ipmanyak
Огроменное спасибо за ответ.
Огроменное спасибо за ответ.
» Вы уже обеспечили защиту персональных данных на предприятии?
ipmanyak
большое спасибо за разъяснения (где бы еще про модель угроз разжевано/с примерами почитать)..
REMZAR123
незнаю прокатит ли с виланами на несертифицированой железки, нам тут рекомендовали сегмент сети работающих с пд отгораживать от остальных МЭ, а у нас в чем будет смысл если база для всех общая (на одном сервере крутиться) одни работают с пд другие юзеры нет., смысл сети разделять...
большое спасибо за разъяснения (где бы еще про модель угроз разжевано/с примерами почитать)..
REMZAR123
незнаю прокатит ли с виланами на несертифицированой железки, нам тут рекомендовали сегмент сети работающих с пд отгораживать от остальных МЭ, а у нас в чем будет смысл если база для всех общая (на одном сервере крутиться) одни работают с пд другие юзеры нет., смысл сети разделять...
san30 можно качнуть доки с сайта администрации Смоленской области и от Минздравсоцразвития. там вроде были и модели угроз. Щас поищу урлы
Добавлено:
Смоленск
http://admin.smolensk.ru/www.fstec.ru/person.htm
Конкретный расчет модели угроз здесь
http://admin.smolensk.ru/www.fstec.ru/pers/tabl.xls
АССОЦИАЦИЯ ЗАЩИТЫ ПРАВ ОПЕРАТОРОВ И СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
http://www.a-datum.ru
Проекты документов
http://www.a-datum.ru/index.php?option=com_weblinks&view=category&id=47&Itemid=72
Минздравсоцразвития
http://www.minzdravsoc.ru/docs/mzsr/informatics/5
http://www.minzdravsoc.ru/docs/mzsr/informatics/4
там сами пошарьтесь в других меню
Стандарты информационной безопасности в кредитно-финансовой сфере
http://www.abiss.ru/doc/
Департамент образования Москвы
http://www.sinergi.ru/p1104aa1.html
там найдете пакет документов
впрочем вот он http://www.sinergi.ru/DswMedia/doc927.rar
P.S. в целом расчет модели угроз описан в документах ФСТЭК
• «Базовая модель угроз безопасности ПДн при их обработке в ИСПДн»;
• «Методика определения актуальных угроз безопасности ПДн при их обработке в ИСПДн».
Задача в общем то не очень сложная, тем более, что вероятность реализации угрозы определяете вы сами, ну если регуляторы будут не согласны, ну пересчитаете с учетом их замечаний, хотя модель угроз влияет и на степень защиты и их реализацию, особенно в программном и техническом плане.
Добавлено:
Смоленск
http://admin.smolensk.ru/www.fstec.ru/person.htm
Конкретный расчет модели угроз здесь
http://admin.smolensk.ru/www.fstec.ru/pers/tabl.xls
АССОЦИАЦИЯ ЗАЩИТЫ ПРАВ ОПЕРАТОРОВ И СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
http://www.a-datum.ru
Проекты документов
http://www.a-datum.ru/index.php?option=com_weblinks&view=category&id=47&Itemid=72
Минздравсоцразвития
http://www.minzdravsoc.ru/docs/mzsr/informatics/5
http://www.minzdravsoc.ru/docs/mzsr/informatics/4
там сами пошарьтесь в других меню
Стандарты информационной безопасности в кредитно-финансовой сфере
http://www.abiss.ru/doc/
Департамент образования Москвы
http://www.sinergi.ru/p1104aa1.html
там найдете пакет документов
впрочем вот он http://www.sinergi.ru/DswMedia/doc927.rar
P.S. в целом расчет модели угроз описан в документах ФСТЭК
• «Базовая модель угроз безопасности ПДн при их обработке в ИСПДн»;
• «Методика определения актуальных угроз безопасности ПДн при их обработке в ИСПДн».
Задача в общем то не очень сложная, тем более, что вероятность реализации угрозы определяете вы сами, ну если регуляторы будут не согласны, ну пересчитаете с учетом их замечаний, хотя модель угроз влияет и на степень защиты и их реализацию, особенно в программном и техническом плане.
ipmanyak
да, написал на почту
А где
Цитата:
это делать ? че то не мой найти что то типа веб приемного.
да, написал на почту
А где
Цитата:
Лучше бы писал официальное письмо с регистрацией у секретаря
это делать ? че то не мой найти что то типа веб приемного.
2 san30
спасибо, буду думать.
спасибо, буду думать.
Цитата:
"4 класс защиты средств вычислительной техники от несанкционированного доступа"
это и есть класс МЭ. Так что для К3 потянет, если еще и по группе конфиденциальности ваша ИСПДн прокатит.
это не соответствует действительности
РД ГТК по МЭ и РД ГТК по НСД - это разные документы, соответственно, требования тоже разные
РД - руководящий документ
ГТК - Государственная техническая комиссия при Президенте ... (ныне - ФСТЭК)
Цитата:
1 - СТР-К вообще-то ДСП-шный документ, в свободном доступе его нет, его можно запросить у фсб или фстэка, но придется обосновать свой запрос. Резонный вопрос, как выполнять требования СТР-К, если его нет в свободном доступе.
ФСБ данный документ не даст - ибо не её епархия
lovec123
Согласен - вот в тему статья Высокотехнологичный «отжим» или защита информации по-русски - тут http://persondata.ru/?p=805
Согласен - вот в тему статья Высокотехнологичный «отжим» или защита информации по-русски - тут http://persondata.ru/?p=805
Ребята, я обязательно прочитаю всю ветку, но у меня есть во сразу на вскидку пару вопросов.
Вот у нас есть фирма. Филиал иностранной. Только создался. Сотрудников пока человек 30. И денег фирма не очень много приносит. Но фирма белая. Софт белый, зарплаты белые и т.д.
Занимаемся продажами. Есть свой отдел кадров. Есть свой бухгалтер. Есть 1С 8.2. И прочие сервера контроллеров домена (win 2k8r2). Линукс в качестве шлюза. Общий принтер большой на всех 1, сетевой. Люди постоянно работают в интернете. Почта звонки. IP телефония Asterisk.
Работаем мы тут и я тут системный администратор. Базы где лежат данные клиентов преимущественно на серверах за границей. Работает с ними через всякие удаленные решения.
Так вот вопрос - мне то что щас делать? Я щас в общем нарушаю закон, да? Увольняться и идти работать продавцом в супермаркет? Или можно за разумные деньги (ну по моим понятиям это скажем в совокупности 300-500 тысяч рублей) привести все в божеский вид, чтобы проверяющие пришли, посмотрели, попили кофе и ушли довольные не угрожая мне судом и расправой и не вымогая взяток на ровном месте?
Вкратце сколько нужно ОООЧЕНЬ приблизительно денег чтобы купить оборудование и провести все эти мероприятия для средней фирмы коммерческой? 100? 300? 500 тысяч? Миллион? Пять миллионов?
Может на форумах тут есть интеграторы, которые уже не раз это просчитывали.
Спасибо.
Вот у нас есть фирма. Филиал иностранной. Только создался. Сотрудников пока человек 30. И денег фирма не очень много приносит. Но фирма белая. Софт белый, зарплаты белые и т.д.
Занимаемся продажами. Есть свой отдел кадров. Есть свой бухгалтер. Есть 1С 8.2. И прочие сервера контроллеров домена (win 2k8r2). Линукс в качестве шлюза. Общий принтер большой на всех 1, сетевой. Люди постоянно работают в интернете. Почта звонки. IP телефония Asterisk.
Работаем мы тут и я тут системный администратор. Базы где лежат данные клиентов преимущественно на серверах за границей. Работает с ними через всякие удаленные решения.
Так вот вопрос - мне то что щас делать? Я щас в общем нарушаю закон, да? Увольняться и идти работать продавцом в супермаркет? Или можно за разумные деньги (ну по моим понятиям это скажем в совокупности 300-500 тысяч рублей) привести все в божеский вид, чтобы проверяющие пришли, посмотрели, попили кофе и ушли довольные не угрожая мне судом и расправой и не вымогая взяток на ровном месте?
Вкратце сколько нужно ОООЧЕНЬ приблизительно денег чтобы купить оборудование и провести все эти мероприятия для средней фирмы коммерческой? 100? 300? 500 тысяч? Миллион? Пять миллионов?
Может на форумах тут есть интеграторы, которые уже не раз это просчитывали.
Спасибо.
lypky Если база с ПДн за границей, то вам особо не о чем беспокоиться. ИСПДн не ваша и защищать ее должны не вы. Если у вас в 1С есть подсистема кадры, то ее следует защитить. Купить сертифицированную версию 8.2z например, ну и выполнять ряд мер и разработать ряд документов, которые уже обсуждались и которые можно поглядеть и взять на http://zpdn-day.ru/
Можете пообщаться с лицензиатами ФСТЭК, лучше из вашего города и лучше не по телефону, а лично, список можно взять тут
www.fstec.ru/_doc/reestr_tzki/_reestr_tzki.xls
Я поглядел, в вашем городе таких лицензиатов несколько.
Можете пообщаться с лицензиатами ФСТЭК, лучше из вашего города и лучше не по телефону, а лично, список можно взять тут
www.fstec.ru/_doc/reestr_tzki/_reestr_tzki.xls
Я поглядел, в вашем городе таких лицензиатов несколько.
Всем привет, давно не появлялся на этом форуме.
Недавно была принята поправка о трансграничной передачи данных и возникли трудности у международных компаний. Как правило юрлицо, зарегистрированное в России, передает данные сотрудников в головную организацию за границу и тут теперь возникают трудности.
Я хотел узнать есть ли на форуме люди, работающие в крупных международных организациях и как выкрутились эти компании из данной ситуации. В общем слышал, что это не было ни для кого проблемой, но до детального плана пока что так и не добрался.
Всем заранее спасибо!
Сорри, всю тему пока не осилил, уже вижу что-то есть, читаю....
Недавно была принята поправка о трансграничной передачи данных и возникли трудности у международных компаний. Как правило юрлицо, зарегистрированное в России, передает данные сотрудников в головную организацию за границу и тут теперь возникают трудности.
Я хотел узнать есть ли на форуме люди, работающие в крупных международных организациях и как выкрутились эти компании из данной ситуации. В общем слышал, что это не было ни для кого проблемой, но до детального плана пока что так и не добрался.
Всем заранее спасибо!
Сорри, всю тему пока не осилил, уже вижу что-то есть, читаю....
День добрый!
Где-то в нете встречал документ с печатью фстек, что типа мед учр закрылось по 3-му классу. Никому не встречалось? Не могу найти просто. И вообще реально ли это (состояние здоровья и 3-й класс)???
Где-то в нете встречал документ с печатью фстек, что типа мед учр закрылось по 3-му классу. Никому не встречалось? Не могу найти просто. И вообще реально ли это (состояние здоровья и 3-й класс)???
champa по 3-ему классу можно закрыть только ИСПДн своих сотрудников, типа базу отдела кадров. Если база о больных, а там сведения о здоровье - сразу класс К1, независимо от числа больных, согласно таблице классификации по приказу трех от 13 февраля 2008 г. N 55/86/20. http://ispdn.ru/law/530/
ipmanyak
это я понимаю. Прсото где-то на просторах Нета встречал этот документ. На сколько я понял, если ИСПДн специальная, то класс ей присваивается исходя из модели угроз - ну вот там и говорилось, что мол только сотрудники имеют доступ и т.д. и т.п. и типа класс 3 и стоит печать ФСТЭКа.
это я понимаю. Прсото где-то на просторах Нета встречал этот документ. На сколько я понял, если ИСПДн специальная, то класс ей присваивается исходя из модели угроз - ну вот там и говорилось, что мол только сотрудники имеют доступ и т.д. и т.п. и типа класс 3 и стоит печать ФСТЭКа.
champa имхо это импоссибл, чтобы сведения о здоровье и К3
ipmanyak
придется найти документ
придется найти документ
Возможно уже был данный вопрос, прошу прощения заранее. Если я не ИП и не юр.лицо у меня есть интернет-магазин (продажа handmade вещей) где есть оплата картой, доставка, попадаю ли я по ФЗ-152? Или достаточно уйти с российского хостинга за бугор? Или не париться и оставить все как есть?
compwork
Цитата:
Цитата:
Цитата:
Цитата:
Цитата:
попадаю ли я по ФЗ-152?100%
Цитата:
Если я не ИП и не юр.лицо, а кто тогда? счет, на который деньги с карт идут, где находится, в каком банке и в какой стране?
Цитата:
достаточно уйти с российского хостинга за бугор?думаю не поможет, более того возможно будет считаться передача ПДн за границы России.
Цитата:
Или не париться и оставить все как есть?Можно и так, если не возникнет прецедента насчет ПДн с жалобой в Роскомнадзор со всеми вытекающими..
Подскажите пожалуйста, нужно ли что-то особенное делать (т.е должны ли в обязательном порядке быть конкретные распорядительные документы, использоваться шифрование) при штате значительно меньше 100 человек, если все ПДн только по Трудовому законодательству (субъекты - свои сотрудники, пасп.данные, контрагенты - только юр.лица).
Gumball
Цитата:
Цитата:
Цитата:
Использование сертифицированного программного обеспечения - для 3-го класса существует "право выбора" - использовать или нет. Но лучше юзать сертифицированное.
Если у вас бухгалтерия и зп/кадры в 1С, то можете апгрэйдить 1С до версии 8.2z
http://1c.ru/szi
P.S.
насчет защиты и шифрования - http://www.rg.ru/2012/03/12/utechka.html
Гайки закручены донельзя, до дибилизма, чтобы юзать антивирус нужно иметь лицензию на техническую защиту конфиденциальной информации или привлекать лицензиата для установки и настройки- задница полная !
Цитата:
субъекты - свои сотрудники,значит К3. Защищать нужно. Но уведомлять Роскомнадзор не нужно, аттестовать и декларировать не требуется. Методы и способы защиты для систем 3 класса можно почитать в 58 приказе ФСТЭК от 5.02.2010 и в ПП РФ №781 от 17.11.2007 Положение о ПД в ИСПДн.doc
Цитата:
распорядительные документы,- да, кроме того у вас же наверняка есть еще неавтоматизированная обработка (карточки в отделе кадров), по ней тоже нужны эти документы. То есть выполнить требования ПП РФ №687 от 15.09.2008 Положение Особ обр ПД без АС.
Цитата:
использоваться шифрованиени к чему, если всё в вашей локали, если нет, то придется шифровать туннели и применять МЭ. МЭ и так придется применять, если ваши компы в ИСПДн К3 имеют выход в инет, лучше этого не допускать и эти компы отделить в отдельную локаль, хотя бы VLAN-ами.
Использование сертифицированного программного обеспечения - для 3-го класса существует "право выбора" - использовать или нет. Но лучше юзать сертифицированное.
Если у вас бухгалтерия и зп/кадры в 1С, то можете апгрэйдить 1С до версии 8.2z
http://1c.ru/szi
P.S.
насчет защиты и шифрования - http://www.rg.ru/2012/03/12/utechka.html
Гайки закручены донельзя, до дибилизма, чтобы юзать антивирус нужно иметь лицензию на техническую защиту конфиденциальной информации или привлекать лицензиата для установки и настройки- задница полная !
А если это ИП, без найма работников, ну кроме приходящего буха, этот закон тоже коснется?
fenix379 Если хранишь чужие ПДн в базе данных, то закон и тебя касается. Если нет, тогда и говорить не о чем.
Господа!
Возможно ли использование в России Cisco AnyConnect в случае если сервер находится в Европе?
Это VPN клиент с ключем шифрования более 54 бит.
Возможно ли использование в России Cisco AnyConnect в случае если сервер находится в Европе?
Это VPN клиент с ключем шифрования более 54 бит.
[more] Добрый всем день! Вопрос следующего хорактера, организационного. Кто должен заниматься всем этим в организации - только админ, почитал положение по защите персональных данных (пример) там пишут
1. В Организации приказом/распоряжением руководителя назначается сотрудник, ответственный за организацию обработки персональных данных в Организации
далее в пункте 6. Обязанности должностных лиц по обеспечению защиты персональных данных фигурируют следующие лица
6.1. Руководитель структурного подразделения отвечает за...
6.2. Ответственный по защите информации отвечает за...
6.3 Администратор информационной системы персональных данных назначается приказом руководителя Организации и отвечает за...
6.4. Администратор безопасности информационных систем персональных данных назначается приказом руководителя Организация2 и отвечает за... и все хотят спехнуть на одного сотрудника соответственно на сисадмина
. Осилит ли он такой объем работы? Спасибо. [/more]
1. В Организации приказом/распоряжением руководителя назначается сотрудник, ответственный за организацию обработки персональных данных в Организации
далее в пункте 6. Обязанности должностных лиц по обеспечению защиты персональных данных фигурируют следующие лица
6.1. Руководитель структурного подразделения отвечает за...
6.2. Ответственный по защите информации отвечает за...
6.3 Администратор информационной системы персональных данных назначается приказом руководителя Организации и отвечает за...
6.4. Администратор безопасности информационных систем персональных данных назначается приказом руководителя Организация2 и отвечает за... и все хотят спехнуть на одного сотрудника соответственно на сисадмина
. Осилит ли он такой объем работы? Спасибо. [/more]KDoS
Цитата:
Одного сотрудника вообще недостаточно, сотрудник может заболеть, уволиться. Конкретно по защите ИСПДн рекомендуется не менее двух, причем прошедших обучение на соответствующих курсах.
Цитата:
Кроме того есть же на неавтоматизированная обработка, например, карточки Т2 в отделе кадров, там однозначно должен быть назначен ответственным начальник отдела кадров.
Цитата:
1. В Организации приказом/распоряжением руководителя назначается сотрудник, ответственный за организацию обработки персональных данных в ОрганизацииНе вижу смысла этого пункта, должно формулироваться то, что написано в пунктах 6.2 и 6.4. Если ИСПД много, то одного сотрудника недостаточно, назначаться должны несколько человек, или даже целое подразделение, из которых 1-2 назначаются старшими.
Одного сотрудника вообще недостаточно, сотрудник может заболеть, уволиться. Конкретно по защите ИСПДн рекомендуется не менее двух, причем прошедших обучение на соответствующих курсах.
Цитата:
6.3 Администратор информационной системы персональных данных назначается приказом руководителя Организации и отвечает за...Как правило это технологи, сопровождающие ИСПДн, а не сисадмин.
Кроме того есть же на неавтоматизированная обработка, например, карточки Т2 в отделе кадров, там однозначно должен быть назначен ответственным начальник отдела кадров.
Infected Switch
Цитата:
Цитата:
Возможно ли использование в России Cisco AnyConnect в случае если сервер находится в Европе?Да хоть на Марсе! Доступ осуществляется на обычный 443 порт, ключ шифрования хоть 2048 бит...
Добрый день! по какому классу может быть атестован Удостоверяющий центр, который выдает ЭЦП , и так же естественно изначально собирает документы среди которых паспортные данные Руководителя , Документ о решении на основании которого действует руководитель ...и т д
может ли быть закрыт по к3?
может ли быть закрыт по к3?
100_let Документ Приказ ФСТЭК, ФСБ, МИС №55-86-20 от 13.02.2008 Классификация ИСПДн читали? Сильно зависит от числа записей в базе данных, если > 100 тысяч, то минимум К2. Если от 1000 до 100 тысяч можно закрыть по К3, если Xпд у вас соответствует категории 3.
что вы так нервничаете? суровость закона в РФ нивелируется необязательным исполнением. пусть безопасники мозг гнут как этот ФЗ исполнить - не админская задача. в вашей мелкой конторе нет СБ? - вообще не парьтесь, вас никто не увидит ))
только узнал об этом
нашел
Страницы: 12345678910111213141516171819202122232425
Предыдущая тема: "Не удалось подключиться к контроллеру домена..."
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.