Факультет ИСиТ Воскресенье, 18.04.2021, 20:58
Приветствую Вас Гость | RSS
[ Персональный раздел · Новые сообщения · Участники · Правила форума · Поиск · RSS ]
  • Страница 2 из 5
  • «
  • 1
  • 2
  • 3
  • 4
  • 5
  • »
Модератор форума: lamama  
Факультет ИСиТ СыктГУ - Форум » Компьютеры / Интернет / Информационные системы и технологии » Информационная безопасность и криптология » Защита персональных данных (Защита ПД с практической точки зрения)
Защита персональных данных
lamama Дата: Среда, 25.02.2009, 09:03 | Сообщение # 21
Заведующий кафедрой
Группа: Модераторы
Сообщений: 524
Награды: 0
Статус: Offline
Quote (eXceed)
Очевидно с нарезки VPN для внедрения в тонели.

Начинать надо с классификации ИСПДн! Потом строить модель угроз. Выделять актуальные и от них строить защиту.
Поэтому, Sanny, вопросы:
1. Какие именно данные содержатся в ЗиК?
2. Есть ли юридические последствия автоматизированной обработки ПДн?
3. Данные скольки субъектов ПДн содержатся в базе?
4. Есть ли подключение к сети Интернет (физическое)?
Вот основные вопросы. После этого можно попытаться классифицировать (если ответ на 2-ой вопрос будет отрицательным).


Не оседать, не приживаться -
Ступенька за ступенькой - без печали,
Шагать вперед, идти от дали к дали,
Все шире быть, все выше подниматься.
 
Sanny Дата: Среда, 25.02.2009, 09:05 | Сообщение # 22
Правдоборец
Группа: СуперАктив
Сообщений: 6225
Награды: 0
Статус: Offline
Quote (lamama)
Начинать надо с классификации ИСПДн! Потом строить модель угроз. Выделять актуальные и от них строить защиту.

Вот это уже что то конкретное. Щас попробую, ответить по пунктам.

Quote (eXceed)
Очевидно с нарезки VPN для внедрения в тонели.

eXceed, напиши подробнее об этом.


У меня есть план - выпить столько, сколько смогу. Отличный план!

Сообщение отредактировал Sanny - Среда, 25.02.2009, 09:10
 
Elena Дата: Среда, 25.02.2009, 13:06 | Сообщение # 23
Да! Я - такая!
Группа: СуперАктив
Сообщений: 359
Награды: 0
Статус: Offline
по поводу классификации ИСПДн (совмест приказ ФСБ, ФТЭК и министерства информ технологий и связи):
- если информационная система является типовой, то всё понятно - дана красивая табличка artist
- а вот, если ИС - специальная, то уже не очень понятно: "класс специальной информационной системы определяется на основе модели угроз безопасности персональных данных в соответствии с методическими документами, разрабатываемыми в соответствии с пунктом 2 Постановления Правительства Российской Федерации от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" blahblah

Открываем ФСТЭК'овскую "Базовую модель угроз безопасности ПД при их обраотке в ИСПД", потом выбираем типовую модель угроз, подходящую к нашей ИСПД (например, "Тип. модель угроз безоп-ти ПД, обрабат. в локальных ИСПД, не имеющих поключения к сетям связи общего пользования и/или сетям м/ународного информац обмена")
Читаем, прочитали...дальше, что? возвращаемся к таблице совместного приказа????? или нет???


"Я вообще животных люблю. Кто-то там кошек любит, или собак, а я всех люблю без разбора. Людей только не люблю. Надоели, сука. Носятся и бегают, орут друг на друга, суетятся, злые все какие-то!"
"Лучшим доказательством существования разумной жизни во вселенной является тот факт, что с нами до сих пор никто не попытался связаться."
 
eXceed Дата: Среда, 25.02.2009, 13:56 | Сообщение # 24
Профессор
Группа: СуперАктив
Сообщений: 5379
Награды: 0
Статус: Offline
Про атаку на VPN писал Крис очень хорошо. http://www.insidepro.com/kk/100/100r.shtml

bda-expert.ru — это система форумов, где можно общаться быстро и свободно, где любая точка зрения имеет право на жизнь.
 
lamama Дата: Четверг, 26.02.2009, 16:24 | Сообщение # 25
Заведующий кафедрой
Группа: Модераторы
Сообщений: 524
Награды: 0
Статус: Offline
Quote (eXceed)
Про атаку на VPN писал Крис очень хорошо. http://www.insidepro.com/kk/100/100r.shtml

Так там шифорование RSA и DES. Вот если бы с ГОСТ-овским шифрованием, тогда можно было бы говорить, что системы, имеющие сертификат ФСБ уязвимы.


Не оседать, не приживаться -
Ступенька за ступенькой - без печали,
Шагать вперед, идти от дали к дали,
Все шире быть, все выше подниматься.
 
Sanny Дата: Четверг, 26.02.2009, 16:42 | Сообщение # 26
Правдоборец
Группа: СуперАктив
Сообщений: 6225
Награды: 0
Статус: Offline
Quote (lamama)
1. Какие именно данные содержатся в ЗиК?
2. Есть ли юридические последствия автоматизированной обработки ПДн?
3. Данные скольки субъектов ПДн содержатся в базе?
4. Есть ли подключение к сети Интернет (физическое)?

1. Т.е нужно составить перечень ПДн? Выложу его отдельно.
2. Вот тут не совсем понятно. Нам ведь это и нужно выяснить на основании других факторов, или я что то не так понял?
3. Ну допустим, в базе ЗиК содержатся ПДн всех 120 ныне работающих сотрудников и еще 80 уволенных.
4. Подключение к Интернету есть.


У меня есть план - выпить столько, сколько смогу. Отличный план!
 
eXceed Дата: Четверг, 26.02.2009, 21:18 | Сообщение # 27
Профессор
Группа: СуперАктив
Сообщений: 5379
Награды: 0
Статус: Offline
lamama

RSA и DES шифры это круто, да. Но на бумаге. Знаю, что там шифрование в риалтайме и все дела, но задача стоит не в расшифровке потока, а во внедрении в VPN подсеть. Шифрование тут не влияет. Учите матчасть в следующий раз плиз.

Ну раз есть подключения к интернетам, то что известно о шлюзе и о внешних сервисах?


bda-expert.ru — это система форумов, где можно общаться быстро и свободно, где любая точка зрения имеет право на жизнь.
 
lamama Дата: Пятница, 27.02.2009, 08:44 | Сообщение # 28
Заведующий кафедрой
Группа: Модераторы
Сообщений: 524
Награды: 0
Статус: Offline
Quote (eXceed)
Шифрование тут не влияет. Учите матчасть в следующий раз плиз.

Прекрасно понимаю, о чем вы говорите. Только если "присмотреться" к некоторым VPN, то можно найти и такие, где авторизация идет не по паролю, а по ЭЦП. В этом случае "вклиниться" в поток непросто. Ну "снифернули" вы поток. Что дальше? Что делать с ним будете? Тут и понадобится знание алгоритмов шифорования-дешифрования. RSA и DES "ломаются". ГОСТ - не слышал.


Не оседать, не приживаться -
Ступенька за ступенькой - без печали,
Шагать вперед, идти от дали к дали,
Все шире быть, все выше подниматься.
 
eXceed Дата: Пятница, 27.02.2009, 08:46 | Сообщение # 29
Профессор
Группа: СуперАктив
Сообщений: 5379
Награды: 0
Статус: Offline
lamama

В наиболее популярных системах IPSec и OpenVPN авторизация парольная. Да черст с этим каналом. Уязвимое место это NAS.


bda-expert.ru — это система форумов, где можно общаться быстро и свободно, где любая точка зрения имеет право на жизнь.
 
lamama Дата: Пятница, 27.02.2009, 09:12 | Сообщение # 30
Заведующий кафедрой
Группа: Модераторы
Сообщений: 524
Награды: 0
Статус: Offline
Quote (eXceed)
В наиболее популярных системах IPSec и OpenVPN авторизация парольная.

Поэтому при защите ИСПДн выше К3 их нельзя использовать.


Не оседать, не приживаться -
Ступенька за ступенькой - без печали,
Шагать вперед, идти от дали к дали,
Все шире быть, все выше подниматься.
 
lamama Дата: Пятница, 27.02.2009, 09:14 | Сообщение # 31
Заведующий кафедрой
Группа: Модераторы
Сообщений: 524
Награды: 0
Статус: Offline
Quote (Sanny)
2. Вот тут не совсем понятно. Нам ведь это и нужно выяснить на основании других факторов, или я что то не так понял?

Юридическое последствие - это, например, начисление зарплаты, прием на работу, увольнение, поощрение и т.п. (приказ подписывается не "от руки", а посредством ЭЦП).


Не оседать, не приживаться -
Ступенька за ступенькой - без печали,
Шагать вперед, идти от дали к дали,
Все шире быть, все выше подниматься.
 
eXceed Дата: Пятница, 27.02.2009, 09:46 | Сообщение # 32
Профессор
Группа: СуперАктив
Сообщений: 5379
Награды: 0
Статус: Offline
lamama

А как транспортную подсистему тоже нельзя?

Как мне надоела уже фагготрия властей.


bda-expert.ru — это система форумов, где можно общаться быстро и свободно, где любая точка зрения имеет право на жизнь.
 
Sanny Дата: Пятница, 27.02.2009, 11:21 | Сообщение # 33
Правдоборец
Группа: СуперАктив
Сообщений: 6225
Награды: 0
Статус: Offline
Quote (lamama)
Юридическое последствие - это, например, начисление зарплаты, прием на работу, увольнение, поощрение и т.п. (приказ подписывается не "от руки", а посредством ЭЦП).

В ЗиК обычно делаются все расчеты по зарплате, по стажу, налоговые отчисления, так же всевозможные начисления по отпускам, больничным, декретам и прочему. Все документы создаются в электронном виде, часть из них распечатывается на бумагу, подписывается руководством, и на них ставится печать организации. ЭЦП, вроде, даже не предусмотрено в ЗиК. Т.е. эта программа, по сути, выполняет роль сложного калькулятора.
Получается, что юридических последствий нет.

Теперь по первому пункту. В информационной базе содержатся данные: Фамилия, Имя, Отчество, дата рождения, пол, ИНН, гражданство, образование, состав семьи, сведения о воинском учете, номер ПФР, адрес прописки, адрес места жительства, номер паспорта, номер банковского счета, место рождения.

Являются ли ПДн следующие сведения: должность, общий стаж, непрерывный стаж, стаж работы на предприятии, страховой стаж, северная надбавка?
Так же в ЗиК о сотруднике содержатся еще много различных сведений: какие налоги с него взымаются, какие доплаты ему причитаются, еще различные расчетные сведения. Как быть с ними?

Я перечислил стандартный набор сведений заносимый кадровиками в конфигурацию 1С:Зарплата и Кадры.


У меня есть план - выпить столько, сколько смогу. Отличный план!
 
Sanny Дата: Пятница, 27.02.2009, 11:42 | Сообщение # 34
Правдоборец
Группа: СуперАктив
Сообщений: 6225
Награды: 0
Статус: Offline
Еще вопрос, нужно ли как то группировать перечень ПДн по пунктам? Или достаточно просто перечислить все подряд?

У меня есть план - выпить столько, сколько смогу. Отличный план!
 
BoSSurman Дата: Воскресенье, 01.03.2009, 19:56 | Сообщение # 35
Корифей
Группа: Модераторы
Сообщений: 674
Награды: 0
Статус: Offline
Quote (Sanny)
Еще вопрос, нужно ли как то группировать перечень ПДн по пунктам? Или достаточно просто перечислить все подряд?

Зависит от объема ИМХО.


:-P
 
lamama Дата: Понедельник, 02.03.2009, 09:32 | Сообщение # 36
Заведующий кафедрой
Группа: Модераторы
Сообщений: 524
Награды: 0
Статус: Offline
Quote (Sanny)
Еще вопрос, нужно ли как то группировать перечень ПДн по пунктам? Или достаточно просто перечислить все подряд?

В Уведомлении об обработке (намерении обрабатывать) ПДн вы перечисляете все подряд. Если у Вас эти данные находятся в одной ИСПДн, то смысла в группировке нет. Теперь, когда ответ на все вопросы получен - классифицируйте. Документ по классификации - открытый.


Не оседать, не приживаться -
Ступенька за ступенькой - без печали,
Шагать вперед, идти от дали к дали,
Все шире быть, все выше подниматься.
 
Sanny Дата: Четверг, 05.03.2009, 10:17 | Сообщение # 37
Правдоборец
Группа: СуперАктив
Сообщений: 6225
Награды: 0
Статус: Offline
Quote (lamama)
В Уведомлении об обработке (намерении обрабатывать) ПДн вы перечисляете все подряд.

Как я понял, согласно пункту 1 части 2 статьи 22 ФЗ "О персональных данных", в нашем случае, уведомлять об обработке ПДн никого не надо.

Quote (Sanny)
Теперь, когда ответ на все вопросы получен - классифицируйте.

Вторая категория ПДн. Класс ИСПДн определить труднее, скорее всего третий


У меня есть план - выпить столько, сколько смогу. Отличный план!

Сообщение отредактировал Sanny - Четверг, 05.03.2009, 14:43
 
Sanny Дата: Четверг, 05.03.2009, 12:32 | Сообщение # 38
Правдоборец
Группа: СуперАктив
Сообщений: 6225
Награды: 0
Статус: Offline
Возник вопрос: законно ли хранить персональные данные уволенных сотрудников? Ведь цель обработки ПДн достигнута и согласно части второй статьи 5 ФЗ "О персональных данных" их нужно уничтожить в течении трех дней. Но согласно «Перечня типовых управленческих документов, образующихся в деятельности организаций, с указанием срока хранения», утвержденным приказом Росархива от 6 октября 2000 года, личные дела (заявления, автобиографии, копии приказов и выписки из них, копии личных документов, характеристики, листки по учету кадров, анкеты, аттестационные листы и другое), а также трудовые договоры (контракты), трудовые соглашения, не вошедшие в состав личных дел, личные карточки работников (в том числе временных работников), характеристики работников, не имеющих личных дел на работников хранятся 75 лет.

Я имею ввиду хранить в базе ЗиК, а не на бумажных носителях.


У меня есть план - выпить столько, сколько смогу. Отличный план!

Сообщение отредактировал Sanny - Четверг, 05.03.2009, 12:40
 
lamama Дата: Среда, 11.03.2009, 13:46 | Сообщение # 39
Заведующий кафедрой
Группа: Модераторы
Сообщений: 524
Награды: 0
Статус: Offline
Quote (Sanny)
Возник вопрос: законно ли хранить персональные данные уволенных сотрудников? Ведь цель обработки ПДн достигнута и согласно части второй статьи 5 ФЗ "О персональных данных" их нужно уничтожить в течении трех дней. Но согласно «Перечня типовых управленческих документов, образующихся в деятельности организаций, с указанием срока хранения», утвержденным приказом Росархива от 6 октября 2000 года, личные дела (заявления, автобиографии, копии приказов и выписки из них, копии личных документов, характеристики, листки по учету кадров, анкеты, аттестационные листы и другое), а также трудовые договоры (контракты), трудовые соглашения, не вошедшие в состав личных дел, личные карточки работников (в том числе временных работников), характеристики работников, не имеющих личных дел на работников хранятся 75 лет. Я имею ввиду хранить в базе ЗиК, а не на бумажных носителях.

В Уведомлении ссылаешься на эти документы - и храни сколько влезет. Однако, по письменной просьбе субьекта с ИСПДн ты должен их будешь убрать.


Не оседать, не приживаться -
Ступенька за ступенькой - без печали,
Шагать вперед, идти от дали к дали,
Все шире быть, все выше подниматься.
 
Elena Дата: Пятница, 03.04.2009, 10:02 | Сообщение # 40
Да! Я - такая!
Группа: СуперАктив
Сообщений: 359
Награды: 0
Статус: Offline
Quote (Elena)
по поводу классификации ИСПДн

В общем, как показал опрос, нормативка по данному направлению недоработана (и это еще мягко сказано) admin
И единственное, что я для себя вынесла это: самое оптимальное классифицировать ИСПДн по максимальным параметрам (т.е. по 1К), т.к. от большего к меньшего в будущем идти легче - вот так. wow


"Я вообще животных люблю. Кто-то там кошек любит, или собак, а я всех люблю без разбора. Людей только не люблю. Надоели, сука. Носятся и бегают, орут друг на друга, суетятся, злые все какие-то!"
"Лучшим доказательством существования разумной жизни во вселенной является тот факт, что с нами до сих пор никто не попытался связаться."
 
Факультет ИСиТ СыктГУ - Форум » Компьютеры / Интернет / Информационные системы и технологии » Информационная безопасность и криптология » Защита персональных данных (Защита ПД с практической точки зрения)
  • Страница 2 из 5
  • «
  • 1
  • 2
  • 3
  • 4
  • 5
  • »
Поиск:



Copyright bda-expert.ru © 2008-2021Хостинг от uCoz