Факультет ИСиТ Воскресенье, 18.04.2021, 20:38
Приветствую Вас Гость | RSS
[ Персональный раздел · Новые сообщения · Участники · Правила форума · Поиск · RSS ]
  • Страница 4 из 5
  • «
  • 1
  • 2
  • 3
  • 4
  • 5
  • »
Модератор форума: lamama  
Факультет ИСиТ СыктГУ - Форум » Компьютеры / Интернет / Информационные системы и технологии » Информационная безопасность и криптология » Защита персональных данных (Защита ПД с практической точки зрения)
Защита персональных данных
maestRo Дата: Понедельник, 15.02.2010, 21:52 | Сообщение # 61
Магистр
Группа: Актив
Сообщений: 228
Награды: 0
Статус: Offline
Читеры вы.
Хотя мы теперь отчасти тоже wink


Хотел поставить в подписи рекламу, почитал правила форума :)
Так что: ==Тут могла быть наша реклама==
 
frask Дата: Среда, 24.02.2010, 23:18 | Сообщение # 62
Ассистент
Группа: Актив
Сообщений: 253
Награды: 1
Статус: Offline
по причине стыковки на практике с персоналкой выяснил некоторые интересные вещи, подтверждающиеся на форумах паутины:

При этом системы классов К1 и К2 должны получать аттестат ФСТЭК, операторы систем К3 могут просто декларировать свою защищенность, а К4 защищается вообще по решению оператора — без участия ФСТЭК.

На пример:
ФИО + некоторый id – персональные данные 4 категории.
ФИО + и номер, дата выдачи паспорта или номер ИНН – персональные данные 3 категории.
Карточка Т-2 (унифицированная карточка сотрудника) – персональные данные 2 категории
ФИО + сведения о здоровье (причина заболевания, временные факторы) – персональные данные 1 категории.

или вот такое:

А вот представитель ФСТЭК на конференции осенью 2009 года говорил, что ФИО без любой другой дополнительной информации НЕ ЯВЛЯЮТСЯ персональными данными.

 
Sanny Дата: Среда, 24.02.2010, 23:25 | Сообщение # 63
Правдоборец
Группа: СуперАктив
Сообщений: 6225
Награды: 0
Статус: Offline
Quote (frask)
А вот представитель ФСТЭК на конференции осенью 2009 года говорил, что ФИО без любой другой дополнительной информации НЕ ЯВЛЯЮТСЯ персональными данными.

Он скорее всего имел ввиду то, что это обезличенные персональные данные. Просто неправильно выразился.


У меня есть план - выпить столько, сколько смогу. Отличный план!

Сообщение отредактировал Sanny - Среда, 24.02.2010, 23:25
 
frask Дата: Среда, 24.02.2010, 23:28 | Сообщение # 64
Ассистент
Группа: Актив
Сообщений: 253
Награды: 1
Статус: Offline
да меня это просто слегка возмутило седня... по сути выходит, что например база ФИО абонентов любой компании может практически не защищаться
и в этом случае радуйся иванов иван иванович коих пардон хоть жопой ешь, и попадай товарищ черезногузадерищенко коий один на всю россию


Сообщение отредактировал frask - Среда, 24.02.2010, 23:30
 
Sanny Дата: Среда, 24.02.2010, 23:44 | Сообщение # 65
Правдоборец
Группа: СуперАктив
Сообщений: 6225
Награды: 0
Статус: Offline
Ну не любой компании. А только той у которой субъектов ПДн меньше 1000. У нее скорее всего и средств то нет на создание защищенной ИСПДн второго класса.

А то что злоумышленник определит какая строчка в базе к какому человеку относится не так страшно если там не содержится никакой дополнительной информации.


У меня есть план - выпить столько, сколько смогу. Отличный план!

Сообщение отредактировал Sanny - Среда, 24.02.2010, 23:48
 
BoSSurman Дата: Среда, 24.02.2010, 23:48 | Сообщение # 66
Корифей
Группа: Модераторы
Сообщений: 674
Награды: 0
Статус: Offline
Фтопку ФСТЭК. Ждем новые требования, которые заменят четверокнижие.

:-P
 
maestRo Дата: Четверг, 25.02.2010, 22:37 | Сообщение # 67
Магистр
Группа: Актив
Сообщений: 228
Награды: 0
Статус: Offline
Появился проект еще одного документа.
Вот он. http://www.ispdn.ru/news/detail_industry.php?ELEMENT_ID=5397
На сайте ФСТЭК он появился 29 января, но в начале фераля был удален, о чем свидетельствует раздел Новости (www.fstec.ru)


Хотел поставить в подписи рекламу, почитал правила форума :)
Так что: ==Тут могла быть наша реклама==
 
lamama Дата: Пятница, 26.02.2010, 12:27 | Сообщение # 68
Заведующий кафедрой
Группа: Модераторы
Сообщений: 524
Награды: 0
Статус: Offline
Quote (BoSSurman)
Фтопку ФСТЭК. Ждем новые требования, которые заменят четверокнижие.

Может Пятикнижие Моисея за основу взять biggrin ?
Чем Вас ФСТЭК не устроил? Все понятно и просто. Есть конечно заморочки, но они есть во всем нашем законодательстве и получается "Закон что дышло ...".


Не оседать, не приживаться -
Ступенька за ступенькой - без печали,
Шагать вперед, идти от дали к дали,
Все шире быть, все выше подниматься.
 
BoSSurman Дата: Пятница, 26.02.2010, 20:20 | Сообщение # 69
Корифей
Группа: Модераторы
Сообщений: 674
Награды: 0
Статус: Offline
lamama, тем, что требования неадекватные абсолютно и никак не учитывают различные особенности организаций. Они для сферических коней в вакууме, а не для организаций, в которых хотят, чтобы расходы на защиту адекватно отвечали уровню реальных угроз.

:-P
 
lamama Дата: Понедельник, 01.03.2010, 19:43 | Сообщение # 70
Заведующий кафедрой
Группа: Модераторы
Сообщений: 524
Награды: 0
Статус: Offline
Quote (BoSSurman)
lamama, тем, что требования неадекватные абсолютно и никак не учитывают различные особенности организаций. Они для сферических коней в вакууме, а не для организаций, в которых хотят, чтобы расходы на защиту адекватно отвечали уровню реальных угроз.

Эти требования для типовых ИСПДн. Вы для начала найдите такие. Большинство ИСПДн - специальные, а потому их безопасность обеспечивается на основании модели угроз. Это-же огромный простор для творчества. Как Вы этого не понимаете? Вплоть до того, что все свои банковские ИСПДн можете свести к Вашему любимому Стандарту национального банка России по ИБ.


Не оседать, не приживаться -
Ступенька за ступенькой - без печали,
Шагать вперед, идти от дали к дали,
Все шире быть, все выше подниматься.
 
BoSSurman Дата: Вторник, 02.03.2010, 23:12 | Сообщение # 71
Корифей
Группа: Модераторы
Сообщений: 674
Награды: 0
Статус: Offline
Уважаемый, lamama, я как раз прекрасно все понимаю и об этой возможности писал в данной теме уже почти месяц назад (14 и 15 февраля) и именно в контексте защиты ПДн в кредитных организациях. Но вы ведь сами, уверен, тоже прекрасно знаете, что сравнительно недавно еще нельзя было совершенно спокойно отходить от требований, предъявляемых ФСТЭК к конкретным классам. Да, сейчас действительно в методичке ФСТЭК после таблицы классификации ИСПДн про специальные ИС написано:
Quote
По результатам оценки *актуальности угроз, прим.* требования по защите ИСПДн от различных угроз могут быть скорректированы по сравнению с типовыми, приведенными в разделе 5. Решение об этом принимает оператор ИСПДн.

Но ведь совсем немногим раньше в методичках, рассылаемых ФСТЭК, а в университете, думаю, у нас есть старая редакция, формулировка данного абзаца была совершенно иной. Речи о оценке актуальности угроз даже и не шло. Более того, "новая и исправленная редакция" методичек вышла не под новым номером, а под тем же старым. ФСТЭК просто взял и заменил абзацы, как будто так все и было, и, если не ошибаюсь, такое произошло не только с этим абзацем. Разве это нормальная ситуация для серьезной структуры?

И вообще методические документы должны помогать организациям в обеспечении защиты ПДн, должны быть четкими, понятными и не должны допускать никаких разночтений.

Quote (lamama)
"Закон что дышло ...".

Это как раз и грустно sad После выхода четверокнижия вместо полезных рекомендаций по технологии защиты ПДн мы получаем нечто сумбурное и маловыполнимое с непонятным правовым статусом. Одни вопросы и поиски путей ухода от выполнения требований. Почему я открываю какой-нибудь NIST и там все четко и прекрасно расписано, все по теме и максимально полезно? Хочется видеть документы, которые хоть немного по качеству приблизятся к тем же NISTам....


:-P
 
BoSSurman Дата: Вторник, 02.03.2010, 23:25 | Сообщение # 72
Корифей
Группа: Модераторы
Сообщений: 674
Награды: 0
Статус: Offline
Quote (BoSSurman)
Фтопку ФСТЭК. Ждем новые требования, которые заменят четверокнижие.

Quote (maestRo)
Появился проект еще одного документа. Вот он. http://www.ispdn.ru/news/detail_industry.php?ELEMENT_ID=5397 На сайте ФСТЭК он появился 29 января, но в начале фераля был удален, о чем свидетельствует раздел Новости (www.fstec.ru)

Приказ ФСТЭК от 5 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных»


:-P
 
maestRo Дата: Среда, 03.03.2010, 00:20 | Сообщение # 73
Магистр
Группа: Актив
Сообщений: 228
Награды: 0
Статус: Offline
Согласен с мненеием BoSSurman, что даже в такой федеральной структуре как ФСТЭК нет полноценных специалистов, которые бы могли четко продумать документ, донести его до обычных людей, которым необходимо будет столкнуться с этим. Сделали для того, чтобы выполнить так сказать план. Причем по части документов тупо передирая зарубежную практику, и даже неправильно переводя кое-какие абзацы.

Почему в Банке России стандарты намного понятнее и более четко прописаны?
Почему документы по криптографии ФСБ России понятны с первого прочтения, а со второго ты знаешь как это организовать, соблюсти и тому подобное? (замечу не менее заковыристые и сложные)
ФСТЭК до них еще как до луны. Что ж, им есть куда стремиться.
А пока приходится глотать то, что они изрыгнули на белый свет. Тут уж что поделать.
Вон приказ от 5 февраля вышел. Латают дыры на крыльях своего Боинга.


Хотел поставить в подписи рекламу, почитал правила форума :)
Так что: ==Тут могла быть наша реклама==
 
lamama Дата: Пятница, 05.03.2010, 16:38 | Сообщение # 74
Заведующий кафедрой
Группа: Модераторы
Сообщений: 524
Награды: 0
Статус: Offline
Quote (BoSSurman)
Приказ ФСТЭК от 5 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных»

Приказ очень приятный и понятный smile . Жал только, что еще не действует (начнет действовать через 10 дней после опубликования, которого еще не было).
Quote (BoSSurman)
Но ведь совсем немногим раньше в методичках, рассылаемых ФСТЭК, а в университете, думаю, у нас есть старая редакция, формулировка данного абзаца была совершенно иной.

Там было указано:
Quote (выписка из рекоммендаций до снятия пометки)

По результатам оценки требования по защите ИСПДн от различных угроз могут быть скорректированы по сравнению с типовыми, приведенными в разделе 5. Решение об этом принимает оператор ИСПДн.

То есть формулировка совпадает. Так-же смотрите 781 Постановление Правительства - оно выше по статусу.
А на счет несовершенства системы защиты информации в России - согласен с maestRo.


Не оседать, не приживаться -
Ступенька за ступенькой - без печали,
Шагать вперед, идти от дали к дали,
Все шире быть, все выше подниматься.
 
EDA Дата: Пятница, 05.03.2010, 19:32 | Сообщение # 75
Студент
Группа: Актив
Сообщений: 65
Награды: 0
Статус: Offline
Сегодня приказ фстэк № 58 опубликован в Российской газете! Вступает в силу 16 марта 2010 г.
http://www.rg.ru/2010/03/05/dannye-dok.html
 
maestRo Дата: Пятница, 05.03.2010, 21:58 | Сообщение # 76
Магистр
Группа: Актив
Сообщений: 228
Награды: 0
Статус: Offline
Да приказ хороший. Думаю в скором времени сделают из него РДшечку.

Хотел поставить в подписи рекламу, почитал правила форума :)
Так что: ==Тут могла быть наша реклама==
 
lamama Дата: Вторник, 09.03.2010, 12:49 | Сообщение # 77
Заведующий кафедрой
Группа: Модераторы
Сообщений: 524
Награды: 0
Статус: Offline
Quote (maestRo)
Да приказ хороший. Думаю в скором времени сделают из него РДшечку.

Самое приятное, что для К2-К3 ни слова по сертифицированную защиту.


Не оседать, не приживаться -
Ступенька за ступенькой - без печали,
Шагать вперед, идти от дали к дали,
Все шире быть, все выше подниматься.
 
eXceed Дата: Среда, 10.03.2010, 17:23 | Сообщение # 78
Профессор
Группа: СуперАктив
Сообщений: 5379
Награды: 0
Статус: Offline
лол, рекурсия:

Из инструкции ФАПСИ от 13 июня 2001 года N 152:

Сертифицированные ФАПСИ средства криптографической защиты конфиденциальной информации в настоящей Инструкции именуются - СКЗИ. К СКЗИ относятся: - реализующие криптографические алгоритмы преобразования информации, аппаратные, программные и аппаратно-программные средства, системы и комплексы, обеспечивающие безопасность информации при ее обработке, хранении и передаче по каналам связи включая СКЗИ;


bda-expert.ru — это система форумов, где можно общаться быстро и свободно, где любая точка зрения имеет право на жизнь.
 
maestRo Дата: Среда, 10.03.2010, 22:20 | Сообщение # 79
Магистр
Группа: Актив
Сообщений: 228
Награды: 0
Статус: Offline
я считаю что ее пора переработать, т.к. она уже не соответствует реалиям. ДА и ФАПСИ сейчас нет, и ПКЗ-99..

По поводу приказа ФСТЭК №58, там тоже баги нашел. Про аутентификацию и про контроль целостности. Подчеркните маркером эти пункты для всех классов и сравните smile


Хотел поставить в подписи рекламу, почитал правила форума :)
Так что: ==Тут могла быть наша реклама==
 
EDA Дата: Четверг, 11.03.2010, 15:21 | Сообщение # 80
Студент
Группа: Актив
Сообщений: 65
Награды: 0
Статус: Offline
Решением Федеральной службы по техническому и экспортному контролю от 5 марта 2010 года в связи с изданием приказа ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных » (зарегистрирован Минюстом России 19 февраля 2010 г., регистрационный № 16456; опубликован: «Российская газета», 5 марта 2010 г., № 46) отменено применение с 15 марта 2010 г. для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных следующие методические документы ФСТЭК России:

- Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.;

- Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.

В настоящее время на сайте ФСТЭК России доступны следущие документы по персональным данным:


- Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (Документ MS Word), ФСТЭК России, 2008 г.

- Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных(выписка) (архив RAR), ФСТЭК России, 2008 г.

а также:

- "Приказ ФСТЭК России от 5 февраля 2010 г. об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных"

"Решение ФСТЭК России от 5 марта 2010 г."

 
Факультет ИСиТ СыктГУ - Форум » Компьютеры / Интернет / Информационные системы и технологии » Информационная безопасность и криптология » Защита персональных данных (Защита ПД с практической точки зрения)
  • Страница 4 из 5
  • «
  • 1
  • 2
  • 3
  • 4
  • 5
  • »
Поиск:



Copyright bda-expert.ru © 2008-2021Хостинг от uCoz