ipmanyak на сертификацию БД забей, никто этого требовать не будет, но защитить нужно, как - решай сам, для К3 шифрования данных в БД не требуется (для К2 имхо тоже). Чтобы прикрыть задницу перед Роскомнадзор, нужно иметь перечень документов, утвержденных в твоей конторе, это приказы, положения, инструкции, журналы, список тебе дан выше. Приблизительно 25 штук документов.
» Вы уже обеспечили защиту персональных данных на предприятии?
ipmanyak
Ок, документы там более менее в порядке - по крайней мере я большую часть их видел - разве что с тех пор менялась немного структура сети(надо отразить в документах) и версия самой программы(соответственно её описания надо тоже менять).
Т.е. открываю порт наружу и можно не болеть что по чайнику настучат (это в лучшем случае)?
Ок, документы там более менее в порядке - по крайней мере я большую часть их видел - разве что с тех пор менялась немного структура сети(надо отразить в документах) и версия самой программы(соответственно её описания надо тоже менять).
Т.е. открываю порт наружу и можно не болеть что по чайнику настучат (это в лучшем случае)?
Коллеги, может кто-либо поделиться готовым Проектом защиты перс. данных? Любой категории К1-К4
4pgorinich Готового тебе никто не даст, некоторые имеют гриф ДСП. Шаблоны документов можешь скачать здесь http://zpdn-day.ru/
Сайт неплохой, советую почитать там всё.
http://www.sinergi.ru/p1104aa1.html
http://www.sinergi.ru/DswMedia/doc927.rar
----
Сайт администрации Смоленской области:
http://admin.smolensk.ru/www.fstec.ru/person.htm
http://admin.smolensk.ru/www.fstec.ru/pers
---
http://ifolder.ru/16860180
http://ifolder.ru/16860405
Сайт неплохой, советую почитать там всё.
http://www.sinergi.ru/p1104aa1.html
http://www.sinergi.ru/DswMedia/doc927.rar
----
Сайт администрации Смоленской области:
http://admin.smolensk.ru/www.fstec.ru/person.htm
http://admin.smolensk.ru/www.fstec.ru/pers
---
http://ifolder.ru/16860180
http://ifolder.ru/16860405
ipmanyak, спасибо
на zpdn-day.ru скачал все шаблоны сразу после обнародования сайта. Проекта, ессно, там нет.
Нашу организацию пока не проверяли. Посмотрим график на 2012, когда его выложат.
Но чувствую задним местом, что без проекта туго придется. А самому сделать без шаблона - туго, увы =(
на zpdn-day.ru скачал все шаблоны сразу после обнародования сайта. Проекта, ессно, там нет.
Нашу организацию пока не проверяли. Посмотрим график на 2012, когда его выложат.
Но чувствую задним местом, что без проекта туго придется. А самому сделать без шаблона - туго, увы =(
4pgorinich То что в планах проверок, это как правило те, кто подал уведомление в Роскомнадзор. Если вы не подавали то и в планах вас не будет. Но могут прийти и внепланово, если у вас К1 или К2. Неплохие доки то что ниже привел.
http://72.rsoc.ru/directions/pp/p8532/
Если выполните то, что там написано, то больших претензий к вам не будет. Выставят замечания - будете устранять.
http://72.rsoc.ru/directions/pp/p8532/
Если выполните то, что там написано, то больших претензий к вам не будет. Выставят замечания - будете устранять.
спасибо №2.
Уведомление мы подавали, т.к. это было в обязательном порядке (от Министерства).
Вот сижу, жду графика на 2012. А документы стараюсь подготовить по максимуму.
Уведомление мы подавали, т.к. это было в обязательном порядке (от Министерства).
Вот сижу, жду графика на 2012. А документы стараюсь подготовить по максимуму.
А если обыкновенный завод, тут что надо готовить?
fufell Если у вас в ИСПДн только данные ваших сотрудников (типа в 1С ЗП и кадры), то уведомление в Роскомнадзор подавать не требуется. В остальном всё тоже самое, защитить нужно и оформить пакет документов. По идее в любой организации защита конфиденциальной инф-ции (не только ПДн) должна быть.
Если в какой-либо ИСПДн есть чужие ПДн, то подавать уведомление в Роскомнадзор вы должны. Вам нужно решать что делать с чужими ПДн в ИСпдн. Например, не пихать чужие ПДн в базу, тока бумажные носители. Если класс защиты получается выше чем К3, то гуглить на тему - Как снизить класс ИС персональных данных. Дабы не тратить бабло на офигенную защиту.
Если в какой-либо ИСПДн есть чужие ПДн, то подавать уведомление в Роскомнадзор вы должны. Вам нужно решать что делать с чужими ПДн в ИСпдн. Например, не пихать чужие ПДн в базу, тока бумажные носители. Если класс защиты получается выше чем К3, то гуглить на тему - Как снизить класс ИС персональных данных. Дабы не тратить бабло на офигенную защиту.
Цитата:
fufell Если у вас в ИСПДн только данные ваших сотрудников (типа в 1С ЗП и кадры), то уведомление в Роскомнадзор подавать не требуется. В остальном всё тоже самое, защитить нужно и оформить пакет документов. По идее в любой организации защита конфиденциальной инф-ции (не только ПДн) должна быть.
Если в какой-либо ИСПДн есть чужие ПДн, то подавать уведомление в Роскомнадзор вы должны. Вам нужно решать что делать с чужими ПДн в ИСпдн. Например, не пихать чужие ПДн в базу, тока бумажные носители. Если класс защиты получается выше чем К3, то гуглить на тему - Как снизить класс ИС персональных данных. Дабы не тратить бабло на офигенную защиту.
Могу сказать одно. Всякие дорогостоящие защиты это полная лажа и развод.
ставите на систему сетевые экраны KES 8 когда его сертифицируют, и ограничиваете права в 1С и на контролере домена, и почту куданить на свои сервера переносите.
И самое главное все сьёмные дырки подключения залепливаете наклейками с подписью сисадмина и его печатью.
И регламенты по ИБ пишите что переносные носители запрещено пихать в комп кроме админа, кассира, гл буха и руководства.
А этим персонам пишешь инструкцию в виде приложения к регламенту по ИБ, и даёшь на утверждение.
И апишники те которые снаружи сети гуляют(интернет, сеть общего пользования) в сетевых экранах маршруты жёстко прописываешь и дублируешь эти настройки документально за своей подписью (админа). На основе договоров с провайдерами интернета в которых указанны все апишники и почтовые адреса города где эти апишники обитают.
И Всё и сидишь на попе ровно и ждёщь проверку из ФСБ(теперь они проверять будут). Источник сайт: fsb.ru
Описанная мною структура была одобрена лицом приближённым к проверяющему органу.
Не знаю, сюда ли я пишу, вопрос про безопасность почты. Интересует, можно ли, теоретически, перехватив письмо с цифровой подписью DKIM, подделать его таким образом, что принимающая сторона его не распознает как поддерльное. Ведь в самом письме передается ключ. Или же ещё что-то надо?
Коллеги, все же хочется искать кнопку "сделать все как надо"
нет документа, где написано пошагово написан именно для техников/админов/спецов по ИБ как это сделать? а то где не читай - все для юристов написано и аж противно (как админу) читать.
интересует особо для К3 категории (ибо в нашем крае все конторы ДО 100 000)
нет документа, где написано пошагово написан именно для техников/админов/спецов по ИБ как это сделать? а то где не читай - все для юристов написано и аж противно (как админу) читать.
интересует особо для К3 категории (ибо в нашем крае все конторы ДО 100 000)
contrafack 80% работы - это бумажная работа - оформление документов (порядка 24 штук), в том числе работа юротдела по правке договоров и согласованию этих документов. Перечень документов, требуемых Роскомнадзором, можете посмотреть здесь Перечень локально распорядительных документов от rsoc - http://72.rsoc.ru/directions/pp/p8532/
Собственно шаги по построению защиты в инете расписаны. Для начала сделайте обследование ваших ИСПДн и классифицируйте их согласно приказу трёх. Решаете согласно Ф3 152 нужно ли вам подавать уведомление в Роскомнадзор. Делаете частную модель угроз по каждой ИСПДн, матрицы доступа. Если у вас точно К3 и вы не госструктура, то достаточно защититиь вашу ИСПДн средствами Windows (ака брандмауэр) и использовать сертифицированную ФСТЭК версию Windows, если у вас Windows. Антивирус тоже приобретаете сертфифицированный ФСТЭК. Испдн желательно не давать доступ в Интернет и отделить сервер и рабочие станции от Интернет физически, или ставить межсетевой экран на рабочие станции типа Vipnet или ему подобные. Если к вашей ИСПДн есть доступ снаружи и есть удаленные филиалы, вопрос уже другой, придется ставить вещи посерьезнее и применять криптование ( а на это нужна лицензия), что-типа АКПШ "КОНТИНЕНТ" и ему подобные.
P.S. Я бы советовал нанять лицензиата, да стоит денег. Но самостоятельно строить защиту и внедрять просто не хватает времени, текущая работа отнимает много времени. Мы наняли лицензиата на проведение обследования и выработки техзадания на построение защиты (без декларирования соответствия). Далее уже будем решать, или самим внедрять предложенное или опять наймем лицензиата. Цена вопроса обследования была в районе 2 тыр за одно рабочее место.
Собственно шаги по построению защиты в инете расписаны. Для начала сделайте обследование ваших ИСПДн и классифицируйте их согласно приказу трёх. Решаете согласно Ф3 152 нужно ли вам подавать уведомление в Роскомнадзор. Делаете частную модель угроз по каждой ИСПДн, матрицы доступа. Если у вас точно К3 и вы не госструктура, то достаточно защититиь вашу ИСПДн средствами Windows (ака брандмауэр) и использовать сертифицированную ФСТЭК версию Windows, если у вас Windows. Антивирус тоже приобретаете сертфифицированный ФСТЭК. Испдн желательно не давать доступ в Интернет и отделить сервер и рабочие станции от Интернет физически, или ставить межсетевой экран на рабочие станции типа Vipnet или ему подобные. Если к вашей ИСПДн есть доступ снаружи и есть удаленные филиалы, вопрос уже другой, придется ставить вещи посерьезнее и применять криптование ( а на это нужна лицензия), что-типа АКПШ "КОНТИНЕНТ" и ему подобные.
P.S. Я бы советовал нанять лицензиата, да стоит денег. Но самостоятельно строить защиту и внедрять просто не хватает времени, текущая работа отнимает много времени. Мы наняли лицензиата на проведение обследования и выработки техзадания на построение защиты (без декларирования соответствия). Далее уже будем решать, или самим внедрять предложенное или опять наймем лицензиата. Цена вопроса обследования была в районе 2 тыр за одно рабочее место.
ipmanyak
спасибо за подробную инфо.
А вообще то этим кто должен заниматься? Юрист, системный администратор, специалист по информ.безопасности ?
Я как бы официально не работаю и честно говоря предлагали заниматься аутсорсингом и конторы перевести к соответствию Ф3 152.
Вот и хочу узнать смогу ли я один это дело реализовать? сам по квалификации сисадмин/спец по ИБ, но в юридических делах слаб.
спасибо за подробную инфо.
А вообще то этим кто должен заниматься? Юрист, системный администратор, специалист по информ.безопасности ?
Я как бы официально не работаю и честно говоря предлагали заниматься аутсорсингом и конторы перевести к соответствию Ф3 152.
Вот и хочу узнать смогу ли я один это дело реализовать? сам по квалификации сисадмин/спец по ИБ, но в юридических делах слаб.
Цитата:
кто должен заниматься? Юрист, системный администратор, специалист по информ.безопасности ?Все вышеперечисленные. При создании защиты ПДн обычно создается рабочая группа или комиссия, куда включаются все эти лица и кто-то из руководства или зам директор или сам директор, назначается отв. лицо типа председатель комиссии. Пара человек должны быть обучены на курсах по защите ПДн.(обычно это админы)
ipmanyak
я как понял подрабатывать не смогу...
я как понял подрабатывать не смогу...
contrafack Ну почему не сможешь, сможешь, если станешь лицензиатом ФСТЭК.
ipmanyak
Цитата:
если это не было приколом - скажите пожалуйста как им стать ))))))))) да все равно не работаю официально время есть учится, если что.
Цитата:
если станешь лицензиатом ФСТЭК
если это не было приколом - скажите пожалуйста как им стать ))))))))) да все равно не работаю официально время есть учится, если что.
contrafack Думаю это стоит очень больших денег, кроме того, для внедрения аппаратных средств шифрования нужна еще и лицензия на эту деятельность, и где-то читал, что нужна еще лаборатория со спец железками. Потому услуги лицензиатов очень дорогие.
Если вам нужен точный ответ, спросите у ФСТЭК - http://fstec.ru/
Контактные телефоны ФСТЭК и емайлы по вашему федеральному округу, найдете здесь
http://www.fstec.ru/_razd/_osno.htm
Как говорят, адекватно и вежливо отвечают на все вопросы.
Если вам нужен точный ответ, спросите у ФСТЭК - http://fstec.ru/
Контактные телефоны ФСТЭК и емайлы по вашему федеральному округу, найдете здесь
http://www.fstec.ru/_razd/_osno.htm
Как говорят, адекватно и вежливо отвечают на все вопросы.
ipmanyak
спасибо большое попробую контактировать с ними, может получится подрабатывать хоть на этом деле, а то вообще стремно за 14 000 месяц работать сисадмином, но при этом быть полу-охранником, полу-уборщиком и полу-грузчиком.
спасибо большое попробую контактировать с ними, может получится подрабатывать хоть на этом деле, а то вообще стремно за 14 000 месяц работать сисадмином, но при этом быть полу-охранником, полу-уборщиком и полу-грузчиком.
доброго времени суток, может кто сталкивался/пояснит/ему разъясняли?
суть проблемы : есть локалка где обрабатываются ПД, подключена к инету через шлюз. для обеспечения требований фз 152, необходимо иметь сертифицированный МЭ, так вот в чем вопрос, если я на шлюз ставлю сертифицированный альт линуксспт 6.0 и встроенными средствами (iptables) настраиваю фаервол, проканает ли это за сертифицированный МЭ?
или на шлюз придется ставить дорогущий сертифицированный МЭ типа VipNet?
суть проблемы : есть локалка где обрабатываются ПД, подключена к инету через шлюз. для обеспечения требований фз 152, необходимо иметь сертифицированный МЭ, так вот в чем вопрос, если я на шлюз ставлю сертифицированный альт линуксспт 6.0 и встроенными средствами (iptables) настраиваю фаервол, проканает ли это за сертифицированный МЭ?
или на шлюз придется ставить дорогущий сертифицированный МЭ типа VipNet?
san30 Чтобы ответить на ваш вопрос нужно знать класс вашей ИСПДн (К1,К2,К3)
По 58 приказу ФСТЭК для К3 И К2 нужен МЭ не ниже 4 класса защищенности (альт линуксспт 6.0 сертфиицирован именно по 4 классу защищеннсти (от НСД), для К1 нужен МЭ не ниже 3 класса. Кроме того нужно знать классификацию вашей ИСПДн по группе конфиденциальности ( 3А или 3Б, 2А или 2Б, 1А,1Б,1В,1Г,1Д
В помощь статьи
http://web-protect.net/firewall.htm (читать про Классы защищенности брандмауэров)
http://www.fstec.ru/_docs/doc_3_3_006.htm
P.S.
Самый низкий класс защищенности МЭ - пятый, применяемый для безопасного взаимодействия АС класса 1Д с внешней средой, четвертый - для 1Г, третий - 1В, второй - 1Б, самый высокий - первый, применяемый для безопасного взаимодействия АС класса 1А с внешней средой.
Возможно требования уже чуток понизили, я уже не в курсе. Не слежу за этим.
Насчет Альт Линукс СПТ 6.0, надеюсь вы понимаете, что образы загруженные по ссылке с сайта не являются сертифицированными. Сертифицированной считается система, установленная с оригинального диска, имеющего уникальный номер, проставленный сертифицированной лабораторией, и действующий купон технической поддержки. Потом это дело нужно будет продлять.
Подробности здесь
http://www.altlinux.ru/products/altlinux-spt-fstec/
По 58 приказу ФСТЭК для К3 И К2 нужен МЭ не ниже 4 класса защищенности (альт линуксспт 6.0 сертфиицирован именно по 4 классу защищеннсти (от НСД), для К1 нужен МЭ не ниже 3 класса. Кроме того нужно знать классификацию вашей ИСПДн по группе конфиденциальности ( 3А или 3Б, 2А или 2Б, 1А,1Б,1В,1Г,1Д
В помощь статьи
http://web-protect.net/firewall.htm (читать про Классы защищенности брандмауэров)
http://www.fstec.ru/_docs/doc_3_3_006.htm
P.S.
Самый низкий класс защищенности МЭ - пятый, применяемый для безопасного взаимодействия АС класса 1Д с внешней средой, четвертый - для 1Г, третий - 1В, второй - 1Б, самый высокий - первый, применяемый для безопасного взаимодействия АС класса 1А с внешней средой.
Возможно требования уже чуток понизили, я уже не в курсе. Не слежу за этим.
Насчет Альт Линукс СПТ 6.0, надеюсь вы понимаете, что образы загруженные по ссылке с сайта не являются сертифицированными. Сертифицированной считается система, установленная с оригинального диска, имеющего уникальный номер, проставленный сертифицированной лабораторией, и действующий купон технической поддержки. Потом это дело нужно будет продлять.
Подробности здесь
http://www.altlinux.ru/products/altlinux-spt-fstec/
ipmanyak
спасибо за столь развернутый ответ, у нас К3.
по поводу альта, он куплен есть коробка, сертификат с голографией, проблема в том, что в сертификате про МЭ вообще нет упоминания. вопрос как бы в том можно позиционировать
Альт Линукс СПТ 6.0 как сертифицированный МЭ или нет?
спасибо за столь развернутый ответ, у нас К3.
по поводу альта, он куплен есть коробка, сертификат с голографией, проблема в том, что в сертификате про МЭ вообще нет упоминания. вопрос как бы в том можно позиционировать
Альт Линукс СПТ 6.0 как сертифицированный МЭ или нет?
san30 я ж выше ответил. http://www.altlinux.ru/products/altlinux-spt-fstec/
цитата:
"4 класс защиты средств вычислительной техники от несанкционированного доступа"
это и есть класс МЭ. Так что для К3 потянет, если еще и по группе конфиденциальности ваша ИСПДн прокатит.
цитата:
"4 класс защиты средств вычислительной техники от несанкционированного доступа"
это и есть класс МЭ. Так что для К3 потянет, если еще и по группе конфиденциальности ваша ИСПДн прокатит.
Добрый день, можно тоже вопросик?
есть система к3, без выхода во внешнюю сеть, в отдельном сегменте сети, а точнее в отдельном вилане, люди работают по клиент-серверному варианту, в котором нет возможности выгружать ПД, что нибудь, кроме нормативных документов и изрляции серверов от кражи надо?
есть система к3, без выхода во внешнюю сеть, в отдельном сегменте сети, а точнее в отдельном вилане, люди работают по клиент-серверному варианту, в котором нет возможности выгружать ПД, что нибудь, кроме нормативных документов и изрляции серверов от кражи надо?
Господа, подскажите, пожалуйста.
Должно ли коммерческое предприятие руководствоваться СТР-К при обеспечении безопасности персональных данных?
Я так понимаю, что СТР-К обязателен для гос. структур, обрабатывающих конфиденциальную информацию, но никак не для нас, бедных коммерсов
Дело в том, что сейчас ведем переговоры с четыремя лицензиатами ФСТЭК (точнее, лицензиатов трое, четвртый какая-то шарашкина контора, у которой есть партнер-лицензиат), двое из них настаивают, что защищаться надо в том числе и по СТР-К. Другие два лицензиата про сей документ не упоминают, а при вопросе "А надо ли?" отвечают, что нет, не надо.
Запутался, в общем, окончательно.
Должно ли коммерческое предприятие руководствоваться СТР-К при обеспечении безопасности персональных данных?
Я так понимаю, что СТР-К обязателен для гос. структур, обрабатывающих конфиденциальную информацию, но никак не для нас, бедных коммерсов
Дело в том, что сейчас ведем переговоры с четыремя лицензиатами ФСТЭК (точнее, лицензиатов трое, четвртый какая-то шарашкина контора, у которой есть партнер-лицензиат), двое из них настаивают, что защищаться надо в том числе и по СТР-К. Другие два лицензиата про сей документ не упоминают, а при вопросе "А надо ли?" отвечают, что нет, не надо.
Запутался, в общем, окончательно.
bigsloth Ситуация с СТР-К неоднозначна.
1 - СТР-К вообще-то ДСП-шный документ, в свободном доступе его нет, его можно запросить у фсб или фстэка, но придется обосновать свой запрос. Резонный вопрос, как выполнять требования СТР-К, если его нет в свободном доступе.
2 - пункт 2.3 этого документа однозначно говорит о небязательности для коммерческих структур:
Код:
2.3. Для защиты конфиденциальной информации, содержащейся в негосударственных информационных ресурсах, режим защиты которой определяет собственник этих ресурсов (например, информации, составляющей коммерческую, банковскую тайну и т.д.) (далее - коммерческая тайна), данный документ носит рекомендательный характер.
1 - СТР-К вообще-то ДСП-шный документ, в свободном доступе его нет, его можно запросить у фсб или фстэка, но придется обосновать свой запрос. Резонный вопрос, как выполнять требования СТР-К, если его нет в свободном доступе.
2 - пункт 2.3 этого документа однозначно говорит о небязательности для коммерческих структур:
Код:
2.3. Для защиты конфиденциальной информации, содержащейся в негосударственных информационных ресурсах, режим защиты которой определяет собственник этих ресурсов (например, информации, составляющей коммерческую, банковскую тайну и т.д.) (далее - коммерческая тайна), данный документ носит рекомендательный характер.
ipmanyak
кстати, написал туда, управления по ЮФО (наш регион) и вот почти неделя прошла - не привета не ответа
кстати, написал туда, управления по ЮФО (наш регион) и вот почти неделя прошла - не привета не ответа
contrafack На емайл писал? Лучше бы писал официальное письмо с регистрацией у секретаря, или отправлял его заказным письмом по обычной почте. Тогда бы точно получил ответ в течение 10 дней.
Страницы: 12345678910111213141516171819202122232425
Предыдущая тема: "Не удалось подключиться к контроллеру домена..."
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.