Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Вы уже обеспечили защиту персональных данных на предприятии?

Автор: patsev anton
Дата сообщения: 29.09.2009 13:22
предположил логичечски. посмотрите тут http://www.red-soft.biz/ru/about_about.html, может заинтересует.
Автор: wellwisher
Дата сообщения: 29.09.2009 19:28
patsev anton
Спасибо !

Цитата:
Проще не значит дешевле.
Если есть возможность сертифицировать Firebird, то это будет дешевле.

Всё таки видимо проще переписать. Написано сие чудо на Delphi 7, есть исходники.
Другое дело, что толстый клиент (трехзвенка) внастоящее время - нонсенс (в распределенной системе масштаба города).


Автор: patsev anton
Дата сообщения: 29.09.2009 19:31
Попробуйте сертифицировать FireBird. Думаю вы не одиноки. Мы все в одном месте.
Автор: oaf56
Дата сообщения: 30.09.2009 07:05
Жалко, что в результате всего этого будут прийдется растаться с толковым бесплатным ПО.
поправьте, если я буду неправ:
По поводу сертификации. допускается сертифицировать от 1 до Nшт. конкретных изделий. Либо серию(серийное производство). Серия требует сертификации процесса проектирования и разработки, распостранения. Может не сколько сертификации, а соответствия требоваиям. Т.е. нужна официальная контора на территории РФ с первым отделом и прошедшим проверку месным персоналом. В том числе разработчики, которые будут знать предмет и оперативно устанять замечания уполномоченых органов. Каждый релиз нужно сертифицировать обновления тоже. Нужен репозитарий и работать он должен на основе сертификатов + криптография канала. Про сертификацию пакетов(приложений) Вообще молчу. Т.е. надо будет вести свою ветку ПО и пакетов (типа спецверсия для RISC процессоров). только здесь прийдется менять не только ядро ОС, драйверы, но и большую часть кода+Создавть_аналоги_критичных_служб(НСД/криптография)/импланты. Это по уму. И это почти нереализуемо на бесплатной основе. Если только .... спонсоры не сбросятся. для выполнения хотя бы "формальных" критереев по сертификации.

ВСЕМ ЧИТАТЬ и думать.

Вот. нашел некоторые материалы по сертификации gentoo. У других, думаю, дела обстоят не лучше: http://www.gentoo.ru/node/16191.

И топик из оф. форума(близкого к ФСТЕКу ) о заморочках при сертификации производителем своего ПО http://www.itsec.ru/forum.php?sub=3459&from=0

Тамже. Сертификат ОС не 100% панацея и возможно прийдется раскошелиться на защиту дополнительными средствами. http://www.itsec.ru/forum.php?sub=3556&from=0
Автор: dbf
Дата сообщения: 01.10.2009 14:48
Вчера на "круглом столе" представители ФСБ и ФСТЕК было решено пренести дату 1 января 2010 года на январь 2011 года.... Сам присутствовал, сам слышал.....
Автор: nightpatrolranger
Дата сообщения: 01.10.2009 15:12
dbf

Цитата:
Вчера на "круглом столе" представители ФСБ и ФСТЕК было решено пренести дату 1 января 2010 года на январь 2011 года.... Сам присутствовал, сам слышал.....

Не смешно даже...
Автор: dbf
Дата сообщения: 01.10.2009 16:14
да я и не смеюсь... дело теперь за официальным заявлением , если этот вопрос продвинут.

Добавлено:
http://amulet-group.ru/news.htm?id=1580
Автор: wellwisher
Дата сообщения: 01.10.2009 17:43

Цитата:
http://amulet-group.ru/news.htm?id=1580

Довольно обтекаемый контент

Цитата:
Сам присутствовал, сам слышал
- значит и стенограмма есть
Так все таки как задачу прикладную задачу, обрабатывающие эти самые данные надо сертифицировать надо или нет?
Автор: Ici Chacal
Дата сообщения: 02.10.2009 17:32
Классификация персональных данных.

Автор: lovec123
Дата сообщения: 03.10.2009 01:05
блин во придумали чтобы защитить персональные данные надо пригласить комерческую организацию у которой партнёрство с фстеком чтобы она разработала и частично внедрила защиту этих персональных данных, за не хилые деньги, причём сотрудники этой организации которые будут заниматься внедрежом и круг персонала связанный с этой задачей будут знать все уязвимые точки данного предприятия фирмы, типа получается чтобы сохранить гос тайну скажи её своему другу, а текучка присутствует как в гос так и в комерческих структурах неговоря уже о просто коррупции , ладно это фигня по сравнению с затратами на данное мероприятие, его хоть в бюджет заложили?
Автор: wellwisher
Дата сообщения: 04.10.2009 22:42

Цитата:
частично внедрила защиту этих персональных данных

VIPnet установка и настройка - только дескать оне сами, хотя на www.infotecs.ru - нет таких требований.

Цитата:
...по сравнению с затратами на данное мероприятие, его хоть в бюджет заложили?

Закладывать в бюджет стихийное бедствие даже не смешно

Автор: Orion_76
Дата сообщения: 05.10.2009 08:24
Может некомерческое партнерство по сертификации свободного ПО организовать?
Автор: patsev anton
Дата сообщения: 05.10.2009 12:27
Аналогичную идею высказали в этой теме: "InfraLinux, GPL, исходные тексты." http://community.i-rs.ru/index.php/topic,9001.0.html
Автор: Orion_76
Дата сообщения: 05.10.2009 16:00
Там про <лицензирование> а не про <сертификацию>,
Если я правильно понимаю, для сертификации ФСТЭКом какого-либо ПО(т.е. даже определенной версии) кто-то должен проявить инициативу и проплатить (например как разработчики ALT-Linux). Например чтоб сертифицировать Debian, какая нибудь контора должна так же проявить инициативу(наверное подать заявку или что-то подобное) и оплатить данную услугу. Но так-как такой конторы не существует, то Debian так и останется несертефицированным ФСТЭКом-((((
Вот такую контору я и предлагаю организовать.
Юристы вон...осилили что-то на подобие : Некомерческое партнерство "ЮрКлуб" (Ссылка)
а сисадминам слабо?
Автор: patsev anton
Дата сообщения: 06.10.2009 04:52
Верно, в основном рассматривался вопрос лицензирования. Но, обратите внимание, что Debian не является разработкой субъекта российского права (проще говоря не российская разработка, хотя там и есть учасники россияне) поэтому и никакая российская организация не может выступать правообладателем на продукт GNU/Debian. Соответственно и подавать на сертификацию нельзя. Сертифицировать можно СВОИ разработки.
Автор: Orion_76
Дата сообщения: 06.10.2009 07:28
т.е. У свободного ПО шансов нет...жаль..а так все хорошо начиналось...
я на 10 антивирусов начальство 2 года крутил(сельское муниципальное учреждение), а на организацию защиты ПД вообще не реально...придется увольняться-)))
Автор: DonDD
Дата сообщения: 06.10.2009 07:37
Orion_76

Цитата:
придется увольняться-)))

Не спешите. Там много нюансов.Все образуется.

Добавлено:
wellwisher
VIPnet тоже существует в двух вариантах с сертификатом ФСБ России и без него!
Установка по желанию, я ставил и настраивал сам, принудиловки и жестких требований на эту тему нет (во всяком случае год назад не было).
Автор: oaf56
Дата сообщения: 06.10.2009 12:25
Orion_76 Не спеши. Хорошо только ТАМ, где НАС нет. Почитай мои посты
Все можно порешать. Главное делай все возможное, что зависит от тебя. Остальное оставь начальству. Почитай спокойно и неторопливо тему от начала.

Цитата:
DonDD:
Установка по желанию, я ставил и настраивал сам, принудиловки и жестких требований на эту тему нет (во всяком случае год назад не было).
Ставить сертифицированые системы, ПО выполнять работы может админ ИБ назначеный приказом по предприятию + доплатой за секретность+ и естесттвенно ознакомленый с этим под роспись. Про допуск не уверен. Или подрядная организация с соответствующей лицензией, договором.
Автор: lovec123
Дата сообщения: 06.10.2009 18:55
oaf56

Цитата:
Или подрядная организация с соответствующей лицензией, договором.

комерчиская или государственная?
Автор: wellwisher
Дата сообщения: 06.10.2009 21:36
lovec123

Цитата:
комерчиская или государственная?

со смешанным капиталом

Цитата:
принудиловки и жестких требований на эту тему нет (во всяком случае год назад не было).
Ой ли... Намекали даже, что кабель (UTP) не того производителя, не сертифирован ФСТЭК. А будете дескать мудрить...
Автор: oaf56
Дата сообщения: 07.10.2009 08:10

Цитата:
lovec123
oaf56 Цитата:Или подрядная организация с соответствующей лицензией, договором.

комерчиская или государственная?

А в чем разница, если отвечает все равно оператор. Главное чтобы грамотными были, может что подскажут по делу. А может будешь по 10 раз объяснять, пока и сам не поймешь.
Автор: Orion_76
Дата сообщения: 08.10.2009 13:13
Вчера собирали на семинар в региональном министерстве по данному вопросу, коротко объяснили суть проблемы, намекнули пути решения (самостоятельно или через конторы-лицензиаты, дали начальный список необходимой документации, первый по списку документ - Приказ о назначении администратора ИБ.
oaf56

Цитата:
Ставить сертифицированые системы, ПО выполнять работы может админ ИБ назначеный приказом по предприятию + доплатой за секретность+ и естесттвенно ознакомленый с этим под роспись.

Не могли бы Вы подсказать документы, регламентирующие вменение данной обязанности сотруднику(размеры доплат, служебные обязанности и т.д.)..Ато как то не хочется такое ярмо за "просто-так" тащить-)))
Автор: eeeeee
Дата сообщения: 09.10.2009 12:48

Цитата:
(из шапки)
Кроме того, предприятие должно использовать сертифицированные (да, разумеется с потайным ключиком у ФСБ) криптографические решения на серверах, на которых расположены базы данных. Также инфраструктура должна быть аттестована (за счет предприятия у уполномоченного органа), что уж совсем ужасно.

Вот это, собственно, откуда вытекает?
Из 19-й статьи вроде никак...
Автор: lovec123
Дата сообщения: 09.10.2009 18:50
oaf56

Цитата:
А в чем разница, если отвечает все равно оператор.

разница в том что сохранять секретность - при том что уязвимости системы известны сторонней комерческой организиции по идее сложнее, разве не так? я понимаю если это будет делать тот же фстек где у сотрудников обязанность о не разглашении и тп, что помешает тому человеку который вчера промогал нам аттестовать сеть, вскрыть все недостатки и уязвимости системы, зная о них, даже возможно утаив часть из них, завтра не слить эту информацию знакомому хакеру? и при этом по шапке получит оператор может я чего то просто не допанимаю, объясните пожалуйста
Автор: SYSRISER
Дата сообщения: 09.10.2009 19:41
Вот что наше по данному вопросу.
При приобретении продукта от "Kaspersky" выдается вот такой сертификат:
http://images.kaspersky.com/ru/certificates/fsb_cert_winfls60.jpg
http://images.kaspersky.com/ru/certificates/fsb_cert_kav60.jpg
http://images.kaspersky.com/ru/certificates/fsb_cert_adminkit60.jpg
http://images.kaspersky.com/ru/certificates/fsb_cert_lin_wksfls.jpg
http://images.kaspersky.com/ru/certificates/fstek_cert_adminkit60.jpg
http://images.kaspersky.com/ru/certificates/fstek_cert_kav60.jpg
http://images.kaspersky.com/ru/certificates/fstek_cert_winfls60.jpg


Добавлено:
Не совсем правильно написал Лаборатория Касперского имеет данные сертификаты
Автор: lovec123
Дата сообщения: 09.10.2009 20:11
интересно когда каспер следующие версии админ кита с пакетами сертифицируют, шестёрка конечно хороша но пожилая уже собственно только из за сертификата и не переходим на более свежие решения
Автор: SYSRISER
Дата сообщения: 09.10.2009 20:26
Как нам сообщил наш поставщик антивирусного ПО, в новой версии "Kaspersky
Business Space Security" имеется такой сертификат.
Этот вопрос я уточню и ответ выложу, правда только не раньше вторника.
Автор: lovec123
Дата сообщения: 10.10.2009 13:52
вообщето вроде как пора поднимать вопрос как о недоработке этого закона так и о целесообразности его, с первого взгляда закон имеет явную комерческую подоплёку потому как в сметы заряжают нехилые суммы которые получат конкретные фирмы, мы уже сейчас купили за нехилые деньги программы которые нужны для галочки так смысл этого? сдесь есть представители фстека для разьяснения зачем это закон нужен? и обьясните если можно более подробно чем просто для защиты персональных данных?
Автор: oaf56
Дата сообщения: 12.10.2009 08:31
lovec123
Ух, А я то думал, что я один такой параноик. )
Ну. Вообще то лицезианты должны иметь лицензию. У них должны быть условия ее выдачи и отзыва. ИХ Сотрудники должны иметь квалификацию(наверно и сертификат об обучении), допуск и подписку о неразглашении инф. которую они получат при выполнении своих служебных обязаностей. Я думаю ты в праве потребовать предъявить подобные документы. Кроме этого при оказании услуг на основе договора можно "попросить" включить пункты об ответственности исполнителя за разглашение любой информации о ВАШЕЙ КОНТОРЕ без вашего ПИСЬМЕННОГО согласия на это. Проблема в том, что доступ к документации будет иметь не только прямой исполнитель. Да и доказать это будет БОЛЬШОЙ проблемой.

Какой ни какой, порядок конечно нужен. Только хотели как лучше получилось как всегда...
Если таковые здесь и есть и будут, то только по "по долгу службы". Но это решение не их уровня. И не им его отменять.


Цитата:
eeeeeeВот это, собственно, откуда вытекает?
Из 19-й статьи вроде никак...
Читаешь Методические рекомендации И регламентирущие документы. Почитай. Там при высоких требованиях к защищаемой инфе, либо угрозах выбирается шифрование. Логин и пароль подберут и данные стащут. А здесь типа стащут, а использовать не смогут. По идее надо шифровать на на лету и только самим приложением/(БД) Т.е. интегрировать в ядро приложения. шифрование на уровне ОС будет не сильнее чем стойкость учетных записей для доступа к каталогу таких данных. Криптография это не только, шифрование Файловой системы, но и трафика(типа SSH/IPSEC), Сертикаты/Ключи_ЭЦП, Аутентификация на базе сертификатов, Удостоверяющие центры и наверное много чего еще... А Это системы защиты, которые должны быть обязательно сертифицированы.
Да. еще мелочь. Если вы уж выберите шифрование данных, то и остальные компоненнты защиты должны быть ТОЖЕ высокого уроввня. начиная от НСД, контроля запуска приложений, спец требований к ОС и приложению.
Автор: mgVolt
Дата сообщения: 12.10.2009 10:08
А есть ли 4 закрытых документа в электронном виде? Не очень верится, что нет )))) Можно в личку.

Страницы: 12345678910111213141516171819202122232425

Предыдущая тема: "Не удалось подключиться к контроллеру домена..."


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.