Комментарии 61
Это, как я понимаю, результат действий, вызванных обеспокоенностью руководства 1-го отдела на тему «как бы не прищучили» (я ж так понимаю, купили, поставили, изредка пользуются, но главная цель действия — соответствать закону, а не защищать там что-то). Рад, если ошибаюсь.
У меня только один вопрос — вот у меня в моем мобильнике находятся имена, фамилии и телефонные номера моих друзей, что вполне подходит под определение «персональных данных», ибо позволяет их однозначно идентифицировать с какой-то определенной личностью. Плюс к тому, в мобильнике находятся средства шифрования (сим-карта, передача данных между вышкой и самим телефоном), по алгоритмам, несертифицированным ФСБ, и там нет никаких сертифицированных средств защиты этих данных, а после применения защиты от ПЭМИН мобильник станет еще и полностью бесполезен.
Скажите, меня посадят? :)
У меня только один вопрос — вот у меня в моем мобильнике находятся имена, фамилии и телефонные номера моих друзей, что вполне подходит под определение «персональных данных», ибо позволяет их однозначно идентифицировать с какой-то определенной личностью. Плюс к тому, в мобильнике находятся средства шифрования (сим-карта, передача данных между вышкой и самим телефоном), по алгоритмам, несертифицированным ФСБ, и там нет никаких сертифицированных средств защиты этих данных, а после применения защиты от ПЭМИН мобильник станет еще и полностью бесполезен.
Скажите, меня посадят? :)
Вообще, это результат профессиональной деятельности, сейчас тружусь в органе по аттестации как раз по направлению ПДн. Хотя, 90% заказчиков шевелится исключительно с целью «как бы не прищучили», что печально.
По поводу телефона — шутку оценил)
Но если разбирать по пунктам:
1) У вас в мобильнике хранятся данные о состоянии здоровья, сексуальной ориентации, философских, религиозных или политических взглядах абонентов? Или их более ста тысяч? Нет? Тогда это не К1, ПЭМИН не нужен.
2) Согласно ст. 1 п.2 ФЗ-152 «О персональных данных»:
Действие настоящего Федерального закона не распространяется на отношения, возникающие при:
1. обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;
Граждане свои телефоны вам сообщили добровольно, или же телефоны были взяты из открытых источников. Так что никакие права субъектов ПДн вы не нарушаете (пока без их согласия не пишете их на заборах).
3) Уголовной ответственности в ФЗ-152 вообще не припомню, только административная. Так что отделаетесь штрафом. :)
Вообще, ситуация с персональными данными с законодательной точки зрения очень и очень мутная, и оставляет много неясных моментов.
По поводу телефона — шутку оценил)
Но если разбирать по пунктам:
1) У вас в мобильнике хранятся данные о состоянии здоровья, сексуальной ориентации, философских, религиозных или политических взглядах абонентов? Или их более ста тысяч? Нет? Тогда это не К1, ПЭМИН не нужен.
2) Согласно ст. 1 п.2 ФЗ-152 «О персональных данных»:
Действие настоящего Федерального закона не распространяется на отношения, возникающие при:
1. обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;
Граждане свои телефоны вам сообщили добровольно, или же телефоны были взяты из открытых источников. Так что никакие права субъектов ПДн вы не нарушаете (пока без их согласия не пишете их на заборах).
3) Уголовной ответственности в ФЗ-152 вообще не припомню, только административная. Так что отделаетесь штрафом. :)
Вообще, ситуация с персональными данными с законодательной точки зрения очень и очень мутная, и оставляет много неясных моментов.
Скажите, пожалуйста, а какие СУБД сертифицированы по К2?
Уточните, пожалуйста, вопрос.
Сертифицированы как? По отсутствию недекларированных возможностей? По защите от несанкционированного доступа? По шифрованию? К2 — это класс защищенности ИСПДн, сертифицируют по другим признакам.
Если вам нужно использовать СУБД в работе в персоналкой и не хочется тратиться на локальные СЗИ НСД — то вы можете использовать что угодно (лишь бы было лицензионное), и закупить либо сертифицированную ОС Windows (сертифицирована вся линейка Windows 7 и, на сколько помню, Windows 2008 Server), или же один из сертифицированных дистрибутивов Linux — тот же Alt.
Непосредственно же для обработки ПДн использовать сертифицированные программные продукты не обязательно. Нигде в документах подобного требования не видел, и по опыту уже прошедших проверок на объектах — с этим проблем пока (пока — у регуляторов периодически меняется взгляд на те или иные вещи) не возникало.
Сертифицированными версиями Windows торгует Altx-soft.
Сразу скажу — если вы купите Windows у кого-то другого, то сертификат на ваш дистрибутив распространяться не будет.
Сертифицированы как? По отсутствию недекларированных возможностей? По защите от несанкционированного доступа? По шифрованию? К2 — это класс защищенности ИСПДн, сертифицируют по другим признакам.
Если вам нужно использовать СУБД в работе в персоналкой и не хочется тратиться на локальные СЗИ НСД — то вы можете использовать что угодно (лишь бы было лицензионное), и закупить либо сертифицированную ОС Windows (сертифицирована вся линейка Windows 7 и, на сколько помню, Windows 2008 Server), или же один из сертифицированных дистрибутивов Linux — тот же Alt.
Непосредственно же для обработки ПДн использовать сертифицированные программные продукты не обязательно. Нигде в документах подобного требования не видел, и по опыту уже прошедших проверок на объектах — с этим проблем пока (пока — у регуляторов периодически меняется взгляд на те или иные вещи) не возникало.
Сертифицированными версиями Windows торгует Altx-soft.
Сразу скажу — если вы купите Windows у кого-то другого, то сертификат на ваш дистрибутив распространяться не будет.
Мда, сорри. Сейчас мы используем Линтер-Бастион. Существуют какие-то решения не хуже его в плане безопасности?
>> Непосредственно же для обработки ПДн использовать сертифицированные программные продукты не обязательно.
Вы не могли бы развить мысль по поводу «не обязательно»?
Вы не могли бы развить мысль по поводу «не обязательно»?
Тут дело в том, что если вы не позционируете свою СУБД как средство защиты, то она не обязательно должна быть сертифицирована.
Т.е. на этапе составления угроз вы выбираете актуальные для вас угрозы и решаете какими средствами/методами вы будете их «закрывать». ФСТЭК говорит, что, в принципе, для небольшой компании обрабатывающей только ПДн сотрудников, можно «закрыться» исключительно организационными мерами (увы, не говорят как). Если вы пишете, что какую-то угрозу «закрываете» с помощью своей СУБД — то она должна быть сертифицирована ФСТЭК как средство СЗИ.
Т.е. на этапе составления угроз вы выбираете актуальные для вас угрозы и решаете какими средствами/методами вы будете их «закрывать». ФСТЭК говорит, что, в принципе, для небольшой компании обрабатывающей только ПДн сотрудников, можно «закрыться» исключительно организационными мерами (увы, не говорят как). Если вы пишете, что какую-то угрозу «закрываете» с помощью своей СУБД — то она должна быть сертифицирована ФСТЭК как средство СЗИ.
Сертифицированными версиями Windows торгует Altx-soft.
Сразу скажу — если вы купите Windows у кого-то другого, то сертификат на ваш дистрибутив распространяться не будет.
Не догнал.
Altx-soft торгует какими-то особыми дистрибутивами?
Все мои 300+ экземпляров можно выкинуть, получается?
Сразу скажу — если вы купите Windows у кого-то другого, то сертификат на ваш дистрибутив распространяться не будет.
Не догнал.
Altx-soft торгует какими-то особыми дистрибутивами?
Все мои 300+ экземпляров можно выкинуть, получается?
Угу… Особыми… Они обратились в испытательную лабораторию, им проверили эти дистрибутивы, выдали на них сертификаты, а теперь альтэкс-софт делает деньги «из воздуха» (как и все фирмы, продающие «сертифицированное» ПО). Очень порадовал NOD — мы купили у них всего 1 дистрибутив и теперь можем ставить его на все машины. А альтэкс-софт хочет чтобы мы на каждую машину ставили отдельно купленный дистрибутив, при том что на большой части используется один и тот же дистр винды и корпоративные лицензии.
Если вы хотите свои 300 дистрибутивов не менять, можете обратиться в спец. испытательную лабораторию, их список есть на сайте ФСТЭКа (прямая ссылка на список: fstec.ru/_doc/labs/_labs.xls). Только встанет вопрос с обновлениями. При покупке в том самом альтекс-софте обновляться можно будет с их серверов, «сертифицированными» обновлениями.
Если вы хотите свои 300 дистрибутивов не менять, можете обратиться в спец. испытательную лабораторию, их список есть на сайте ФСТЭКа (прямая ссылка на список: fstec.ru/_doc/labs/_labs.xls). Только встанет вопрос с обновлениями. При покупке в том самом альтекс-софте обновляться можно будет с их серверов, «сертифицированными» обновлениями.
Можно не выбрасывать. Просто на тех машинах, где обрабатываются персональные данные, придется ставить еще и СЗИ НСД. Или, как сказал unifilled, сертифицировать свои дистрибутивы
узнать подробности про эти особенности лучше у самого Microsoft.
Как-то они на конференции рассказывали, что для сертифицированных пакетов ПО, так же отдельно сертифицируется каждое обновление, и ставится оно из отдельного места.
Как-то они на конференции рассказывали, что для сертифицированных пакетов ПО, так же отдельно сертифицируется каждое обновление, и ставится оно из отдельного места.
Вот тут: fstec.ru/_razd/_serto.htm, в самом здоровом файле, перечислены все сертифицированные ФСТЭКом СЗИ
Конечно печально, что основная причина шевеления «как бы не прищучили».
С другой стороны, очень печально, что все мед.учреждения попали в К1. Что будет происходить в районных поликлиниках будет очень интересно посмотреть.
С нетерпением жду 1-го числа, когда потенциально «начнут щучить».
И очень-очень печально, что от мутности законов не очень-то стремятся избавиться. Боюсь, что итог будет как обычно — «строгость законов компенсируется необязательностью их исполнения» ;(
С другой стороны, очень печально, что все мед.учреждения попали в К1. Что будет происходить в районных поликлиниках будет очень интересно посмотреть.
С нетерпением жду 1-го числа, когда потенциально «начнут щучить».
И очень-очень печально, что от мутности законов не очень-то стремятся избавиться. Боюсь, что итог будет как обычно — «строгость законов компенсируется необязательностью их исполнения» ;(
OK, спасибо, тогда серьезные вопросы:
У меня сервер стоит на colocation у провайдера в России, сервер мой. На нем FreeBSD, какое-то количество софта (возможно, уязвимого), и форум invision board. Форум куплен. В нем пароли шифруются неясно чем (но ясно, что шифруются). В нем хранится логин, пароль, имя-фамилия, емайл, поля типа «увлечения» или «город жительства». Форум не принадлежит никакому юрлицу.
1. Надо ли что-то делать в свете закона о персональных данных?
2. То же, если форум самописный?
2. То же, если сервер в аренде?
3. То же, если это VDS?
4. Какие данные о пользователях, способы хранения, прочие особенности переводят форум в разряд «надо что-то делать», а то оштрафуют?
5. Достаточно ли будет галки «я сообщаю данные о себе добровольно»?
Заранее спасибо за ответ.
У меня сервер стоит на colocation у провайдера в России, сервер мой. На нем FreeBSD, какое-то количество софта (возможно, уязвимого), и форум invision board. Форум куплен. В нем пароли шифруются неясно чем (но ясно, что шифруются). В нем хранится логин, пароль, имя-фамилия, емайл, поля типа «увлечения» или «город жительства». Форум не принадлежит никакому юрлицу.
1. Надо ли что-то делать в свете закона о персональных данных?
2. То же, если форум самописный?
2. То же, если сервер в аренде?
3. То же, если это VDS?
4. Какие данные о пользователях, способы хранения, прочие особенности переводят форум в разряд «надо что-то делать», а то оштрафуют?
5. Достаточно ли будет галки «я сообщаю данные о себе добровольно»?
Заранее спасибо за ответ.
К СКЗИ можно добавить суровый Криптон.
И не менее суровый СКЗИ ПАК Atlix-VPN
А какие локальный СЗИ устанавливаются на машины с Linux, и OS X?
Пока не видел ни одной локальной СЗИ, у которой софтовая часть работала бы по Linux/OS X. Единственным решением (пригодным для использования на серверах) пока кажется установка ПАК «Соболь». Он не требует установки ПО для работы, все необходимое зашито в его контроллере. Вместе с организационными мерами (установка в серверой, etc) пока хватает.
Вот этот продукт, как утверждают разработчики, работает на Linux, по крайней мере на Astra
Это тот, который одну из линий IDE-шлейфа размыкает? мда…
Тут есть тонкость. ПАК Соболь сертифицировался по ТУ, в котором четко прописан список ОС. Соответственно сертификат распространяется только на те ОС, которые прописаны в ТУ. (незабываем, что помимо доверенной загрузки, он обладает и другими механизмами защиты).
Самый дешевый сертифицированный МСЭ — БлокПост от ГазИнформСервиса.
МСЭ сертифицируются ФСТЭК, а не ФСБ.
ФСБ планирует перевести к себе сертификацию антивирусов и систем обнаружения вторжений, но пока еще вроде новостей на эту тему не было.
МСЭ сертифицируются ФСТЭК, а не ФСБ.
ФСБ планирует перевести к себе сертификацию антивирусов и систем обнаружения вторжений, но пока еще вроде новостей на эту тему не было.
Есть так же сертификация МЭ и по линии ФСБ. Но в данном случае вы правильно сказали, должна интересовать сертификация МЭ именно по линии ФСТЭК.
Надеюсь без обид будет сказано, но выше в тексте автора поста много ошибок в плане содержания. Печально то, что и в своих ответах на сообщения других пользователей, он продолжает высказывать своё мнение, которое зачастую не соответствует требования регуляторов и нормативной базе.
>> Вообще, это результат профессиональной деятельности,
>> сейчас тружусь в органе по аттестации как раз по направлению ПДн.
В какой организации?
Надеюсь без обид будет сказано, но выше в тексте автора поста много ошибок в плане содержания. Печально то, что и в своих ответах на сообщения других пользователей, он продолжает высказывать своё мнение, которое зачастую не соответствует требования регуляторов и нормативной базе.
>> Вообще, это результат профессиональной деятельности,
>> сейчас тружусь в органе по аттестации как раз по направлению ПДн.
В какой организации?
я в восторге от статьи! Буквально несколько дней назад защитил на эту тему курсовую. Я думаю, автор будет не против, если я распечатаю статью с его упоминанием и отнесу несколько копий на к себе на кафедру (защиты информации). Я думаю моим преподавателям будет интересно почитать.
А кому это все нужно кроме госорганов?
Гражданам. Во-первых это, надеюсь, сильно ограничит творящийся ныне беспредел в плане того что базы с информацией почти о любом гражданине о его сделках с недвижимостью, автомобилями, о его работодателях, судимостях, месте жительства и прочем продаются а то и свободно лежат на торрентах. Во-вторых с одной стороны сертификация средств — это лишняя головная боль. С другой стороны это защита внутренних производителей ПО, что хорошо.
1. Я думаю, что тут никакой «Кондор антихакер 100500» не поможет, т.к. информация сливается людьми, которые и занимаются безопасностью.
2. Внутренние производители ПО? Это всякие Старфорсы, 1С, какие-нибудь кривые фаерволлы? Вот за первые два нужно расстрелять. И да, у нас все Open Source, если хотите, то можете поискать вклад в apache, FreeBSD, MySQL итд :)
2. Внутренние производители ПО? Это всякие Старфорсы, 1С, какие-нибудь кривые фаерволлы? Вот за первые два нужно расстрелять. И да, у нас все Open Source, если хотите, то можете поискать вклад в apache, FreeBSD, MySQL итд :)
1) не ограничит. Почему? Например прочитайте ФЗ-152 в пунктах как должен действовать оператор ПД в случай утечки;
2) сертификация ниодного отечественного производителя ПО не защитит (она их портит). Она помогает роспилу бабла в гостендерах и откатах интеграторам.
2) сертификация ниодного отечественного производителя ПО не защитит (она их портит). Она помогает роспилу бабла в гостендерах и откатах интеграторам.
Такой вопрос, я являюсь системным администратором социальной сети. Пользователи при регистрации добровольно вводят свои персональные данные (имя, фамилию, ДР, интересы, взгляды итд). Подпадает ли сеть и её сервисы под данный закон, и если да, что необходимо предпринять в плане защиты персональных данных?
Формально — попадает. Так же попадает и хостинг-провайдер, поскольку на его оборудовании крутится социальная сеть и обрабатываются персональные данные. Что можно сделать для защиты ПДн? Если только при регистрации брать с пользователя согласие на обработку своих персональных данных, на передачу их третьим лицам (соглашение идет между пользователем и собственником соц. сети, хостинг-провайдер тут — третье лицо), и на согласие пользователя с тем, что принятые меры по защите он считает достаточными. Большего я вам сказать не могу, никаких продуктов, ориентированных на данный сектор, или хотя бы нормативки я не видел.
В какой форме должно быть выражено согласие пользователя на обработку ПДн? Checkbox при регистрации, пункт в Пользовательском соглашении?
Примерно так. Посмотрите на сайте Госууслуги, на сколько помню, у них оно вылезает отдельно от пользовательского соглашения, и при этом очень грамотно составлено.
Обрабатывает ПД только, то юр. лицо которому передали ПД. Хостинг-провайдер, оператор связи, производитель жестких дисков, оптоволокна и т.п. к этому отношения не имееют.
Уважаемый автор!
Раз уж Вы этим профессионально занимаетесь, то попробуйте переубедить меня в том что вся эта «сертификация»:
а) не профанация (КАК надзирающий орган в отсутствие ВСЕХ исходных текстов продукта может принять решение о «годности» продукта?)
б) не попытка «срубить бабла по-быстрому» (покупайте дистрибутивы у нас — они хоть и по-битно такие-же, толькоосвящены святой водой сертифицированные)
в) не еще один способ держать малый и средний бизнес «в узде» (возможность «покошмарить» неугодных И через ФЗ-152)
Я — обычный технарь, вот мои доводы:
1. Антивирусы — ЧТО вообще там сертифицируется, если современный антивирус меняет свои исполняемые модули ежедневно (а то и чаще)?
2. ОС Windows — то же самое — система автообновления ДОЛЖНА работать (это решето нужно обновлять — иначе какая же безопасность?). Вы (сертифицирующие органы) каждый kbxxxxxx.exe сертифицируете?
3. Linux (Alt) — продают сертифицированный дистрибутив за нехилые деньги, несмотря на то что тот же firefox в нем уже устаревший, с багами которые уже опубликованы на трекере. Но обновлять дистрибутив нельзя — сертификация отвалится?
Раз уж Вы этим профессионально занимаетесь, то попробуйте переубедить меня в том что вся эта «сертификация»:
а) не профанация (КАК надзирающий орган в отсутствие ВСЕХ исходных текстов продукта может принять решение о «годности» продукта?)
б) не попытка «срубить бабла по-быстрому» (покупайте дистрибутивы у нас — они хоть и по-битно такие-же, только
в) не еще один способ держать малый и средний бизнес «в узде» (возможность «покошмарить» неугодных И через ФЗ-152)
Я — обычный технарь, вот мои доводы:
1. Антивирусы — ЧТО вообще там сертифицируется, если современный антивирус меняет свои исполняемые модули ежедневно (а то и чаще)?
2. ОС Windows — то же самое — система автообновления ДОЛЖНА работать (это решето нужно обновлять — иначе какая же безопасность?). Вы (сертифицирующие органы) каждый kbxxxxxx.exe сертифицируете?
3. Linux (Alt) — продают сертифицированный дистрибутив за нехилые деньги, несмотря на то что тот же firefox в нем уже устаревший, с багами которые уже опубликованы на трекере. Но обновлять дистрибутив нельзя — сертификация отвалится?
Я ждал такого комментария. Честно.
Давайте разберемся по-порядку. Во-первых, работаю не в органе по сертификации, а в органе по аттестации. Тут есть разница. Орган по сертификации занимается тем, чтоокропляет святой водойсертифицирует продукты по требованиям регуляторов. Орган по аттестации проверяет соответствие существующих автоматизированных систем требованиям по защите информации.
1) Является ли сертификация профанацией — я не стану с такой уверенностью говорить, что органам по сертификации не предоставляют исходных кодов. Просто потому что не знаю, предоставляют, или нет.
2) С операционными системами — да. Есть такой момент. Вот только кроме ОС, сертифицируется еще довольно много чего.
3) См. выше.
Дальше.
1) Про антивирусы — тут бюрократия уступила необходимости, сертификаты они получают как-то по-другому, и обновляются регулярно.
2) ОСи можно обновлять. Только из другого источника, все обновления предварительно проверяются регулятором.
Ну и в общем. Вопрос этот скорее надо задавать не мне (такому же технарю, только работающему в данной сфере), а регуляторам. Во ФСТЭК, ФСБ, Роскомсвязьнадзор. Они вырабатывают требования, с которыми нам приходится мириться. И да, как лично мое мнение, не отражающее политику компании я вам скажу — требования предъявляются бредовые, требования к МСЭ вообще были написаны 15 лет назад, ГСЗИ крайне медленно реагирует на изменение обстановки, но только что вы предлагаете со всем этим делать?
Давайте разберемся по-порядку. Во-первых, работаю не в органе по сертификации, а в органе по аттестации. Тут есть разница. Орган по сертификации занимается тем, что
1) Является ли сертификация профанацией — я не стану с такой уверенностью говорить, что органам по сертификации не предоставляют исходных кодов. Просто потому что не знаю, предоставляют, или нет.
2) С операционными системами — да. Есть такой момент. Вот только кроме ОС, сертифицируется еще довольно много чего.
3) См. выше.
Дальше.
1) Про антивирусы — тут бюрократия уступила необходимости, сертификаты они получают как-то по-другому, и обновляются регулярно.
2) ОСи можно обновлять. Только из другого источника, все обновления предварительно проверяются регулятором.
Ну и в общем. Вопрос этот скорее надо задавать не мне (такому же технарю, только работающему в данной сфере), а регуляторам. Во ФСТЭК, ФСБ, Роскомсвязьнадзор. Они вырабатывают требования, с которыми нам приходится мириться. И да, как лично мое мнение, не отражающее политику компании я вам скажу — требования предъявляются бредовые, требования к МСЭ вообще были написаны 15 лет назад, ГСЗИ крайне медленно реагирует на изменение обстановки, но только что вы предлагаете со всем этим делать?
уже упоминал выше, но вдруг вы не заметите
пп2. Майкрософт для сертифицированных версий своих продуктов обновления выпускает отдельно, каждое обновление сертифицируется.
пп2. Майкрософт для сертифицированных версий своих продуктов обновления выпускает отдельно, каждое обновление сертифицируется.
Еще вопрос: предположим, я работаю с персональными данными. Купил сертифицированную винду, обновляю ее из освященных источников, поставил туда какое-то СЗИ НСД, написал инструкцию, как и где хранить ключи, работает с этим девочка, вбивает данные о пациентах (ну, к примеру). И тут, внезапно, данные утекли. Как — ну, неясно, например, уязвимость винды. Я виноват? Сертификаторы виноваты?
Кого штрафовать будут и будут ли?
Второй вопрос — есть, предположим, так же клиника, в ней есть самописная БД, простенькая, типа на денвере под виндой крутится какое-то веб-приложение на PHP, ясен пень, не сертифицированное нигде. Но туда забиваются вполне себе такие персональные данные — адреса, телефоны, история болезни, количество визитов и так далее.
Что надо сделать, чтобы «не попасть»?
Ибо думаю, пойдет вторая волна «продавцов щастья», по типу первой, которая ломаный софт искала…
Кого штрафовать будут и будут ли?
Второй вопрос — есть, предположим, так же клиника, в ней есть самописная БД, простенькая, типа на денвере под виндой крутится какое-то веб-приложение на PHP, ясен пень, не сертифицированное нигде. Но туда забиваются вполне себе такие персональные данные — адреса, телефоны, история болезни, количество визитов и так далее.
Что надо сделать, чтобы «не попасть»?
Ибо думаю, пойдет вторая волна «продавцов щастья», по типу первой, которая ломаный софт искала…
Добавлю по средствам защиты:
СЗИ НСД — семейство «Аккорд», ЩИТ-РЖД (вживую ни разу не видел, но сертификат ФСТЭК еще действует).
МЭ — есть сертификаты у UserGate, Ideco, MS ISA 2006.
К VPN-решениям я бы еще добавил продукты S-Terra.
СЗИ НСД — семейство «Аккорд», ЩИТ-РЖД (вживую ни разу не видел, но сертификат ФСТЭК еще действует).
МЭ — есть сертификаты у UserGate, Ideco, MS ISA 2006.
К VPN-решениям я бы еще добавил продукты S-Terra.
Вопросы на засыпку:
1. В одних местах говорится, что Windows Server 2008r2 глобально соответствует требованиям по предотвращению НСД для К2, а в других — что это только у одной шарашкиной конторы есть сертификат. Кому верить, где проверить?
2. Средства шифрования в WinSrv2008r2 подпадают под тот же сертификат или нет? Если я сделаю терминальный доступ к базе средствами WinSrv2008r2, то я пушистый или мне а-та-та?
1. В одних местах говорится, что Windows Server 2008r2 глобально соответствует требованиям по предотвращению НСД для К2, а в других — что это только у одной шарашкиной конторы есть сертификат. Кому верить, где проверить?
2. Средства шифрования в WinSrv2008r2 подпадают под тот же сертификат или нет? Если я сделаю терминальный доступ к базе средствами WinSrv2008r2, то я пушистый или мне а-та-та?
1) Windows 2008 Server имеет сертификат. Но сертифицированными версиями торгует только одна или несколько контор.
2) Сертификата по шифрованию у него нет. Так что а-та-та.
2) Сертификата по шифрованию у него нет. Так что а-та-та.
1. верить своим глазам (посмотреть на сертификаты, проверить в реестрах). Спрашивать первоисточники — Майкрософт.
2. насколько я понимаю, говоря о сертифицированном шифровании в Windows говорят о CryptoAPI, и наличии сертифицированных криптопровайдеров для него с одной стороны, и том факте, что любая программа работающая через CryptoAPI получит те средства шифрования, которые предоставляет криптопровайдер.
Грубо говоря, если у вас сертифицированный Windows, на нем КриптоПро CSP, то те программы, которые через используют CryptoAPI для защиты данных, могут сослаться на сертификаты Windows и Крипто-Про.
Так ли это всё на практике — увы, мне не довелось узнать.
2. насколько я понимаю, говоря о сертифицированном шифровании в Windows говорят о CryptoAPI, и наличии сертифицированных криптопровайдеров для него с одной стороны, и том факте, что любая программа работающая через CryptoAPI получит те средства шифрования, которые предоставляет криптопровайдер.
Грубо говоря, если у вас сертифицированный Windows, на нем КриптоПро CSP, то те программы, которые через используют CryptoAPI для защиты данных, могут сослаться на сертификаты Windows и Крипто-Про.
Так ли это всё на практике — увы, мне не довелось узнать.
Вообще можно самим не париться со всем этим добром. Давно уже есть услуги на по хостингу систем с защитой по 152-ФЗ, например parking.ru/private/fz152/
Хм. Указанная вами ссылка почему-то не открывается. Как и весь parking.ru. Если вы в курсе — а как у них это реализовано?
Какая-то сумбурная каша, а не статья. Очередной нагон «ужас-ужас» от человека, который, походу даже 58 приказ до конца не осилил… А он в частности дает следующее:
• отменяется обязательность аттестации ИСПДн операторов вне зависимости от классов;
• отменяется требование по обязательному наличию сертификата ФСТЭК России на отсутствие недекларированных возможностей для ИСПДн 2-го класса. Данное требование остается только для ИСПДн 1-го класса;
• отменяется обязательное требование по защите информации от утечки по техническим каналам. Теперь защита от этих видов угроз необходима только в том случае, если данная угроза является актуальной в соответствии с моделью угроз.
Ну и, конечно, если защиту ПДн организация делает «для себя», не нужны никакие лицензии ФСТЭК.
Ну а так, сумбурный бред вперемешку с нескрываемой рекламой отдельных «Средств защиты информации».
Чем больше общаюсь или читаю то, что пишут и говорят представители всяких интеграторов/аттестатов, тем больше понимаю, что рынок, сложившийся вокруг ПДн — такой распил бабла, что Навальный должен объикаться…
Ребят, читайте законы, следите за темой в СМИ и на официальных сайтах. Да хотя бы Отчет о деятельности уполномоченного органа по защите прав субъектов персональных данных за 2010 год. Если делать даже эти элементарные вещи, то многое в картине «Защита ПДн в России» станет ясным:
• Интеграторы нажимают на тему, что защищать надо не ПДн, а компанию от регуляторов.
• По-хорошему волноваться должны те, у кого обработка ПДн — бизнес-процесс. Т.е. банки, сотовые операторы и пр.
• Как таковая защита ПДн давным давно присутствует у всех, другой вопрос, что это не продекларировано, т.е. не создана пачка документов «о том, что у нас защищаются ПДн». Мой опыт показывает, что для проверки с того же Роскомнадзора, достаточно именно грамотно составленного пакета документов, а не нагромождения аппаратно-программного комплекса, по-хлеще чем на Лубянке.
• Считайте деньги: цены интеграторов начинаются от 3-5 млн. руб., штрафы — 5 — 15 000 руб. При том, даже если интегратор сделает всё «под ключ», это не 100% гарантия, что проверяющему всё понравится.
• Законопроект Резника — если его примут, а его походу и примут аккурат к 1 августа, то он создаст совершенно другие условия и правила.
• отменяется обязательность аттестации ИСПДн операторов вне зависимости от классов;
• отменяется требование по обязательному наличию сертификата ФСТЭК России на отсутствие недекларированных возможностей для ИСПДн 2-го класса. Данное требование остается только для ИСПДн 1-го класса;
• отменяется обязательное требование по защите информации от утечки по техническим каналам. Теперь защита от этих видов угроз необходима только в том случае, если данная угроза является актуальной в соответствии с моделью угроз.
Ну и, конечно, если защиту ПДн организация делает «для себя», не нужны никакие лицензии ФСТЭК.
Ну а так, сумбурный бред вперемешку с нескрываемой рекламой отдельных «Средств защиты информации».
Чем больше общаюсь или читаю то, что пишут и говорят представители всяких интеграторов/аттестатов, тем больше понимаю, что рынок, сложившийся вокруг ПДн — такой распил бабла, что Навальный должен объикаться…
Ребят, читайте законы, следите за темой в СМИ и на официальных сайтах. Да хотя бы Отчет о деятельности уполномоченного органа по защите прав субъектов персональных данных за 2010 год. Если делать даже эти элементарные вещи, то многое в картине «Защита ПДн в России» станет ясным:
• Интеграторы нажимают на тему, что защищать надо не ПДн, а компанию от регуляторов.
• По-хорошему волноваться должны те, у кого обработка ПДн — бизнес-процесс. Т.е. банки, сотовые операторы и пр.
• Как таковая защита ПДн давным давно присутствует у всех, другой вопрос, что это не продекларировано, т.е. не создана пачка документов «о том, что у нас защищаются ПДн». Мой опыт показывает, что для проверки с того же Роскомнадзора, достаточно именно грамотно составленного пакета документов, а не нагромождения аппаратно-программного комплекса, по-хлеще чем на Лубянке.
• Считайте деньги: цены интеграторов начинаются от 3-5 млн. руб., штрафы — 5 — 15 000 руб. При том, даже если интегратор сделает всё «под ключ», это не 100% гарантия, что проверяющему всё понравится.
• Законопроект Резника — если его примут, а его походу и примут аккурат к 1 августа, то он создаст совершенно другие условия и правила.
Как человек, которого свистопляска вокруг 152-фз касается непосредственно (обработка ПД — это один из основных процессов в бизнесе), был бы крайне признателен за разъяснительную статью под вашим авторством.
Согласен, в статье каша.
Только не согласен насчет лицензии на ТЗКИ — тут всё не просто, а зависит от того как это трактует проверяющий вас регулятрор. Компании придется брать на себя риск.
Насчт проекта Резника, видели где-нибудь его второе чтение, вроде как правок там на 46 страниц?
Только не согласен насчет лицензии на ТЗКИ — тут всё не просто, а зависит от того как это трактует проверяющий вас регулятрор. Компании придется брать на себя риск.
Насчт проекта Резника, видели где-нибудь его второе чтение, вроде как правок там на 46 страниц?
Насчёт статьи вы всё верно сказали. Но не все интеграторы такие, как вы говорите.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Практика защиты персональных данных