» Вы уже обеспечили защиту персональных данных на предприятии?

Цитата:

kzi
ОС не поможет, т.к. они не сертифицированы на НДВ, а всего лишь по ОУД)

Не смешивайте форточки и все ОСи.
Есть Linux-ы сертифицированные по НДВ

Есть и Solaris по НДВ и СВТ.
ТОлько большинство сидят на Виндах и врядли будут переходить...

Цитата:

SerCos
В базе будут хранится данные о здоровье пациентов, электронные медицинские книжки, результаты анализов и.т.д. Это К1 как я понимаю?

Согласно приказа трех у Вас спецИСПДн - т.ч. через модель угроз.

Добавлено:

Цитата:

kzi
ТОлько большинство сидят на Виндах и врядли будут переходить...

Не факт. Вопрос ПДн лишний повод для того, чтоб перейти
Во всяком случае дешевле обойдется, чем на форточках. Особенно, когда переводить небольшую сеть.

Такой вопрос, если кто подскажет:
А если мы размещаем на своей территории стойку с ИСПДн K1,K2,....
Тут мне надо получается аттестовать само помещение, применить сертифицированный софт + проходящие МЭ, исключить доступ посторонних лиц к оборудованию и прочее. И если идет передача данных допустим для правки данных из головного офиса заказчика поставить подходящие МЭ у них и аттестованную технику за которой они производят правку данных?

Лицензии ФСТЭК/ФСБ в таком случае надо получать?
ФСТЭК на деят. по ЗКИ думаю надо точно

Цитата:

Jungorussia
А если мы размещаем на своей территории стойку с ИСПДн K1,K2,....
Тут мне надо получается аттестовать само помещение

По 58 приказу ФСТЭК аттестация не обязательна

Цитата:

Jungorussia
применить сертифицированный софт + проходящие МЭ,

Если это не Ваша ИСПДн, то по отношению к ней все Ваше оборудование будет ВТСС и абсолютно не имеет значения какое ПО там стоит.

Цитата:

Jungorussia
исключить доступ посторонних лиц к оборудованию

Вот это обязательно

Цитата:

Jungorussia
и прочее

По вышеприведенному алгоритму

Цитата:

ФСТЭК на деят. по ЗКИ думаю надо точно

Если Вы обслуживаете их систему защиты - то обязательно (т.к. предоставление услуги по технической защите информации).
Если оборудование у Вас только стоит и/или Вы не "лезете" в их СЗИ - не требуется для данной цели.

Цитата:

Jungorussia
Лицензии ФСТЭК/ФСБ в таком случае надо получать?

Аналогично по лицензии ФСБ по отношению к СКЗИ.

Решили вопрос установкой программы VipNet, которая соотвествует всем нормам защиты и имеется лицензия от ФСБ, очень мощный пакет!

В блоге Царёва http://www.tsarev.biz/?p=1373 выложены ссылки на архивы с типовыми документами по защите ПДН для абстрактной фирмы "Рога и Копыта" . Часть документов потеряли актуальность в связи с отменой 2-х документов ФСТЭК, но все таки могут оказаться полезными при написании организационно-распорядительной документации.
http://ifolder.ru/16860180
http://ifolder.ru/16860405
http://ifolder.ru/16867747 - доклад Волкова А.Н. "Значение организационных мероприятий для обеспечения защиты персональных данных. Практический подход."

ROvchinnikov

Цитата:

Решили вопрос установкой программы VipNet, которая соотвествует всем нормам защиты и имеется лицензия от ФСБ, очень мощный пакет!

аха мощный, приехали на курсы в москву, началось с того что дистриб випнета стал конфликтовать с нортон антивирем по просьбе преподавателя нортон был повсеместно деинсталирован, ну а после мы неделю баролись с тремя четырьмя вирусами которые валили сетку жрали экзешники и попросту усложняли учёбу, особенно доставал салити который грузился раньше випнет монитора, а ещё утверждение препода что да есть проблемы во взаимодействии випнета и каперского поэтому они рекомендуют доктора веба у фстека есть список рекомендованных програм там столько изврата который стоит хороших денег

Toparenko

Цитата:

По 58 приказу ФСТЭК аттестация не обязательна

ткни пожалуйста где это там написано

и ещё может кто в курсе: где написано об обязательности или необязательности предоставления в роскомнадзор уведомлений об обработке (о намерении осуществлять обработку) персональных данных? (обрабатываем только ПдН своих сотрудников и никуда кроме стандартных ходов по зарплате (пенсионный, налоговая, им самим справки о доходах и т. д.) их не предоставляем, т. е. по идее подходим под п. 1 ч. 2 ст. 22 закона N 152-ФЗ от 27.07.2006)

Цитата:

аха мощный, приехали на курсы в москву, началось с того что дистриб випнета стал конфликтовать с нортон антивирем по просьбе преподавателя нортон был повсеместно деинсталирован, ну а после мы неделю баролись с тремя четырьмя вирусами которые валили сетку жрали экзешники и попросту усложняли учёбу, особенно доставал салити который грузился раньше випнет монитора, а ещё утверждение препода что да есть проблемы во взаимодействии випнета и каперского поэтому они рекомендуют доктора веба у фстека есть список рекомендованных програм там столько изврата который стоит хороших денег

проблемы с ним решаемы, у нас в Оренбургской области на мне висит 3 района центров занятости в каждом из которых всё нашины защищены Випом, + лицинз каспер, никогда никаких вопросов не было!в чем ещё огромный плюс так вся область из наших контор завязана в одну сетку с шифрованием, сертификатами и всеми делами,конфидициальность сохранена, все довольны! и ещё обслуживание одного рабочего места на котором крутиться коф. инфа обходится в год мне около 1000 руб.

kzi

Цитата:

Аттестация для комм. организаций не обязательна!

а в соответствии с чем? и в соответствии с чем она обязательна для бюджетников?

demon1981

Цитата:

и ещё может кто в курсе: где написано об обязательности или необязательности предоставления в роскомнадзор уведомлений об обработке (о намерении осуществлять обработку) персональных данных?

за исключением случаев, предусмотренных частью 2 статьи 22 ФЗ-152:
читай Уведомление Роскомнадзора

demon1981 для коммерции - если найдете где написано "аттестация необходима" ссылку в студию.
Для государственных - в соответствии с указом Президента №188 и СТР-К.

kzi

Цитата:

Для государственных - в соответствии с указом Президента №188

КонсультантПлюс
---------------------------
Просмотр всего документа закончен. Фрагмент не найден.

искал слово "аттестация" в указе 188 Президента
а на счет аттестации для коммерческих учреждений тыж сам писал на странице 20 этой темы что она там не нужна.

demon1981про комм. это я для вас писал, если не согласны - найдите где написано, что нужна.

Про указ - персональные данные относятся к конфиденциальной информации, для гос.структур обязательно защищать такую информацию согласно СТР-К. в СТР_К все мероприятия и требования написаны (по защите КИ).

Повторяюсь для комм. организаций - аттестация/декларирование по желанию. ФСТЭКом это только приветствуется!

kzi
а не подскажешь, пожалуйста, в СТР-К пунктик или статью чтоб всю книженцию не перерывать?

demon1981
2.17. Объекты информатизации должны быть аттестованы на соответствие требованиям по защите информации ( Здесь и далее под аттестацией понимается комиссионная приемка объекта информатизации силами предприятия с обязательным участием специалиста по защите информации.)


Добавлено:
http://www.afa.biz.ua/doc/drg/STR-K.zip

ipmanyakчто за бред про аттестацию? Это левый СТР-К! Читайте нормальный ДСП-шный

kzi Дайте дсп-шный, почитаю. А почему этот левый?
ГОСУДАРСТВЕННАЯ ТЕХНИЧЕСКАЯ КОМИССИЯ ПРИ ПРЕЗИДЕНТЕ РОССИЙСКОЙ ФЕДЕРАЦИИ
Решение Коллегии Гостехкомиссии России № 7.2/02.03.01г.
СПЕЦИАЛЬНЫЕ ТРЕБОВАНИЯ И РЕКОМЕНДАЦИИ ПО ТЕХНИЧЕСКОЙ ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ
(СТР-К)
Москва 2001

ipmanyak kzi, по видимому, имеет в виду редакцию 2003 г. кажется. Почитать не удалось, но те, кто прочитал, говорят ПОЧТИ тоже самое

Комментарий от фирмы 1С : Новый поворот в защите ПДн - отмена двух документов ФСТЭК России. http://www.buh.ru/document-1619
Ознакомиться СтОиТ. И подумать... Мыслят то верно.

oaf56 Боян уже. Я о 58 приказе писал еще 4 марта на 18 странице, ваш пост был буквально следом, через 1 после моего - 10 марта, но вы видимо то, что выше, не читаете.

Цитата:

demon1981
а в соответствии с чем? и в соответствии с чем она обязательна для бюджетников?

1. СТР-К (ДСП, не прошел Минюст - т.ч. применяется по решению ведомства):

Цитата:

2.3.    Требования и рекомендации настоящего документа распространяются на защиту государственных информационных ресурсов некриптографическими методами, направленными на предотвращение утечки защищаемой информации по техническим каналам, от несанкционированного доступа к ней и специальных воздействий на информацию в целях ее уничтожения, искажения и блокирования.
При проведении работ по защите негосударственных информационных ресурсов, составляющих коммерческую тайну, банковскую тайну и т.д., требования настоящего документа носят рекомендательный характер.

Цитата:

2.17.    Объекты информатизации должны быть аттестованы по требованиям безопасности информации в соответствии с нормативными документами Гостехкомиссии России и требованиями настоящего документа.

2. ГОСТ Р 51583-2000 и ГОСТ Р 51624—2000 (оба ДСП)

С 2004 года у нас все ГОСТы, не затрагивающие безопасность человека, являются не обязательными... Т.ч. опять вопрос на решение ведомства.

3. Указ Президента РФ от 17 марта 2008 Г. N 351 "О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена"

Цитата:

1. Установить, что:
б) при необходимости подключения информационных систем, информационно-телекоммуникационных сетей и средств вычислительной техники, указанных в подпункте "а" настоящего пункта, к информационно-телекоммуникационным сетям международного информационного обмена такое подключение производится только с использованием специально предназначенных для этого средств защиты информации, в том числе шифровальных (криптографических) средств, прошедших в установленном законодательством Российской Федерации порядке сертификацию в Федеральной службе безопасности Российской Федерации и (или) получивших подтверждение соответствия в Федеральной службе по техническому и экспортному контролю. Выполнение данного требования является обязательным для операторов информационных систем, владельцев информационно-телекоммуникационных сетей и (или) средств вычислительной техники;
в) государственные органы в целях защиты общедоступной информации, размещаемой в информационно-телекоммуникационных сетях международного информационного обмена, используют только средства защиты информации, прошедшие в установленном законодательством Российской Федерации порядке сертификацию в Федеральной службе безопасности Российской Федерации и (или) получившие подтверждение соответствия в Федеральной службе по техническому и экспортному контролю;

Т.е. здесь только про обязательность использования сертифицированных средств.

Т.ч. на счет совсем обязательности для гос-ов я бы не сказал... Но при принятии ведомством СТР-К и/или ГОСТ-ов требования по аттестации становятся обязательными.

После отмены Основных мероприятий ФСТЭК требований по обязательности аттестации для комерсов нет.
Есть лишь "оценка соответствия" в ПП781, но оценка соответствия производится в виде обязательной сертификации, добровольной сертификации и декларации соответствия (по закону "О техрегулированию").

Добавлено:

Цитата:

kzi
что за бред про аттестацию? Это левый СТР-К! Читайте нормальный ДСП-шный

Это не левый, а один из проектов СТР-К.

Добавлено:

Цитата:

ipmanyak
Дайте дсп-шный, почитаю. А почему этот левый?
....
Москва 2001

СТР-К Утвержден приказом Гостехкомиссии России от 30 августа 2002 г. №282

Всем привет. Прочитал. Голова не может все переварить. 21 страница, а информации много.
У меня ситуация:
Ленинградская область. Муниципальное образовательное учреждение. Не школа! Скажем так, мы относимся к доп.образованию. Учреждение государственное, со всеми вытекающими.

У нас порядка 100 ПК подключенных в интернету. Есть бухгалтерия, секретарь. Личную информацию обрабатывают. Есть на сервка (win 2003) "АРМ директор" - программа где данные о сотрудниках. У секретаря соответственно есть документы на ПК, в которых личная инфа есть. Ну бухгалтерия понятно.
Род информации ФИО, адреса, телефоны. Есть о слушателях информация, там тоже адреса, телефоны, такое все. Думаю это в 3 классу наверное относится. Ну могут и ко 2 отнести, т.к. в скорее всего есть и ИНН и страховое в эл.виде.

Что делать?

Я инженер. Нас тут 2,5 человека всего. Но отвечаю за все как бы я. Что мне делать как ведущему инженеру?
Прочитал, понял, что своими силами не обойтись.
Обращаться ли в администрацию района? Что им писать? Просить деньги? Но не знаю как составить смету, т.к. не понимаю что нужно учитывать и как считать. О каких деньгах вообще речь идет. Понятно что о больших, но все же. Как сосчитать?
Как обезопасить себя? Как защитить учреждение? Не совсем все еще и лицензионное то. Что делать? Какой алгоритм действий?
Денег у нас на такое нет, это как бы ясно понятно. По-этому, скажите как быть?

oaf56
Цитата:

Комментарий от фирмы 1С : Новый поворот в защите ПДн - отмена двух документов ФСТЭК России. http://www.buh.ru/document-1619
Ознакомиться СтОиТ. И подумать... Мыслят то верно.

Цитата:

ipmanyak oaf56 Боян уже. Я о 58 приказе писал еще 4 марта на 18 странице, ваш пост был буквально следом, через 1 после моего - 10 марта, но вы видимо то, что выше, не читаете.

0. Извини, читал. Что это не ново - догадываюсь. Кстати, выше были ссылки на другие новости...
1. Это взгляд методистов фирмы 1С. Они отличаются системным подходом к любой проблеме ее анализу и принятию решения. Лично я их уважаю за это, чту . Думаю что многим, особенно кто начинает, будет интересно и полезно не только ознакомиться, но и поучиться правильно думать.
2. Информация для 1С это их и работа и хлеб. Потому ничего странного нет в том, что в открытом доступе результат их работы появляется "слегка" позже. Они публично показывают, что проблема им известна, они ее решают. И предостерегают своих некоторых жадных пользователей.

Скажите пожалуйста
Попадаю ли я под этот закон при использовании на предприятии 1с ЗиК. И как защищать эту БД. Шифрование жесткого диска?

Цитата:

ToTaLictikus
Учреждение государственное, со всеми вытекающими.

У нас порядка 100 ПК подключенных в интернету.

351 Указ => сертифицированные СЗИ


Цитата:

ToTaLictikusКакой алгоритм действий?

Полный алгоритм 1-го этапа я давал на DATUM


Цитата:

ToTaLictikusНе совсем все еще и лицензионное то.

Смотрите возможность перехода на СПО


Цитата:

ToTaLictikus
Думаю это в 3 классу наверное относится. Ну могут и ко 2 отнести, т.к. в скорее всего есть и ИНН и страховое в эл.виде.

К3 от К2 сейчас отличается только классом МЭ. На К3 требуется 5 класса, а на К2 - 4 класса


Цитата:

ToTaLictikus
не понимаю что нужно учитывать и как считать. О каких деньгах вообще речь идет. Понятно что о больших, но все же. Как сосчитать?

Не претендуя на истину в последней инстации набросал минимум того, что потребуется для мелкой гос. организации по К3/К2. Постараюсь в ближайшее время дописать К1

Добавлено:

Цитата:

aagatin
Попадаю ли я под этот закон при использовании на предприятии 1с ЗиК.

Попадаете.

В части ЗП и кадрового учета действующих сотрудников - оператор.
В части отправки данных в ФНС, ПФ, военкоматам и прочим, определенных законами - операторы они, а Вы обработчик.


Цитата:

aagatin
И как защищать эту БД.

См. по ссылке выше. Если только по своим работникам, то К3 (если нет спецкатегорий ПДн)

Задача такая... Не могу определиться с выбором Межсетевого экрана
Исходные данные:
1.Сельская (районный центр) бюджетная контора .
2.ИСПДН - 2 класс
3.Кол-во рабочих станций 10-15.
4.Интернет
- Электронная почта (обмен данными с вышестоящей организацией в т.ч. и содержащими ПД)
- Удаленное администрирование локального сервера БД из вышестоящей организации (Linux, Oracle).
- Свободный серфинг.
- Обновление ПО.
- Возможно в перспективе VPN.

Большинство МЭ расчитаны на сети 100-300 машин с немаленьким трафиком, цены соответствующие. Я думаю, приобретать таких "монстров" по 100-200 т.р. смысла (и денег) нет.

Посоветуйте , пожалуйста, что-нибудь под имеющиеся задачи.

Orion_76
http://www.cisco.com/web/RU/solutions/smb/products/security/asa_5500_series_adaptive_security_appliances.html#~models

Orion_76 Уверен, что ИСПДН класс 2?
Можно купить ViPNet Personal Firewall и поставить на каждую тачку, всего 472 руб за штуку. Продукт сертифицирован ФСТЭК и ФСБ. Для приобретения сертифицированного ФСБ, куда обращаться написано в самом низу на указанной странице:
http://www.infotecs.ru/Soft/personalf.htm

ViPNet Personal Firewall Сертификат соответствия:
ФСБ России №СФ/115-1285 от 27 февраля 2009 г. на соответствие требованиям ФСБ России к устройствам типа межсетевые экраны 4 класса защищенности и может использоваться для защиты информации от несанкционированного доступа в информационных и телекоммуникационных системах органов государственной власти Российской Федерации.
http://www.infotecs.ru/lic_sert.htm
МЭ 4 класса кажется покатит для ИСПДН класса 2