1

Тема: Уровень 5 - Оборона цифровой крепости

Тут обсуждаем вопросы, связанные с пятым уровнем квеста.

2

Re: Уровень 5 - Оборона цифровой крепости

У вас дохлая ссылка (Пример 8. Проект системы защиты ИСПДн ООО "Наша компания"): http://zpdn-day.ru/docs/8_.doc

3

Re: Уровень 5 - Оборона цифровой крепости

спасибо за фидбэк. сейчас поправим.

4

Re: Уровень 5 - Оборона цифровой крепости

тест 4 вопрос не работает...

5

Re: Уровень 5 - Оборона цифровой крепости

a.В вопросе №4, в отличие от прочих, правильных вариантов несколько.
b.По шаблону №8 правда пустой файл, попробую исправить проблему в течение дня, получается, что исходный документ не сохранился в базе, по неопределенной пока причине

6

Re: Уровень 5 - Оборона цифровой крепости

Добрый день, не могли бы Вы объяснить:

ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА РФ ОТ 17 НОЯБРЯ 2007 Г. N 781 "ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ ОБ ОБЕСПЕЧЕНИИ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ"


Согласно вышеуказанному документу - не сертифицированными средствами пользоваться не получиться, Вы же пишите, что это позволяет приказ 58 ФСТЭК . На мой взгляд (а также на взгляд управления ФСТЭК по Приволжскому федеральному округу) там написано только про НДВ ...

Как Вы можете объяснить свою позицию?

7

Re: Уровень 5 - Оборона цифровой крепости

да, еще вопрос... Вы не заключили со мной соглашение об обработке моих данных - однако при регистрации запросили электронную почту и телефон (ну и конечно имя smile))) В профиле указан мой рабочий адрес. Этого вполне достаточно для однозначной идентификации субъекта ПД. Если я Вам сейчас направлю запрос о законности данных действий - что Вы мне ответите?
p.s. Мне просто интересно smile

Отредактировано kima (2011-06-30 12:29:39)

8

Re: Уровень 5 - Оборона цифровой крепости

"Поэтому желательно заложить в смету затрат лицензирование 1-2 сертифицированных средств защиты, по наиболее критичным направлениям требований к защищенности, например, межсетевых экранов и антивирусов."
Во всём 58 приказе нет НИ СЛОВА про сертифицированное ПО! Пожалуйста, укажите, на основании чего я должен приобрести ideco, а не Kerio? Нет, я понимаю кто является создателем данного сайта, мне интересен юридический момент...

9

Re: Уровень 5 - Оборона цифровой крепости

>>Как Вы можете объяснить свою позицию?
Есть встречный вопрос, кроме данного документа, Вы когда-нибудь встречали юридически обоснованное толкование фразы "в установленном порядке проходят процедуру оценки соответствия", которая используется в указанном Вами ПП №781 и которая на Ваш взгляд обязывает использовать сертифицированное ПО?
А вот статья Постановления 781 №3 и приказ ФСТЭК №58 намного более конкретны.

10

Re: Уровень 5 - Оборона цифровой крепости

>>Во всём 58 приказе нет НИ СЛОВА про сертифицированное ПО
Не совсем так, есть статья 2.12. "Программное обеспечение средств защиты информации, применяемых в информационных системах 1 класса, проходит контроль отсутствия недекларированных возможностей".

11

Re: Уровень 5 - Оборона цифровой крепости

>>на основании чего я должен приобрести ideco
ideco, как и любой другой сертифицированный межсетевой экран, имеет очевидную для ФСТЭК функциональность межсетевого экрана, а вот как доказать что несертифицированный продукт, наприммер, указанный или любой другой выполняет функции именно межсетевого экранирования? Просто ссылка на документацию может оказаться неубедительной.

12

Re: Уровень 5 - Оборона цифровой крепости

admin пишет:

>>Как Вы можете объяснить свою позицию?
Есть встречный вопрос, кроме данного документа, Вы когда-нибудь встречали юридически обоснованное толкование фразы "в установленном порядке проходят процедуру оценки соответствия", которая используется в указанном Вами ПП №781 и которая на Ваш взгляд обязывает использовать сертифицированное ПО?
А вот статья Постановления 781 №3 и приказ ФСТЭК №58 намного более конкретны.

Мне кажется Вы немного не подготовлены... Юридическое обоснование можно найти в местодиках ФСТЭК и ФСБ - если Вам интересны конкретные документы - их несложно предоставить.
Пока - Вы вводите пользователей в заблуждение...

13

Re: Уровень 5 - Оборона цифровой крепости

Вам может казаться так, это ваше право. Кому-то может казаться, что все мы немного не подготовлены. Например, как Вы, с позиций эксперта, оцениваете требование передачи электронного уведомления оператора в Роскомнадзор по открытым каналам связи сети Интернет, без какой-либо защиты и шифрования? Не согласившись с данным пунктом невозможно отправить электронное уведомление, при в тексте уведомления присутствуют персональные данные исполнителя, тогда получается, что передавать персональные данные по К3 в открытом виде по открытым каналам связи можно, Вы согласны с такой логикой?

14

Re: Уровень 5 - Оборона цифровой крепости

>>да, еще вопрос... Вы не заключили со мной соглашение об обработке моих данных - однако при регистрации запросили электронную почту и телефон
но фамилия и отчество не запрашивались, верно?

15

Re: Уровень 5 - Оборона цифровой крепости

admin пишет:

но фамилия и отчество не запрашивались, верно?

А с чего Вы взяли, что есть некий МИНИМАЛЬНЫЙ набор персональных данных? Обратимся к 152-ФЗ:

1) персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;

Всё через запятую со словом ЛЮБАЯ даёт возможность классифицировать эти сведения как ПДн. Даже просто имя без фамилии и отчества и всего прочего! Если по этим данным можно ПОПЫТАТЬСЯ определить субъект, значит это ПДн. Вот если 1 июля примут поправки, как обещали, то там будет конкретика. А пока...
Как минимум, на основании моей электронной почты можно определить меня, как субъект (т.к. она уникальна). А к ней привязаны мои имя и фамилия, которые при регистрации запрашиваются. А ещё место работы и телефон... Сами свой класс ПДн посчитаете?

Кстати, у меня в Личном кабинете есть такая строчка:
Персональная информация    E-mail: ****************
Во первЫх строкАх Вашего опуса сказано, что по этим "тэгам" (ржал минут 5 с этого определения) уже следует спрятаться под стол и ждать РКН с проверкой smile Вы уже дрожите? smile Тогда мы идём к Вам! (С) smile))

Отредактировано VladOst (2011-06-30 17:22:33)

16

Re: Уровень 5 - Оборона цифровой крепости

Уведомление должно содержать следующие сведения:

наименование (фамилия, имя, отчество), адрес оператора, ИНН, ОГРН, КПП;
цель обработки персональных данных;
категории персональных данных;
категории субъектов, персональные данные которых обрабатываются;
правовое основание обработки персональных данных;
перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;
описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке;
территория обработки (субъект федерации);
дата начала обработки персональных данных;
срок или условие прекращения обработки персональных данных.


Таким образом запрашивается информация на лицо - имеющее право подписи. Это лицо фигурирует в государственном реестре юр лиц (даже предприниматели smile))) и данные эти являются общедоступными на основании того, что ЛЮБОЙ может получить оттуда выписку. Да, бизнес - это публичность smile))

17

Re: Уровень 5 - Оборона цифровой крепости

admin пишет:

>>да, еще вопрос... Вы не заключили со мной соглашение об обработке моих данных - однако при регистрации запросили электронную почту и телефон
но фамилия и отчество не запрашивались, верно?

А причем здесь имя и отчество smile Следуя Вашей логике - однофамильцы - это уже и не персональные данные smile Особенно если у них имя-отчество совпадает

18

Re: Уровень 5 - Оборона цифровой крепости

kima пишет:
admin пишет:

>>да, еще вопрос... Вы не заключили со мной соглашение об обработке моих данных - однако при регистрации запросили электронную почту и телефон
но фамилия и отчество не запрашивались, верно?

А причем здесь имя и отчество smile Следуя Вашей логике - однофамильцы - это уже и не персональные данные smile Особенно если у них имя-отчество совпадает

Ну здесь автором подразумевалось, что это обезличка. Что уж вы.

19

Re: Уровень 5 - Оборона цифровой крепости

des пишет:

У вас дохлая ссылка (Пример 8. Проект системы защиты ИСПДн ООО "Наша компания"): http://zpdn-day.ru/docs/8_.doc

http://zpdn-day.ru/docs/8_zashita.doc  но и теперь ссылка скорее дохлая чем живая, она же абсолютно не о чем, одна шапка. Оформите хотя бы на 3 ПК в локальной сети для примера, понятно ведь что у кого ПК в сети больше, у них и кадры и фин.средства на уровне допускающем выплаты типа внедренцам защиты. Раз уж сказали "А" (за что вам конечно же спасибо), то наверное необходимо сказать и "Б" smile

Отредактировано Фарит (2011-07-08 10:51:21)

20

Re: Уровень 5 - Оборона цифровой крепости

>>но и теперь ссылка скорее дохлая чем живая
Здесь сложностей по реализации нет, вопрос скорее из области этики: корректно ли предлагать вниманию участников какие-то конкретные механизмы и продукты? Это первое. Второе: придерживаемся ли мы негласной политики регуляторов (всегда только сертифицрованное) или формальных требований Приказа №58 (сертифицированное по НДВ только для К1)? В принципе после анализа сложившейся практики на оба вопроса ответы найдены, если не будет форс-мажора, то 12.07 выложим доку в паблик. Кроме этого: добавится приказ о назначении администратора безопасности, дока по учету и хранению носителей ПДн, а также скорректируем "Пример.5 Акт..", в котором незаслуженно присвоен избыточный 2й класс, вместо 3-го.

21

Re: Уровень 5 - Оборона цифровой крепости

Так будет пример проекта выложен или как?

22

Re: Уровень 5 - Оборона цифровой крепости

Да! в крайний момент перед публикацией поступило предложение сформировать не один, а три проекта: только сертифицированные СЗИ (по критерию минимальная цена), комбинированный, не сертифицированные. была проблема, что против третьего варианта, который планировался изначально, был и остается категорически против один из экспертов-создателей. А первый вариант не вписывается в общую концепцию проекта. Было предложение подождать факта подписания или отклонения поправок к фз-152 Президентом. Но заставлять всех ждать до 28-го неправильно, поэтому выложим три, всё почти готово. Спасибо за понимание, увы, это не тот случай, когда есть полная свобода действий.

23

Re: Уровень 5 - Оборона цифровой крепости

Ясно smile
ждемс тогда.

24

Re: Уровень 5 - Оборона цифровой крепости

Простите за назойливость, но сегодня уже 14 августа...

25

Re: Уровень 5 - Оборона цифровой крепости

Товарищи, хотелось бы все таки увидеть пример проекта!!! Уже 25 августа. Скажите, он вообще то хоть будет???????