Факультет ИСиТ Пятница, 29.03.2024, 14:07
Приветствую Вас Гость | RSS
[ Персональный раздел · Новые сообщения · Участники · Правила форума · Поиск · RSS ]
  • Страница 3 из 5
  • «
  • 1
  • 2
  • 3
  • 4
  • 5
  • »
Модератор форума: lamama  
Факультет ИСиТ СыктГУ - Форум » Компьютеры / Интернет / Информационные системы и технологии » Информационная безопасность и криптология » Защита персональных данных (Защита ПД с практической точки зрения)
Защита персональных данных
lamama Дата: Пятница, 03.04.2009, 10:10 | Сообщение # 41
Заведующий кафедрой
Группа: Модераторы
Сообщений: 524
Награды: 0
Статус: Offline
Quote (Elena)
И единственное, что я для себя вынесла это: самое оптимальное классифицировать ИСПДн по максимальным параметрам (т.е. по 1К), т.к. от большего к меньшего в будущем идти легче - вот так.

А модель угроз проще делать от К4 к К1 cool . А для начала надо решить что вам важнее: обеспечить конфиденциальность или обязательно еще целостность и доступность. На сколько критична целостность и доступность? Если вы эти два пункта итак обеспечиваете по другим причинам, так может и классифицировать как типовую. Однако, если внимательно читать документы, то окажется, что типовых систем класса К1 не сужествует biggrin .


Не оседать, не приживаться -
Ступенька за ступенькой - без печали,
Шагать вперед, идти от дали к дали,
Все шире быть, все выше подниматься.
 
Elena Дата: Пятница, 03.04.2009, 10:16 | Сообщение # 42
Да! Я - такая!
Группа: СуперАктив
Сообщений: 359
Награды: 0
Статус: Offline
Как говорится, УПС))))
Но суть не в этом, а в том, что лучше сразу по максимуму сделать, а потом уже от него [максимума] плясать wink
P.S. но эт мое мнение, может и не права, но любая система может перепрыгнуть от 4 к 1))))
P.P.S. каюсь: нада перечитать внимательно broken


"Я вообще животных люблю. Кто-то там кошек любит, или собак, а я всех люблю без разбора. Людей только не люблю. Надоели, сука. Носятся и бегают, орут друг на друга, суетятся, злые все какие-то!"
"Лучшим доказательством существования разумной жизни во вселенной является тот факт, что с нами до сих пор никто не попытался связаться."


Сообщение отредактировал Elena - Пятница, 03.04.2009, 10:18
 
BoSSurman Дата: Пятница, 03.04.2009, 22:27 | Сообщение # 43
Корифей
Группа: Модераторы
Сообщений: 674
Награды: 0
Статус: Offline
Quote (Elena)
И единственное, что я для себя вынесла это: самое оптимальное классифицировать ИСПДн по максимальным параметрам (т.е. по 1К), т.к. от большего к меньшего в будущем идти легче - вот так.

В корне не верно, чуть позже постараюсь отписаться почему.


:-P
 
Elena Дата: Понедельник, 06.04.2009, 12:59 | Сообщение # 44
Да! Я - такая!
Группа: СуперАктив
Сообщений: 359
Награды: 0
Статус: Offline
Quote (BoSSurman)
В корне не верно, чуть позже постараюсь отписаться почему

Вполне возможно, что неправильно *пожимаю плечами* ("я не волшебник, а только учусь"), жду-с ответа)))


"Я вообще животных люблю. Кто-то там кошек любит, или собак, а я всех люблю без разбора. Людей только не люблю. Надоели, сука. Носятся и бегают, орут друг на друга, суетятся, злые все какие-то!"
"Лучшим доказательством существования разумной жизни во вселенной является тот факт, что с нами до сих пор никто не попытался связаться."
 
BoSSurman Дата: Суббота, 11.04.2009, 19:40 | Сообщение # 45
Корифей
Группа: Модераторы
Сообщений: 674
Награды: 0
Статус: Offline
Elena,
Если мы ведем речь о К1 и все-таки пытаемся соблюдать требования 4х-книжия, то нам необходимо будет провести аттестацию ИСПДн по требованиям безопасности информации, получить лицензию на ТЗКИ, а там еще и по ПЭМИН требования... Оно тебе надо? =) Чем ниже класс, тем проще и дешевле wink

Ну и, в общем-то, действительно если говорить о специальной ИСПДн, то класс мы ей присвоить не можем, т.к. отсутствует методика для них, а значит и выполнять мероприятия по защите мы не можем, т.к. они расписаны только для классифицированных и типовых ИСПДн biggrin


:-P

Сообщение отредактировал BoSSurman - Суббота, 11.04.2009, 20:48
 
Gaika Дата: Четверг, 07.05.2009, 12:33 | Сообщение # 46
Школьник
Группа: Актив
Сообщений: 7
Награды: 0
Статус: Offline
Quote (Expert)
Дмитрий Николаевич сейчас активно готовит курс лекций по "персоналке" на текущий семестр
Комент был оставлен еще в феврале, сегодня на дворе уже май, а лекций по ПД мы так и не услышали..
 
Expert Дата: Четверг, 07.05.2009, 12:51 | Сообщение # 47
Главный
Группа: Администраторы
Сообщений: 6115
Награды: 1
Статус: Offline
Quote (Gaika)
Комент был оставлен еще в феврале, сегодня на дворе уже май, а лекций по ПД мы так и не услышали..

Возьму на заметку.


Блог декана

Уведомление для прессы и всех пользователей сети интернет: администрация форума может не заметить вовремя нецензурных слов и других, возможно, оскорбительных выражений/картинок/прочих материалов. Если вы заметили косвенный либо прямой факт оскорбления кого бы то ни было, пожалуйста, сообщите об этом администратору форума для принятия решения об удалении/модерировании соответствующего сообщения. Полный текст уведомления см. здесь.
 
BoSSurman Дата: Четверг, 07.05.2009, 20:58 | Сообщение # 48
Корифей
Группа: Модераторы
Сообщений: 674
Награды: 0
Статус: Offline
Quote (BoSSurman)
Ну и, в общем-то, действительно если говорить о специальной ИСПДн, то класс мы ей присвоить не можем, т.к. отсутствует методика для них, а значит и выполнять мероприятия по защите мы не можем, т.к. они расписаны только для классифицированных и типовых ИСПДн

Либо самостоятельно классифицируйте, составляйте модели и отправляйте во ФСТЭК на согласование.


:-P
 
BoSSurman Дата: Вторник, 23.06.2009, 22:29 | Сообщение # 49
Корифей
Группа: Модераторы
Сообщений: 674
Награды: 0
Статус: Offline
"22 июня в Ассоциации российских банков состоялось расширенное заседание рабочей группы с участием представителей Банка России, а также Госдумы, Роскомнадзора, ФСБ России и ФСТЭК России, на котором был рассмотрен вопрос реализации кредитными организациями законодательства Российской Федерации по персональным данным (Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее – Закон №152-ФЗ)).

Участники совещания отметили, что кредитные организации испытывают серьезные трудности при практическом применении норм как Закона №152-ФЗ, так и подзаконных актов регуляторов.

Состоялся очень полезный обмен мнениями и позициями. По итогам совещания будет сформировано решение рабочей группы по этому вопросу и подготовка проектов законов для устранения возникших проблем."
http://www.arb.ru/site/action/list_news.php?id=3041

Если говорить конкретней, то представители ФСТЭК поддержали предложение Центрального банка (ЦБ) о том, что именно ЦБ определяет требования по защите конфиденциальной информации (в том числе ПД) в автоматизированных банковских системах.Эти требования должны будут согласоватся с регуляторами. Данный вопрос будет решаться на осенней сессии.

Основная суть в том, что требования 4х документов ФСТЭК по ПД, которые достаточно сложно и дорого выполнять, могут быть заменены на выполнение требований Стандарта Банка России.

Вот такой вот ход конем smile


:-P

Сообщение отредактировал BoSSurman - Вторник, 23.06.2009, 22:29
 
lamama Дата: Четверг, 24.09.2009, 22:13 | Сообщение # 50
Заведующий кафедрой
Группа: Модераторы
Сообщений: 524
Награды: 0
Статус: Offline
Тема немного заглохла. А меня тут заинтересовал вопрос обезличивания ПДн. Оказалось:
Quote (http://lukatsky.blogspot.com/2009/04/blog-post_14.html)

Как осуществить обезличивание? Анализ проекта документа NIST SP800-122 и собственные размышления позволил сформировать следующий список действий, приводящих к обезличиванию:

•Абстрагирование ПДн – сделать их менее точными, например, путем группирования общих характеристик
•Скрытие ПДн – удалить всю или часть записи ПДн
•Внесение шума в ПДн – добавить небольшое количество посторонней информации в ПДн
•Замена ПДн – переставить поля одной записи ПДн с теми же самыми полями другой аналогичной записи
•Замена данных средним значением – заменить выбранные данные средним значением для группы ПДн
•Разделение ПДн на части – использование таблиц перекрестных ссылок.
•Маскирование ПДн - замена одним символов в ПДн другими


Меня заинтересовал этот документ, на котором сослались на блоге Лукацкого, тем более, что:
Quote (http://lukatsky.blogspot.com/2009/01/blog-post_5849.html)

NIST выпустил проект документа по защите персональных данных для американских государственных структур - "Guide to Protecting the Confidentiality of Personally Identifiable Information (PII)" (SP 800-122).

Почему же они умеют писать документы, а наши специалисты нет? Выкрик в пустоту...


Поясню: NIST = National Institute of Standarts and Technology (Национальный институт стандартов и технологий США).
Кстати, по ссылке у них много всяких интересных стандартов, в том числе по ИБ.
Документ NIST SP800-122 скачал и буду изучать. Потом на занятиях по КОИБАС расскажу 4 курсу.


Не оседать, не приживаться -
Ступенька за ступенькой - без печали,
Шагать вперед, идти от дали к дали,
Все шире быть, все выше подниматься.


Сообщение отредактировал lamama - Четверг, 24.09.2009, 22:15
 
Sanny Дата: Пятница, 25.09.2009, 09:21 | Сообщение # 51
Правдоборец
Группа: СуперАктив
Сообщений: 6293
Награды: 0
Статус: Offline
Интересно, какая польза от обезличенных ПДн, кроме статистики?

У меня есть план - выпить столько, сколько смогу. Отличный план!
 
PALADiN Дата: Пятница, 25.09.2009, 21:44 | Сообщение # 52
Студент
Группа: Актив
Сообщений: 52
Награды: 0
Статус: Offline
Так если по определенному алгоритму можно собрать данные, то можно ли их считать обезличенными?

По 152-ФЗ:
ст.3. п.3. Обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.

То есть в моем понимании обезличенные данные - это статистические данные.


Жизнь слишком коротка чтобы писать на ассемблере
 
lamama Дата: Понедельник, 28.09.2009, 20:44 | Сообщение # 53
Заведующий кафедрой
Группа: Модераторы
Сообщений: 524
Награды: 0
Статус: Offline
Quote (Sanny)
Интересно, какая польза от обезличенных ПДн, кроме статистики?

Quote (PALADiN)
То есть в моем понимании обезличенные данные - это статистические данные.

Приведу один интересный пример:
Таблица болезней хранится на сервере, а ФИО с таб. номерами у клиента. При передаче - данные обезличены. Защищать каналы не надо. Защищается только процесс обработки. Результат - снижение затрат на безопасность. Компания КРОК, если не ошибаюсь, предлагает такой вариант снижения затрат на безопасность ПДн.


Не оседать, не приживаться -
Ступенька за ступенькой - без печали,
Шагать вперед, идти от дали к дали,
Все шире быть, все выше подниматься.
 
BoSSurman Дата: Четверг, 31.12.2009, 01:51 | Сообщение # 54
Корифей
Группа: Модераторы
Сообщений: 674
Награды: 0
Статус: Offline
Федеральный закон Российской Федерации от 27 декабря 2009 г. N 363-ФЗ "О внесении изменений в статьи 19 и 25 Федерального закона "О персональных данных""

P.S. только что заметил, что эта новость уже была озвучена в теме "У меня радость!!!"


:-P

Сообщение отредактировал BoSSurman - Четверг, 31.12.2009, 02:22
 
Expert Дата: Четверг, 31.12.2009, 08:42 | Сообщение # 55
Главный
Группа: Администраторы
Сообщений: 6115
Награды: 1
Статус: Offline
BoSSurman, новость отличная.

Блог декана

Уведомление для прессы и всех пользователей сети интернет: администрация форума может не заметить вовремя нецензурных слов и других, возможно, оскорбительных выражений/картинок/прочих материалов. Если вы заметили косвенный либо прямой факт оскорбления кого бы то ни было, пожалуйста, сообщите об этом администратору форума для принятия решения об удалении/модерировании соответствующего сообщения. Полный текст уведомления см. здесь.
 
МихА Дата: Четверг, 31.12.2009, 18:54 | Сообщение # 56
Преподаватель
Группа: СуперАктив
Сообщений: 689
Награды: 0
Статус: Offline
Хаха, уже догадываюсь какую поправку примут в 20х числах декабря 2010 года)))))

Автоматизация антикафе
All active domain list
Личный блог
 
PALADiN Дата: Четверг, 21.01.2010, 22:20 | Сообщение # 57
Студент
Группа: Актив
Сообщений: 52
Награды: 0
Статус: Offline
В Миассе сотрудник образовательного учреждения привлечен к ответственности за незаконную передачу персональных данных своего бывшего ученика.

Прокуратурой города Миасс Челябинской области проведена проверка по заявлению матери несовершеннолетней о незаконном разглашении ее персональных данных.

Установлено, что бывший классный руководитель воспитанницы по устной просьбе постороннего лица выдала на нее характеристику.
Согласно части 1 статьи 6 Федерального закона «О персональных данных» обработка, распространение и передача персональных данных гражданина может осуществляться только с его согласия, за исключением строго определенных законом случаев.

По представлению прокуратуры города Миасс об устранении нарушений закона указанный работник образовательного учреждения привлечен к дисциплинарной ответственности.

Источник: www.chelproc.ru


Жизнь слишком коротка чтобы писать на ассемблере

Сообщение отредактировал PALADiN - Четверг, 21.01.2010, 22:21
 
PALADiN Дата: Пятница, 22.01.2010, 00:00 | Сообщение # 58
Студент
Группа: Актив
Сообщений: 52
Награды: 0
Статус: Offline
Вот такой вопрос-ответ нашел на сайте rsoc.ru

Quote

Владимир
ИС образовательного учреждения >1000 студентов - к какому классу ИСПД относится?

Данные 3 категории. Часть студентов - заочники (т.е. могут "иметь отношение" не только к ВУЗу, но и к другим организациям). Вопрос: подпадает ли система под условие "персональные данные субъектов персональных данных в пределах конкретной организации", т.е. К3?

Смежный гипотетический вопрос: если в базе ВУЗа >100000 личных дел (они должны храниться по выпускникам энное количество лет), система всё равно остаётся К3?


Quote

Alex
Очник студент или заочник никак не влияет на класс. Человек может учиться очно и работать, даже не на одной работе. Конечно формулировка "персональные данные субъектов персональных данных в пределах конкретной организации" расплывчата, но по-моему ей пытались сказать о трудовых отношениях и отношениях членства в разного рода общественных, некоммерческих организациях. В этом случае можно говорить о принадлежности человека к какой-то организации.
В случае же ВУЗа его правоотношения со студентами определяются ГК РФ - между студентом и ВУЗом есть договор оказания образовательных услуг (даже если он не заключен в виде привычного договора, но есть заявление-оферта, есть типовые условия обучения, есть приказ о зачислении-акцепт), просто в случае с бюджетниками платит по этому договору бюджет РФ, а не сам студент. Таким образом, в соответствии с законодательством отношения ВУЗа и студента - это отношения продавец-покупатель, заказчик-исполнитель. Вы же наверное согласитесь, что было бы неправильно, если бы компания причисляла своих покупателей к лицам, относящимся к ней и ссылалась бы на эту формулировку.
В подтверждении своей позиции - посмотрите на формулировку Xнпд=2. Там написано более четко - "работающие в отрасли экономики...". Т.е. все-таки имеются ввиду только трудовые отношения. Было бы разумно написать также и для Xнпд=3, но тогда выпали бы отношения членства в некоммерческих организациях.
На 100% не буду, но скорее всего логика была именно такая, когда писали приказ о классификации.

По смежному вопросу - Если будут хранится в электронном виде в ИС, то класс системы может измениться, т.к. ОДНОВРЕМЕНННО обрабатывается большее количество ПДн. Если же хранится будет вне системы (пусть и в форматах ИС, но на отдельном носителе), то при определенных условиях это будет неавтоматизированная обработка. Если Вы будете хранить данные в целях исполнения 125-ФЗ об архивном деле, то на такие отношения 152-ФЗ не распространяется.

Практически полностью согласен с ответившим, но не уверен насчет того что подчеркнул. То есть можно ли считать оказание образовательных услуг университетом по бюджету договором? и попадаем ли мы тогда под тот пункт когда собирать кучи бумажек с согласием все таки не требуется?


Жизнь слишком коротка чтобы писать на ассемблере

Сообщение отредактировал PALADiN - Пятница, 22.01.2010, 00:01
 
BoSSurman Дата: Воскресенье, 14.02.2010, 00:19 | Сообщение # 59
Корифей
Группа: Модераторы
Сообщений: 674
Награды: 0
Статус: Offline
На сайте ABISS выложены проекты 3х документов, которые призваны очень элегантным образом решить одновременно задачу ЦБ с внедрением стандарта по информационной безопасности в кредитных организациях, а также проблему кредитных организаций по защите ПДн.

Стандарт Банка России СТО БР ИББС-1.0-2010 "Обеспечение информационной безопасноcти организаций банковской системы Российской Федерации. Общие положения" (в 7й раздел добавлены два подраздела по ПДн)

Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных организаций банковской системы Российской Федерации

Рекомендации по выполнению законодательных требований при обработке персональных данных в организациях БС РФ

Главная мысль:

Quote

В соответствии с Федеральным законом от 27 декабря 2002г. «О техническом регулировании» № 184-ФЗ все стандарты Российской Федерации носят рекомендательный характер.

Вместе с тем, в случае введения их в организации БС РФ приказом, стандарты принимают статус документов, обязательных для выполнения. В этом случае организация БС РФ добровольно принимает на себя обязательство внедрить Стандарты Банка России, оценить соответствие организации БС РФ его требованиям (с использованием стандарта Банка России СТО БР ИББС-1.2) и официально подтвердить это, направив в адрес Регуляторов (ФСТЭК России, ФСБ России, Роскомнадзор) и Банка России «Подтверждение соответствия организации БС РФ стандарту Банка России СТО БР ИББС-1.0-20хх» (отраслевому стандарту).

В этом случае Регуляторы в ходе своей деятельности (при осуществлении надзора и контроля выполнения требований законодательства в области персональных данных) руководствуются Комплектом документов Банка России (Отраслевая модель угроз, Стандарты Банка России и данные рекомендации).

Если организация БС РФ не вводит Стандарты Банка России приказом, на нее в полном объеме распространяются документы Регуляторов.

Т.е. общая идея такая: кредитная организация принимает у себя стандарт БР как обязательный и внедряет его, проводит оценку соответствия по специальной существующей методике, получает определенный показатель соответствия, который она доводит до регуляторов по ПДн. Регуляторы довольны, организации тоже. Требования стандарта достаточно просто реализуются даже в небольших организациях, поэтому исчезает проблема тратить огромные деньги на выполнение бредовых требований документов ФСТЭКа.

Лепотааа =)


:-P

Сообщение отредактировал BoSSurman - Воскресенье, 14.02.2010, 00:20
 
BoSSurman Дата: Понедельник, 15.02.2010, 21:11 | Сообщение # 60
Корифей
Группа: Модераторы
Сообщений: 674
Награды: 0
Статус: Offline
Мда, сразу не заметил, но Методику оценки оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС–1.0–хх тоже обновили (групповые показатели М6, М9, М10).

:-P
 
Факультет ИСиТ СыктГУ - Форум » Компьютеры / Интернет / Информационные системы и технологии » Информационная безопасность и криптология » Защита персональных данных (Защита ПД с практической точки зрения)
  • Страница 3 из 5
  • «
  • 1
  • 2
  • 3
  • 4
  • 5
  • »
Поиск:



Copyright bda-expert.ru © 2008-2024Хостинг от uCoz