forum.lissyara.su

мне вот инетересно
а если взломают одно из сертифицированых средств на предприятии
кто будет виноват?
служба которая сертифицировала тот продукт или предприятие которое вынужденно было следовать перечням

princeps писал(а):2 lissyara:
У хр количество подключений ограничено 10. Так что не прокатит, я полагаю

а к базе сильно больше и не надо, обычно...

paradox писал(а):мне вот инетересно
а если взломают одно из сертифицированых средств на предприятии
кто будет виноват?
служба которая сертифицировала тот продукт или предприятие которое вынужденно было следовать перечням

Об этом я обязательно напишу в письме. Когда зимой на всех напал conficker, то в в знакомых конторах, где на шлюзе стояла сертифицированная винда с сертифицированной исой, был большой бада-бум. А в моих сетях с несертифицированной фрёй на шлюзах даже никто и не заметил ничего. В жопу такую сертифицированную безопасность.

lissyara писал(а):а к базе сильно больше и не надо, обычно...

Там всю систему надо лицензировать, и мусю тоже, и кему.

vlad.vrublevsky писал(а):P.S я бы хотел у автора темы чтоб он продублировал этот закон в своём посте (начало)

По ссылке, которая в моём первом посте, если пройти, то там будет ссылка на этот закон в .odt

я видел, назад <--> вперёд ходить приходится

princeps писал(а):Господа, есть такая инфа.
Фря не сертифицирована в ФСБ и ФСТЭК, поэтому использование её для обработки ПД не допускается. А между тем - глобальные каталоги и общие адресные книги попадают под 3 и 4 категории, (привет Raven2000 с той статьёй) Т.е. с 1.1.10 тем, кто уже успел съехать с АД - дадут пизды и посадят в тюрьму.

Т.к. данное утверждении имеет отношение к закону о персональных данных, то надо четко понимать что надо защищать и какими средствами.
Закон распространяется только на ту информацию которую можно назвать персональными данными.
То есть если данных не хватает для однозначной идентификации человека то это не персональные данные.
Думаю редко кто в АД записывает полное ФИО, да еще и домашний адрес.

домашний адрес не обязательно, достаточно ФИО. У меня в АД они вбиты, потому что она используется как адресная книга. Кроме того, я думаю, что любая CRM\ERP\СЭД система обрабатывает массу персональных данных.

Только ФИО не является персональными данными.
А про CRM\ERP\СЭД тут разговора не было, это отдельные системы и в них может храниться совсем другая информации.
Опять же подходить к защите надо точно зная, что нужно защищать (если вообще нужно).

Gloft писал(а):Только ФИО не является персональными данными.

согласно букве закона является, т.к. по ним можно однозначно идентифицировать человека. К тому же в AD обычно хранится ещё масса инфы - как минимум почта.

Gloft писал(а):А про CRM\ERP\СЭД тут разговора не было, это отдельные системы и в них может храниться совсем другая информации.

Тут был разговор вообще про ФЗ-152. Получается, что любая автоматизация упирается в этот закон. Т.е. если у тебя не просто соединённые проводами в одноранговую сеть компьютеры, а более или менее развитая IT-инфраструктура, то будь добр выложить денег за аттестацию и за проприетарный софт. Всякие alfresco, sugarcrm и прочие вещи, которые позволяли раньше недорого, но эффективно автоматизировать небольшую конторку, теперь не катят. Вот это и плохо.

princeps писал(а):согласно букве закона является, т.к. по ним можно однозначно идентифицировать человека. К тому же в AD обычно хранится ещё масса инфы - как минимум почта.

Ты не прав. Пупкиных, Ивановых и Сидоровых очень много. Совокупность данных например ФИО, дата и место рождения или ФИО и место работы - это и есть персональные данные. Неверишь мне, задай вопрос на форуме банкир.ру, там специалистов много они пояснят.

princeps писал(а):Тут был разговор вообще про ФЗ-152. Получается, что любая автоматизация упирается в этот закон. Т.е. если у тебя не просто соединённые проводами в одноранговую сеть компьютеры, а более или менее развитая IT-инфраструктура, то будь добр выложить денег за аттестацию и за проприетарный софт. Всякие alfresco, sugarcrm и прочие вещи, которые позволяли раньше недорого, но эффективно автоматизировать небольшую конторку, теперь не катят. Вот это и плохо.

ФЗ-152 применяется к АС с автоматизированной обработкой персональных данных, кроме этого закона есть еще и постановление правительства об АС с обработкой персональных данных с использованием средст автоматизации. Это разные вещи. Опять же информации по этой теме сейчас очень много. Рекомендую почитать поподробне, на томже форуме банкир.ру.

я уже почитал и поговорил с разными людьми. Сложность сейчас в том, что прецедентов нет, соответственно, юристы не могут толком сказать, что к чему. Одни говорят, что достаточно ФИО, другие говорят, что ФИО+ещё хотя бы что-нибудь. Я ориентируюсь на худший вариант . Самый прикол в том, что потенциальные проверяющие пока сами не в курсе, что проверять. Во ФСТЭК, например, меня послали на йух.

Gloft писал(а):ФЗ-152 применяется к АС с автоматизированной обработкой персональных данных, кроме этого закона есть еще и постановление правительства об АС с обработкой персональных данных с использованием средст автоматизации. Это разные вещи. Опять же информации по этой теме сейчас очень много. Рекомендую почитать поподробне, на томже форуме банкир.ру.

Т.е. ты хочешь сказать, что, например, erp, где контрагенты со всей их инфой вбиты, не попадают под этот закон?
Вообще много странного. Например, на шлюзе может стоять любая ОС, но средства защиты, например, фаервол - только сертифицированные. Ну вот стоял в разных моих знакомых конторах фаер зимой, и всё равно их conficker поимел через уязвимость ОС.

princeps писал(а): Т.е. ты хочешь сказать, что, например, erp, где контрагенты со всей их инфой вбиты, не попадают под этот закон?
Вообще много странного. Например, на шлюзе может стоять любая ОС, но средства защиты, например, фаервол - только сертифицированные. Ну вот стоял в разных моих знакомых конторах фаер зимой, и всё равно их conficker поимел через уязвимость ОС.

Вот например дам я тебе список только ФИО, ты сможешь идентифицировать людей по ним?
Конечно это тонкий вопрос, но загонять себя в угол не нужно. Сам подумай.

То что ты написал о шлюзе, я не совсем понял что ты хотел сказать. Сертификация - это одно, а безопасность это другое.
Например есть сертификация об отсутствии в ПО закладок(черных ходов), но это не значит что оно безопасно.
Или например что ключи сертификатов генерятся в соответствии с ГОСТОМ, но при этом сама ОС может выпадает периодически в осадок.

Gloft писал(а):Вот например дам я тебе список только ФИО, ты сможешь идентифицировать людей по ним?

Да. Хотя и не со 100% уверенностью, потому что надо ещё что-то. Собственно, это не мой вопрос, а юристов. А они говорят то, что я описал выше.

Gloft писал(а): То что ты написал о шлюзе, я не совсем понял что ты хотел сказать. Сертификация - это одно, а безопасность это другое.
Например есть сертификация об отсутствии в ПО закладок(черных ходов), но это не значит что оно безопасно.
Или например что ключи сертификатов генерятся в соответствии с ГОСТОМ, но при этом сама ОС может выпадает периодически в осадок.

Вот именно, исходя из здравого смысла так и должно быть. А в свете закона 152 всё как раз по-другому. Я не могу использовать не сертифицированный софт для обработки ПД.

Вообще, кстати, имея желание, и по нику можно идентифицировать человека так, что дальше некуда

неа...
по нику - далеко не всегда. например, меня - можно. по причине что ещё год-два назад он был абсолютно уникальным.
но уже сейчас - есть масса людей (пяток ))) юзающих этот ник.

lissyara писал(а):неа...
по нику - далеко не всегда. например, меня - можно. по причине что ещё год-два назад он был абсолютно уникальным.
но уже сейчас - есть масса людей (пяток ))) юзающих этот ник.

Ну естественно, я ж и не говорю, что ник это тоже персональные данные.

Насколько я в курсе, существует несколько уловок, которые позволят снизить класс ИСПДН-а - а значит облегчить и удешевить процесс ее "легализации".

1) Отключить от общей ЛВС и Интернет - в идеале - это вообще один защищенный АРМ - если так не приемлемо - тогда отдельная сеть.
2) Разбивать ИСПДН на более мелкие составляющие (чтобы количество записей было менее 1000
3) Удалять данные о здоровье, национальности, вероисповедании (все, что к первому классу относится)

В итоге можно так все подточить - что у Вас вроде как выходит 4-й класс ИСПДН (по формальным признакам) - для нее вроде все просто и дешево.

http://pro-id.ru/conference/progr
есть немного презентащек с конференции

Какие новости по этому закону?

хороших - никаких. Изучаю пока разную доку по теме.

Какие доки по этой теме? есть закон сам, презентации, есть ещё что нибудь интересное?

закон сам в моём первом посте по ссылке. Доку с конференций тоже тут выкладывали. У меня постепенно набирается материал, как-нибудь брошу его одним шматком. В принципе, везде всё примерно одинаково - надо лицензироваться, сертифицироваться, а как и что - хз.

Кстати, документы ФСТЭК по тому, как конкретно надо защищать персональные данные - полная лажа. Во-первых, мне их не дали даже отксерить, сказали - конспектируй. Хорошо хоть руками разрешили трогать. Так вот там рекомендации в стиле: "если персональные данные обрабатываются в ИС, она должна быть защищена. Если персональные данные передаются по сетям передачи данных, они должны быть зашифрованы". А как, чем - хз, ничего не уточняется.

princeps писал(а):Кстати, документы ФСТЭК по тому, как конкретно надо защищать персональные данные - полная лажа. Во-первых, мне их не дали даже отксерить, сказали - конспектируй. Хорошо хоть руками разрешили трогать. Так вот там рекомендации в стиле: "если персональные данные обрабатываются в ИС, она должна быть защищена. Если персональные данные передаются по сетям передачи данных, они должны быть зашифрованы". А как, чем - хз, ничего не уточняется.

Во первых потому что методические рекомендации по защите ПД имеют гриф ДСП.
То есть их необходимо официально запрашивать у ФСТЭК.
Во вторых ты плохо читали, или неправильно понял.
Допускается для защиты персональных данных использовать средства шифрования, но это не обязательное требование.

Gloft писал(а):Во первых потому что методические рекомендации по защите ПД имеют гриф ДСП.

Да, вот именно, потому что они не прошли минюст. Я официально запрашивал.

Gloft писал(а):Допускается для защиты персональных данных использовать средства шифрования, но это не обязательное требование.

Я хотел сказать, что не упоминается, что конкретно, как и где надо делать. Например, то что их надо шифровать - это, допустим, понятно, они у меня итак лежат на шифрованных разделах и по сети передаются зашифрованными. Но вот хватит ли этого проверяющим?