Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Новости проекта

Отраслевые новости

Угрозы

Преступления

Наказания

Партнеры


Журнал "Information Security"

Каталог "IT-Security"

Рекламодателям

Сотрудничество


Материалы

Форум

ITSec Weekly

Календарь

Публикации

Подписка

Контакты

Ссылки

Партнеры

Мероприятия

 
    ФСТЭК России на конференции "Персональные данные": задавайте вопросы

ФСТЭК России на конференции "Персональные данные": задавайте вопросы


21.08.2008

ФСТЭК России на конференции "Персональные данные" задавайте вопросы

В рамках конференции "Персональные данные" (Москва, 24 сентября) представители ФСТЭК России проведут практический семинар "Методика классификации специальных информационных систем персональных данных; порядок сертификации и аттестации информационных систем".

К выступлению на данном семинаре приглашены также представители ФСБ России.

В.В.Селин, начальник Управления ФСТЭК, подтвердил готовность представителей службы ответить в рамках семинара на заранее присланные участниками вопросы.

Благодарим первых заинтересованных участников, сформулировавших перечень вопросов для ФСТЭК:

- Антона Картамышева, инженера научно-исследовательского сектора Курского государственного технического университета, который, в частности, предоставил нам список цитат, понимание которых может быть неоднозначным, из документов по классификации и защите персональных данных;

- Виталия Мытько, начальник отдела СА и ЗИ территориального фонда обязательного медицинского страхования Саратовской области, приславшего следующий список вопросов:

1. Необходима ли сертификация операционной системы, установленной на компьютере, обрабатывающем персональные данные? И что делать организациям, у которых нет достаточных средств для этого (например, бюджетным)? Является ли сертификация ПО обязательной при лицензировании деятельности по технической защите конфиденциальных данных?

2. Какой класс защиты рекомендован для систем, обрабатывающих персональные данные, - 1Г или другой?

3. Термин "служебная информация" пока не определен. Но "служебная информация" может содержать "персональные данные". Как их разграничить?

4. До сих пор не ясно, являются ли "персональные данные" частью "конфиденциальной информации" или их следует выделять в самостоятельный гриф доступа?

5. Будет ли дорабатываться СТР-К в соответствии с ГОСТ 17799-2005 и указами Президента?

6. Некоторые организации в силу своего финансового положения (ТСЖ, поликлиники и т.д.) не смогут выполнить все требования по безопасности персональных данных, регламентируемые ФСТЭК. Как им быть?

У вас тоже есть вопросы к Федеральной службе по техническому и экспортному контролю? Направляйте их программному директору конференции "Персональные данные" Марии Калугиной (kalugina@groteck.ru), а мы их адресуем представителям ФСТЭК России.


Обсуждение

Автор: Морозов Вадим, Информзащита Воронеж | 25-08-2008 20:13

Какая предусмотрена законодательством РФ реальная ответственность физических и юридических лиц за нарушение закона о "Персональных данных"

Автор: serge331, | 26-08-2008 18:57

Как и в вопросе с конфиденциальной информацией в целом - "по усмотрению руководства".

Автор: serge331, | 27-08-2008 09:28

Уважаемая Наталья!

Тем и ценны 781 постановление Правительства 4 нормативно-методических документа ФСТЭК, что они фактически и практически выделяют ПД из перечня конфиденциальной информации 188 Указа Президента и , следовательно, не требуют выполнения "всего" СТР-К. Процедура классификации ИСПДн прописана там же. А из этого следуют и модель угроз и т.д.
2. В соответствии с теми же документами ответственным за безопасность обработки ПДн является оператор, т.е. ФОИВ, юр или физлицо, определяющее цели и характер обработки ПДн. Значит.....
3. Допускается. Но может потребоваться упоминание при аттестации - надо смотреть конкретно.
4. Аналогично п.3.
5. Требования к АРМ для обработки "конфиы" изложены в нормативных документах ФСТЭК. При этом аттестации средств ОС не требуется, а требуется использование сертифицированных средств защиты - НСД и т.п.

6 Всякое участие в конференциях должно иметь практический смысл. В Вашем случае лучше всего обратиться к специалистам, чтобы не допускать "детских болезней", о чем предупреждал классик марксизма. Надумаете - обращайтесь.
С искренним пожеланием успехов,
Сергей.

Автор: serge331, | 27-08-2008 17:18

Ну вы, блин, даете!

Вы, господа, посмотрите внимательно на первую страничку цитируемых Вами документов ФСТЭК. Там типа ограничительной по доступу отметки нету чтоль?

Автор: virus, | 27-08-2008 17:21

Ну, и что...вы считаете, что кто-то что-то разгласил? тем более что цитат ни где нету, а только вольный пересказ. ФСТЭК сам рекомендует разрабатывать свои внутреннии положения на копировании абзацев из СТРК-к например.

Автор: Наталья Рудых, администрации | 28-08-2008 10:01

Конференция в Москве? мы на Дальнем Востоке. Если бы организовывались выездные по регионам конференции, семинары и практическое обучение на курсах (именно для непродвинутых), то думаю было бы очень хорошо. Посмотрите как здорово раскрутили систему обучения и повышения квалификации по теме "Государственные и муниципальные закупки" по 2-3 семинаре в год по регионам и все окпается. Правда там штрафы повыше...

Автор: serge331, | 28-08-2008 10:34

Уважаемая Наталья!
Обучение - это хорошо, но в данной области все едут учиться в Москву или Питер. Со своей стороны посоветую, именно посоветую, т.к. не сотрудник подобной фирмы, ЦБИ или Маском. У ЦБИ даже гостиница есть с "немосковскими" ценами. Удачи!

Автор: Владимир, ИТ-компания | 01-09-2008 15:06

Во-первых, присоединяюсь к вопросам virus - очень точные и очень нужные вопросы. Прошу все-таки ответить на них.

Кроме того, прошу ответить на ряд моих вопросов

1)Какие сертифицированные антивирусы под Win XP порекомендуете (что-то по требованиям я не вижу, чтобы распространенные антивирусы подходили)?

2) Для однопользовательской ИСПД 3 класса достаточно будет в качестве подсистемы управления доступом, целостности и регистрации и учета использовать соответствующим образом сконфигурированную сертифицированную Win XP или что-то еще понадобится?

3) Какие сертифицированные системы обнаружения сетевых атак, использующие как сигнатурные методы, так и методы выявления аномалий, Вы бы рекомендовали использовать?

4) На основании чего определяется при определении уровня актуальности угрозы, что принятых мер обеспечения безопасности недостаточно ?

5) Какие требования будут предъявляться к подсистеме регистрации и учета при аттестации в части реализации требования Постановления №781 "Запросы пользователей информационной системы на получение персональных данных..., а также факты предоставления персональных данных по этим запросам регистрируются автоматизированными средствами информационной системы в электронном журнале обращений. " Что и в каком объеме должно регистрироваться?

6) Можно ли использовать СТР-К и игнорировать чрезмерно жесткие (и нереальные поэтому) требования в документах про ПД, если они противоречат тому, что написано в СТР-К?

Автор: serge331, | 01-09-2008 16:30

Уважаемый Владимир!

Любой лицензиат ФСТЭК или ФСБ ответит на Ваши вопросы. Все ответы содержатся в упомянутых Вами документах и на сайте ФСТЭК.

Автор: virus, | 01-09-2008 17:39

Владимир, на ваши вопросы считаю так:
1. Касперский например - у него есть сертифкат на НДВ ( а как еще антивирусроверять)
2. Достаточно. Судя по "4 документам", но не по ПП 781 - для ИСПДн 3-класса можно не использовать сертифицированные СЗИ
4) Не совсем понятно что имели ввиду...как определяется, что технические решения реализованные для минимизации выбранной частной модели недостаточны? Это будут проверять контролирующие органы в рамках своей компитенции (если до такого дойдет). Вам главное согласовать с заказчиком модель угроз (т.е. чтоб заказчик утвердил эту модель). главное чтоб выполнялись минимальные требования "Основных мероприятий..."
5. В техническом проекте (или ТЗ) это необходимо оговорить. Досточтоно определить кто посылал запрос, когда, и какой это был запрос.
6. Как мне рекомендовали в нашем региональной управлении ФСТЭК - необходимо руководствоваться "4 документами", если чего -то не хватает в них - СТР-К.

Автор: virus, | 01-09-2008 17:55

4) Об этом скзаано в 781 ПП: Достаточность принятых мер по обеспечению безопасности персональных данных при их обработке в информационных системах оценивается при проведении государственного контроля и надзора.

Автор: Иван, Завод | 02-09-2008 09:02

Добрый день.
В локальной сети из 40 машин есть 6 компьютеров,которые обрабатывают перс.данные и под эти компы идет свой сервер с 1С:предприятие.
В отдельную локалку персональные данные,увы,не выделить.
Как быть в такой ситуации?
К тому же будет фактическое подключение к интернету через почтовый сервер,но пользователям доступ будет закрыт.Есть аппаратный межсетевой фаервол,но сертифицировать его нереально,дешевле выйдет купить два таких же,но уже сертифицированных.Прокатит декларирование соответствия?

Для Владимир, ИТ-компания
д-р Веб 4.44 - все сертификаты есть.

Автор: Mike, | 02-09-2008 09:45

to Иван, Завод

Если не секрет, о каком МЭ речь? Откуда вывод о запредельной цене сертификации?

Автор: Владимир, ИТ-компания | 02-09-2008 11:21

Спасибо virus за конкретные ответы !
Проблема только в том, что (далее комментарии к моим вопросам)
1) я посмотрел требования из 4 документов к администрированию антивируса и вижу, что Касперский им НЕ удовлетворяет. Поэтому и спросил. Если я не прав, прошу подробно объяснить ;-)
4) вопрос по одному из 4 документов - методике определения актуальности. Именно этот параметр будет определять в конечном счете возможность не учитывать ту или иную угрозу в своей частной модели угроз. Но как он определяется (пол-палец-потолок???)???

Автор: virus, | 02-09-2008 13:06

Актуальность угрозы в конечном итоге определяется "экспертным" методом :)
т.е. - на глазок :)

А чем именно не удовлетворяет касперский?? Не существует отката при удалении ПМВ?Это можно решить дополнительными средствами : например тоже восстановление системы.

Автор: Дмитрий, Волгоград | 10-09-2008 16:30

В гос. организации в составе одной АС две ИСПДн 3-его класса, достаточно ли проведение аттестации объекта ВТ по классу 1Г с дополнениями в методику аттестации требований из методических документов ФСТЭК по ПД, чтобы не проводить аттестацию ИСПДн?

Автор: Дмитрий,Волгоград, | 16-09-2008 10:27

Очень интересно мнение участников форума по заданному вопросу:
а) Может его перефразировать?
б) Собственно Ваше мнение?

Автор: юрий, 23 | 07-10-2008 13:41

Под автоматизированной системой (АС) понимается система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций (по ГОСТ 34.003).
При этом существуют следующие общепринятые определения:
информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов;
информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;
Учитывая вышеизложенное возникает вопрос – Как понимать:
«Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее - персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.» / Постановлением Правительства
Российской Федерации от 15 сентября 2008 г. N 687 ?????

Автор: SMak, | 07-10-2008 13:48

На самом деле, что изменится с вступлением в силу 687-го, не уж-то всё будет проще чем задумали???

Автор: Василь, | 07-10-2008 18:11

SMak, 07-10-2008 13:48
На самом деле, что изменится с вступлением в силу 687-го, не уж-то всё будет проще чем задумали???

Объём обязательств операторов уменьшится.

Обсуждение на форуме


Добавить комментарий

Автор:
Компания:
E-mail:
Уведомлять о новых сообщениях в этой теме да
нет
Текст сообщения:
Введите код:









Реклама на сайте

ПОИСК

СВЕЖИЙ НОМЕР
ПОДПИСКА НА НОВОСТИ

 

 

 

 

Рейтинг@Mail.ru

Яндекс цитирования

Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Бесплатная подписка | Форум | Контакты | Ссылки | О чем этот сайт

Copyright © 2003-2013, ООО "Гротек"
Использование материалов сайта возможно при указании активной гиперссылки на главную страницу этого сайта. Ссылка должна выглядеть так: Itsec.Ru.