|
Защита персональных данных
|
| maestRo |
Дата: Понедельник, 15.02.2010, 21:52 | Сообщение # 61 |
Магистр
Группа: Актив
Сообщений: 228
Награды: 0
Статус: Offline
| Читеры вы.
Хотя мы теперь отчасти тоже 
Хотел поставить в подписи рекламу, почитал правила форума :)
Так что: ==Тут могла быть наша реклама==
|
| |
| | |
| frask |
Дата: Среда, 24.02.2010, 23:18 | Сообщение # 62 |
Ассистент
Группа: Актив
Сообщений: 253
Награды: 1
Статус: Offline
| по причине стыковки на практике с персоналкой выяснил некоторые интересные вещи, подтверждающиеся на форумах паутины: При этом системы классов К1 и К2 должны получать аттестат ФСТЭК, операторы систем К3 могут просто декларировать свою защищенность, а К4 защищается вообще по решению оператора — без участия ФСТЭК. На пример:
ФИО + некоторый id – персональные данные 4 категории.
ФИО + и номер, дата выдачи паспорта или номер ИНН – персональные данные 3 категории.
Карточка Т-2 (унифицированная карточка сотрудника) – персональные данные 2 категории
ФИО + сведения о здоровье (причина заболевания, временные факторы) – персональные данные 1 категории. или вот такое: А вот представитель ФСТЭК на конференции осенью 2009 года говорил, что ФИО без любой другой дополнительной информации НЕ ЯВЛЯЮТСЯ персональными данными.
|
| |
| | |
| Sanny |
Дата: Среда, 24.02.2010, 23:25 | Сообщение # 63 |
Правдоборец
Группа: СуперАктив
Сообщений: 6225
Награды: 0
Статус: Offline
| Quote (frask) А вот представитель ФСТЭК на конференции осенью 2009 года говорил, что ФИО без любой другой дополнительной информации НЕ ЯВЛЯЮТСЯ персональными данными.
Он скорее всего имел ввиду то, что это обезличенные персональные данные. Просто неправильно выразился.
У меня есть план - выпить столько, сколько смогу. Отличный план!
Сообщение отредактировал Sanny - Среда, 24.02.2010, 23:25 |
| |
| | |
| frask |
Дата: Среда, 24.02.2010, 23:28 | Сообщение # 64 |
|
Ассистент
Группа: Актив
Сообщений: 253
Награды: 1
Статус: Offline
| да меня это просто слегка возмутило седня... по сути выходит, что например база ФИО абонентов любой компании может практически не защищаться
и в этом случае радуйся иванов иван иванович коих пардон хоть жопой ешь, и попадай товарищ черезногузадерищенко коий один на всю россию
Сообщение отредактировал frask - Среда, 24.02.2010, 23:30 |
| |
| | |
| Sanny |
Дата: Среда, 24.02.2010, 23:44 | Сообщение # 65 |
|
Правдоборец
Группа: СуперАктив
Сообщений: 6225
Награды: 0
Статус: Offline
| Ну не любой компании. А только той у которой субъектов ПДн меньше 1000. У нее скорее всего и средств то нет на создание защищенной ИСПДн второго класса. А то что злоумышленник определит какая строчка в базе к какому человеку относится не так страшно если там не содержится никакой дополнительной информации.
У меня есть план - выпить столько, сколько смогу. Отличный план!
Сообщение отредактировал Sanny - Среда, 24.02.2010, 23:48 |
| |
| | |
| BoSSurman |
Дата: Среда, 24.02.2010, 23:48 | Сообщение # 66 |
|
Корифей
Группа: Модераторы
Сообщений: 674
Награды: 0
Статус: Offline
| Фтопку ФСТЭК. Ждем новые требования, которые заменят четверокнижие.
:-P
|
| |
| | |
| maestRo |
Дата: Четверг, 25.02.2010, 22:37 | Сообщение # 67 |
|
Магистр
Группа: Актив
Сообщений: 228
Награды: 0
Статус: Offline
| Появился проект еще одного документа.
Вот он. http://www.ispdn.ru/news/detail_industry.php?ELEMENT_ID=5397
На сайте ФСТЭК он появился 29 января, но в начале фераля был удален, о чем свидетельствует раздел Новости (www.fstec.ru)
Хотел поставить в подписи рекламу, почитал правила форума :)
Так что: ==Тут могла быть наша реклама==
|
| |
| | |
| lamama |
Дата: Пятница, 26.02.2010, 12:27 | Сообщение # 68 |
Заведующий кафедрой
Группа: Модераторы
Сообщений: 524
Награды: 0
Статус: Offline
| Quote (BoSSurman) Фтопку ФСТЭК. Ждем новые требования, которые заменят четверокнижие.
Может Пятикнижие Моисея за основу взять  ?
Чем Вас ФСТЭК не устроил? Все понятно и просто. Есть конечно заморочки, но они есть во всем нашем законодательстве и получается "Закон что дышло ...".
Не оседать, не приживаться -
Ступенька за ступенькой - без печали,
Шагать вперед, идти от дали к дали,
Все шире быть, все выше подниматься.
|
| |
| | |
| BoSSurman |
Дата: Пятница, 26.02.2010, 20:20 | Сообщение # 69 |
|
Корифей
Группа: Модераторы
Сообщений: 674
Награды: 0
Статус: Offline
| lamama, тем, что требования неадекватные абсолютно и никак не учитывают различные особенности организаций. Они для сферических коней в вакууме, а не для организаций, в которых хотят, чтобы расходы на защиту адекватно отвечали уровню реальных угроз.
:-P
|
| |
| | |
| lamama |
Дата: Понедельник, 01.03.2010, 19:43 | Сообщение # 70 |
|
Заведующий кафедрой
Группа: Модераторы
Сообщений: 524
Награды: 0
Статус: Offline
| Quote (BoSSurman) lamama, тем, что требования неадекватные абсолютно и никак не учитывают различные особенности организаций. Они для сферических коней в вакууме, а не для организаций, в которых хотят, чтобы расходы на защиту адекватно отвечали уровню реальных угроз.
Эти требования для типовых ИСПДн. Вы для начала найдите такие. Большинство ИСПДн - специальные, а потому их безопасность обеспечивается на основании модели угроз. Это-же огромный простор для творчества. Как Вы этого не понимаете? Вплоть до того, что все свои банковские ИСПДн можете свести к Вашему любимому Стандарту национального банка России по ИБ.
Не оседать, не приживаться -
Ступенька за ступенькой - без печали,
Шагать вперед, идти от дали к дали,
Все шире быть, все выше подниматься.
|
| |
| | |
| BoSSurman |
Дата: Вторник, 02.03.2010, 23:12 | Сообщение # 71 |
|
Корифей
Группа: Модераторы
Сообщений: 674
Награды: 0
Статус: Offline
| Уважаемый, lamama, я как раз прекрасно все понимаю и об этой возможности писал в данной теме уже почти месяц назад (14 и 15 февраля) и именно в контексте защиты ПДн в кредитных организациях. Но вы ведь сами, уверен, тоже прекрасно знаете, что сравнительно недавно еще нельзя было совершенно спокойно отходить от требований, предъявляемых ФСТЭК к конкретным классам. Да, сейчас действительно в методичке ФСТЭК после таблицы классификации ИСПДн про специальные ИС написано:
Quote По результатам оценки *актуальности угроз, прим.* требования по защите ИСПДн от различных угроз могут быть скорректированы по сравнению с типовыми, приведенными в разделе 5. Решение об этом принимает оператор ИСПДн.
Но ведь совсем немногим раньше в методичках, рассылаемых ФСТЭК, а в университете, думаю, у нас есть старая редакция, формулировка данного абзаца была совершенно иной. Речи о оценке актуальности угроз даже и не шло. Более того, "новая и исправленная редакция" методичек вышла не под новым номером, а под тем же старым. ФСТЭК просто взял и заменил абзацы, как будто так все и было, и, если не ошибаюсь, такое произошло не только с этим абзацем. Разве это нормальная ситуация для серьезной структуры? И вообще методические документы должны помогать организациям в обеспечении защиты ПДн, должны быть четкими, понятными и не должны допускать никаких разночтений.
Quote (lamama) "Закон что дышло ...".
Это как раз и грустно  После выхода четверокнижия вместо полезных рекомендаций по технологии защиты ПДн мы получаем нечто сумбурное и маловыполнимое с непонятным правовым статусом. Одни вопросы и поиски путей ухода от выполнения требований. Почему я открываю какой-нибудь NIST и там все четко и прекрасно расписано, все по теме и максимально полезно? Хочется видеть документы, которые хоть немного по качеству приблизятся к тем же NISTам....
:-P
|
| |
| | |
| BoSSurman |
Дата: Вторник, 02.03.2010, 23:25 | Сообщение # 72 |
|
Корифей
Группа: Модераторы
Сообщений: 674
Награды: 0
Статус: Offline
| Quote (BoSSurman) Фтопку ФСТЭК. Ждем новые требования, которые заменят четверокнижие.
Приказ ФСТЭК от 5 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных»
:-P
|
| |
| | |
| maestRo |
Дата: Среда, 03.03.2010, 00:20 | Сообщение # 73 |
|
Магистр
Группа: Актив
Сообщений: 228
Награды: 0
Статус: Offline
| Согласен с мненеием BoSSurman, что даже в такой федеральной структуре как ФСТЭК нет полноценных специалистов, которые бы могли четко продумать документ, донести его до обычных людей, которым необходимо будет столкнуться с этим. Сделали для того, чтобы выполнить так сказать план. Причем по части документов тупо передирая зарубежную практику, и даже неправильно переводя кое-какие абзацы. Почему в Банке России стандарты намного понятнее и более четко прописаны?
Почему документы по криптографии ФСБ России понятны с первого прочтения, а со второго ты знаешь как это организовать, соблюсти и тому подобное? (замечу не менее заковыристые и сложные)
ФСТЭК до них еще как до луны. Что ж, им есть куда стремиться.
А пока приходится глотать то, что они изрыгнули на белый свет. Тут уж что поделать.
Вон приказ от 5 февраля вышел. Латают дыры на крыльях своего Боинга.
Хотел поставить в подписи рекламу, почитал правила форума :)
Так что: ==Тут могла быть наша реклама==
|
| |
| | |
| lamama |
Дата: Пятница, 05.03.2010, 16:38 | Сообщение # 74 |
|
Заведующий кафедрой
Группа: Модераторы
Сообщений: 524
Награды: 0
Статус: Offline
| Quote (BoSSurman) Приказ ФСТЭК от 5 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных»
Приказ очень приятный и понятный  . Жал только, что еще не действует (начнет действовать через 10 дней после опубликования, которого еще не было).
Quote (BoSSurman) Но ведь совсем немногим раньше в методичках, рассылаемых ФСТЭК, а в университете, думаю, у нас есть старая редакция, формулировка данного абзаца была совершенно иной.
Там было указано:
Quote (выписка из рекоммендаций до снятия пометки)
По результатам оценки требования по защите ИСПДн от различных угроз могут быть скорректированы по сравнению с типовыми, приведенными в разделе 5. Решение об этом принимает оператор ИСПДн.
То есть формулировка совпадает. Так-же смотрите 781 Постановление Правительства - оно выше по статусу.
А на счет несовершенства системы защиты информации в России - согласен с maestRo.
Не оседать, не приживаться -
Ступенька за ступенькой - без печали,
Шагать вперед, идти от дали к дали,
Все шире быть, все выше подниматься.
|
| |
| | |
| EDA |
Дата: Пятница, 05.03.2010, 19:32 | Сообщение # 75 |
Студент
Группа: Актив
Сообщений: 65
Награды: 0
Статус: Offline
| Сегодня приказ фстэк № 58 опубликован в Российской газете! Вступает в силу 16 марта 2010 г.
http://www.rg.ru/2010/03/05/dannye-dok.html
|
| |
| | |
| maestRo |
Дата: Пятница, 05.03.2010, 21:58 | Сообщение # 76 |
|
Магистр
Группа: Актив
Сообщений: 228
Награды: 0
Статус: Offline
| Да приказ хороший. Думаю в скором времени сделают из него РДшечку.
Хотел поставить в подписи рекламу, почитал правила форума :)
Так что: ==Тут могла быть наша реклама==
|
| |
| | |
| lamama |
Дата: Вторник, 09.03.2010, 12:49 | Сообщение # 77 |
|
Заведующий кафедрой
Группа: Модераторы
Сообщений: 524
Награды: 0
Статус: Offline
| Quote (maestRo) Да приказ хороший. Думаю в скором времени сделают из него РДшечку.
Самое приятное, что для К2-К3 ни слова по сертифицированную защиту.
Не оседать, не приживаться -
Ступенька за ступенькой - без печали,
Шагать вперед, идти от дали к дали,
Все шире быть, все выше подниматься.
|
| |
| | |
| eXceed |
Дата: Среда, 10.03.2010, 17:23 | Сообщение # 78 |
Профессор
Группа: СуперАктив
Сообщений: 5379
Награды: 0
Статус: Offline
| лол, рекурсия: Из инструкции ФАПСИ от 13 июня 2001 года N 152: Сертифицированные ФАПСИ средства криптографической защиты конфиденциальной информации в настоящей Инструкции именуются - СКЗИ. К СКЗИ относятся: - реализующие криптографические алгоритмы преобразования информации, аппаратные, программные и аппаратно-программные средства, системы и комплексы, обеспечивающие безопасность информации при ее обработке, хранении и передаче по каналам связи включая СКЗИ;
bda-expert.ru — это система форумов, где можно общаться быстро и свободно, где любая точка зрения имеет право на жизнь.
|
| |
| | |
| maestRo |
Дата: Среда, 10.03.2010, 22:20 | Сообщение # 79 |
|
Магистр
Группа: Актив
Сообщений: 228
Награды: 0
Статус: Offline
| я считаю что ее пора переработать, т.к. она уже не соответствует реалиям. ДА и ФАПСИ сейчас нет, и ПКЗ-99.. По поводу приказа ФСТЭК №58, там тоже баги нашел. Про аутентификацию и про контроль целостности. Подчеркните маркером эти пункты для всех классов и сравните
Хотел поставить в подписи рекламу, почитал правила форума :)
Так что: ==Тут могла быть наша реклама==
|
| |
| | |
| EDA |
Дата: Четверг, 11.03.2010, 15:21 | Сообщение # 80 |
|
Студент
Группа: Актив
Сообщений: 65
Награды: 0
Статус: Offline
| Решением Федеральной службы по техническому и экспортному контролю от 5 марта 2010 года в связи с изданием приказа ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных » (зарегистрирован Минюстом России 19 февраля 2010 г., регистрационный № 16456; опубликован: «Российская газета», 5 марта 2010 г., № 46) отменено применение с 15 марта 2010 г. для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных следующие методические документы ФСТЭК России: - Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.; - Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г. В настоящее время на сайте ФСТЭК России доступны следущие документы по персональным данным:
- Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (Документ MS Word), ФСТЭК России, 2008 г. - Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных(выписка) (архив RAR), ФСТЭК России, 2008 г. а также: - "Приказ ФСТЭК России от 5 февраля 2010 г. об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных" "Решение ФСТЭК России от 5 марта 2010 г."
|
| |
| |
|
