» Вы уже обеспечили защиту персональных данных на предприятии?

oaf56
Cобственно, необходимость шифрования и так понятна.
Мне неясно, откуда следует, что использовать необходимо именно сертифицированные средства.
Я вот как-то больше доверяю не тому, что непонятно кто написал и непонятно кто сертифицировал, а тому, что много лет используется всем миром и ни разу не сломано. Хоть и не сертифицировано.
Статья 19 предписывает шифровать. А чем конкретно - не оговаривается.
В чем состоят требования Правительства РФ - непонятно.
Есть Закон о лицензировании отдельных видов деятельности, который предписывает лицензировать, например, оказание услуг по шифрованию данных, но оказание услуг по шифрованию и собственно шифрование - всё же разные вещи. И большинство из наших контор, естественно, таких услуг не оказывает. Но при этом данные шифрует.
Я лично пока не вижу требований законов об обязательном использовании исключительно сертифицированных средств. Если кто обладает соответствующими ссылочками, поделитесь, плиз...

eeeeee Ну, ты и колдун.
1. Учти только одно: незнание закона НЕ освобождает от его исполнения.
2. почти все статьи УК, КоАПа, ГК, ТК, ФЗ о Госслужбе имеют нормы: наказание за причениение вреда как за действие, так и бездействие.

Чтобы ты был юристом запомни :
Есть иеерархия законов. порядок таков:
- конституция РФ
- Указы Президента РФ
- Федеральные законы(ФЗ)
- Нормативные документы Правительства РФ, Министерств и ведомств(Растолковываюткак будут применять ФЗ, Указы, Конституцию)
- Ведомственные акты в развитие нормативных документов.

Это все про федеральный уровень. Область действия - вся территория РФ. По конституции ФЗ имеют приоритет над Областными и муниципальными законодательными и нориативными актами. Есть разделы по сферам деятельности, где есть только ФЗ. например Оборона, безопасность, правопорядок. Хотя есть сферы, где в общем регулируются федералами, а устанавливается и обеспечивается на местах. В местном законодательстве тоже есть аналогичная иерархия.

Так вот есть докрина безопасности РФ-> Указы Президента-> 152-ФЗ->постановлениеПравительства РФ №781->Совмесный приказ ФСТЭК/ФСБ.. №55/86/20->Методические рекомендации ФСТЭК/ФСБ.
Все. Читай и выполняй. Все что не вписывается "по твоему" в систему - Можешь посмотреть нормативные и расорядительные документы на официальных сайтах Этих учреждений.
Кстати, нормативные и ведомственные акты могут издавать(а они быть обязательны для исполнения) только уполномоченные на это органы. В области ИБ уполномочены как раз ФСТЭК/ФСБ. ФСБ курирует криптографию, ФСТЭК остальные ?.

Корче изучай: http://www.fstec.ru/_razd/_ispo.htm Там есть и относительно новые документы

Про шифрование не помню точно но в сертифицируемых системах был явный запрет на использование не сертифицированой в РФ криптографии. Хотя лично для себя - можешь использовать не спец.средства, а тиражные. Иначе нарушение - обязательное лицензирование разработок в области криптографии. ((
О системе сертификации, о том, что необходимо сертифицировать http://www.fstec.ru/_razd/_serto.htm

oaf56

Цитата:

Чтобы ты был юристом запомни :

Упаси боже... Не хочу быть юристом.


Цитата:

постановлениеПравительства РФ №781->Совмесный приказ ФСТЭК/ФСБ.. №55/86/20->Методические рекомендации ФСТЭК/ФСБ.

Благодарю за действительно ценную информацию.
Хотя прямого предписания на использование именно сертифицированных продуктов в этих документах я не встретил. Но некоторые формулировки слишком расплывчаты и дают, на мой взгляд, слишком много свободы проверяющим органам.
А с другой стороны в ходе проверок с точно таким же успехом можно признать не соответствующими требованиям и сертифицированные средства.


Цитата:

Хотя лично для себя - можешь использовать не спец.средства, а тиражные.

А это "лично для себя" на контору распространяется?

Orion_76
Доплаты явно прописаны в ФЗ о гостайне. Размер этих доплат 20,10 и 5% от оклада служащего и зависит от категоии информации к которой ты имеешь доступ. Оклад обычно бывает у рядовых сотрудников в размере 1000- 5000 рублей. Потому доплата бывае от очень смешной до 1 тысячи. Хотя для сотрудников режима есть доплаты и за стаж работы. Более конкретно система Зарплаты муниципалов определяется Вашей законодательной базой и нормативными актами.
Но, если читать прямо : ПД - это не гостайна. и доплаты не положено. (
Однако есть сотрудники режима и ФСБ/ФСТЭК. Они считают, что есть такое дело Обеспечивать ИБ -> Должен быть обученый админ ИБ. Должна быть штатная единица. И если доплаты за секретность не выбить, то доплата за совмещение и ответственность должна быть. Ведь тебя приняли на должность. Должны дать контракт. Описать твои служебные обязаности. А ИБ это - совмещение. По закону о Госслужбе работодатель имеет право перевести тебя на 1 месяц без твоего согласия на другую не только должность, но и работу, и даже в другой месности. Если это требуется изза катаклизмов, бедствий, угрозы работы органа и и.п. А на больший срок - НЕТ. Только по соглашению сторон. Правда РЕАЛЬНО могут быть предложены 2 варинта: Или "Ты Согласен"или "Увольняйся, найдем другого". Так что на рожон не лезь. Старайся пояснять "такая ответственность и такая доплата?"
А областные тебе не помогут? Деньгами скорее нет, а вот советом, методикой - скорее да. Там должны быть отделы ИТ и ИБ.

Цитата:

eeeeee: А это "лично для себя" на контору распространяется?

- На этапе аттестации ВСЕЙ СИСТЕМЫ просто не дадут сертификат. Проинформируют ФСБ. Чтобы они наведывались к ВАм преодически.
- После аттестации - нарушение режима, админа... начальника... Работу фирмы приостановят. О Последствиях догадываешься?
А лично у себя, дома..... PLEASE. DO IT. Только осторожно и без рекламы.

Цитата:

А с другой стороны в ходе проверок с точно таким же успехом можно признать не соответствующими требованиям и сертифицированные средства.

Здесь Бумага крепче воего лба и железа. Главное - соблюдай тех условия и требования по ИБ, согласно к документации к изделию. Иначе сертификат не будет признан при аттестации/проверке.

RE: lovec123

Вопрос касался сертификата на Антивирус Касперского для предприятий 6-ой версии.
Как мне ответили представители AVP, дабы не делать новый сертификат на новую версию продукта, они не стали менять релиз на 8 версию, просто изменили релиз на 6.0 R2 с движком от 8 версии. Срок сертификата до 2012 года
Также есть информация по антивирусу Dr.Web Enterprise, 15 ноября 2009 года они получат сертификат.

А кто-нибудь в курсе, почему именно до 1 января 2010 года? Закону уже 4 года, а чесаться начали только сейчас. Или в период кризиса некто решили срубить бабла, как обычно?
Защищать данные конечно надо, но имхо, из всего прочитанного - вся эта история просто маразм, развод на офигенные бабки

"ПАРТИЯ сказала -"Надо!" , ПИОНЕР ответил - "Есть!"."

А если серьёзно , то неужели кто-то всерьёз собирается исполнять сей закон ?
"Закон" более похожий на "протокол о намерениях" ...
В данной теме наличиствут как минимум три аспекта : правовой , экономический и
"компьютерный" (в наименьшей степени).Неизбежно возникающие противоречия
частично выявлены выше .Упомяну ещё несколько из таковых :
- С юридической точки зрения , возможно осложнение международной экономической
деятельности , поскольку зарубежные партнеры находятся в ситуации , вынуждающей
их соблюдать подобные же юридические акты , но - свои , с коими этот наш закон явно
не коррелировался . Более того , они вынуждены призывать к этому и российского
партнёра .А где в этом законе описано разграничение прав доступа к персональным
данным , где определена сама СТЕПЕНЬ их доступности , и даже критерии , на
сновании которых вообще возможно подобное определение ? Наглухо запаянная
банка с вареньем - это не она , а абсурдный курьёз. Далее , какие "потусторонние"
организации будут контролировать соблюдение этого закона в международном
правовом поле (CIA, АНБ, Массад ?) и кто с нашей стороны будет их "сертифицировать"?
А как прикажете работать с иностранными компаниями , обеспечиающими сетевую
безопасность Вам и Вашим клиентам ? С "анонимными персоналиями" сии компании
явно работать не смогут .И на кого в этом случае ляжет бремя финансовых обязательств
за вынужденный отказ от обязательств договорных ? А подобных договоров в той же
нашей банковской сфере - масса.
Внутрироссийские юридические коллизии , вызываемые подобным законотворчеством
не менее актуальны . Как корпорации заказать через Инет те поздравительные
открытки своим клиентам , не преступая этот закон ? Как -экономически-Вы себе представляете сапожную мастерскую с "секреткой"? То есть мелкий бизнес следует
отлучить не только от компьютера , но и от бизнеса вообще?
Очевидно , что ФЗ "О персональных данных" частично (мягко говоря) скалькирован
с закона о гостайне , что изначально делает его в самой своей сути абсурдным . Уподоблять гос. структуру сруктуре социально-экономической (чем в последнее десятилетие грешит наше государство) ещё нелепее , чем равнять божий дар с яичней.
Отсюда и правовая импотенция , к коей всецело можно отнести и данную законодательную инициативу . Можно лишь посочувствовать тем , кто искренне надеется
исполнить сей закон.
В итоге же всё сведётся к обычным схемам : от примитивного "Зиц" с преусловутым
"дублем" ("Рога"- на подставу,"Копыта" - на подмену) , до "цепочки" с запуском "дурочки"...К всё тем же играм с проверяющими в "кто кого перетупит" где
призом служит размер взятки .В общем,кто в бизнесе - тот в курсе.
А для сисадминов ...Для них всё это выльется в громаду высоконервнозатратных ,
но малопродуктивных потуг , ради рождения очередного "пшика".

Как понимать ЭТО:
"Федеральный закон
Об информации, информационных технологиях и о защите информации
от 27 июля 2006 года № 149-ФЗ"(Статья 17.3)


"В случае, если распространение определенной информации ограничивается или запрещается федеральными законами, гражданско-правовую ответственность за распространение такой информации не несет лицо, оказывающее услуги:
1) либо по передаче информации, предоставленной другим лицом, при условии ее передачи без изменений и исправлений;

!!! 2) либо по хранению информации и обеспечению доступа к ней при условии, что это лицо не могло знать о незаконности распространения информации."

jonvarvarМногие руководители фирм "помешаны" на безопасности и без этого закона. ИМ самим это нужно. И это будет с эти законом или без него.

Цитата:

И на кого в этом случае ляжет бремя финансовых обязательств
за вынужденный отказ от обязательств договорных ?

Как правило Договор имеет разделы Срок действия/порядок прекращения. Общая юридисческая праактика:
1. ограничение срока действия до года. Или
2. пролангация срока действия при отсутствии письменого уведомления об отказе, например за 1-2 месяца.
Отказ написать не судьба?

Цитата:

А подобных договоров в той же нашей банковской сфере - масса.

Банк это же не обувщик-таджик, сидящий в переходе.

Добавлено:
На сайте ФСТЭКА опубликованы новые документы (выжимки из рекомендаций):
http://www.fstec.ru/_spravs/meropriaytiay.doc
http://www.fstec.ru/_spravs/recomend.doc
Кто что думает?

чтото представители фстека как то нехорошо замолчали так зачем этот закон то?

Цитата:

GOODmen
А кто-нибудь в курсе, почему именно до 1 января 2010 года?

П.3 ст.25 152-ФЗ

Цитата:

3. Информационные системы персональных данных, созданные до дня вступления в силу настоящего Федерального закона, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2010 года.

Еще такой ньюанс...
Работаю типа сельским фельдшером от АйТи(и сис.админ и консультант и внедренец ПО и т.д.), раньше работал в нескольких бюджетных конторках по совместительству (максимум 0.5 ставки (за такую з.п положено еще немного вредить)). Сейчас с коллегами организовали типа аутсорсинговую контору по предоставлению АйТишных услуг.
1. Вот мне интересно, на ставку администратора ИБ нужен во-первых специалист соответствующей специальности, во-вторых (Если я правильно понял) он должен быть в штате организации.
И чем же, какая нибудь сельская школа (50 чел.учащихся,с пропорциональным кол-ву учащихся финансированием)сможет соблазнить подобного специалиста?
Привлекать админов ИБ из вне вроде не положено?
2. Незнаю как в других местах, но у нас в сельском районе, уровень подготовки пользователей ниже чем возможно, элементарно, внедрял флешки для сдачи отчетов в налоговую и казначейство около года, конечно и мои юзера не подарки, но и в вышеупомянутых конторах это ЧТО-ТО!!! И как таких юзеров научить за 3 месяца Информационной Безопасности? И заменить их нечем...Хорошие молодые специалисты по окончании обучения остаються в областном центре.

PS Такое ощущение, что Дмитрию Анатольевичу при коментировании "успехов" в развитии IT придется подобрать словечко покрепче чем "офигели"))

Toparenko
можно было написать потому, смысловая нагрузка таже

Цитата:

Вопрос касался сертификата на Антивирус Касперского для предприятий 6-ой версии.

Сертификат на антивирусную не нужен, это бред. Даже если он есть то там сертификация на соответствие ТУ это рекламный развод. Многие аттестационные центры в том чиле и мы на это внимание не обращаем. Достаточно чтобы антивирус был. Гораздо более сложным вопрос является применение не сетевых версий антивирусов в сетях. это приводит к невыполнению ряда требований, например оповещения администратора.

Добавлено:

Цитата:

Вот мне интересно, на ставку администратора ИБ нужен во-первых специалист соответствующей специальности, во-вторых (Если я правильно понял) он должен быть в штате организации.

Зачем же специалист заключат договор на обслуживание и все

svanyashev

Цитата:

Сертификат на антивирусную не нужен, это бред.

гы а что вы собираетесь аттестовывать с таким отношением, если антивирусное по не должно быть сертифицированно то что должно и какой аттестационный центр вы представляете?

Еще одно замечание если ищите новый сертификат на продук связывайтесь с разаработчик сайт ФСТЭК обнавляется очень не аккуратно, чтоб не быть голосовным приведу пример:
вот ссылка на реестр http://www.fstec.ru/_doc/reestr_sszi/_reestr_sszi.xls
последний сертификат 1854

А вот продукция информ защиты

Серт. № 1912
Secret Net 5.1 (автономный вариант)
Соответствует руководящим документам по 2-му уровню контроля на отсутствие НДВ и 3-му классу защищенности по СВТ. Может использоваться в автоматизированных системах до класса 1Б включительно и в ИСПДн до 1 класса включительно.
Действует до 17.09.2012

или

Серт. № 1913
Secret Net 5.1 (сетевой вариант)
Соответствует руководящим документам по 2-му уровню контроля на отсутствие НДВ и 3-му классу защищенности по СВТ. Может использоваться в автоматизированных системах до класса 1Б включительно и в ИСПДн до 1 класса включительно.
Действует до 17.09.2012

svanyashev

Цитата:

Зачем же специалист заключат договор на обслуживание и все

блин ну да администратора информационной безопасности надо брать по трудовому договору, тогда вообще чтото говорить о информационной безопасности как то бессмысленно

Цитата:

гы а что вы собираетесь аттестовывать с таким отношением, если антивирусное по не должно быть сертифицированно то что должно и какой аттестационный центр вы представляете?

Смотрим сюда http://www.fstec.ru/_doc/per_org_at/_orgat.xls мы на п.п. 88, причем данные разъяснения подтверждены фсэк по приволжкому федеральному округу.
(все это говорится в рамках защиты информации персональных данных, не надо толковать расширительно)

Добавлено:

Цитата:

блин ну да администратора информационной безопасности надо брать по трудовому договору, тогда вообще чтото говорить о информационной безопасности как то бессмысленно

Ты меня не правильно понял, договор не с человекам, а с компанией имеющей лицензию по защите конфиденциальной информации.

svanyashev
так почему такое отношение к антивирусной защите?

Цитата:

Сертификат на антивирусную не нужен, это бред.

ведь это одно из основных средст защиты от несанкционированного доступа из вне, или оно будет дублироваться чемто сертифицированным?
те эти сертификаты каспера
http://www.kaspersky.ru/images/certificates/fsb_cert_kav60.jpg
http://www.kaspersky.ru/images/certificates/fsb_cert_adminkit60.jpg
те это рекламный развод со стороны каспера?

Цитата:

ведь это одно из основных средст защиты от несанкционированного доступа из вне, или оно будет дублироваться чемто сертифицированным?
те эти сертификаты каспера
http://www.kaspersky.ru/images/certificates/fsb_cert_kav60.jpg
http://www.kaspersky.ru/images/certificates/fsb_cert_adminkit60.jpg
те это рекламный развод со стороны каспера?

Еще раз повторюсь в этой теме обсуждаем только защиту персональных данных, не толкуйте расширительно

тогда вопрос для защиты ПД требуется сертифицированная ОС? и почему? а также как можно защитить ПД если стоит антивирус который пропускает вирусы?
фантастичный случай: вирус тем или иным способом проникает на компьютер находит базу данных шифрует или удаляет

Цитата:

svanyashev:Сертификат на антивирусную не нужен, это бред. Даже если он есть то там сертификация на соответствие ТУ это рекламный развод. Многие аттестационные центры в том чиле и мы на это внимание не обращаем. Достаточно чтобы антивирус был. Гораздо более сложным вопрос является применение не сетевых версий антивирусов в сетях. это приводит к невыполнению ряда требований, например оповещения администратора.

- Тогда clamav тоже сгодится?
- На что конкретно вы ссылаетесь, при таком решении?
Добавлено:
lovec123
Раньше, гдето в 1986 гг выпускалась такая отечественная вычислительная машинка - одноплатная Истра IBM PC на базе i8086. особенностью данной машины было наличие второго процессора - к580ВМ80(i8080) со своим личным адресным пространством в общей памяти. Второй проц мог эмулировать контроллер HDD либо следить в режиме онлайн за первым. Тогда проц 8086 содержал всего то 29 тыс транзисторов, а 8080 4 или 5 тыс. Что же сейчас интел/амд поизводит в > 20 млн транзисторов проца.

oaf56

Цитата:

одноплатная Истра IBM PC на базе i8086

Истра или Искра? но мысль ясна

Нет, Истра - источник - Журнал "Микропроцессорные средства и системы" за те годы http://ru.wikipedia.org/wiki/%D0%98%D1%81%D1%82%D1%80%D0%B0-4816

Цитата:

тогда вопрос для защиты ПД требуется сертифицированная ОС? и почему?

Сертифицированная ОС требуется еси она чвляется средством сзи, если ты применяешь наложенное средство защиты например SecuriyiStudio то достатчно его сертификата, т.е. его применяешь в соответствии с инструкцией по использованию, а там написано применять window, т.е. лицензионной винды вполне хватает.


Цитата:

фантастичный случай: вирус тем или иным способом проникает на компьютер находит базу данных шифрует или удаляет

Аттестация производится производится на данный момент, сканером уязвимостей проверяется наличие дыр они закрываются и все, переаттестация раз в год.

Гораздо более сложный вопрос это обнаружение вторжений, вот это очень спорно и можно дискутировать.

Добавлено:

Цитата:

- Тогда clamav тоже сгодится?
- На что конкретно вы ссылаетесь, при таком решении?

Этот ативирус не знаю

Ссылаемся на руководящим документом ФСТЭК «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных», повторись самы сложный вопрос система обнаружения вторжений.


Цитата:

собенностью данной машины было наличие второго процессора - к580ВМ80(i8080) со своим личным адресным пространством в общей памяти

Покупай ПАК Соболь он как раз примерно это и реализует, имеет свою независимою память и журналирует все события и обеспечивает контроль целостности

Цитата:

svanyashev
повторюсь самы сложный вопрос система обнаружения вторжений.

Есть такое.... Как считаешь Будет правильно сделать так:
если я расчленю рабочие места по функционалу с группировкой их в свои независимые(не имеющие связи с др. сегметами) сегменты без выхода в инет. Размещу все оборудование в охраняемой зоне, доступ в которую ограничен. Сотрудникам запрещу инструктивно устанавливатьПО,копировать данные и т.д. Получаем собствено вторжений ==00. Для потому для диагностики вторжений используем журнал безопасности виновс.

Цитата:

svanyashev
Аттестация производится производится на данный момент, сканером уязвимостей проверяется наличие дыр они закрываются и все, переаттестация раз в год.

Вообще-то в аттестацию (если ее проводить, а не профанировать) входит гораздо больше, чем проверка сканером

А ежегодная переаттестация будет "неплохой кормушкой", но это "лечится" обязательностью (по документам ФСТЭК с непонятным правовым статусом - см. доклад Гришанкова М.И. на Парламентских слушаниях 20.10.09) лицензией на ТЗКИ у оператора (и проведением дальнейших аттестаций самим оператором)... Обычно аттестат дается на 3 года

PS: по предлагаемым средствам можно предположить, что Вы являетесь представителем Информзащиты

Граждане, Ну какая разница кто и чей. Главное, чтобы человеком хорошим был и оказался.

В журнале "Системный администратор №10 (октябрь 2009)" вышла статья "До часа "Х" осталось меньше 100 дней. Что делать с персональными данными?" Есть ещё статья и в сентябрьском номере

Цитата:

если я расчленю рабочие места по функционалу с группировкой их в свои независимые

Как расчленишь?


Цитата:

Для потому для диагностики вторжений используем журнал безопасности виновс.

Это не то


Цитата:

Вообще-то в аттестацию (если ее проводить, а не профанировать) входит гораздо больше, чем проверка сканером

Естественно не только это поросто я поднимаю самые спорные, по моему мнению, вопросы


Цитата:

S: по предлагаемым средствам можно предположить, что Вы являетесь представителем Информзащиты

Нет не являюсь просто у меня сейчас заказчик работает с их продуктами поэтому пиши прото, что свежо в памяти