Конференция по вопросам информационной безопасности Суббота, 23.11.2024, 23:16
| Forum RSS
Меню сайта

Скачать

Поиск

[ Новые сообщения · Участники · Правила форума · Поиск · Forum RSS ]
  • Страница 2 из 10
  • «
  • 1
  • 2
  • 3
  • 4
  • 9
  • 10
  • »
Модератор форума: Kostik, anvolkov  
Нужна помощь
Runner (Кузнецов Александр)Дата: Среда, 07.04.2010, 15:07 | Сообщение # 16
Рядовой
Группа: Пользователи
Сообщений: 4
Репутация: 0
Статус: Offline
Возник вопрос: закон о Персональных данных предполагает организовывать защиту от инсайдеров? Вернее контроль тех кто ее обрабатывает? Организационные средствами самой собой, а технические (контролировать доступ пользователей к устройствам (дисководы, сменные накопители, локальные и сетевые принтеры и т.п.) и портам ввода-вывода (USB, COM, LPT)? (меня интересует 3 класс ИСПДн при многопользовательском режиме обработки персональных данных и разных правах доступа к ним).
 
Kostik (Иванов Константин)Дата: Среда, 07.04.2010, 15:45 | Сообщение # 17
Генералиссимус
Группа: Администраторы
Сообщений: 130
Репутация: 104
Статус: Offline
Непосредственно 152-ФЗ рекомендации по защите не формулирует. Если полистать методические рекомендации ФСТЭК («Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (утверждена директором ФСТЭК от 15.02.2008)) то там учитываются внутренние нарушители при НСД, для которых (согласно приказу директора ФСТЭК от 05.02.2010 №58 «Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных») необходимо:

"2.3. Для информационных систем 3 класса при многопользовательском режиме обработки персональных данных и разных правах доступа к ним пользователей применяются следующие основные методы и способы защиты информации:
а) управление доступом:
идентификация и проверка подлинности пользователя при входе в систему по паролю условно-постоянного действия длинной не менее шести буквенно-цифровых символов;
б) регистрация и учет:
регистрация входа (выхода) пользователя в систему (из системы) либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения информационной системы. В параметрах регистрации указываются дата и время входа (выхода) пользователя в систему (из системы) или загрузки (останова) системы, результат попытки входа (успешная или неуспешная), идентификатор (код или фамилия) пользователя, предъявленный при попытке доступа;
учет всех защищаемых носителей информации с помощью их маркировки и занесение учетных данных в журнал учета с отметкой об их выдаче (приеме);
в) обеспечение целостности:
обеспечение целостности программных средств системы защиты персональных данных, обрабатываемой информации, а также неизменность программной среды. При этом целостность программных средств проверяется при загрузке системы по контрольным суммам компонентов средств защиты информации, а целостность программной среды обеспечивается использованием трансляторов с языков высокого уровня и отсутствием средств модификации объектного кода программ в процессе обработки и (или) хранения защищаемой информации;
физическая охрана информационной системы (устройств и носителей информации), предусматривающая контроль доступа в помещения информационной системы посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения информационной системы и хранилище носителей информации;
периодическое тестирование функций системы защиты персональных данных при изменении программной среды и пользователей информационной системы с помощью тест-программ, имитирующих попытки несанкционированного доступа;
наличие средств восстановления системы защиты персональных данных, предусматривающих ведение двух копий программных компонент средств защиты информации, их периодическое обновление и контроль работоспособности."

В принципе можно интерпретировать физическую защиту носителей информации как и защиту отчуждаемых носителей (тем более в организационном этапе есть документы по учету носителей информации) и, если взглянуть в частную модель угроз (которая несомненно должна быть в организации), то контроль и учет (в том числе и программно-аппаратный) носителей информации просто становится необходим.

 
Runner (Кузнецов Александр)Дата: Среда, 07.04.2010, 16:17 | Сообщение # 18
Рядовой
Группа: Пользователи
Сообщений: 4
Репутация: 0
Статус: Offline
По-моему под учетом здесь понимаются организационно-распорядительные мероприятия. А программные средства - это лишь дополнительные средства усиления безопасности. Я прав или нет?
 
anvolkov (Алексей Волков)Дата: Среда, 07.04.2010, 16:46 | Сообщение # 19
Генерал-майор
Группа: Модераторы
Сообщений: 143
Репутация: 102
Статус: Offline
Читайте 58 приказ ФСТЭК и приложенное к нему "Положение о методах и способах". Там все написано. Про "Базовую модель" и остальные 3 части "Четверокнижия" забудьте - нет больше таких документов.
 
Kostik (Иванов Константин)Дата: Среда, 07.04.2010, 16:51 | Сообщение # 20
Генералиссимус
Группа: Администраторы
Сообщений: 130
Репутация: 104
Статус: Offline
Стоп... по-моему "Базовую модель" никто не отменял. отменили только 2 документа из четырех. Или я уже отстал от жизни? Если да, то киньте ссылочку на ресурс где это написано.
 
anvolkov (Алексей Волков)Дата: Среда, 07.04.2010, 16:55 | Сообщение # 21
Генерал-майор
Группа: Модераторы
Сообщений: 143
Репутация: 102
Статус: Offline
Базовую модель отменили еще раньше. Нигде это не написано. Убрана с сайта ФСТЭК навсегда. Она носила рекомендательный характер. А ссылка на нее была в одном из 2 документов, отмененных решением ФСТЭК. Нет больше четверокнижия. Есть 58 приказ, в нем теперь все. В том числе и описание того, что должно быть реализовано с точки зрения технической защиты в ИСПДн с разбивкой по классам.
 
Andrey_cm (Андрей)Дата: Четверг, 08.04.2010, 08:42 | Сообщение # 22
Лейтенант
Группа: Пользователи
Сообщений: 47
Репутация: 18
Статус: Offline
Алексей, вы что-то путаете.
http://www.fstec.ru/_razd/_isp0o.htm Самый низ, два документа.
http://www.fstec.ru/_spravs/metodika.doc и http://www.fstec.ru/_spravs/model.rar
Возможно они убирались на доработку, но сейчас они на сайте фстэка есть.
Еще заметил один ляп на сайте pd.rsoc.ru, там в разделе действующего законодательства всё еще висят "основные мероприятия" и "рекомендации"
 
anvolkov (Алексей Волков)Дата: Четверг, 08.04.2010, 10:04 | Сообщение # 23
Генерал-майор
Группа: Модераторы
Сообщений: 143
Репутация: 102
Статус: Offline
Quote
Возможно они убирались на доработку, но сейчас они на сайте фстэка есть

И вправду - имеются. Чудеса какие-то. surprised В принципе, для построения модели угроз при классификации специальной ИСПДн они, конечно, пригодятся - что тут спорить. Но только как рекомендации. Потому как нигде не написано, что именно такая модель угроз должна быть. С точки зрения банальной логики, чтобы не париться особо - берем базовую модель, точим ее под нашу ИСПДн и все довольны.

 
Runner (Кузнецов Александр)Дата: Вторник, 13.04.2010, 09:40 | Сообщение # 24
Рядовой
Группа: Пользователи
Сообщений: 4
Репутация: 0
Статус: Offline
58 приказ ФСТЭК: "Периодическое тестирование функций системы защиты персональных данных при изменении программной среды и пользователей информационной системы с помощью тест-программ, имитирующих попытки несанкционированного доступа"

Есть ли рекомендуемые тестовые программные средства? Требования к ним? Что посоветуете?

 
anvolkov (Алексей Волков)Дата: Вторник, 13.04.2010, 17:14 | Сообщение # 25
Генерал-майор
Группа: Модераторы
Сообщений: 143
Репутация: 102
Статус: Offline
Любое средство сканирования с возможностью проведения тестов на наличие уязвимостей. Например, X-Spider. Он неплохо работает, к тому же имеется сертифицированная ФСТЭК версия.
 
asd (Аедрей)Дата: Вторник, 20.04.2010, 09:32 | Сообщение # 26
Сержант
Группа: Пользователи
Сообщений: 32
Репутация: 8
Статус: Offline
Добрый день.
Юридическим отделом обрабатывается такая информация:
-ФИО
-Место рег/прож
-Паспортные данные
-Место работы
-№ протокола об административном правонарушении
-Дата комисси
-Статья
-Наказание
-Результат взыскания

это ПДн которые нужно включить в Уведомление???


Сообщение отредактировал Kostik - Вторник, 20.04.2010, 21:18
 
anvolkov (Алексей Волков)Дата: Вторник, 20.04.2010, 20:36 | Сообщение # 27
Генерал-майор
Группа: Модераторы
Сообщений: 143
Репутация: 102
Статус: Offline
Да, безусловно.
 
asd (Аедрей)Дата: Понедельник, 26.04.2010, 11:56 | Сообщение # 28
Сержант
Группа: Пользователи
Сообщений: 32
Репутация: 8
Статус: Offline
Добрый день. Подскажите, у нас несколькоо ИСПДн (Кадры, бухгалтерия, Обращения граждан,...) все они подключены к локальной сети, в которой еще 36 пк, причем есть несколько юр лиц, по отдельности они все К3, ? - можно или нужно признать ИСПДн всю сеть? В это случае придется на каждую ИСПДн ставить защиту (сте экран,..) ?
 
Kostik (Иванов Константин)Дата: Понедельник, 26.04.2010, 23:21 | Сообщение # 29
Генералиссимус
Группа: Администраторы
Сообщений: 130
Репутация: 104
Статус: Offline
На самом деле тут необходимо анализировать информационные потоки. ИСПДн можно рассматривать отдельно, если они разделены физически или средствами межсетевого экранирования, которые удовлетворяют требованиям класса защиты вашей ИСПДн. Лично мне кажется, что не стоит вносить лишних 36 рабочих мест в ИСПДн, так что ставьте МЭ в точке соприкосновения smile
 
anvolkov (Алексей Волков)Дата: Вторник, 27.04.2010, 10:04 | Сообщение # 30
Генерал-майор
Группа: Модераторы
Сообщений: 143
Репутация: 102
Статус: Offline
Если общая ИСПДн не будет выше класса 2, тогда почему бы и нет? ТСЗИ все равно почти одинаковые, защитить одну ИСПДн будет проще и, возможно, дешевле: отделить МЭ всю сеть в точке подключения к внешним сетям, поставить антивирусы и т.д. по 58му. Правда, появляются дополнительно 36 машин... Смотрите, что для Вас дешевле, так и делайте.
 
  • Страница 2 из 10
  • «
  • 1
  • 2
  • 3
  • 4
  • 9
  • 10
  • »
Поиск:

Copyright Ivanov Konstantin © 2024Используются технологии uCoz