего сообщения. Полный текст уведомления см. здесь.
 
Elena Дата: Четверг, 12.02.2009, 10:15 | Сообщение # 4
Да! Я - такая!
Группа: СуперАктив
Сообщений: 359
Награды: 0
Статус: Offline
А еще интересно содержимое пакета нормативки по ТЗИ: инструкции, положения, бланки доков, модели угроз, нарушителей??? Намётки есть (по информэйшн с сайта ФСТЭК: Информационно-справочная система по документам в области технической защиты информации), но хотелось бы узнать мнение компэтэнтных лютиков happy

"Я вообще животных люблю. Кто-то там кошек любит, или собак, а я всех люблю без разбора. Людей только не люблю. Надоели, сука. Носятся и бегают, орут друг на друга, суетятся, злые все какие-то!"
"Лучшим доказательством существования разумной жизни во вселенной является тот факт, что с нами до сих пор никто не попытался связаться."


Сообщение отредактировал Elena - Четверг, 12.02.2009, 14:02
 
Elena Дата: Четверг, 12.02.2009, 11:26 | Сообщение # 5
Да! Я - такая!
Группа: СуперАктив
Сообщений: 359
Награды: 0
Статус: Offline
О, еще кое-что интересное по перечню документов (примерный перечень норм-метод док-ов, регламентирующих деят-ть в области ЗИ) есть в учебнике Бузова smile

"Я вообще животных люблю. Кто-то там кошек любит, или собак, а я всех люблю без разбора. Людей только не люблю. Надоели, сука. Носятся и бегают, орут друг на друга, суетятся, злые все какие-то!"
"Лучшим доказательством существования разумной жизни во вселенной является тот факт, что с нами до сих пор никто не попытался связаться."


Сообщение отредактировал Elena - Четверг, 12.02.2009, 14:03
 
eXceed Дата: Четверг, 12.02.2009, 14:14 | Сообщение # 6
Профессор
Группа: СуперАктив
Сообщений: 5379
Награды: 0
Статус: Offline
Может поговорим о технической стороне? А то от законов и прочей бумаги уже воротит =)

bda-expert.ru — это система форумов, где можно общаться быстро и свободно, где любая точка зрения имеет право на жизнь.
 
Sanny Дата: Четверг, 12.02.2009, 14:34 | Сообщение # 7
Правдоборец
Группа: СуперАктив
Сообщений: 6225
Награды: 0
Статус: Offline
Quote (eXceed)
Может поговорим о технической стороне?

Боюсь, что это самая простая сторона этого вопроса. Хотя был бы рад обсудить как наладить техническую защиту дешево и сердито.


У меня есть план - выпить столько, сколько смогу. Отличный план!
 
Expert Дата: Четверг, 12.02.2009, 21:48 | Сообщение # 8
Главный
Группа: Администраторы
Сообщений: 6114
Награды: 1
Статус: Offline
Quote (Elena)
А еще интересно содержимое пакета нормативки по ТЗИ

Quote (eXceed)
Может поговорим о технической стороне?

Quote (Sanny)
Хотя был бы рад обсудить как наладить техническую защиту дешево и сердито.

Создайте отдельную тему.


Блог декана

Уведомление для прессы и всех пользователей сети интернет: администрация форума может не заметить вовремя нецензурных слов и других, возможно, оскорбительных выражений/картинок/прочих материалов. Если вы заметили косвенный либо прямой факт оскорбления кого бы то ни было, пожалуйста, сообщите об этом администратору форума для принятия решения об удалении/модерировании соответствующего сообщения. Полный текст уведомления см. здесь.
 
BoSSurman Дата: Четверг, 12.02.2009, 22:05 | Сообщение # 9
Корифей
Группа: Модераторы
Сообщений: 674
Награды: 0
Статус: Offline
Quote (Expert)
Создайте отдельную тему.

Вопрос надо решать в комплексе smile

Сам тоже в теме постараюсь отписаться, как появится вдохновение smile Хотя сам я данным вопросом вплотную еще не занимался. Заодно и повод посмотреть что к чему. Пока интересны мнения комментарии других КЗОИшников и не только)


:-P
 
eXceed Дата: Пятница, 13.02.2009, 14:10 | Сообщение # 10
Профессор
Группа: СуперАктив
Сообщений: 5379
Награды: 0
Статус: Offline
Я плакал господа. Ибо походу в нашем универе все сводиться к знанию нормативных документов. Иначе нас бы не отправляли с предложением создать отдельную тему для технических разговоров.

Ну создайте тему, пообщаемся там.


bda-expert.ru — это система форумов, где можно общаться быстро и свободно, где любая точка зрения имеет право на жизнь.
 
Gaika Дата: Пятница, 13.02.2009, 14:19 | Сообщение # 11
Школьник
Группа: Актив
Сообщений: 7
Награды: 0
Статус: Offline
Quote (eXceed)
Я плакал господа. Ибо походу в нашем универе все сводиться к знанию нормативных документов.

К знанию нормативных документов "всё сводится" во всех организациях независимо от сферы их деятельности. Без бумажки - ты БУКАШКА!!! tongue


Сообщение отредактировал Gaika - Пятница, 13.02.2009, 14:19
 
Expert Дата: Пятница, 13.02.2009, 15:54 | Сообщение # 12
Главный
Группа: Администраторы
Сообщений: 6114
Награды: 1
Статус: Offline
Quote (Expert)
Создайте отдельную тему.

Quote (eXceed)
Ибо походу в нашем универе все сводиться к знанию нормативных документов. Иначе нас бы не отправляли с предложением создать отдельную тему для технических разговоров.

Не понял логической связи между моей фразой и вашими двумя.
Также налицо просто "железобетонная" логика между двумя предложениями в вашей фразе smile .

Quote (eXceed)
Иначе нас бы не отправляли с предложением создать отдельную тему для технических разговоров.

К тому же, я по-моему ясно написал:

Quote (Expert)
... и, скорее всего, уже вряд ли буду вникать во все тонкости её, но за это "не пинайте"

--
Считаете нужным обсуждать всё вместе => пожалуйста.

--

Quote (eXceed)
Я плакал господа.

Сочувствую.

Quote (Expert)
Может поговорим о технической стороне?

Начинайте.

--

Quote (Gaika)
К знанию нормативных документов "всё сводится" во всех организациях независимо от сферы их деятельности.

Не только "к знанию", но и, imho, к наличию тоже.

P.S. Для справки: тема называется "Защита персональных данных". Без претензий. Просто напоминание...


Блог декана

Уведомление для прессы и всех пользователей сети интернет: администрация форума может не заметить вовремя нецензурных слов и других, возможно, оскорбительных выражений/картинок/прочих материалов. Если вы заметили косвенный либо прямой факт оскорбления кого бы то ни было, пожалуйста, сообщите об этом администратору форума для принятия решения об удалении/модерировании соответствующего сообщения. Полный текст уведомления см. здесь.
 
Sanny Дата: Пятница, 13.02.2009, 16:19 | Сообщение # 13
Правдоборец
Группа: СуперАктив
Сообщений: 6225
Награды: 0
Статус: Offline
Нормативно-документальная сторона вопроса это первые шаги в построении системы защиты ПД. До технической стороны дойдем в процессе последовательного обсуждения.
Ведь даже самая технически совершенная СЗПД рушится в прах (а это огромные деньги на ветер), при отсутствии необходимых организационных мер.


У меня есть план - выпить столько, сколько смогу. Отличный план!
 
lamama Дата: Пятница, 13.02.2009, 16:36 | Сообщение # 14
Заведующий кафедрой
Группа: Модераторы
Сообщений: 524
Награды: 0
Статус: Offline
Вопросы технической защиты персональных данных давным давно проработаны. Вся информация есть в руководящих документах ФСТЭК и ФСБ России, а так же в СТР-К (на которой основаны РД по ПД) и "Временных методиках...". Если мы будем обсуждать только техническую сторозу СЗИ ИСПДн - "все сведется в физике" (фраза с секции "Защита персональных данных" Инфофорума-11). Поэтому как правильно заметил Алексей:
Quote (BoSSurman)
Вопрос надо решать в комплексе

Государство в лице в ФСТЭК и ФСБ не заставляет, а помогает защищать ПДн (персональные данные) и ИСПДн (информационные системы персональных данных)! Поэтому нормативные документы не только нужно, но и полезно читать. А Вы, eXceed, на сколько мне известно, еще не видели ни одного Руководящего документа по информационной безопасности. Почитайте - очень полезно.
Можно утверждать, что Вы сделали "крутую" СЗИ, но как ее оценить (что она "крутая")? В этом, опять-же, нам помогает Государство.
Создавая СЗИ для ПДн не надо забывать и о субъекте персональных данных: нас с вами, да и всех остальных. По ФЗ "О персональных данных" я имею право не предоставлять свои персональные данные третьим лицам. Но в этом случае я не смогу никуда уехать на поезде или самолете. А с кого мне требовать безопасность моих ПДн в этих ИСПДн? На этот вопрос Государство пока не может ответить. ФСТЭК обещает массовые проверки с 01.01.2010 (не раньше!).


Не оседать, не приживаться -
Ступенька за ступенькой - без печали,
Шагать вперед, идти от дали к дали,
Все шире быть, все выше подниматься.
 
BoSSurman Дата: Пятница, 13.02.2009, 22:28 | Сообщение # 15
Корифей
Группа: Модераторы
Сообщений: 674
Награды: 0
Статус: Offline
Предлагаю для удобства и наглядности придумать какую-нибудь виртуальную организацию, описать сферу деятельности, ее структуру и т.д. а потом уже на эту модель пытаться наложить требования по ПД. Это будет и проще и понятней. Я со студентами 5 курса опробовал такой подход в прошлом семестре на пз по КСЗИ, получилось относительно неплохо для первого раза smile

Кто что предложит?


:-P
 
eXceed Дата: Суббота, 14.02.2009, 05:51 | Сообщение # 16
Профессор
Группа: СуперАктив
Сообщений: 5379
Награды: 0
Статус: Offline
lamama

Ну почему же не видел. Видел =)

BoSSurman

Предлагаю поиграть тогда в промышленный шпионаж =) Только вот надо организатора и продумать все. Что то типа хак.квеста. Как раз совместим теорию с практикой. Начальники согласятся на такое?

з.ы. Я вижу это так: Команда хороших парней выстраивает небольшое предприятие, организует работу и защиту данных. Плохие парни должны выкрасть документы. Это не обязательно должны быть файлы с компьютера.

Звучит бредово? ДА! Я только что проснулся.


bda-expert.ru — это система форумов, где можно общаться быстро и свободно, где любая точка зрения имеет право на жизнь.
 
Sanny Дата: Суббота, 14.02.2009, 13:51 | Сообщение # 17
Правдоборец
Группа: СуперАктив
Сообщений: 6225
Награды: 0
Статус: Offline
Quote (BoSSurman)
Кто что предложит?

Итак, имеем торговую фирму с распределенной сетью магазинов и складов, всего 120 сотрудников - вполне обыденный для Сыктывкара пример. Руководство прослышало о том, что ПДн обрабатываемые в их организации надо бы защищать. В свете этого нас наняли как специалистов по защите.
Наши первые шаги? Для начала составить перечень обрабатываемых ПДн, так ведь? Как будем это делать?


У меня есть план - выпить столько, сколько смогу. Отличный план!
 
BoSSurman Дата: Воскресенье, 15.02.2009, 00:33 | Сообщение # 18
Корифей
Группа: Модераторы
Сообщений: 674
Награды: 0
Статус: Offline
Это слишком общее описание. Количество компьютеров, структура и топология сети, используемые ОС и ПО, обрабатываемые на ПЭВМ ПД и т.д. smile чем подробней, тем лучше.

:-P
 
Sanny Дата: Вторник, 24.02.2009, 16:21 | Сообщение # 19
Правдоборец
Группа: СуперАктив
Сообщений: 6225
Награды: 0
Статус: Offline
Ща попробую придумать...

Всего комьпютеров шестьдесят. 50 в центральном офисе и 10 на переферии. Все работают через терминал на одном сервере, под управлением Windows Server 2003 SP2. Удаленные компьютеры подключаются через VPN. На самих компьютерах никаких ПДн не содержится (по крайней мере не должно содержаться). На сервере есть две базы 1С: "Зарплата и кадры" и "Управление торговлей". В ЗиК содержится много ПДн сотрудников, а в УТ есть немного ПДн клиентов. Сеть организована по топологии "Звезда" на обычной витой паре. Сервер стоит в отдельной комнате, дверь запирается на ключ. Сотрудников как уже говорил 120, из них 2 компьютерщика - программист 1С и системный администратор.
Ну вроде набросал виртуальную контору. Думаю дальнейшие подробности будем придумывать в ходе обсуждения. С чего же мы начнем?


У меня есть план - выпить столько, сколько смогу. Отличный план!
 
eXceed Дата: Вторник, 24.02.2009, 17:14 | Сообщение # 20
Профессор
Группа: СуперАктив
Сообщений: 5379
Награды: 0
Статус: Offline
Очевидно с нарезки VPN для внедрения в тонели.

bda-expert.ru — это система форумов, где можно общаться быстро и свободно, где любая точка зрения имеет право на жизнь.
 
Факультет ИСиТ СыктГУ - Форум » Компьютеры / Интернет / Информационные системы и технологии » Информационная безопасность и криптология » Защита персональных данных (Защита ПД с практической точки зрения)
  • Страница 1 из 5
  • 1
  • 2
  • 3
  • 4
  • 5
  • »
Поиск:



Copyright bda-expert.ru © 2008-2021Хостинг от uCoz