forum.lissyara.su

Аттестуй сеть и голова болеть не будет.
А если придут проверяющие все вопросы можно будет переадресовать компании которая аттестовала сеть.

Это легко сказать. У меня госконтора, а поскольку в том году денег на налогах не собрали, то в этом - урезали даже бензин. Какие уж тут персональные данные. Надо 2-3 миллиона.
Кроме того, контора, которая будет аттестовать сеть, поставит на сервера винду. А нах она мне там нужна?

С какого перепугу они будут туда ставить винду.
Их минимальная задача подтвердить что принимаемые меры по защите данных в вашей организации соответствуют требованиям СТР-К по классу защищенности 1Д или 1Г (или другой вами заказанной).
Если вы им ставите задачу создать систему защиты, они обязаны выбрать методы и средства укладывающиеся в вашу информационную структуру.
Это года 3-4 назад было туго, а сейчас есть уйма решений как для линуксов и юниксов, так и для винды.

дружище, ты, наверное, топик по диагонали читал.
в моей конторе без сертификации никак нельзя, потому как масса компов как минимум с 3-й распределённой категорией. Дальше,

Gloft писал(а): Их минимальная задача подтвердить что принимаемые меры по защите данных в вашей организации соответствуют требованиям СТР-К по классу защищенности 1Д или 1Г (или другой вами заказанной).

Если мои меры не соответствуют - они не подтвердят. А они не подтвердят, потому что у меня стоит FreeBSD на серверах, которая не сертифицирована во ФСТЭК и ФСБ для обработки ПД. А сертифицирован там альт линух или винда.
и, кстати, ничего они никому не обязаны. Они предложат винду, потому что у них других спецов нет. Не хотите - идите лесом, я так полагаю, у них в свете этого закона итак от клиентов отбоя нет.

princeps писал(а): в моей конторе без сертификации никак нельзя, потому как масса компов как минимум с 3-й распределённой категорией. Дальше,

Я не понимаю твоих доводов.
Зачем упоминать контору если любая АС с персональными данными должна быть аттестована (я это прекрасно понимаю).

princeps писал(а): Если мои меры не соответствуют - они не подтвердят.

Так сделай чтобы соответствовали. Можно аттестовать сеть для обработки персональных данных с FreeBSD.
Просто будет необходимо попотеть и найти соответствующие средства которые будут решать поставленные задачи по защите информации на всеми нами любимой FreeBSD.
Просто необходимо сформулировать задачи, а решение я более чем уверен найдется.
И можешь мне не напоминать что freebsd не сертифицированная. Повторяю сертифицируются только средства защиты информации (напомню что мы говорим только о персональных данных, а не гос тайне, где требования по сертификации предъявляются не только к средствам защиты информации, но и к другим программным комплексам).
Опять же паниковать не нужно. Просто необходимо точно и четко довести до руководства, что для решения поставленных задач нужны деньги (с расшифровкой, что почем и сколько стоит общий проект) иначе никак. И пусть голова болит у начальства где взять деньги, а не у тебя (если ты отвечаешь за защиту информации). Не слушают пиши еще,чем больше напишешь тем лутьше для тебя, ты с себя ответственность снимаешь.

Gloft писал(а):Так сделай чтобы соответствовали. Можно аттестовать сеть для обработки персональных данных с FreeBSD.

Есть прецеденты аттестации сетей с FreeBSD? Я обращался в несколько организаций, проводящих аттестацию, там мне сразу безаппеляционно сказали сносить фрю, ибо нет сертификатов. Альт линукс или винда. Всё.

Gloft писал(а): Просто будет необходимо попотеть и найти соответствующие средства которые будут решать поставленные задачи по защите информации на всеми нами любимой FreeBSD.

даже потеть не надо, на фре есть масса средств для защиты информации. Но фсб и фстэк не знают о них ничего и знать не хотят. Задача то не защитить информацию - это я лучше чекистов могу сделать, а в том, чтоб проверяющие после 01.01.10 не взяли моего шефа за яйца.

Кстати, ещё дополнительная инфа: кроме альт-линукса сертифицирована мандрива http://community.livejournal.com/person ... 40148.html
Можно пройти сертификацию в рамках аттестаци, но это будет дорого стоить.

Можно пройти сертификацию в рамках аттестаци, но это будет дорого стоить.

сколько Убитых Енотов?

не знаю. На следующей неделе буду уточнять.
Мне вот интересно, пакет СПО, который будут внедрять в школах до 2010 года, имеет все эти сертификаты?

если кому-то интересно - мне пришёл ответ из пингвин софтваре, что пакет СПО для школ можно использовать для обработки ПД. Там, насколько я знаю, альт-линукс и, и с ним в комплекте, в принципе, всё что может понадобиться средней конторе.

народ как у кого дела обстоят с этим законом? вроде говорят что в 3 чтении продлили до 1.01.2011?

Странный вопрос.
Задача сертификации АС или решается или нет.

Новость на секлабе

Короче,благодаря поправки есть время разобрать завалы по этому вопросу.УРА!:)

Мегоонализ мне тут принесли на прошлой недели, по теме кому интересно почитайте.





Почитал, подумал спамеры вообще офигели уже и в бумажном виде одоливают. Пока не наткнулся на ветку здесь... бред какой-то... у нас вообще с головой ребята перестали дружить...

уже есть методички
http://www.minzdravsoc.ru/docs/mzsr/informatics/5

Тут CISCO не плохо "раздраконило" этот пресловутый "Закон".
Внимательно прочесть до конца (всего 70 страниц с картинками), чтобы знать, как укорачивать разнообразных "проверяющих"
http://my.cisco.ru/expo2009/materials/s ... l_data.pdf

Sun писал(а):Короче,благодаря поправки есть время разобрать завалы по этому вопросу.УРА!:)

И так они будут продлевать и продлевать...
Ибо неизвестно, что произойдет раньше:
- или эмир помрет,
- или ишак сдохнет...

Короче,благодаря поправки есть время разобрать завалы по этому вопросу.УРА!:)

Не знаю как у Вас, а нам пришло официальное письмо, о том что к нам в июне 2010 года приедут проверяющие с проверкой. Насколько я понял, хотя и все системы еще могут не быть готовым, но вся документация по ним уже должна быть.
У родственной фирмы проверка ожидается с начала февраля. Ждем...

расскажите потом
интересно

Персональные данные: борьба вокруг закона продолжается
сначала примут фигню какую-нить, а потом только думают что приняли

Cisco как всегда на высоте, спасибо rc56

хорошо бы в законе предусмотреть было софт по GPL сертифицировать бесплатно, ведь за него выгоду никто не получает а он может быть лучше платных аналогов (довольно частый прецендент). потому что этот закон таким образом препятствует продвижению иногда более качественного софта. странный закон и недоработанный. очередная дырка для необоснованного задержания или дергания за ниточки неугодных.

софт по GPL сертифицировать бесплатно

разработчикам GPL в магазине уже дают бесплатно продукты и т.п.?

ev писал(а):

софт по GPL сертифицировать бесплатно

разработчикам GPL в магазине уже дают бесплатно продукты и т.п.?

продукты это первая необходимость))) а сертификация обычному человеку нафиг не нужна, я в том смысле что сертифицировать платно нужно коммерческие продукты так как за них срубают денег а что возьмешь с человека который написал программу и пустил ее по GPL? мало того что написал так еще и заплати за сертификацию? необходимость которой для него под большим сомнением)))