» Вы уже обеспечили защиту персональных данных на предприятии?

Цитата:

svanyashev
Полностью согласен у нас подпадает 2000 компов, и чего делать мы пока вообсче незнаем, сейчас ставим нир на эту тему

Попробуйте разбить на несколько ИСПДн разного класса - тогда не придется защищать все по высшему классу. Например

Цитата:

lovec123
ага это значит раз в два-три месяца надо производить переатестацию

Все зависит от условий допускаемых изменений, которые должны быть прописаны при аттестации.
В любом случае для оператора, имеющего ИСПДн К2/К1 и/или распределенную К3 требуется наличие у него лицензии на ТЗКИ. А на основании этой лицензии ФСТЭК допускает проведение аттестации (для объектов обрабатывающих конфиденциальную информацию - в случае же обработки ГТ аттестация проводится только аккредитованными центрами) данным лицензиатом. Соответственно Вы можете проводить аттестацию сами у себя (естественно, что все риски нарушения порядка аттестации ложатся на Вас).

Цитата:

oaf56
Кстати набрел на такой ресурс - Проект «Многие грани безопасности»
: http://it4business.ru/itsec/MnogieGraniBezopasnosti?v=1asi
и нормативная база на этом ресурсе http://www.it4business.ru/itsec/NormativnajaBazaRossijjskojjFederaciiPoBezopasnosti

Спасибо
Но для персональных данных лучше смотреть Персональные данные - вход в тему

Цитата:

svanyashev
Цены на проект тоже фиксированы давай количество комнат с компами я скажу цену проекта

Цитата:

YurikGL
аттестовать нужно систему вне зависимости от того, сколько компов...

Вариант предлагаемый svanyashev наиболее типичен для интеграторов, но малоприемлем потребителю.
Вообще-то, если объект не типовой, то каждый проект будет индивидуален.
Учитывается все: количество АРМ, серверов, сетевого оборудования; количество и расположение помещений/зданий; топология сети, заземления, электропитания, телефонной и другой связи; перечень используемого ОПО и ППО... И еще многое другое.

Но и существуют способы снижения расходов потребителя.
Например для обработки ПДн это будут:
- разделение на несколько ИСПДн более низкого класса или выделение сегментов обработки более низкого класса
- минимизация количества персонала, допущенного к обработке ПДн
- перевод обработки (где это возможно) на обработку по ПП687
- и т.д. и т.п.

Общее представление :
- Документы, регламентирующие обработку персональных данных http://www.itsec.ru/articles2/Inf_security/documents-pd
- Компания Х: первые шаги к обеспечению информационной безопасности http://www.itsec.ru/articles2/Inf_security/first-step
- Документы, регламентирующие обработку ПДн с использованием криптосредств (СКЗИ) http://www.reignvox.ru/privacy-comments.html

Не надо стесняться думать головой и быть отпетым реалистом:

Защита персональных данных: откладывать больше нельзя http://www.interface.ru/home.asp?artId=20822
особено обратите на раздел статьи отвественность и примеры.))

http://www.reignvox.ru/privacy.html
Цитата:

Риски неисполнения требований законодательства

Неисполнение требований Закона «О персональных данных» влечет для бизнеса компании риски следующего характера:

Гражданские иски со стороны клиентов или работников.
Приостановление или прекращение обработки персональных данных в компании.
Привлечение компании и (или) ее руководителя к административной, уголовной, гражданской, дисциплинарной и иным видам ответственности.
Приостановление действия или аннулирование лицензий на основной вид деятельности компании.
Репутационные риски.
Риски недобросовестной конкуренции (приостановления деятельности компании с подачи конкурентов при имеющихся нарушениях правил защиты персональных данных).

Выводы

Операторам персональных данных экономически выгоднее выполнить требования Закона «О персональных данных» и не подвергать свой бизнес возможным рискам со стороны граждан, государственных контролирующих органов и недобросовестной конкуренции.

Добавлено:
Пы.Сы.
Самое смешное, правда сквоозь слезы, - это то, что несмотря на все проекты и поблажки не исключается возможность утечки, кражи ПД и как следствие - исков, неминуемой проверки, наложения наказания, устанения причин, нового проекта. И так по кругу. Так что уя0вимости - это большой задел по работе и прямо "клад". Так что думайте немного САМИ....

Добавлено:

Цитата:

Цитата:Установка "своими силами" любого ПО на рабочее место после его аттестации.

Так можно просто уведомляешь орган по аттестации и все

Цитата:2. обновление "своими силами" любого ПО.

Так тоже можно обновляться кроме операционок

На основании чего такие заключения?
Просто у меня бухгалтер ходила сдавить отчетность в фоннд пфр. УтОмилась. Принесла на флешке что-то для сдачи "электронно" без ЭЦП и криптографии. Ж))) И Какой то вирус аж на 46Мб. Др веб не его не видил. И как вы полпишитесь под И такой программой? Аттестуете.
2. Какие и есть ли критерии не аттестуемости ПО? например Freeware?

Цитата:

Добавлено:
Пы.Сы.
Самое смешное, правда сквоозь слезы, - это то, что несмотря на все проекты и поблажки не исключается возможность утечки, кражи ПД и как следствие - исков, неминуемой проверки, наложения наказания, устанения причин, нового проекта. И так по кругу. Так что уя0вимости - это большой задел по работе и прямо "клад". Так что думайте немного САМИ....

Вообще-то выполнение требований регуляторов во исполнение 152-ФЗ и реальная защита информации - это не совсем одно и то же (к сожалению)

И стОит не забывать, что на настоящий момент СТР-К и "четырехкнижие" ФСТЭк, а также "двукнижие" ФСБ не прошли регистрацию в Минюсте.
Из-за этого существуют риски того, что:
1. Может кардинально поменяться их содержание в окончательной редакции
2. Они могут так и не пройти Минюст до 01.01.10

Плюс, для банков, есть вероятность того, что техтребования по защите ПДн будут определяться СТО БР. Во всяком случае ЦБ проводит данную политику, а представители ФСТЭК (на последнем совещании рабочей группы АРБ) устно подтвердили готовность приять данную позицию (здесь еще ряд рисков того, что оговорились, что СТО БР должен быть согласован с регуляторами)

Цитата:

Какие и есть ли критерии не аттестуемости ПО? например Freeware?

Мы спокойно даем аттестат

Цитата:

Просто у меня бухгалтер ходила сдавить отчетность в фоннд пфр. УтОмилась. Принесла на флешке что-то для сдачи "электронно" без ЭЦП и криптографии. Ж))) И Какой то вирус аж на 46Мб. Др веб не его не видил. И как вы полпишитесь под И такой программой? Аттестуете.

Да

oaf56

Цитата:

Просто у меня бухгалтер ходила сдавить отчетность в фоннд пфр. УтОмилась. Принесла на флешке что-то для сдачи "электронно" без ЭЦП и криптографии. Ж))) И Какой то вирус аж на 46Мб. Др веб не его не видил. И как вы полпишитесь под И такой программой? Аттестуете.

у вас бухгалтер работает под административной учётной записью и у неё есть права на установку ПО? при этом установленный антивирус не отлавливает вирусы? и вы хотите атестовать данную арм? если я не прав то поправте но перед атестацией АРМ надо провести ещё комплекс мероприятий, настройку служб, настройку прав пользователя, организацию актуальной антивирусной защиты и тд

Toparenko
Цитата:

Вообще-то выполнение требований регуляторов во исполнение 152-ФЗ и реальная защита информации - это не совсем одно и то же (к сожалению)

Какая разница за что казнят? За неисполнение или за неадекватность защиты? Просто хотел показать что задача при таких данных и применяемых алгоритмах решения практически не имеет шансов.
lovec123
Цитата:

у вас бухгалтер работает под административной учётной записью и у неё есть права на установку ПО? при этом установленный антивирус не отлавливает вирусы? и вы хотите атестовать данную арм? если я не прав то поправте но перед атестацией АРМ надо провести ещё комплекс мероприятий, настройку служб, настройку прав пользователя, организацию актуальной антивирусной защиты и тд

В общем и целом Вы как всегда правы.
Просто хотелось узнать как далеко заведут....
svanyashev

Цитата:

Мы спокойно даем аттестат

Как вы узнаете что клиент аттестовал именно данный экземпляр?
Не модифицировал его?
не обновлял?

Цитата:

овести ещё комплекс мероприятий, настройку служб, настройку прав пользователя, организацию актуальной антивирусной защиты и тд

Мероприятия проводятся на момент аттестации.

Цитата:

Как вы узнаете что клиент аттестовал именно данный экземпляр?
Не модифицировал его?
не обновлял?

При аттестации снимаются контрольные суммы некоторых файлов, на антивирусник на диске есть контрольная сумма

svanyashev
Уточните,
- осталась ли практика пломбировки СпецСтикерами/пломбами аттестованых составных частей ПК
- составляется реестр переферии, ПК, установленого на них ПО, проводится Маркировка дистрибутивов?
Допускается ли (без переаттестации)
- Восстановление ОС Виндовс ХП из типового эталонного образа? Точнее можно ли аттестовать его?

Цитата:

- осталась ли практика пломбировки СпецСтикерами/пломбами аттестованых составных частей ПК

Только ели вы приняли угрозу утечки по канал ПЭМИН актуальной, если нет опечатывайте обычной печатью на бумажке или как вам будет угодно.


Цитата:

составляется реестр переферии, ПК, установленого на них ПО

Да


Цитата:

проводится Маркировка дистрибутивов

нет, указывается только номера лицензий


Цитата:

- Восстановление ОС Виндовс ХП из типового эталонного образа? Точнее можно ли аттестовать его?

Да если оно не является средством защиты от НСД, т.е. если применяется какое либо дополнительное средство защиты

svanyashev
Кстати, Необходимо вестиучет распечатываемой ПД?
Если -да. То как и чем? Может кто в курсе.
Как разднлять ПД и просто бух отчет?

Dallas Lock 7.5» для Windows 2000/XP/2003 (сертификат ФСТЭК России №1685 от 18.09.08);
Сертификат удостоверяет, что флагманская версия является программным средством защиты информации от несанкционированного доступа к информационным ресурсам компьютеров и соответствуют требованиям руководящих документов Гостехкомиссии России по 2-му уровню контроля отсутствия недекларированных возможностей и 3-му классу защищенности от НСД. Версия продукта может использоваться для защиты государственной тайны категории «совершенно секретно» (АС до класса защищенности "1Б" включительно), а также для защиты информации (персональных данных) в ИСПДн до 1 класса включительно.

Особого внимания заслуживают такие особенности версии «Dallas Lock 7.x», как встроенная возможность печати грифов конфиденциальности на любых документах и возможность использования системы для защиты ресурсов мобильных (Notebook) и промышленных компьютеров.

Те здесь как призащите Гтайны?
Получим ОДИН АРМ ПД - Кадры и ДРУГОЙ АРМ Зарплата работающие с одной БД(конфигурацией 1С)?
Если так то нужно защищать и второй арм до уровня первого и вести учет ВСЕХ распечатаных бумажек под роспись в журнале?
.... ОООбаЛдеть.....
Или выход переход на 1C 8x SQL ? И защищать только 1С8х_с_ПД+SQL+шлюз(для отделения сегмента с_ПД от иных АРМов), а остальные армы пускать через шлюз к защищенному SQL? И на SQL настраивать права доступа пользователей к таблицам SQL?

Т.е. надо еще шлюз внутри бухгалтерии ставить?

П.С. Правил часто. Извиняйте за МОЮ глупость.

Цитата:

переход на 1C 8x SQL

Этот экземпляр не имеет сертификата.
Система управления базами данных Microsoft SQL Server 2005 Standard Edition - имеет оценочный уровень доверия ОУД 1 (усиленный) по РД «Безопасность информационных технологий. Критерии оценки безопасности информационных технологий» для систем до 1Г включительно. Сертификат 1319


Цитата:

Т.е. надо еще шлюз внутри бухгалтерии ставить?

Это самый грамотный выход мы так делали и аттестовывали.
Методика такая есть сервер БД который хранит защищаемую информацию. Из открытой части обращения к нему не пройдут это нипель.
Делаем так, обращения собираются на какую нибудь машину, сервер сам их забирает, обрабатывает по алгоритму и отдает назад.
Все работает.

Чуток потроллю - имеем конф. инфу на компе, делаем вывод на монитор, снимаем на коомуникатор и по 3\4 G отправляем куда нужно. Все запреты портов, флэшек, шифрование каналов идут лесом.
Дыры в безопасности всегда будут, хоть обзакрывайтесь.

П.С. Кто-то выше говорил, что защита системы равна уровню защиты самого слабого элемента. Не совсем верно, ибо нужно учитывать ещё и вероятность. Или вы хотите сказать, что защищённость солдата в бронике равна нулю, потому что он голову не закрывает?=)))

Цитата:

Чуток потроллю - имеем конф. инфу на компе, делаем вывод на монитор, снимаем на коомуникатор и по 3\4 G отправляем куда нужно. Все запреты портов, флэшек, шифрование каналов идут лесом.
Дыры в безопасности всегда будут, хоть обзакрывайтесь.

любую дыру можно закрыть, вопрос в целесообразности, скажем на предприятии по переработке алмазов, человек приходит в бытовку, раздевается догола, проходит по коридору через сканер, заходит в другую бытовку, одевает спецодежду и идет работать. По завершении работы обратный процесс, а могут еще кишку куда надо вставить и посмотреть, если есть подозрения, так что обыскать и отобрать мобильник это "семечки"

Цитата:

Чуток потроллю - имеем конф. инфу на компе, делаем вывод на монитор, снимаем на коомуникатор и по 3\4 G отправляем куда нужно. .

Можно закрыть, внедрите правило 2-х, 3-х лиц (пусть работает под контролем.

Цитата:

Чуток потроллю - имеем конф. инфу на компе, делаем вывод на монитор, снимаем на коомуникатор и по 3\4 G отправляем куда нужно. Все запреты портов, флэшек, шифрование каналов идут лесом.
Дыры в безопасности всегда будут, хоть обзакрывайтесь.

Для этого думайте и желательно - головой. Составьте Проект защищаемых помещений. Расположите рабочее место так, чтобы посетитель не подходил к монитору. Ограничьте зону контакта и видимости. Если Вы богатый параноик - видеонаблюдение+ адиозапись Вам в момощь. Составьте список предметов, запрещенных для проноса в "Рабочую" зону.
Регламент(как работать) ознакомить. Проверки его исполнения. Разбор полетов.
Проще говоря дисциплина труда. И назначение ответственных на каждом рабочем месте и участке. Иначе .... устанешь ПОЛУЧАТЬ ЗА всеХ. Пусть САМИ отвечают за СВОИ ошибки. Тогда уже ОНИ тоже будут переживать, а не только ты. Оформляй Эти процедуры инструкциями, СЛУЖЕБНЫМИ ОБЯЗАНОСТЯМИ, регламентами и самое главное - приказами без приказа НЕ ДОПУСКАТЬ к работе(надо записать в служебные обязаности).

Добавлено:

Цитата:

П.С. Кто-то выше говорил, что защита системы равна уровню защиты самого слабого элемента. Не совсем верно, ибо нужно учитывать ещё и вероятность. Или вы хотите сказать, что защищённость солдата в бронике равна нулю, потому что он голову не закрывает?=)))

Класс защиты зависит не только от особеностей системы, класса защищаемой инфы. Он может повышаться(требования по защите), если есть угрозы НесанкционированогоДоступа(НСД) и снятия иинфы ТехническимиСредствами. Это выясняется на этапе проекта и может уточняться во время эксплуатации(Тогда снова соствляем проект, выполняем, аттестуем).
Ваша задача - учесть НАИБОЛЕЕ реальные угрозы(т.е. те, что ВЫ НЕ МОЖЕТЕ устранить), а для остальных - создать условия для исключения их появления.
Вы вправе использовать организационные и технические меры по защите/предупреждению угроз.

Прощу прощения. А почему удалили мое сообщение?

Хорошо тогда просто сообщение. А куда можно заплатить?

За эти курсы может заплатить ваша организация, предприятие, если вы напишете служебную записку и приведете следующие доводы:

1)Сначала надо понять, если ли у вас персональные данные. Из закона: «Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация»
2)Обрабатываете ли вы их. Из закона: «Обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных»
3)Что должна делать ваша организация: Из закона: «Меры по обеспечению безопасности персональных данных при их обработке. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
4)В соответствие с п. 3.14 руководящего документа «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» утвержденного ФСТЭК Росии 15 февраля 2008 г. операторы информационных систем персональных данных (т.е. Ваша организация) (далее ИСПДн) при проведении мероприятий по обеспечению безопасности персональных данных (конфиденциальной информации) при их обработке в ИСПДн 1, 2 классов и распределенных ИСПДн 3 класса должны получить лицензию на осуществление деятельности по технической защите конфиденциальной информации
5)Требования к оператору ИСПДн, предъявляемые для выдачи лицензии, установлены в п. 4 Постановления Правительства РФ № 504 от 16 августа 2006 года. «О лицензировании деятельности по технической защите конфиденциальной информации» (далее — Постановление). Первым и существенным (в соответствие с п. 18 Постановление) требованием является наличие в штате соискателя лицензии (лицензиата) специалистов, имеющих высшее профессиональное образование в области технической защиты информации либо высшее или среднее профессиональное (техническое) образование и прошедших переподготовку или повышение квалификации по вопросам технической защиты информации.
6)И что самое главное: «Информационные системы персональных данных, созданные до дня вступления в силу настоящего Федерального закона, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2010 года.»

мля...пятницо...пиво..папиросы...жена на фитнесе,а тут такая хрень..лудшеб и не заходил...спать не буду...а завтра с 8 новый сервак поднимать....весь в данных по калу и моче...и 2 томографа тож....епть...а ребята и не знают....ужоснах...че делать??? на серваке фрюща несертифицированная...хорошо хоть клиенты савсем тонкие...им пох...ну ЕСТЬ же какойто выход!!!...кроме прямой кишки...КТО ПРОШЕЛ-колитесь (лучше utf-8)
ну а это-"имеющих высшее профессиональное образование в области технической защиты информации либо высшее или среднее профессиональное (техническое) образование и прошедших переподготовку или повышение квалификации по вопросам технической защиты информации" просто раскручивание на бабки на новый сейф под 3-й диплом....какаято жопа....полная...и какой клоун это придумал???
ПыСссы..((((

Я имею высшее профессиональное образование в области технической защиты информации

Форум и создан для того чтоб вопросы задавали

Я извиняюсь за флуд и оффтоп ((( Ну уж больно тема провокационная....)))
Вопросов по технологиям нет и не будет,пока не будет постановления правительства с четкими однозначными формулировками и требованиями...проблема мноооогооо шире чем видится на этом форуме,взять только муниципальных лечебников....картотеки,истории болезней,это уже на годы...ясно что никто их не закроет но и денег на выполнение закона не даст...мы решили не париццо и работать как и прежде...напишут предписание,где,что и как плохо,тогда будем решать как исправиться.Испуг прошел,работаем как всегда

pctool

вот и мы лечебное учреждение с 170 машинами...
и хто нам деньги даст?

Сейчас конторы периодически наведываются. предлагают решить все вопросы по закону..
Но нам бы хотя бы на полностью лицензионный софт перейти.
Общая сумма вопроса где до за 7 лямов переваливает...

Цитата:

вот и мы лечебное учреждение с 170 машинами...
и хто нам деньги даст?

А вы хотябы проектно-сметную документацию зделайте и зашлите ее в москву, денег дадут. Покрай ней мере мы сейчас делаем 4 больницы по такой схеме.

Цитата:

зашлите ее в москву

муниципальное учреждение засылает в Москву? Вот если Федеральное, то я понимаю..

Я вмешаюсь в ваше обсуждение немного.
Для начала про регистрацию в минюсте.
По положению службы ФСТЭК России их документы не региструруються в минюсте, но обязательны для выполнения поскольку по томуже положуни оно являеться контролирующим органом. (в каком законе все определено не помню нужно искать но вломмммм.)

Теперь по факту.
Тот кто думает, что проверка ФСТЭК или Россвязнадзора его минует глубоко ошибаеться в первую очередь конечно под раздачу попадут госудасртвенные структуры поскольку по требованиям ФСТЭК системы аттестуються обязательно. Где взять деньги на защиту вопрос риторический, и ответ указан выше. Могу посоветовать разве что делать запросы в вышестоящий орган чтоб выделили денег, и сохранять переписку и при при ходе проверки отсылать туда. Покрайней мере есть шанс оспорить предписание в суде. (призрачный)
По защите :
бухгалтерию рельно подвести под 3 класс испдн где для комерческих органов предусмотренно Декларирование!!!!! Что не мало облегчитвам работу. Правда есть проблема чтто порядок декларирования пока не прописан.
Кадровую информацию на бумагу. если нет То подводите под класс испдн 2 минимум информации вот ваш выход. Здесь все просто хочешь знать больше о своих сотрудниках - плати.
Для организаций сейчас проще отказать от винды и перейти на альтернативную ось тот же линукс. Есть сертифицированные под персоналку системы не только алт линукс но и оси сделанные фирмами. (тот же LinuxXP)
Если вы очуществляете работу через интренет то тут у вас без вариантов нужно сертифицированое ФСТЭК техническое решение.

Кроме того не зыбывайте что вы обязанаы известить орган занимающийся надзором обработки персональных данных ( Россвязьнадзор) что вы их обрабатываете. В противном случае скорее вопрос встанет сразу не о штрафе а о отзыве лицензии.

И снова про санкции. Есоли кто то все же думает что все будет сделано как обычно, закон есть но можно на него забыть...то готовьтесь платить и много. Проще сделать защиту.


Добавлено:

Цитата:

муниципальное учреждение засылает в Москву? Вот если Федеральное, то я понимаю..

Думаю тут речь идет о засылке запроса или сметы в вышестоящий у вас орган. который дает вам деньги

Добавлено:
Что до технической реализации то если у вас сеть то лучше всего использовать терминалы.

Цитата:

Добавлено:
Что до технической реализации то если у вас сеть то лучше всего использовать терминалы.

1. Если приложение Виндовое, то нужен терминал виндовс сервер. А это как я понимаю лицензии на каждого пользователя ++ лицензия каждое на раб. место(подключение) по терминалу?
Легальные Бесплатные решения для терминалов есть? Хотябы на ХП?

2. Не ХИЛАЯ Железка для сервера терминалов/++приложения/++БД?

Цитата:

Что до технической реализации то если у вас сеть то лучше всего использовать терминалы

недавно был областной семинар для наших защитников , так вот там предупредили что ни одно терминальное решение еще не сертифицировано.

Тут писали про сертификаты Microsoft, но как этот закон будет выглядеть если к нему добавить вот этот иск: Microsoft обвинили в слежке за пользователями Windows

Цитата:

Против Microsoft подан иск в вашингтонский окружной суд. Корпорация обвиняется в нарушении права на неприкосновенность частной жизни. Истцы утверждают, что программа Windows Genuine Advantage (WGA), которая распространяется как обновление к операционной системе Windows, ежедневно отправляет в Microsoft персональные данные о пользователе вопреки заявлениям самой компании. Об этом пишет издание The Register.

Также авторы иска, который претендует на статус коллективного, обвиняют Microsoft в использовании лживой рекламы. Версия WGA для Windows XP распространялась корпорацией как важное обновление безопасности. На самом деле WGA лишь проверяет лицензионный статус операционной системы и к безопасности компьютера не имеет никакого отношения. Сокрытие подлинной функциональности приложения - типичный прием создателей шпионских программ, считают истцы.

Пользователи операционных систем Windows XP, Vista и Windows 7 обязаны установить WGA, чтобы иметь возможность загружать обновления и дополнения. Программа распространяется как отдельное приложение или в вида плагина к браузеру Internet Explorer.

Корпорация Microsoft уверяет, что WGA не собирает никаких персональных данных. Истцы же утверждают, что данная программа ежедневно отправляет в компанию IP-адрес пользователя и другие сведения, которые могут быть использованы для персональной идентификации.

Также компанию обвиняют в намеренном усложнении процедуры удаления WGA. Такое поведение - еще один признак, который позволяет отнести Windows Genuine Advantage к категории шпионских программ, говорится в заявлении.

Ранее против Microsoft уже подавались аналогичные иски, которые не привели ни к каким результатам, пишет The Register. С 2007 года корпорация предлагает пользователям установить модуль Office Genuine Advantage (OGA), который проверяет подлинность лицензий на программы из пакета Microsoft Office.

Windows Genuine Advantage критикуют не только за вторжение в частную жизнь пользователей, но и за высокий уровень ложных срабатываний. В результате ошибок WGA легальные копии Windows часто объявлялись пиратскими, и пользователи лишались возможности работать в операционной системе.

источник lenta.ru

Valery12, Спасибо.

Цитата:

Цитата:Что до технической реализации то если у вас сеть то лучше всего использовать терминалы

недавно был областной семинар для наших защитников , так вот там предупредили что ни одно терминальное решение еще не сертифицировано.

Так если информационная система подпадет под ИСПДН 3(только бухгалтерия), то почему надо применять сертифицированый терминал, если остальные подсистемы не сертифицированы? в часности - клиент терминала.
Выше же говорили : ДОСТАТОЧНО использовать легальный продукт.

Добавлено:
netnsk

Цитата:

Тут писали про сертификаты Microsoft, но как этот закон будет выглядеть если к нему добавить вот этот иск: Microsoft обвинили в слежке за пользователями Windows

Ответ : Так же. Это не нам решать. А как же сертифицитруются спец. апаратно-програмные комплексы?
Кроме этой "мелочи" можно понять, что уязвимости содержатся изначально в:
- любом ПО;
- инфрастрктуре сететей передачи даннных;
- криптографии;
- архитектуре ЭВМ;
- аппаратном обеспечении.
И если код ПО и ОС можно "закрыть" и переписать с нуля, то железки все равно останутся. Кстати, Бундсвер ФРГ плакался открыто....