Конференция по вопросам информационной безопасности Вторник, 03.12.2024, 21:55
| Forum RSS
Меню сайта

Скачать

Поиск

[ Новые сообщения · Участники · Правила форума · Поиск · Forum RSS ]
  • Страница 10 из 10
  • «
  • 1
  • 2
  • 8
  • 9
  • 10
Модератор форума: Kostik, anvolkov  
Нужна помощь
anvolkov (Алексей Волков)Дата: Среда, 27.10.2010, 18:00 | Сообщение # 136
Генерал-майор
Группа: Модераторы
Сообщений: 143
Репутация: 102
Статус: Offline
Товарищи, не путайте: ПДн - категория, ИСПДн - класс. Разные вещи.
 
asd (Аедрей)Дата: Четверг, 28.10.2010, 09:02 | Сообщение # 137
Сержант
Группа: Пользователи
Сообщений: 32
Репутация: 8
Статус: Offline
Дело вот в чем -
В перечне ПДн

Сведения о реквизитах работника

ФИО 4 категория

---------------
-дата рождения
-адрес прописки
-ИНН это все
-данные паспорта
-номер страхового свидетельства
---------------
это все 3 категория

Но если мы берем ИСПДн в которой есть все эти ПДн, тогда получается мы можем идентифицировать субъекта по ФИО, паспорту и получить доп. информацию адрес, инн, дата рождения - это получаеся уже 2 категория, в акте классификации то нужно уже писать будет 2 категория ПДн ...или я что то путаю?получается как можно определить в Перечне ПДн категорию? если в ИС вместе они получаются не 3 а 2 класс, может в Перечне не нужно указывать категорию.

с другой стороны в другой ИСПДн у меня обрабатываются только ИО и паспорт - т.е. получается 3 категория.

Сообщение отредактировал asd - Четверг, 28.10.2010, 09:11
 
Kostik (Иванов Константин)Дата: Четверг, 28.10.2010, 09:13 | Сообщение # 138
Генералиссимус
Группа: Администраторы
Сообщений: 130
Репутация: 104
Статус: Offline
Алексей прав - вы смешиваете понятия из Приказа трех:

п. 6
категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных;
категория 4 - обезличенные и (или) общедоступные персональные данные.

Получаем, что указанный набор относится ко второй категории персональных, далее вычисляем класс ИСПДн по таблице (п.15)
- если в ИСПДн количество субъектов менее 1000 (или в рамках конкретной организации), то получаем ИСПДн класса К3.
- если в ИСПДн количество субъектов от 1000 до 100000, то уже будет К2.

Далее уточняем класс на основе модели угроз, т.к. у Вас система все-таки не типовая (вероятнее всего), а специальная.

 
asd (Аедрей)Дата: Четверг, 28.10.2010, 09:22 | Сообщение # 139
Сержант
Группа: Пользователи
Сообщений: 32
Репутация: 8
Статус: Offline
проблема не в определении класса, а то что в Перечне ПДн мы указываем одну категорию а в акте классификации должны уже другую,
ну вот как в Перечне у нас категории 4 и 3, а в акте я пишу категория 2 ... какая то не стыковка.

та же бухгалтери 1С зик, есть ПДн по которым можно идентифицировать пользователя и получить доп. инф. следовательно в акте я пишу 2 атегория ПДн. но в перечне ПДн у меня ФИО - 4 категория, паспорт -3, и т.д.

Сообщение отредактировал asd - Четверг, 28.10.2010, 09:25
 
Kostik (Иванов Константин)Дата: Четверг, 28.10.2010, 09:26 | Сообщение # 140
Генералиссимус
Группа: Администраторы
Сообщений: 130
Репутация: 104
Статус: Offline
Хм, а зачем Вы вообще в Перечне ПДн указываете категорию? И почему в таком случае не указать общую категорию для всего Перечня? Иначе в таком случае можно и первую категорию представить как четвертую, если диагноз, например, рассматривать отдельно от ФИО (тогда получится что это вообще обезличенная информация).
 
asd (Аедрей)Дата: Четверг, 28.10.2010, 09:35 | Сообщение # 141
Сержант
Группа: Пользователи
Сообщений: 32
Репутация: 8
Статус: Offline
посмотрел как у Вас сделано в примерных документах.....больше таких документов не видел ни где, и тех паспорте у Вас тоже указывается категория для каждой группы ПДн....спрашиваю у Вас - Зачем???
ну общий тоже не пойдет..

Добавлено (28.10.2010, 09:35)
---------------------------------------------
ну короче нужно убрать категорию из перечня не то на пустом месте путанница какая то

Сообщение отредактировал asd - Четверг, 28.10.2010, 09:38
 
Kostik (Иванов Константин)Дата: Четверг, 28.10.2010, 09:43 | Сообщение # 142
Генералиссимус
Группа: Администраторы
Сообщений: 130
Репутация: 104
Статус: Offline
С тех пор как эти документы делались уже много воды утекло... Действительно уберите лучше просто этот столбец. Чтобы лишней путаницы не разводить.
 
anvolkov (Алексей Волков)Дата: Четверг, 28.10.2010, 10:53 | Сообщение # 143
Генерал-майор
Группа: Модераторы
Сообщений: 143
Репутация: 102
Статус: Offline
Делайте как хотите. Четких форм никто не устанавливал - так что простор для творчества. В примерных документах есть категорияПДн - для того, чтобы человек из РКН не задавал лишних вопросов. На тот момент не все были готовы отвечать.
 
asd (Аедрей)Дата: Воскресенье, 14.11.2010, 19:49 | Сообщение # 144
Сержант
Группа: Пользователи
Сообщений: 32
Репутация: 8
Статус: Offline
Подскажите Народ, как по Вашему правильно ли я в модели угроз написал:

на 1 ПК обрабатываются ПДн, но он включен в локальную сеть, для обновления антивируса и консультанта +, я пишу: ИСПДн является автономным АРМ имеющим подключение к локальной сети,...... и тогда угрозы по базовой модели угроз такие же как для АРМ без подключения к сетям связи общего пользования и (или) сетям международного информационного обмена, и локальной ИСПДн без подключения к сетям связи общего пользования и (или) сетям международного информационного обмена.
Ведь локальная система как минимум 2 ПК Сервер и клиент.

И еще, сеть связи общего пользования - это ??? - типа городской сети
и сети международного информационного обмена - ??? - Итернет

И еще план контролируемой зоны - если такой ПК как я описал выше - это уже всясеть или только кабинет в котором стоит этот ПК?

Сообщение отредактировал asd - Понедельник, 15.11.2010, 08:39
 
Kostik (Иванов Константин)Дата: Вторник, 16.11.2010, 10:05 | Сообщение # 145
Генералиссимус
Группа: Администраторы
Сообщений: 130
Репутация: 104
Статус: Offline
Я думаю, Вы не совсем правы. Смотрим п.9 Приказа трех:

"...По структуре информационные системы подразделяются:
на автономные (не подключенные к иным информационным системам) комплексы технических и программных средств, предназначенные для обработки персональных данных (автоматизированные рабочие места)..."

Но у Вас ИСПДн подключена к другой информационной системе, а значит она не автономна.

Сетью связи общего пользования может быть не только что-то наподобие городской сети, но и информационная система Вашей организации, не входящая в ИСПДн, т.е. получается при подключении Вашей ИСПДн к незащищенному сегменту сети Вы так же должны применять меры межсетевого экранирования и другие меры, как при подключении к сетям общего пользования.
Сеть международного информационного обмена - информационная система для которой справедлива трансграничная передача данных, т.е. Интернет сюда относится, но он может быть не единственным представителем такой сети.

План контролируемой зоны - это вся Ваша физически контролируемая зона, но подробному описанию на этом плане подлежит только кабинет в котором расположен АРМ.

Как-то так smile

 
asd (Аедрей)Дата: Вторник, 16.11.2010, 15:44 | Сообщение # 146
Сержант
Группа: Пользователи
Сообщений: 32
Репутация: 8
Статус: Offline
Quote (Kostik)
"...По структуре информационные системы подразделяются: на автономные (не подключенные к иным информационным системам) комплексы технических и программных средств, предназначенные для обработки персональных данных (автоматизированные рабочие места)..."

И что получается автономная с подклюение к ССОП что ли, но ведь это ерунда какая то....
Ведь есть автономные с подключением к ССОП и без подключеня...
Отключить от сети я не могу АРМ.
 
Kostik (Иванов Константин)Дата: Пятница, 26.11.2010, 09:21 | Сообщение # 147
Генералиссимус
Группа: Администраторы
Сообщений: 130
Репутация: 104
Статус: Offline
Quote (asd)
Ведь есть автономные с подключением к ССОП и без подключеня

Я не совсем понял откуда Вы вообще берете понятие "автономный АРМ с подключением к ССОП"?
Если в Базовой модели, то там нет такого:

"автоматизированные рабочие места, не имеющие подключение к сетям связи общего пользования и (или) сетям международного информационного обмена;
автоматизированные рабочие места, имеющие подключение к сетям связи общего пользования и (или) сетям международного информационного обмена;
локальные ИСПДн, не имеющие подключение к сетям связи общего пользования и (или) сетям международного информационного обмена;
локальные ИСПДн, имеющие подключение к сетям связи общего пользования и (или) сетям международного информационного обмена;
распределенные ИСПДн, не имеющие подключение к сетям связи общего пользования и (или) сетям международного информационного обмена;
распределенные ИСПДн, имеющие подключение к сетям связи общего пользования и (или) сетям международного информационного обмена."

У Вас явный второй вариант: "автоматизированное рабочее место, имеющее подключение к сетям связи общего пользования и (или) сетям международного информационного обмена".

 
asd (Аедрей)Дата: Пятница, 24.12.2010, 17:00 | Сообщение # 148
Сержант
Группа: Пользователи
Сообщений: 32
Репутация: 8
Статус: Offline
Людиииииии...
Случайно ни у кого нет инструкции порядке отнесения информационных ресурсов к защищаемым и организации доступа к ним. Чет ни че не могу найти , что за порядок, хотя бы примерный...
 
  • Страница 10 из 10
  • «
  • 1
  • 2
  • 8
  • 9
  • 10
Поиск:

Copyright Ivanov Konstantin © 2024Используются технологии uCoz