» Вы уже обеспечили защиту персональных данных на предприятии?

Toparenko

Цитата:

А нафига 1В? ИСПДн К1?
Можно попробовать спецИСПДн - тогда есть варианты снижения через модель угроз с мандатного на ролевой доступ и применения СЗИ, сертифицированных на 1Г.
Но это уже надо смотреть по конкретному объекту.

АС для работы с секретной информацией. Никаких персональных данных в ней хранится не будет. Так что нужно аттестовать по классу 1В. Панцирь-С имеет сертификат по 3 классу СВТ, а это не подходит.

Цитата:

funkyru
АС для работы с секретной информацией

АСЗИ под ГТ не место для обсуждения в открытом форуме - обращайтесь в собственное ПЗГТ.

В крайнем случае по несекретным нормам дам консультацию в личке.


Цитата:

funkyru
Панцирь-С имеет сертификат по 3 классу СВТ, а это не подходит

Внимательно читайте РД и ГОСТы по АСЗИ - проходит.
3-го класса СВТ хватит и на 1Б

Цитата:

ShriEkeR
Операторам персональных данных подарили год

Пока перенос только Думу прошел...
261 заседание СФ запланировано на 29.12.09.
Потом еще должен подписать Президент

Уважаемые форумчане. Данный вопрос меня очень беспокоит. В сети преогромное множество ресурсов по данному вопросу - но склонен именно руборд рассматривать как площадку для решение спорных и не очень вопросов.
Запутался в информации, комментариях и т.д. Хоть также уповаю на измененные статьи и сроки, и на "пронесет". Нохотелось бы несколько мероприятий провести.

Есть контора - используются ПД в кадрах (1-2 компа) и бухгалтерии.

В кадрах нет никакой автоматизированной системы - все приказы и данные в эксельках и тексовых форматах. В домене, храниться инфа в папке на серваке куда доступ есть только специалисту по персоналу. Выход в интернет есть - через шлюз (софтовый) как и у всей сетки. По фирме вышел указ - и проведениях мероприятий - направленных на .. приведение работы организации в соответсвие с этомим законом. На мои плечи - "план по настройки ЭВМ" - это грубо говоря.

От инета отрубить, от домена, файлы хранить на локальном - это не проблема.

Бухгалтерия - там 1с бух учет, банк- клиент, пенсионный фонд, налоговая (это все электронное) и понятное дело ворды и эксельки. Локалка отдельная физически, доступ в инет только коммутируемый - дуал-ап.

я так понимаю - это две разные среды - по этому два так сказать "ответа". Но сейчас интересен именно вариант с кадрами.
Прошу совета - в каком порядке, какими нормативными документами руководствоваться в моем случае.

В связи с суматохой - к помощи спец организациям пока обращаться не решаемся - бюджет очень ограничен на ИТ.

П.С.: если персональные данные 4 категории - в моем случае с кадрами это абсурд (но не я ж буду экспертизу проводить) - какие тогда требования практические при настройки ПК?

то есть вы фактически возвращаете контору в 19 век ?

Почитай тему сначала, обрати внимание:

Цитата:

ptitza_in_da_ruboard: Варианты Решения для размышления
Письмо Рособразования от 22.10.2009 N 17-187 "Об обеспечении защиты персональных данных"
http://www.ed.gov.ru/news/newdocs/11620/

В кадрах неможет быть данных только обезличеных данных - это 100%. Они есть на бумаге обязательно.

Народ, не паримся, готовим бумажки. В 19й век откатываться не нужно. Регуляторы будут ещё минимум полтора года удовлетворены тем, что у вас на руках есть некий перечень документов: регистрация как оператора ПД, классификация ИС, в зависимости от класса - модель угроз, ещё какие-то доки по самой ИС и её средствам защиты,ну и конечно подписи всех сотрудников о том, что они согласны с обработкой их ПД организацией. А дальше видно будет. Не порите горячку, пишите бумажки. Больше бумаги - чище жопа! 8)

а есть пошаговые понятные инструкции что нужно сделать в средней организации, у которой все ПДн это данные сотрудников, которые ведут кадры и бухгалтерия?

купить им сейф, папки бумажные, и пусть пока не пришли переписывают от руки или на печатающей машинке с ближайшего музея с экрана на бумагу

компьютеры выбросить от греха подальше

а если использовать такое ?
http://ru.wikipedia.org/wiki/ISCSI

на Хабре было обсуждение про проверки органов лицензионности и придирки к продуктам с лицензией GPL
и вспомнили про ISCSI

пусть приходят, арестовывают сервер, а на нем даже винта нет вообще

anpsoft
ну вообщето во фстеке спецы поумнее чем в обепе, одни деятели сделали хранение баз на вайфай диске и вмуровали его в пол тем неменее хранилище было выколупонно

Цитата:

anpsoft
ну вообщето во фстеке спецы поумнее чем в обепе

Вполне возможно. Выход в размещении данных
на площадке за приделами РФ. К сожалению надежное решение
не будет бесплатным, а по сумме подходит только для крупных фирм.

MARSIANIN
ну да чтобы увеличть защиту ПД от наших кулхацкеров мы эти данные сразу на сервера пентагона

Можно ли обычный Ethernet-ADSL-модем считать фаерволлом и не ставить на винду фаерволл? Соединение PPPoE настроено в модеме, интернет раздается NAT-ом.

farseer777 в каком контексте? тема про ПД (персональные данные)

Извиняюсь, совершенно не там задал вопрос. Дошло только после просмотра темы.

kermit
Методические документы ФСТЭК+ФСБ - основное. Ну и их Вольный Конспект:

Цитата:

- Документы, регламентирующие обработку персональных данных http://www.itsec.ru/articles2/Inf_security/documents-pd
- Компания Х: первые шаги к обеспечению информационной безопасности http://www.itsec.ru/articles2/Inf_security/first-step
- Документы, регламентирующие обработку ПДн с использованием криптосредств (СКЗИ) http://www.reignvox.ru/privacy-comments.html

, Посмотри обсуждения.

Цитата:

anpsoft..... и вспомнили про ISCSI

пусть приходят, арестовывают сервер, а на нем даже винта нет вообще

ISCSI - сетевое хранилище данных, т.е. "просто" высоконадежный сетевой диск. Реализуется за счет специальных аппаратных средств или програмно на обычном, но мощном И ОЧЕНЬ_НАДЕЖЕОМ ПК с быстрыми дисками(лучше аппаратный RAID). За счет оптимизации железа и ПО для работы ТОЛЬКО дисковой подсистемы и ее надежности, а так же размещения на них множества БД используется для замены докальных дисков с данными серверов и рабочих станций, систем хранения. Преимущество в том, что тратятся деньги на ОДНУ быструю дисковую подсистему ISCSI, на не на КАЖДЫЙ сервер/станцию. Недостаток - выход из строя ISCSI - ПОЛНЫЙ паралич всех систем, данные которых лежат на нем.
По сути ISCSI -это дальнейшее развитие расшареных сетевых дисков в сторону безопасноти, надежности и ускорения работы. Использование аппаратных спец. средств или ПО(с приличным железом) наводит на мысль о том, что шарага с 2 ПК это просто не потянет, да и не нужно ей ЭТО

Т.к. Все это Целеесобразно и городится для храниения и работы с данными БД, то кроме централизации хранения и возможной удаленности от мест обработки этих данных есть еще боллее важное потребительское свойство - скорость работы. Наличие постоянных высокоскоростных каналов(как правило ПРОВОДНЫХ) - 110% вероятность обнаружения.

Зато использование ISCSI может быть как дополнительный контур безопасности: при организации отдельного сегмента ЛС в котором будут только ISCSI и сервера БД.
Хотя в теории, чем больше компонент, тем меньше надежность.

Ну и как Ваш покорный слуга и поклонник 1С обращаю Ваше внимание:
На сайте 1С опубликована новость в разделе "Новости учета, налогообложения и автоматизации".
11.01.2010 Защита персональных данных http://www.buh.ru/newsDescr-5660

Еще один способ честного отъема денег у населения...

Доброго дня всем! А вот ежели у меня некоторое устройство должно быть помещено в защищаемый сегмент сети (провода одни и те же) и посылать по этой сети служебную информацию во внешний мир. Даже если я отделяю его межсетевыми экранами, все равно получается, что трафик с этого устройства попадает в защищаемую сеть. Как обеспечить защиту, чтоб никто не придрался?

Как сказал Юрист, вступление в силу Закона перенесли на год - с 01.01.2011. Можно расслабиться.

eap
Какой-такой Юрист?
Вот официальная подтверждение в РГ.

Цитата:

eap
Можно расслабиться.

Перенесли. Но отнюдь не для того, чтоб расслабились.

Если за этот год не убрать те косяки, что есть в нормотворчестве - то к концу года прийдем к тому же "разбитому корыту"

Цитата:

eap:Как сказал Юрист, вступление в силу Закона перенесли на год - с 01.01.2011. Можно расслабиться.

Знания в этой области все равно пригодятся НЕ сейчас, так потом. Хотя бы многие хозяева и так желают обезопасить свои инф. системы, если не с помощью очень больщих затрат, то хотя бы за счет предложеных грамотных решений.
BAARK
Необходимость работы с внешним миром из защищаемой сети(доступ в другой филиал, на спец. серверы типа сдачи_бух-налоговой_отчетности, приложений_доступных_по_WWW) резко повышает требования по защите всей защищаемой сети.

Более подробно смотри ЭТУ тему. здесь обсуждались в общем подобные варианты. Но везде есть СВОИ особенности и условия.

То, что сроки перенесут я еще 1.10.09 писал (на 8 странице)... За это время, уверен будут внесено много поправок в эту муть.

а нас уже проверяют

Твоя организация какая ? (госструктура, коммерческая и т.д.)
Кто проверяет и на основаниии чего/ каких бумаг.

Может просто какому вахтеру чиновнику в голову вдарила жидкость.

zeusshamil, MARSIANIN Закон, рекомендации по нему есть, но закон ПОКа не действует. По крайней мере в части наказаний(ответственности) - 100%. Т.е. читай носит РЕКОМЕНДАТЕЛЬНЫЙ характер. Запретить проверку ты врядли сможешь. Будут проверять не одно, так ДРУГОЕ. зато будет ХОРОШАЯ тренировка. Хотя по идее и проверки не должны ТОЖЕ проводиться. Юридически - НЕТ оснований.

Цитата:

oaf56
Хотя по идее и проверки не должны ТОЖЕ проводиться. Юридически - НЕТ оснований.

152-ФЗ вступил в силу в январе 2007-го - т.ч. юридические основания уже есть.
Пока не должны проверять только выполнение техтребований (именно их перенесли на 01.01.11).

Проверки идут с 2008 года. План проверок (в котором в том числе проверки Роскомнадзора) см. на сайте Гепрокуратуры (правда поиск неудобный, только по одному параметру, и не все субъекты проверок правильно записаны)