|
Закон о защите персональных данных №152
|
|||
---|---|---|---|
#18+
Закон о защите персональных данных №152 Информация с персональными данными содержится в dbf файлах на сервере MS Server 2003 Какие дополнительные программные и аппаратные средства нужно использовать, чтобы полностью выполнить требование закона. Достаточно ли разделения полномочий пользователям по обработке данных , парольного входа ? ... |
|||
:
Нравится:
Не нравится:
|
|||
06.07.2009, 15:10 |
|
Закон о защите персональных данных №152
|
|||
---|---|---|---|
#18+
Не достаточно! Все средства защиты должны быть лицензированы. ... |
|||
:
Нравится:
Не нравится:
|
|||
06.07.2009, 15:18 |
|
Закон о защите персональных данных №152
|
|||
---|---|---|---|
#18+
Он не проработан до деталей, так что разом все производители ИС стали ему не удовлетворять. ... |
|||
:
Нравится:
Не нравится:
|
|||
06.07.2009, 15:49 |
|
Закон о защите персональных данных №152
|
|||
---|---|---|---|
#18+
wandreywНе достаточно! Все средства защиты должны быть лицензированы. Прошу дать более точный ответ, назовите конкретные средства, пожалуйста ... |
|||
:
Нравится:
Не нравится:
|
|||
07.07.2009, 06:50 |
|
Закон о защите персональных данных №152
|
|||
---|---|---|---|
#18+
для начала - пользователи сами внутрь dbf лазят? если обычная десктопная система - смотрим в сторону терминального доступа не забываем - если есть какие-то публичные данные - вам необходимо думать о том, каким образом будет отрабатывать система отсечения приватных/публичных данных (по-взрослому это RLS, а вот как это реализовать на DBF - не знаю) А вообще - у вас ведь не многопользовательская система - просто купите терминальных лицензий необходимое количество и все (правда тогда необходимо будет доказать, что всем пользователям необходимо видеть ВСЮ информацию в базе) ... |
|||
:
Нравится:
Не нравится:
|
|||
07.07.2009, 07:55 |
|
Закон о защите персональных данных №152
|
|||
---|---|---|---|
#18+
Существует 4 класса ИС персональных данных. Вашу систему необходимо классифицировать и в соответствии с классом выбирать вариант защиты. А вариантов защиты всего 2: 1. Самому пройти сертификацию своей ИС (около 1 млн. рублей). Доказать, что ваша система обеспечивает безопасность хранения и обработки ПД. 2. Купить сертифицированную систему защиты информации (зависит от кол-ва рабочих мест и остального парка(сервера, активное сетевое и т.д.) ). Тоже не дешево. Тут самое главное понимать, что средство защиты ИСПД должно быть сертифицировано (т. е. средства шифрования/защиты информации из среды (открытых кодов/собственная разработка) сюда не подходят), ну и соответственно программная среда тоже должна быть лицензионной. Тема очень большая в одном сообщении не опишешь :) Да, забыл уточнить, что всё это касается Российского законодательства. ... |
|||
:
Нравится:
Не нравится:
|
|||
07.07.2009, 08:20 |
|
Закон о защите персональных данных №152
|
|||
---|---|---|---|
#18+
wandreywСуществует 4 класса ИС персональных данных. Вашу систему необходимо классифицировать и в соответствии с классом выбирать вариант защиты. 2. Купить сертифицированную систему защиты информации (зависит от кол-ва рабочих мест и остального парка(сервера, активное сетевое и т.д.) ). Тоже не дешево. Приведите пример таких систем, пожалуйста ... |
|||
:
Нравится:
Не нравится:
|
|||
07.07.2009, 12:26 |
|
Закон о защите персональных данных №152
|
|||
---|---|---|---|
#18+
Вы уж меня извините, но вы в начале сильно погуглите. Вопрос настролько хреновый, что меня даже злость не берет. Такое ощущение, что нас дустом сейчас ..В ближайшее время можно прекращать разработки и озабачиваться именно этим законом. Мы попадаем под почти жесть 2-ой уровень. Что делать? будем приглашать специалиство для разработки проекта. вот так вам НИКТО не ответит ничего. и кстати, речь идет не о лицензировании, а о сертифицировпанных средствах защиты. Кои зависят от уровня , архитектуры и многих других составляющих. Разработать проект обойдется предположительнео в районе 300 тыс. Далее надол будет покупать оборудование и ПО, и возможно престаривать архитектуру. А вот последнее самое печальное. Очередной способ отъема денег у населедняи в пользу силовиков ... |
|||
:
Нравится:
Не нравится:
|
|||
07.07.2009, 13:10 |
|
Закон о защите персональных данных №152
|
|||
---|---|---|---|
#18+
wandreyw А вариантов защиты всего 2: 1. Самому пройти сертификацию своей ИС (около 1 млн. рублей). Доказать, что ваша система обеспечивает безопасность хранения и обработки ПД. 2. Купить сертифицированную систему защиты информации (зависит от кол-ва рабочих мест и остального парка(сервера, активное сетевое и т.д.) ). Тоже не дешево. Не пугайте, обязательная аттестация (а не сертификация) только для систем 1 класса. Для второго опционально, декларация там и т.п. Т.е. ТС должен сперва классифицировать систему, а там видно будет. Судя по описанию, подозреваю, будет К3. wandreyw Тут самое главное понимать, что средство защиты ИСПД должно быть сертифицировано (т. е. средства шифрования/защиты информации из среды (открытых кодов/собственная разработка) сюда не подходят), ну и соответственно программная среда тоже должна быть лицензионной. А программная среда по-любому должна быть лицензионной (если типа винды), к ИСПДн отношения не имеет. ... |
|||
:
Нравится:
Не нравится:
|
|||
07.07.2009, 13:30 |
|
Закон о защите персональных данных №152
|
|||
---|---|---|---|
#18+
alm2 Приведите пример таких систем, пожалуйста Да нет таких. ... |
|||
:
Нравится:
Не нравится:
|
|||
07.07.2009, 13:31 |
|
Закон о защите персональных данных №152
|
|||
---|---|---|---|
#18+
Mainframe_старыйРазработать проект обойдется предположительнео в районе 300 тыс. К вопросу правильной классификации. Есть масса способов понизить класс системы, и, соответственно, затраты. А так и пару миллионов можно оставить. Есть, конечно, ещё много всяких заморочек, с теми же шифросредствами, например, надо иметь соответствующую лицензию. ... |
|||
:
Нравится:
Не нравится:
|
|||
07.07.2009, 13:36 |
|
Закон о защите персональных данных №152
|
|||
---|---|---|---|
#18+
К вопросу правильной классификации. Есть масса способов понизить класс системы, и, соответственно, затраты. А так и пару миллионов можно оставить. Есть, конечно, ещё много всяких заморочек, с теми же шифросредствами, например, надо иметь соответствующую лицензию.[/quot] можно, но боюсь у нас вряд ли получится. У нас филиалы удаленные и между ними гоняются не обезличенные персональные данные. а иначе никак. а настроить защищенные каналы - никак без покупки в филиалах маршрутизаторов. ... |
|||
:
Нравится:
Не нравится:
|
|||
07.07.2009, 13:58 |
|
Закон о защите персональных данных №152
|
|||
---|---|---|---|
#18+
Mainframe_старый можно, но боюсь у нас вряд ли получится. У нас филиалы удаленные и между ними гоняются не обезличенные персональные данные. а иначе никак. а настроить защищенные каналы - никак без покупки в филиалах маршрутизаторов. При таком раскладе можно зашифровать ПД и передавать по открытым каналам (обезличка). Правда, надо продумать ключевую систему. А в Вашей схеме требуетс МСЭ, а не маршрутизатор, если придерживаться терминологии закона. ... |
|||
:
Нравится:
Не нравится:
|
|||
07.07.2009, 14:09 |
|
Закон о защите персональных данных №152
|
|||
---|---|---|---|
#18+
iehfПри таком раскладе можно зашифровать ПД и передавать по открытым каналам (обезличка). Правда, надо продумать ключевую систему. А в Вашей схеме требуетс МСЭ, а не маршрутизатор, если придерживаться терминологии закона. ПД - это передача данных? как я понимаю, чтобы шифровать нужно уже напрямую с ФАПСИ взаимодействовать и все равно использовать что-то , что сертифицировано. И шифровать кажется накладнее, чем купить маршрутизаторы (пока создалось такое впечатление). А что есть МСЭ? ... |
|||
:
Нравится:
Не нравится:
|
|||
07.07.2009, 14:51 |
|
Закон о защите персональных данных №152
|
|||
---|---|---|---|
#18+
Mainframe_старый, ПД - это персональные данные ... |
|||
:
Нравится:
Не нравится:
|
|||
07.07.2009, 15:16 |
|
Закон о защите персональных данных №152
|
|||
---|---|---|---|
#18+
Mainframe_старый, Про ПД ответили уже, МСЭ - межсетевой экран. Под вашу систему МСЭ нужен не ниже 3 класса если подключено к интернету. И по криптографии КВ1,КС3 не ниже. ... |
|||
:
Нравится:
Не нравится:
|
|||
07.07.2009, 16:10 |
|
Закон о защите персональных данных №152
|
|||
---|---|---|---|
#18+
Mainframe_старый, ФАПСИ, кстати, давно уже нет. Функции ФАПСИ, связанные с криптографией отошли к ФСБ, остальное - ко ФСТЭК. ... |
|||
:
Нравится:
Не нравится:
|
|||
07.07.2009, 16:12 |
|
Закон о защите персональных данных №152
|
|||
---|---|---|---|
#18+
межсетевой экран само собой есть, но насколько понятно при первом анализе , его недостаточно, нужны или безопасные каналы или шифрование. и то и другое обойдется на очень приличную сумму. теоертически перехватить данные (господи, ну кому они нужны) могут при передачи между нами, а мы (головнйо и филиалы) за межсетевым экраном, внутри. ... |
|||
:
Нравится:
Не нравится:
|
|||
08.07.2009, 02:19 |
|
Закон о защите персональных данных №152
|
|||
---|---|---|---|
#18+
Во-первых как минимум читайте Специальные требования и рекомендации ФСТЭК (СТР-К). Во-вторых у Вас должно быть сначала проведено категорирование системы, должны быть определены угрозы и уровни защиты. Соответственно надо защищать (либо обосновывать ненужность защиты) внутреннюю ИСПД (в локальной сети), связь локальной сети с сетью связи общего пользования и далее передачу ПД через ССОП. Примерно могу сказать, что сеть с ИСПД вероятно придется отделять от остальной локалки, внутри этой локальной сети ставить устройства типа SecretNet с Соболями. Если не отделять, то замки всюду. Для связи сетки с ИСПД с остальным миром как минимум использовать сертифицированный экран (типа MS ISA 2006 или другой), а для передачи данных через сети связи общего пользования надо ставить устройства типа Континентов (Информзащита) для шифрования трафика. Основной вывод, который Вы должны сделать для себя - обратитесь к СПЕЦИАЛИСТАМ по защите, или будьте готовы к штудированию нормативки и рынка спецсредств в полном объеме самостоятельно !!! ... |
|||
:
Нравится:
Не нравится:
|
|||
14.07.2009, 16:05 |
|
Закон о защите персональных данных №152
|
|||
---|---|---|---|
#18+
Да, еще забыл совсем, если система файл-серверная, то в общем-то считать надо, что все данные открыты любому пользователю системы. Пароли в прикладной системе ни на что не влияют. Ну, если у Вас, конечно, для система записи данных на диск с шифрацией не будет сертифицирована. Возможно, что мы Вас больше пугаем, скорее всего у Вас будет система 3 класса, по поводу которой особо париться не надо. ... |
|||
:
Нравится:
Не нравится:
|
|||
14.07.2009, 16:10 |
|
Закон о защите персональных данных №152
|
|||
---|---|---|---|
#18+
Народ, все таки хочется понять. Очень долго курю эту тему, но просветление не приходит. Я имею систему работающую с персональными данными (больница), клиент-сервер (oracle). Это система работающая в интрасети. Что надо сделать чтобы выдержать проверку Роскомнадзора? ... |
|||
:
Нравится:
Не нравится:
|
|||
20.07.2009, 18:49 |
|
Закон о защите персональных данных №152
|
|||
---|---|---|---|
#18+
Vladimirgs, уже было где-то в этом форуме: 1 - изучите норм. документы 2 - проведите инвентаризацию инф. ресурсов,ПО и обрабатываемой информации 3 - проведите классификацию своей системы, согласно РД 3.1 - типовая ИСПДн 3.2 - специальная ... 4 - опишите существующие средства защиты или примените новые, если надо 5 - для класса ИСПДн требуется пройти аттестацию, К2 - аттестация по желанию, декларация (тоже пока неясно как с этим быть) готовьте документы и ждите :)) ... |
|||
:
Нравится:
Не нравится:
|
|||
21.07.2009, 14:36 |
|
Закон о защите персональных данных №152
|
|||
---|---|---|---|
#18+
iehfVladimirgs, уже было где-то в этом форуме: 1 - изучите норм. документы 2 - проведите инвентаризацию инф. ресурсов,ПО и обрабатываемой информации 3 - проведите классификацию своей системы, согласно РД 3.1 - типовая ИСПДн 3.2 - специальная ... 4 - опишите существующие средства защиты или примените новые, если надо 5 - для класса ИСПДн требуется пройти аттестацию, К2 - аттестация по желанию, декларация (тоже пока неясно как с этим быть) готовьте документы и ждите :)) 1. Изучил 2. Это как? У меня типовой набор ПП (ОС, офис, браузер)и ресурсов (мыло, прокси, файл-сервер). А что такое инвентаризация обрабатываемой информации?? Больница я... бухгалтерия и информация о здоровье! 3. Провел... СПЕЦИАЛЬНАЯ т.к. "К специальным информационным системам должны быть отнесены: информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных; и информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы." Это все мое! 4. Средства защиты чего? У меня масса: видеонаблюдение коридоров, смарт-доступ в кабинеты. А на компах виндовая авторизация AD. 5. Аттестацию должен пройти объект? или софт? Требования к аттестации я какие должен выполнить? Где это взять то? Класс К1. Система по 1Г выходит. Я знаю только об аттестации объекта. автор1. Аттестация объектов информатизации: 1.1. Защищаемые и выделенные помещения 1.2. Аттестация АС (автоматизированных систем) 1.3. Аттестация ИСПДн (информационных систем персональных данных) - защита персональных данных 1.4. Аттестация ЛВС (локальных вычислительных сетей) 1.5. Аттестация АРМ на базе ПЭВМ 1.6 Аттестация СКД (Аттестация СКУД) 2. Оценка защищенности объектов информатизации. 3. Выявление возможных технических каналов утечки информации. 4. Разработка рекомендаций и проведение мероприятий по закрытию технических каналов утечки информации. 5. Исследование и защита речевой информации в режимных и защищаемых помещениях. 6. Проведение специальных исследований технических средств на побочные электромагнитные излучения и наводки технических средств обработки информации. 7. Монтаж систем активной защиты (пространственного, линейного зашумления) 8. Монтаж систем виброакустической защиты конструкций зданий (стен, пола, потолков и пр.) 9. Монтаж и настройка устройств защиты линий технических средств. 10. Защита от несанкционированного доступа рабочих станций. Теперь может это кто то рассшифровать? я нашел вот такой http://www.itsec.ru/articles2/Inf_security/documents-pd где указано какие документы я должен разработать в организации которая является оператором ПДн Это мнение экспертов, а есть Роскомнадзорный документ? Потыкает может кто мордой лица меня? ... |
|||
:
Нравится:
Не нравится:
|
|||
21.07.2009, 15:02 |
|
Закон о защите персональных данных №152
|
|||
---|---|---|---|
#18+
Vladimirgs 2. Это как? У меня типовой набор ПП (ОС, офис, браузер)и ресурсов (мыло, прокси, файл-сервер). А что такое инвентаризация обрабатываемой информации?? Больница я... бухгалтерия и информация о здоровье! Т.е. надо определить какую конкретно информацию вы относите к ПД в вашей ИСПДн. Вы уже указали (Больница я... бухгалтерия и информация о здоровье) осталось только определится где и кем эта информация используется. Это важно для выбора мероприятий по защите и классификации ИСПДн. Также определитесь, какая у вас система (однопользовательский режим, многопользовательский режим при равных (одинаковых) правах доступа, многопользовательский режим при разных правах доступа, подключение к сетям общего пользования (Интернет)). Если ваша организация зарегистрирована как оператор ПД, то во ФСТЭК можно получить документы (ДСП) в которых и прописаны требования к СЗИ. Vladimirgs 3. Провел... СПЕЦИАЛЬНАЯ т.к. "К специальным информационным системам должны быть отнесены: информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных; и информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы." Это все мое! Вам не повезло, готовьтесь раскошелиться. Vladimirgs 4. Средства защиты чего? У меня масса: видеонаблюдение коридоров, смарт-доступ в кабинеты. А на компах виндовая авторизация AD. Для К1 всё это понадобится, возможно понадобится и криптография. Vladimirgs 5. Аттестацию должен пройти объект? или софт? Требования к аттестации я какие должен выполнить? Где это взять то? Класс К1. Система по 1Г выходит. ИСПДн. А в неё войдёт и софт и помещения, тем более для К1 и пэмин приплетут. А требований к аттестации как таковых нет. Проверят (возможно) соответствие вашей классификации ИСПДн реальному состоянию дел, а потом соответствие ваших СЗИ требованиям, предъявляемым к соотв. классу системы. Вот и всё. Vladimirgs Это мнение экспертов, а есть Роскомнадзорный документ? Потыкает может кто мордой лица меня? См.п.5. Владелец ИСПДн составляет методику аттестационных испытаний (либо прямо по СТР-К), а комиссия проводит эти испытания. По итогам делает вывод о соответствии или несоответствии. Если оператор ПД - лицензиат ФСТЭК (по защите конф.инф.), то он может разработать методику сам. Если нет, то может разработать и далее должен согласовать со ФСТЭК, или поручить разработку лицензиату ФСТЭК. ... |
|||
:
Нравится:
Не нравится:
|
|||
21.07.2009, 15:50 |
|
|
start [/forum/topic.php?fid=33&msg=36077296&tid=1548369]: |
0ms |
get settings: |
9ms |
get forum list: |
15ms |
check forum access: |
4ms |
check topic access: |
4ms |
track hit: |
30ms |
get topic data: |
9ms |
get forum data: |
3ms |
get page messages: |
61ms |
get tp. blocked users: |
1ms |
others: | 15ms |
total: | 151ms |
0 / 0 |