В том-то и дело что да. Короче надо подготовить систему так чтобы в ней меньше копались, а для этого необходимо провести некоторые меры.
» Вы уже обеспечили защиту персональных данных на предприятии?
Очень сложно! Потому что слить одновременно могут несколько человек из разных ведомств в разных регионах.
Я так думаю тут вопрос в другом, что нужна система с распределенным доступом и многоуровневой аутенфикацией, построенная по принципу минимальной достаточности. Т.е. у каждого их сотрудников доступ должен быть только к тем данным, что нужны для работы.
Хотя в нашей стране так не получается. Почему-то каждое ведомство должно знать о тебе всё. И адреса и телефоны и долги и семейное положение... Причем не только руководство подразделения или ответственный оператор, а фактически любой имеющий физический доступ к БД.
Хотя зачастую надо значительно меньше...
Причем мало того, что эти данные есть в базе их надо всё равно предоставлять в рукописной форме. ))))
А сам закон это просто очередной рычаг давления. Мало ли их у нас?
Я так думаю тут вопрос в другом, что нужна система с распределенным доступом и многоуровневой аутенфикацией, построенная по принципу минимальной достаточности. Т.е. у каждого их сотрудников доступ должен быть только к тем данным, что нужны для работы.
Хотя в нашей стране так не получается. Почему-то каждое ведомство должно знать о тебе всё. И адреса и телефоны и долги и семейное положение... Причем не только руководство подразделения или ответственный оператор, а фактически любой имеющий физический доступ к БД.
Хотя зачастую надо значительно меньше...
Причем мало того, что эти данные есть в базе их надо всё равно предоставлять в рукописной форме. ))))
А сам закон это просто очередной рычаг давления. Мало ли их у нас?
champa
Цитата:
вы требования фстека под Класс ИС - К1 читали, у них же можно узнать список необходимого достаточного ПО (там много мути типа терьера)
Цитата:
В том-то и дело что да. Короче надо подготовить систему так чтобы в ней меньше копались, а для этого необходимо провести некоторые меры.
вы требования фстека под Класс ИС - К1 читали, у них же можно узнать список необходимого достаточного ПО (там много мути типа терьера)
мне вот интересно, если я вдруг выполню вот это:
Цитата:
как положено через ФСБ:
Цитата:
где гарантия, что эти ФСБшники не прийдут в мой сервак, охрана их не заметит, т.к. они прийдут через инет, и не будут использовать полученые данные, у меня на предприятии, против меня и сотрудников работающих на п.п.
а то что практически на всех гос. машинах стоит пиратка, как говорил valhalla, в этом я убедился лично, когда, тупо обновляю винду, слетает активация и ключи не катят, приходится переустанавливать полностью...
Цитата:
с этим я не согласен, они не должны знать о тебе всё.
У меня случай был, когда меня задержали органы УВД, я посидел, пообщался с следавателем, дык он меня попросил принести БД по телефонам, а то говорит достали, всё пробивать надо через федеральный запрос...
Это говорит о том, что он должен объяснить МВД зачем ему вдруг понадобился телефон Васи Пупкина, и у них уходит на это до полутора недель.
Цитата:
а Вот это было бы, вообще правильная система, и не трудовая книжка, с которой все таскаются, или мед.карточка, которую хрен выпросишь из поликлиники, а электронная.
а не получится у нас это ещё по одной причине, у нас "правохранительные органы" слишком жадные, у нас до сих пор нет единой базы по угонам именно для того, чтобы можно было спокойно угнать машину и перегнать её в казахстан и т.д.
сами балбесы не могут у себя структуризировать, а на нас бедных одминов прут.
Цитата:
1. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
как положено через ФСБ:
Цитата:
Кроме того, предприятие должно использовать сертифицированные (да, разумеется с потайным ключиком у ФСБ) криптографические решения на серверах, на которых расположены базы данных. Также инфраструктура должна быть аттестована (за счет предприятия у уполномоченного органа), что уж совсем ужасно.
где гарантия, что эти ФСБшники не прийдут в мой сервак, охрана их не заметит, т.к. они прийдут через инет, и не будут использовать полученые данные, у меня на предприятии, против меня и сотрудников работающих на п.п.
а то что практически на всех гос. машинах стоит пиратка, как говорил valhalla, в этом я убедился лично, когда, тупо обновляю винду, слетает активация и ключи не катят, приходится переустанавливать полностью...
Цитата:
Хотя в нашей стране так не получается. Почему-то каждое ведомство должно знать о тебе всё.
с этим я не согласен, они не должны знать о тебе всё.
У меня случай был, когда меня задержали органы УВД, я посидел, пообщался с следавателем, дык он меня попросил принести БД по телефонам, а то говорит достали, всё пробивать надо через федеральный запрос...
Это говорит о том, что он должен объяснить МВД зачем ему вдруг понадобился телефон Васи Пупкина, и у них уходит на это до полутора недель.
Цитата:
Т.е. у каждого их сотрудников доступ должен быть только к тем данным, что нужны для работы.
а Вот это было бы, вообще правильная система, и не трудовая книжка, с которой все таскаются, или мед.карточка, которую хрен выпросишь из поликлиники, а электронная.
а не получится у нас это ещё по одной причине, у нас "правохранительные органы" слишком жадные, у нас до сих пор нет единой базы по угонам именно для того, чтобы можно было спокойно угнать машину и перегнать её в казахстан и т.д.
сами балбесы не могут у себя структуризировать, а на нас бедных одминов прут.
Если я правильно понял, то на большинство конфигураций 1С (особливо на их зарплатные конфигурации) тоже надо будет получать сертификаты и любое изменение конфигурации влечет за собой утрату этого сертификата? Или это не из этой "степи"?
Akam1
из той если в 1с хранятся персональные данные те фио данные паспорта и проч
из той если в 1с хранятся персональные данные те фио данные паспорта и проч
Цитата:
Если я правильно понял, то на большинство конфигураций 1С (особливо на их зарплатные конфигурации) тоже надо будет получать сертификаты и любое изменение конфигурации влечет за собой утрату этого сертификата? Или это не из этой "степи"?
Да. И еще многое, многое, многое другое.
Не судите стпрого. Пусть немного сумбурно. Давно это было... Поищите НА ДОСУГЕ материалы и методические руководства по информационной безопасности. БУДЕТ ОЧЕЬ ИНТЕРЕСНО.
1. Во первых должно быть исследование. на предмет какие данные и где и как обрабатываем?. Подпадают они под законы и какие?. Обязательна ли их защита?.
Защищаем не только электронные данные, но и бумажные, и на любых др. носителях.... но и носители данной инфы - в т.ч. сотрудники.
2. выделяем "узкие" места. Оптимизируем их : сокращение видов объемов и единиц защищаемой информации, ограничим место и сотрудников для работыс такой инфой(например, шкаф с документами/ПК/сеть находятся в отдельном помещении).
3. принимаем рещение о мероприятиях по защите инфы. Это в основном организационные и технические. Для данных определенного типа(уровня секретности) устанавдивается вилка по классу защиты. Для опреденного класа выдвигаются вполне определенные требования по защите не только инфы и средств ее обработки, но и помещений, пересонала, организации работы. Оформляется задание и по этому заданию разрабатывают подробный план мероприятий и того что надо, кто и за сколько сделает.
В часности должен быт назначен админстратор информационной безопасности(ИБ), который будет за ВСЕ отвечать. Кроме еще директора, конечно. Как правивило этот админ ИБ и должен ее обеспечивать. Не будет же козлом отпущения САМ директор?
Должны быть написаны приказы по предприятию и регламенты работы и такой инфой, внесены изменения в служебные обязаности. Сотрудники должны быть ознакомлены с чем и как они работают и как и за что их будут наказывать.
Помещения, их охрана, Сеть, ПК, ВСЕ ПО, переферия должны соотвествовать и быть сертифицированы по требуемому класссу защиты как единый и фиксированный набор компонентов. Добавление/ ремонт/обновление лишит Вас этого. Или потребует доплат.
Все что подвержено вскрытию и/или замене пломбируется аттестцующей организацией и при нарушении пломб теряется статус аттестованых ....
4. Все мероприятия по п 3. можем выполнять сами, а лучше - лицензированая организация.
5. защите/сертификасции подлежат сервера/рабочие станции, принтеры Сетевая инфраструктура(свичи, кабели, проводка). ПРрийдется закрывать все пути по несанкционированой записи инфы на сменные носители(eSATA/USB/LPT/IEE1394/WiFi&etc ports, CD/Флоппи диски), фотоаппарат, факс и др.
6. ограничить доступ в такое помещение(не проходной двор). Сотрудников проинструктипровать и преодически аттестовывать.
7. Совсем забыл - хранение резервных копий ,ключевой и др. информайции - надо железный сейф/ящик. и организация хранения/ сдачи ключевой информации у сотрудников.
Все что ВЫ напишете в заказанном Вами проекте - ВЫ обязаны будете исполнить. Потому, надо сначала проработать как следует все вопросы и ньюансы самим с прикидкой сколько это будет стоить и на сколько можно расчитывать, а уж потом ..... обликать это в проект в пределах имеющихся средств. Потому как Админу ИБ идеальный план нельзя будет выполнить и обеспечивать исполнение, т.к. у директора не будет хватать денег что бы это сделать, а потом содержать . Потому надо в разумных пределах оптимизировать структуру и риски для снижения затрат.
Типичный пример разделение/выделение-> локализация обработки инфы и потенциально опасных участков. Типа доступ в ИНЕТ с отделногоПК, не полключено к сети, Сеть бухгалтерии выделить в физический отдельный сегмент.
Если уж жизнь Вас припрет в части исполнения такого закона и Вас решат назначить таким Админом ИБ, то не плачьтесь директору что как Вам не хочется, тяжело, ненужно это делать. Если кого он пожалеет, то только себя. Потому думайте, ищите как сделать дешево, но сердито, чтобы с Вас не привлекали к ответственности и старайтесь заинтересовать директра результатами:
- если это неизбежно, то надо сделать. Не слишком дорого и наказывать не будут(Возможно и его).
- порядок и дисциплина
- сохранность коммерческой информации Вашей организации.
имхо учитывая что базами личных данных торгуют в основном только госорганизации типа фсб и компания(частным фирмам оно не надо да и нет у них таких данных которые могут заинтересовать) то закон сделан как очередное средство вытащить деньжат из предпринимателей.
Цитата:
доступ в ИНЕТ с отделногоПК, не полключено к сети,
хм, а насколько усложняется задача, если несколько бухгалтеров в филиалах работают через цитрикс с базой, находящейся в центральном офисе? а если филиалов, скажем, порядка сотни? это же JOPPA...
Цитата:
доступ в ИНЕТ с отделногоПК, не полключено к сети,
У нас электронная налоговая отчетность, в Украине, думаю в России тоже такое же что-то должно быть. В программах отчетности даные по предприятию, директору, сотрудниках, вынести на отдельный компьютер невозможно.
Электронная почта. Часть документооборота идет через шифрованные электронные сообщения. Как это перенести? 0_о
И при всем этом, существует множество возможностей для доступа к данным, на которые эта вся защита не повлияет. От человеческого фактора, типа подкупа, угроз, до силового захвата оборудования.
самое интересное что закон есть и скоро вступит в силу а чёткого регламента по поводу обновлений как самой ос так и стороннего необходимого софта нет
Мы сейчас активно работаем в этом направлении, так что задавайте любой вопрос отвечу.
а если на файло сервере стоит zfs, его тоже надо сертифицировать?
Цитата:
Цитата:доступ в ИНЕТ с отделногоПК, не полключено к сети,
хм, а насколько усложняется задача, если несколько бухгалтеров в филиалах работают через цитрикс с базой, находящейся в центральном офисе? а если филиалов, скажем, порядка
Цитата:
Цитата:доступ в ИНЕТ с отделногоПК, не полключено к сети,
У нас электронная налоговая отчетность, в Украине, думаю в России тоже такое же что-то должно быть. В программах отчетности даные по предприятию, директору, сотрудниках, вынести на отдельный компьютер невозможно.
Электронная почта. Часть документооборота идет через шифрованные электронные сообщения. Как это перенести? 0_о
И при всем этом, существует множество возможностей для доступа к данным, на которые эта вся защита не повлияет. От человеческого фактора, типа подкупа, угроз, до силового захвата оборудования.
Кхе. Ну что Вы плачите? Читайте не только :"доступ в ИНЕТ с отделногоПК, не полключено к сети". Прочтите мой полность пост и не 1 раз. Осознайте.
Осознали? Поищите методические рекомендации по ИБ. например много наработок/материалов было в Центробанке. и др. подобных учреждениях. была публичная инфа в инете.
Суть в том что денег и др. ресурсов можно потратить немерено и всеравно не достичь цели.
Защиается вся информация на всех этапах и местах ее обработки. Нельзя защитить все и везде. Потому полюбому требуется оптимизация защищаемой инфы.
Если инфа обрабатывается на одном ПК, то ставим его в отдельную комнату Аттестуем, защищаем помещение, ПК, принтер, ПО и все другое что используется ВПЛОТЬ до Элктро сети, телефона, охраны . Если обработка ведетсся в локальной сети, то прийдется защищать локальную сеть(свичи сертифицированые , провода джеки, розеткидолжны быть экранированые) исключить физический доступ к ЛС. А также ВСЕ ПК, перефирию вклюеные в эту ЛС. И ВСЕ ПОМЕЩЕНИЯ.
Если в ЛС ЕСть сервера и сервисы, то они тоже должны быть сертифицированы и аттестваны по требуемому классу защиты. Шлюзы в инет, криптография - особая песня и ОЧЕНЬ дорогая.
Потому и говорю легче и дешеве сделать по другому: определить класс требуемый защиты(по обрабатываемой инфе), вести обработку отдельно, ну и инет отдельно. Потом если появятся деньги и возможности.... сделаете как надо.
Есть информация подлежащая обязательной защите, а есть "коммерческая тайна" - здесь требования к защите определяет руководство организации. Здесь Можно и не защищать, оставить как есть.
Кстати системы клиент-банк, сдачи отчетности в электронном виде и др. при применениии криптографии ЭЦП ДОЛЖНЫ иметь накладные, опись комплектации сертификаты и аттестацию на конкретные экземпляры(серийные номера)и документацию. Требуйте смело. Завереные копии. Иначе накажут ВАС. Кроме этого дожны быть в составе документации формуляры/руководства по установке, требованиям по соблюдению соответствия заявленому классу зашиты. инсрукции по ИБ
Valery12
У нас поступили проще: каждый вноь прибывший сотрудник пишет расписку, о том, что он согласен на использование нашей фирмой своих персональных данных для кадрового и финансового учета на предприятии и претензий не имеет.
У нас поступили проще: каждый вноь прибывший сотрудник пишет расписку, о том, что он согласен на использование нашей фирмой своих персональных данных для кадрового и финансового учета на предприятии и претензий не имеет.
Цитата:
а если на файло сервере стоит zfs, его тоже надо сертифицировать?
Впрос вообсче не имеет смысла. Поподробнее.
Цитата:
Если обработка ведетсся в локальной сети, то прийдется защищать локальную сеть(свичи сертифицированые
Сертифицированные свичи потребуются только при разделении сетей с разными классами, в остальных случаях подойдут любые свичи третьего уровня
Цитата:
розеткидолжны быть экранированые
Обязательно только если принято решение пользоваться сетевыми помехоподавляющими фильтрами
Цитата:
Если в ЛС ЕСть сервера и сервисы, то они тоже должны быть сертифицированы и аттестваны по требуемому классу защиты.
Нет никакой сертификации, а темболее аттестации сервисов
Цитата:
ЭЦП ДОЛЖНЫ иметь накладные, опись комплектации сертификаты и аттестацию на конкретные экземпляры(серийные номера)и документацию.
Аттестация на конкретные экземпляры в комплект поставки не входит.
Цитата:
У нас поступили проще: каждый вноь прибывший сотрудник пишет расписку, о том, что он согласен на использование нашей фирмой своих персональных данных для кадрового и финансового учета на предприятии и претензий не имеет.
Это все виговый листок он вам не поможет
Есть несколько вопросов...
Как быть с софтом, который пишется в пределах организации и регулярно развивается?
Как быть с кадровой системой, если она связана с бухгалтерией, которой необходим интернет?
Что есть изолированная сеть в понимании ФСТЭК (в части рекоммендаций по защите)? Если есть транспортная локалка по которой ходит шифрованная сеть с перс.данными. Вторая будет являться изолированной? Если между двумя сетями стоит сервер, который отдает сервисы в обе сети, но не является шлюзом, такие сети изолированы друг от друга?
Как быть с софтом, который пишется в пределах организации и регулярно развивается?
Как быть с кадровой системой, если она связана с бухгалтерией, которой необходим интернет?
Что есть изолированная сеть в понимании ФСТЭК (в части рекоммендаций по защите)? Если есть транспортная локалка по которой ходит шифрованная сеть с перс.данными. Вторая будет являться изолированной? Если между двумя сетями стоит сервер, который отдает сервисы в обе сети, но не является шлюзом, такие сети изолированы друг от друга?
Цитата:
Как быть с софтом, который пишется в пределах организации и регулярно развивается?
Нет проблем он никого не итересует
Цитата:
Что есть изолированная сеть в понимании ФСТЭК (в части рекоммендаций по защите)?
Для разделения сетей нужно применять сертифицированный файрвол
Цитата:
сли между двумя сетями стоит сервер, который отдает сервисы в обе сети, но не является шлюзом, такие сети изолированы друг от друга?
С этого места поподробнее, имеется ввиду СУБД или нет?
Цитата:
Цитата:
>Как быть с софтом, который пишется в пределах организации и регулярно развивается?
Нет проблем он никого не итересует
А если он обрабатывает персональные данные? Как тогда?
Цитата:
Для разделения сетей нужно применять сертифицированный файрвол
Если есть маршрутизатор 3-го уровня, который просто по VLAN-м раздает DHCP-help-ром ip-адреса разных сетей, то это запрещено?
Все таки, что есть "изолированная сеть"? Есть какое-то определение?
Цитата:
Цитата:
>сли между двумя сетями стоит сервер, который отдает сервисы в обе сети, но не является
>шлюзом, такие сети изолированы друг от друга?
С этого места поподробнее, имеется ввиду СУБД или нет?
Нет... Есть сеть А. Есть сеть B. И есть сервер с двумя сетевухами, который одной сетевухой смотрит в сеть А, а другой - в сеть B. На нем расположен, скажем, консультант. Сети А и B будут изолированными?
Из черного юмора:
Пессимист : "Как Все плохо...."
Оптимист: "А будет еще хуже....";)
Цитата:
По идее ПО и среда разработки, разработчики Должны быть сертифицированы. Но где это может быть и кто потянет : банки, корпорации, Вояки, секретСервисы, ОператорыСвязи.... Знакомый Директор говорит 10,000 рублей за бухгалтерию это так дорого. А зачем еще надо покупать зарплату за 12т. Руб.? это нам дорого. Мы это не потянем((
ПОсмотрите ПО КриптоПро. Там Сертифицируется конкретная СТАБИЛЬНАЯ версия продукта. Изменил - снова сертифицуруй )))
потому старайтесь ЛЕГАЛЬНО уйти.
Цитата:
Для доступа в интернет:
1. Куппить сертифицированный аппаратно-програмный файервол за тыс 200-600, например ДИОНИС.
2. Купить ПК, Сертифицированный програмный Фаервол, аттестовать самим. Выйтет для 1 штуки тоже самое, если не дороже, долго, муторно, ответственно, и не бесплатно для конторы, но Вам и спасибо не скажут. ОТВЕЧАТЬ БУДЕТЕ ВЫ.
КСТАТИ ЕСТЬ ТАКАЯ НОРМА в Гражданском Кодексе : Срок давности на Взысканние убытков <=3 года, (Даже если сотрудник уволился).
3. выгружать отчетность в файл на отдельную дискету. и с дискетой двигать на ПК с Инетом.
4. пОХерить П.1-3. И РАБОТАТЬ. Сообщить варианты руководству и ждать реакции или проверки.
Цитата:
1. Никуда и ни кчему не подключеная с ограниченым доступом- дешево и сердито
2. Спец. Сертифицированые средства защиты(файервол с криптография) - дорого.
Цитата:
Это смотря КАК. Если В защищаемой сети есть Сервер на сертифированом железе с сертифицированной ОС, а надо запусть на нем почту, WEBсервер, файловую систему с криптографией и т.д. При этом эти новые сужбы "сторонние"? Тогда надо аттестовывать и их. Если же они встроены в ОС или ПО и сертифицированы в их составе - тогда ненадо.
Локальная сеть это комплекс. защита комплекса НЕ может быть ВЫШЕ, чем защита ЛЮБОГО элемента с НАИМЕНЬШИМ уровнем защиты. потому достаточно одного незащищенного элемента и ВСЯ ваша защита =00000,0.
Вынесите эту простую мысь в шапку и красным цветом, БОЛЬШИМИ БУКВАМИ.
Для этого все сервисы и службы должны быть в сети. иначе начинаются сложности+деньги.
Цитата:
Хе, VLAN не является(НЕ ПРИЗНАНА) сертифицированой технологией для разграничения сетей/доступа. Для коммерческих сетей - дешево и сердито. Даже если применить криптографию, то на свичах есть транк порты(более чем 1 VLAN- объединение 1 VLAN сетей, например для общих серверов) и перевод порта в спец режим отладки - перенаправление всего трафика на определенный IP. )
Между обычной и защищаемой сетью должен быть файервол, если вы не хотите защищать сервер "между сетями".
В вашем случае сети А и Б будут
- не изолировыаны(сервер в 2-х сетях заходи и ты в защищенной сети);
- не защищены !!!!!! .
Пессимист : "Как Все плохо...."
Оптимист: "А будет еще хуже....";)
Цитата:
Цитата:Цитата:
>Как быть с софтом, который пишется в пределах организации и регулярно развивается?
Нет проблем он никого не итересует
А если он обрабатывает персональные данные? Как тогда?
По идее ПО и среда разработки, разработчики Должны быть сертифицированы. Но где это может быть и кто потянет : банки, корпорации, Вояки, секретСервисы, ОператорыСвязи.... Знакомый Директор говорит 10,000 рублей за бухгалтерию это так дорого. А зачем еще надо покупать зарплату за 12т. Руб.? это нам дорого. Мы это не потянем((
ПОсмотрите ПО КриптоПро. Там Сертифицируется конкретная СТАБИЛЬНАЯ версия продукта. Изменил - снова сертифицуруй )))
потому старайтесь ЛЕГАЛЬНО уйти.
Цитата:
Цитата:Как быть с кадровой системой, если она связана с бухгалтерией, которой необходим интернет?
Для доступа в интернет:
1. Куппить сертифицированный аппаратно-програмный файервол за тыс 200-600, например ДИОНИС.
2. Купить ПК, Сертифицированный програмный Фаервол, аттестовать самим. Выйтет для 1 штуки тоже самое, если не дороже, долго, муторно, ответственно, и не бесплатно для конторы, но Вам и спасибо не скажут. ОТВЕЧАТЬ БУДЕТЕ ВЫ.
КСТАТИ ЕСТЬ ТАКАЯ НОРМА в Гражданском Кодексе : Срок давности на Взысканние убытков <=3 года, (Даже если сотрудник уволился).
3. выгружать отчетность в файл на отдельную дискету. и с дискетой двигать на ПК с Инетом.
4. пОХерить П.1-3. И РАБОТАТЬ. Сообщить варианты руководству и ждать реакции или проверки.
Цитата:
Цитата:Все таки, что есть "изолированная сеть"? Есть какое-то определение?
1. Никуда и ни кчему не подключеная с ограниченым доступом- дешево и сердито
2. Спец. Сертифицированые средства защиты(файервол с криптография) - дорого.
Цитата:
Цитата:Если в ЛС ЕСть сервера и сервисы, то они тоже должны быть сертифицированы и аттестваны по требуемому классу защиты.
Нет никакой сертификации, а темболее аттестации сервисов
Это смотря КАК. Если В защищаемой сети есть Сервер на сертифированом железе с сертифицированной ОС, а надо запусть на нем почту, WEBсервер, файловую систему с криптографией и т.д. При этом эти новые сужбы "сторонние"? Тогда надо аттестовывать и их. Если же они встроены в ОС или ПО и сертифицированы в их составе - тогда ненадо.
Локальная сеть это комплекс. защита комплекса НЕ может быть ВЫШЕ, чем защита ЛЮБОГО элемента с НАИМЕНЬШИМ уровнем защиты. потому достаточно одного незащищенного элемента и ВСЯ ваша защита =00000,0.
Вынесите эту простую мысь в шапку и красным цветом, БОЛЬШИМИ БУКВАМИ.
Для этого все сервисы и службы должны быть в сети. иначе начинаются сложности+деньги.
Цитата:
Цитата:
Цитата:
>сли между двумя сетями стоит сервер, который отдает сервисы в обе сети, но не является
>шлюзом, такие сети изолированы друг от друга?
С этого места поподробнее, имеется ввиду СУБД или нет?
Нет... Есть сеть А. Есть сеть B. И есть сервер с двумя сетевухами, который одной сетевухой смотрит в сеть А, а другой - в сеть B. На нем расположен, скажем, консультант. Сети А и B будут изолированными?
Хе, VLAN не является(НЕ ПРИЗНАНА) сертифицированой технологией для разграничения сетей/доступа. Для коммерческих сетей - дешево и сердито. Даже если применить криптографию, то на свичах есть транк порты(более чем 1 VLAN- объединение 1 VLAN сетей, например для общих серверов) и перевод порта в спец режим отладки - перенаправление всего трафика на определенный IP. )
Между обычной и защищаемой сетью должен быть файервол, если вы не хотите защищать сервер "между сетями".
В вашем случае сети А и Б будут
- не изолировыаны(сервер в 2-х сетях заходи и ты в защищенной сети);
- не защищены !!!!!! .
Постараюсь ответить поподробнее.
Если Ваша организация пишет софт, то он является прикладным програмным обеспечением и сертификация на него не требуется. Ни кто не требут сертификат на winRar, это тоже самое.
Вам нужно атестовать арм или ЛВС для обработке персональных данных, применяйте наложенные средства защиты и все.
Требование к маршрутизатарам третьего уровня возникло именно с VLAN вы разделяете порты и в тех. процессе обрабоки информации указываете как у вас идет инфа.
Для разделения сетей разных уровне конфиденциальности применяются сертифицированные файрволы.
Нет определения изолированная сеть.
Цитата:
Нет не будет.
Цитата:
Сертификации подлежат средства защиты и операционные системы. прикладное ПО сертификации не подлежит
Про сертификацию среды разработки вообсче ничего не слышал
Цитата:
Самый лучший вариант
Цитата:
Зачем же сразу такой вполне подойдет Cisco (для 2 ксласса ИСПДН), ССПТ-2М (Для 1 класса ИСПДН)
Цитата:
Ты путаешь понятия сертификации и аттестации
Давай разберем:
- сертифированом железе (это что такое?)
- сертифицированной ОС (Все понятно и правильно)
- Атестовывать надо в любом случае
Если Ваша организация пишет софт, то он является прикладным програмным обеспечением и сертификация на него не требуется. Ни кто не требут сертификат на winRar, это тоже самое.
Вам нужно атестовать арм или ЛВС для обработке персональных данных, применяйте наложенные средства защиты и все.
Требование к маршрутизатарам третьего уровня возникло именно с VLAN вы разделяете порты и в тех. процессе обрабоки информации указываете как у вас идет инфа.
Для разделения сетей разных уровне конфиденциальности применяются сертифицированные файрволы.
Нет определения изолированная сеть.
Цитата:
Нет... Есть сеть А. Есть сеть B. И есть сервер с двумя сетевухами, который одной сетевухой смотрит в сеть А, а другой - в сеть B. На нем расположен, скажем, консультант. Сети А и B будут изолированными?
Нет не будет.
Цитата:
По идее ПО и среда разработки, разработчики Должны быть сертифицированы.
Сертификации подлежат средства защиты и операционные системы. прикладное ПО сертификации не подлежит
Про сертификацию среды разработки вообсче ничего не слышал
Цитата:
3. выгружать отчетность в файл на отдельную дискету. и с дискетой двигать на ПК с Инетом.
Самый лучший вариант
Цитата:
Куппить сертифицированный аппаратно-програмный файервол за тыс 200-600, например ДИОНИС.
Зачем же сразу такой вполне подойдет Cisco (для 2 ксласса ИСПДН), ССПТ-2М (Для 1 класса ИСПДН)
Цитата:
Это смотря КАК. Если В защищаемой сети есть Сервер на сертифированом железе с сертифицированной ОС, а надо запусть на нем почту, WEBсервер, файловую систему с криптографией и т.д. При этом эти новые сужбы "сторонние"? Тогда надо аттестовывать и их. Если же они встроены в ОС или ПО и сертифицированы в их составе - тогда ненадо.
Ты путаешь понятия сертификации и аттестации
Давай разберем:
- сертифированом железе (это что такое?)
- сертифицированной ОС (Все понятно и правильно)
- Атестовывать надо в любом случае
Цитата:
Вам нужно атестовать арм
АРМ включает в себя софт, который регулярно (раз в неделю) модифицируется. Как быть? Аттестовывать раз в неделю?
Если не требуется сертификат на WinRAR, то почему от требуется на операционную систему? Или все же не требуется, просто цена вопроса аттестации будет выше?
Цитата:
Нет не будет.
А если в общей локалке делать VPN на сертифицированный шлюз, за которым защищаемая зона? А в локалке есть инет?
Цитата:
Цитата:
3. выгружать отчетность в файл на отдельную дискету. и с дискетой двигать на ПК с Инетом.
Самый лучший вариант
Т.е. иметь отдельную версию 1С-ки за отдельные деньги.... Так что ли?
Цитата:
АРМ включает в себя софт, который регулярно (раз в неделю) модифицируется. Как быть? Аттестовывать раз в неделю?
Нет не требуется, например обновление антивирусных баз не влечет автоматическую переаттестацию. Опиши свою процедуру в тех процессе и аттестуй объект вместе с ней.
Цитата:
Если не требуется сертификат на WinRAR, то почему от требуется на операционную систему?
Потому что все наложенные средства защиты живут на ней. Причем если используются наложенные средства защиты то сертифицированная винда не нужна нужна просто лицензионная.
Цитата:
А если в общей локалке делать VPN на сертифицированный шлюз, за которым защищаемая зона? А в локалке есть инет?
Подключения к инету в класическом понимании вообсче запрещено, под инетом понимается наличие защищенного крипто канала через недоверенную среду (например интернет).
Цитата:
Т.е. иметь отдельную версию 1С-ки за отдельные деньги.... Так что ли?
А что обновляться с флешки нельзя?
>Потому что все наложенные средства защиты живут на ней. Причем если используются
>наложенные средства защиты то сертифицированная винда не нужна нужна просто
>лицензионная.
Как быть с Linux ? Только Alt или Mandriva Spring 2008 ? Если вторая установлена из бесплатного дистрибутива?
>Подключения к инету в класическом понимании вообсче запрещено, под инетом понимается
> наличие защищенного крипто канала через недоверенную среду (например интернет).
эээ... для коммерческой организации (а иногда и для гос.организации) подключение к инету необходимо по роду деятельности. Поэтому полностью исключить его нельзя. Особенно если CRM построена на web-приложении, которое смотрит напрямую в инет посетителям.
Оттого и вопрос. Попробую описать схему подключения более подробно.
Есть локалка, из которой есть наружу проксируемый и NAT-й интернет. В этой локалке стоит сертифицированный VPN-сервер, за которым находится защищаемая зона. При подключении к защищаемой зоне каждый компьютер создает PPTP (IpSEC или подобное) соединение до VPN-сервера. Для большей надежности можно разрешить создание такого соединения только при наличии е-токена. Насколько данная схема допустима с точки зрения 152-ФЗ
Цитата:
Речь не об обновлении, а о необходимости наличия отдельной лицензии, отдельной железки-сервера на которой должно крутиться.
>наложенные средства защиты то сертифицированная винда не нужна нужна просто
>лицензионная.
Как быть с Linux ? Только Alt или Mandriva Spring 2008 ? Если вторая установлена из бесплатного дистрибутива?
>Подключения к инету в класическом понимании вообсче запрещено, под инетом понимается
> наличие защищенного крипто канала через недоверенную среду (например интернет).
эээ... для коммерческой организации (а иногда и для гос.организации) подключение к инету необходимо по роду деятельности. Поэтому полностью исключить его нельзя. Особенно если CRM построена на web-приложении, которое смотрит напрямую в инет посетителям.
Оттого и вопрос. Попробую описать схему подключения более подробно.
Есть локалка, из которой есть наружу проксируемый и NAT-й интернет. В этой локалке стоит сертифицированный VPN-сервер, за которым находится защищаемая зона. При подключении к защищаемой зоне каждый компьютер создает PPTP (IpSEC или подобное) соединение до VPN-сервера. Для большей надежности можно разрешить создание такого соединения только при наличии е-токена. Насколько данная схема допустима с точки зрения 152-ФЗ
Цитата:
А что обновляться с флешки нельзя?
Речь не об обновлении, а о необходимости наличия отдельной лицензии, отдельной железки-сервера на которой должно крутиться.
Цитата:
Как быть с Linux ?
Вот сертификаты
1.Сертификат 1501. Операционная система ALT Linux 4.0 Server Edition – по 4 уровню контроля НДВ, по 5 классу СВТ
2. Сертификат 1649. Операционная система ALT Linux 4.0 Desktop Professional, децимальный номер 46.21376425.501110-02 DVD – по 4 уровню контроля НДВ, по 5 классу СВТ (может использоваться для защиты информации в ИСПДн до 2 класса включительно) НЕНУЖНО НАЛОЖЕНЫХ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ ВСЕ В КОМПЛЕКТЕ.
Цитата:
Насколько данная схема допустима с точки зрения 152-ФЗ
Для аттестации данной системы тех процесс обработки информации в любом случае будеьт направляться на согласование в региональный ФСТЭК. Там и будет принято решение.
Мое мнение. Для аттестации такой системы орган по аттестации должен имень лицензию на противодействие компьютерной разведке.
Цитата:
Речь не об обновлении, а о необходимости наличия отдельной лицензии, отдельной железки-сервера на которой должно крутиться.
На это придется потратиться
Цитата:
На это придется потратиться
Чет подумалось, что фишка с дискетой и флешкой не пройдет. Причина:
На компьютерах защищаемой сети не должно быть дисководов, а USB должны быть отключены. Иначе грош цена безопасности. С точки зрения банальной эрудиции, безопаснее дать контролируемый (проксируемый, NAT-й, логирумый, зафайрволленй и т.д.) выход в инет, чем оставить бесконтрольными USB-порты.
И еще вопрос: как быть если персональные данные все же необходимо передавать через интернет? Скажем, филиалу банка сдавать отчетность по кредитам в центр? Скажем, из Петропавловско-Камчатского в Москву?
p.s. А что насчет бесплатного дистрибутива Mandriva? На нее то сертификат типа тоже есть.
Цитата:
Чет подумалось, что фишка с дискетой и флешкой не пройдет. Причина:
На компьютерах защищаемой сети не должно быть дисководов, а USB должны быть отключены. Иначе грош цена безопасности. С точки зрения банальной эрудиции, безопаснее дать контролируемый (проксируемый, NAT-й, логирумый, зафайрволленй и т.д.) выход в инет, чем оставить бесконтрольными USB-порты.
Пойдет поверь мне мы саме раз 20 так аттестовывали.
Цитата:
И еще вопрос: как быть если персональные данные все же необходимо передавать через интернет? Скажем, филиалу банка сдавать отчетность по кредитам в центр? Скажем, из Петропавловско-Камчатского в Москву?
Можно используйте ViPNet сертификат 1549. Имено ваш случай, вам не нужен интернет вам нужен доверенный канал через него.
Цитата:
p.s. А что насчет бесплатного дистрибутива Mandriva? На нее то сертификат типа тоже есть.
Сертификат есть № 1766 действует до 27.01.2012г.. Операционные системы Mandriva Corporate Server 4 Update 3 (32 х и 64-х разрядные версии), Mandriva PowerPack 2008(32 х и 64-х разрядные версии), Mandriva Flash(32 х разрядная версия) по 4 уровню контроля отсутствия НДВ и 5 классу СВТ.
Только вот вопрос какой класс испдн если 1 то его не хватит.
Цитата:
Пойдет поверь мне мы саме раз 20 так аттестовывали.
Т.е. считается, что неконтролируемый USB безопаснее, чем контролируемый инет? Но ведь при этом очевидно, что вероятность утечки возрастает (вопрос риторический)?
Цитата:
Можно используйте ViPNet сертификат 1549. Имено ваш случай, вам не нужен интернет вам нужен доверенный канал через него.
Тогда не совсем ясно, что значит "отсутствие подключения к сети Internet". Ведь что бы сделать внешнее соединение, нужно иметь белые IP с обоих сторон. Т.е. железки, находящиеся в защищаемой зоне должны иметь белые IP с другой стороны. Кроме того, на локальных компьютерах в качестве шлюза должена быть железка, которая смотрит в инет.
Цитата:
Только вот вопрос какой класс испдн если 1 то его не хватит.
А можно ссылку на документ (желательно с указанием пункта) где указано, что ОС обязательно должна быть сертифицирована, а прикладное ПО - нет? И где указано какому классов сертификации операционных систем классам испдн?
Затраты организаций и предприятий по всей этой сертификации будут просто бешенными..
Имхо, при вступлении сабжевого закона в силу, проведутся несколько громких проверок (показательных, как это называется) и всё стихнет. При том я сильно сомневаюсь, что эти проверки коснуться гос.организаций, тут кто-то уже говорил об этом..
Имхо, при вступлении сабжевого закона в силу, проведутся несколько громких проверок (показательных, как это называется) и всё стихнет. При том я сильно сомневаюсь, что эти проверки коснуться гос.организаций, тут кто-то уже говорил об этом..
Цитата:
Имхо, при вступлении сабжевого закона в силу,
Закон уже вступил в силу
Цитата:
При том я сильно сомневаюсь, что эти проверки коснуться гос.организаций
Уже коснулись.
Страницы: 12345678910111213141516171819202122232425
Предыдущая тема: "Не удалось подключиться к контроллеру домена..."
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.