Фактическая температура воздуха в Находке on-line. Прогноз погоды в Находке  

Готовимся к ФЗ 152. ИСПДн и все такое...

Обмен опытом ИТ-специалистов в различных областях

Модератор: Aroch

Готовимся к ФЗ 152. ИСПДн и все такое...

Сообщение Char0Day » Пн июл 06, 2009 4:34 pm

Кто-нибудь уже подготовился к 01.01.2010?
То есть составили модель угроз безопасности, внедрили необходимое сертифицированное ПО?
Очень данный вопрос интересует :) .
Char0Day
Горожанин
 
Сообщения: 500
Зарегистрирован: Пн июл 24, 2006 1:34 pm
Откуда: г. Находка

Сообщение Дед Джедай » Вт июл 07, 2009 11:36 pm

Char0Day, Ты б привел список угроз и всего такого...
Блаженны умеющие смеяться над собой, ибо не иссякнет источник их услады до конца дней их...
...я могу это себе позволить...
Аватара пользователя
Дед Джедай
Горожанин
 
Сообщения: 446
Зарегистрирован: Вс фев 17, 2008 8:14 am
Откуда: космос

Сообщение Char0Day » Ср июл 08, 2009 9:13 am

Согласно закону №152-ФЗ "О персональных данных",
персональные, данные необходимо защищать.
А если они к тому же хранятся в автоматизированной инф. системе
(ИСПДн - Информационная Система Персональных данных), то здесь вообще полный ужас.

Что такое ПДн (перс. данные) - это данные, однозначно идентифицирующие человека.
Есть несколько категорий (4) ПДн и в зависимости от того, какие данные хранятся, выстраиваится модель защиты этих ПДн в составе ИСПДн.

Если ПДн обезличены (вместо ФИО - идентификаторы) - категория 4
ФИО+№паспорта(или ИНН и т.п) - Категория 3
Если кроме ФИО+ паспорт хранится информация о ЗП, и т.п. - это расширенные перс. данные - категория 2,
А если, не дай бог :) , хранится инфа о здоровье, вероисповедании, личной жизни - то категория 1

В свою очередь, каждая ИСПДн относится, в зависимости от категории обрабатываемых ПДн, их количества (менее 1000, от 1000 до 100000, более 100000) и собственной коньюнктуры (локальная, распределенная, подключенная к сети общего доступа [интернет] или нет) делится на классы. Их тоже 4.

Скажу лишь, что , например, ПДн, хранящиеся в 1С8 "Зарплата и Кадры" - Категория 2

А сама 1С ЗиК в даннми случае является ИСПДн 3 Класса


Если учесть, что до 20010 года, каждый оператор ПДн (любое Юр лицо, ИП, гос. структура, муниц. структ, обрабатывающее ПДн) обязан задекларировать свои ИСПДн в РосКомНадзоре (А кроме этого органа ответственными являются ФСТЭК и ФСБ)
При этом на момент декларации ИСПДн уже должны быть приведены в соответствие с требованиями.

Нормативные доки опишу в следующем посте.
Голову сломал, все их читать, тем более, есть еще ряд документов ФСТЭК и ФСБ ДСП(для служебного пользования), которые выдаются по запросу от юр. лица, и, возможно, на коммерческой основе.
Я пока такими доками не обладаю.

Нужны ИТ-шники местные для мозгового штурма и обмена информацией по данному вопросу
Char0Day
Горожанин
 
Сообщения: 500
Зарегистрирован: Пн июл 24, 2006 1:34 pm
Откуда: г. Находка

Сообщение Char0Day » Ср июл 08, 2009 9:23 am

Эта инфа у меня с ДальИнфоКома (Секция Информационная безопасность)

Я,конечно еще с 2007 года знал о ФЗ-152, но на тот момент - поговорили и забыли, да и небыло конкретных нормативных доков у ФСТЭКа, ФСБ. А сейчас есть и говаривают, начались уже внеплановые и плановые проверки в некоторых регионах на соответствие ИСПДн.

Ну и ложка меда в бочке дегдя для некоторых есть. Если у вас ПДн о нанятых сотрудниках (трудовые отношения), то ИСПДн не нужно декларировать, однако от защиты и возможных проверок не уйти.
Char0Day
Горожанин
 
Сообщения: 500
Зарегистрирован: Пн июл 24, 2006 1:34 pm
Откуда: г. Находка

Сообщение Char0Day » Ср июл 08, 2009 9:36 am

Виды предусмотренных ПРОВЕРОК:

Роскомнадзор
-При обращении субъекта ПДн о соответствии содержания персональных данных и способов их обработки целям обработки. (Любой человек, чьи данные хранятся у оператора может обратиться с кляузой :) )
-Внеплановые проверки по контролю нарушений обязательных требований

ФСТЭК
-Надзор за деятельностью лицензиата ФСТЭК России (это для тех, кто разрабатывает СЗИ средства защиты информации)
-По обращению Роскомнадзора
-Внеплановые проверки

ФСБ
-Контроль за соблюдением правил использования средств криптографической защиты
-Надзор за деятельностью лицензиата ФСБ России (это для тех, кто разрабатывает СЗИ средства криптографической защиты информации)
-По обращению Роскомнадзора
-Внеплановые проверки


P.S. Одноклассники.ру задекларировались в качестве оператора ПДН :)
Char0Day
Горожанин
 
Сообщения: 500
Зарегистрирован: Пн июл 24, 2006 1:34 pm
Откуда: г. Находка

Сообщение Char0Day » Ср июл 08, 2009 9:59 am

Больше всего меня сейчас интересуют документы для служебного пользования, в частности:

Методические документы, определяющие модель угроз
Базовая модель угроз безопасности ПДн при их обработке в ИСПДн, ФСТЭК, 14.02.2008
Методика определения актуальных угроз безопасности ПДн при их обработке в ИСПДн, ФСТЭК, 14.02.2008

Кроме того, есть еще ряд ДСП-документов:

Основные мероприятия по организации и техническому обеспечению безопасности ПДн, обрабатываемых в ИСПДн, ФСТЭК, 15.02.2008

Рекомендации по обеспечению безопасности ПДн, обрабатываемых в ИСПДн, ФСТЭК, 15.02.2008
Char0Day
Горожанин
 
Сообщения: 500
Зарегистрирован: Пн июл 24, 2006 1:34 pm
Откуда: г. Находка

Сообщение Дед Джедай » Чт июл 09, 2009 7:16 am

Char0Day, И выложив тут Это ДСП, ты автоматически станешь Болтуном и преступником... :shock:
Блаженны умеющие смеяться над собой, ибо не иссякнет источник их услады до конца дней их...
...я могу это себе позволить...
Аватара пользователя
Дед Джедай
Горожанин
 
Сообщения: 446
Зарегистрирован: Вс фев 17, 2008 8:14 am
Откуда: космос

Сообщение Char0Day » Чт июл 09, 2009 3:15 pm

:)
И с чего это вдруг я бы их тут выкладывал.
Char0Day
Горожанин
 
Сообщения: 500
Зарегистрирован: Пн июл 24, 2006 1:34 pm
Откуда: г. Находка


Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1

cron