|
Защита персональных данных
|
|
| eXceed | Дата: Суббота, 14.02.2009, 05:51 | Сообщение # 16 |
 Генералиссимус
Группа: Гости
Сообщений: 5466
Статус: Offline
| lamama Ну почему же не видел. Видел =) BoSSurman Предлагаю поиграть тогда в промышленный шпионаж =) Только вот надо организатора и продумать все. Что то типа хак.квеста. Как раз совместим теорию с практикой. Начальники согласятся на такое? з.ы. Я вижу это так: Команда хороших парней выстраивает небольшое предприятие, организует работу и защиту данных. Плохие парни должны выкрасть документы. Это не обязательно должны быть файлы с компьютера. Звучит бредово? ДА! Я только что проснулся.
bda-expert.ru — это система форумов, где можно общаться быстро и свободно, где любая точка зрения имеет право на жизнь.
|
| |
| |
| Sanny | Дата: Суббота, 14.02.2009, 13:51 | Сообщение # 17 |
 Правдоборец
Группа: Гости
Сообщений: 6257
Статус: Offline
| Quote (BoSSurman) Кто что предложит?
Итак, имеем торговую фирму с распределенной сетью магазинов и складов, всего 120 сотрудников - вполне обыденный для Сыктывкара пример. Руководство прослышало о том, что ПДн обрабатываемые в их организации надо бы защищать. В свете этого нас наняли как специалистов по защите.
Наши первые шаги? Для начала составить перечень обрабатываемых ПДн, так ведь? Как будем это делать?
У меня есть план - выпить столько, сколько смогу. Отличный план!
|
| |
| |
| BoSSurman | Дата: Воскресенье, 15.02.2009, 00:33 | Сообщение # 18 |
|
Корифей
Группа: Модераторы
Сообщений: 674
Статус: Offline
| Это слишком общее описание. Количество компьютеров, структура и топология сети, используемые ОС и ПО, обрабатываемые на ПЭВМ ПД и т.д.  чем подробней, тем лучше.
:-P
|
| |
| |
| Sanny | Дата: Вторник, 24.02.2009, 16:21 | Сообщение # 19 |
|
Правдоборец
Группа: Гости
Сообщений: 6257
Статус: Offline
| Ща попробую придумать... Всего комьпютеров шестьдесят. 50 в центральном офисе и 10 на переферии. Все работают через терминал на одном сервере, под управлением Windows Server 2003 SP2. Удаленные компьютеры подключаются через VPN. На самих компьютерах никаких ПДн не содержится (по крайней мере не должно содержаться). На сервере есть две базы 1С: "Зарплата и кадры" и "Управление торговлей". В ЗиК содержится много ПДн сотрудников, а в УТ есть немного ПДн клиентов. Сеть организована по топологии "Звезда" на обычной витой паре. Сервер стоит в отдельной комнате, дверь запирается на ключ. Сотрудников как уже говорил 120, из них 2 компьютерщика - программист 1С и системный администратор.
Ну вроде набросал виртуальную контору. Думаю дальнейшие подробности будем придумывать в ходе обсуждения. С чего же мы начнем?
У меня есть план - выпить столько, сколько смогу. Отличный план!
|
| |
| |
| eXceed | Дата: Вторник, 24.02.2009, 17:14 | Сообщение # 20 |
|
Генералиссимус
Группа: Гости
Сообщений: 5466
Статус: Offline
| Очевидно с нарезки VPN для внедрения в тонели.
bda-expert.ru — это система форумов, где можно общаться быстро и свободно, где любая точка зрения имеет право на жизнь.
|
| |
| |
| lamama | Дата: Среда, 25.02.2009, 09:03 | Сообщение # 21 |
 Заведующий кафедрой
Группа: Модераторы
Сообщений: 524
Статус: Offline
| Quote (eXceed) Очевидно с нарезки VPN для внедрения в тонели.
Начинать надо с классификации ИСПДн! Потом строить модель угроз. Выделять актуальные и от них строить защиту.
Поэтому, Sanny, вопросы:
1. Какие именно данные содержатся в ЗиК?
2. Есть ли юридические последствия автоматизированной обработки ПДн?
3. Данные скольки субъектов ПДн содержатся в базе?
4. Есть ли подключение к сети Интернет (физическое)?
Вот основные вопросы. После этого можно попытаться классифицировать (если ответ на 2-ой вопрос будет отрицательным).
Не оседать, не приживаться -
Ступенька за ступенькой - без печали,
Шагать вперед, идти от дали к дали,
Все шире быть, все выше подниматься.
|
| |
| |
| Sanny | Дата: Среда, 25.02.2009, 09:05 | Сообщение # 22 |
|
Правдоборец
Группа: Гости
Сообщений: 6257
Статус: Offline
| Quote (lamama) Начинать надо с классификации ИСПДн! Потом строить модель угроз. Выделять актуальные и от них строить защиту.
Вот это уже что то конкретное. Щас попробую, ответить по пунктам. Quote (eXceed) Очевидно с нарезки VPN для внедрения в тонели.
eXceed, напиши подробнее об этом.
У меня есть план - выпить столько, сколько смогу. Отличный план!
Сообщение отредактировал Sanny - Среда, 25.02.2009, 09:10 |
| |
| |
| Elena | Дата: Среда, 25.02.2009, 13:06 | Сообщение # 23 |
 Да! Я - такая!
Группа: Гости
Сообщений: 359
Статус: Offline
| по поводу классификации ИСПДн (совмест приказ ФСБ, ФТЭК и министерства информ технологий и связи):
- если информационная система является типовой, то всё понятно - дана красивая табличка 
- а вот, если ИС - специальная, то уже не очень понятно: "класс специальной информационной системы определяется на основе модели угроз безопасности персональных данных в соответствии с методическими документами, разрабатываемыми в соответствии с пунктом 2 Постановления Правительства Российской Федерации от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных"  Открываем ФСТЭК'овскую "Базовую модель угроз безопасности ПД при их обраотке в ИСПД", потом выбираем типовую модель угроз, подходящую к нашей ИСПД (например, "Тип. модель угроз безоп-ти ПД, обрабат. в локальных ИСПД, не имеющих поключения к сетям связи общего пользования и/или сетям м/ународного информац обмена")
Читаем, прочитали...дальше, что? возвращаемся к таблице совместного приказа????? или нет???
"Я вообще животных люблю. Кто-то там кошек любит, или собак, а я всех люблю без разбора. Людей только не люблю. Надоели, сука. Носятся и бегают, орут друг на друга, суетятся, злые все какие-то!"
"Лучшим доказательством существования разумной жизни во вселенной является тот факт, что с нами до сих пор никто не попытался связаться."
|
| |
| |
| eXceed | Дата: Среда, 25.02.2009, 13:56 | Сообщение # 24 |
|
Генералиссимус
Группа: Гости
Сообщений: 5466
Статус: Offline
| Про атаку на VPN писал Крис очень хорошо. http://www.insidepro.com/kk/100/100r.shtml
bda-expert.ru — это система форумов, где можно общаться быстро и свободно, где любая точка зрения имеет право на жизнь.
|
| |
| |
| lamama | Дата: Четверг, 26.02.2009, 16:24 | Сообщение # 25 |
|
Заведующий кафедрой
Группа: Модераторы
Сообщений: 524
Статус: Offline
|
Так там шифорование RSA и DES. Вот если бы с ГОСТ-овским шифрованием, тогда можно было бы говорить, что системы, имеющие сертификат ФСБ уязвимы.
Не оседать, не приживаться -
Ступенька за ступенькой - без печали,
Шагать вперед, идти от дали к дали,
Все шире быть, все выше подниматься.
|
| |
| |
| Sanny | Дата: Четверг, 26.02.2009, 16:42 | Сообщение # 26 |
|
Правдоборец
Группа: Гости
Сообщений: 6257
Статус: Offline
| Quote (lamama) 1. Какие именно данные содержатся в ЗиК?
2. Есть ли юридические последствия автоматизированной обработки ПДн?
3. Данные скольки субъектов ПДн содержатся в базе?
4. Есть ли подключение к сети Интернет (физическое)? 1. Т.е нужно составить перечень ПДн? Выложу его отдельно.
2. Вот тут не совсем понятно. Нам ведь это и нужно выяснить на основании других факторов, или я что то не так понял?
3. Ну допустим, в базе ЗиК содержатся ПДн всех 120 ныне работающих сотрудников и еще 80 уволенных.
4. Подключение к Интернету есть.
У меня есть план - выпить столько, сколько смогу. Отличный план!
|
| |
| |
| eXceed | Дата: Четверг, 26.02.2009, 21:18 | Сообщение # 27 |
|
Генералиссимус
Группа: Гости
Сообщений: 5466
Статус: Offline
| lamama RSA и DES шифры это круто, да. Но на бумаге. Знаю, что там шифрование в риалтайме и все дела, но задача стоит не в расшифровке потока, а во внедрении в VPN подсеть. Шифрование тут не влияет. Учите матчасть в следующий раз плиз. Ну раз есть подключения к интернетам, то что известно о шлюзе и о внешних сервисах?
bda-expert.ru — это система форумов, где можно общаться быстро и свободно, где любая точка зрения имеет право на жизнь.
|
| |
| |
| lamama | Дата: Пятница, 27.02.2009, 08:44 | Сообщение # 28 |
|
Заведующий кафедрой
Группа: Модераторы
Сообщений: 524
Статус: Offline
| Quote (eXceed) Шифрование тут не влияет. Учите матчасть в следующий раз плиз.
Прекрасно понимаю, о чем вы говорите. Только если "присмотреться" к некоторым VPN, то можно найти и такие, где авторизация идет не по паролю, а по ЭЦП. В этом случае "вклиниться" в поток непросто. Ну "снифернули" вы поток. Что дальше? Что делать с ним будете? Тут и понадобится знание алгоритмов шифорования-дешифрования. RSA и DES "ломаются". ГОСТ - не слышал.
Не оседать, не приживаться -
Ступенька за ступенькой - без печали,
Шагать вперед, идти от дали к дали,
Все шире быть, все выше подниматься.
|
| |
| |
| eXceed | Дата: Пятница, 27.02.2009, 08:46 | Сообщение # 29 |
|
Генералиссимус
Группа: Гости
Сообщений: 5466
Статус: Offline
| lamama В наиболее популярных системах IPSec и OpenVPN авторизация парольная. Да черст с этим каналом. Уязвимое место это NAS.
bda-expert.ru — это система форумов, где можно общаться быстро и свободно, где любая точка зрения имеет право на жизнь.
|
| |
| |
| lamama | Дата: Пятница, 27.02.2009, 09:12 | Сообщение # 30 |
|
Заведующий кафедрой
Группа: Модераторы
Сообщений: 524
Статус: Offline
| Quote (eXceed) В наиболее популярных системах IPSec и OpenVPN авторизация парольная.
Поэтому при защите ИСПДн выше К3 их нельзя использовать.
Не оседать, не приживаться -
Ступенька за ступенькой - без печали,
Шагать вперед, идти от дали к дали,
Все шире быть, все выше подниматься.
|
| |
| |
