|
Защита персональных данных
|
|
| maestRo | Дата: Понедельник, 15.02.2010, 21:52 | Сообщение # 61 |
 Полковник
Группа: Проверенные
Сообщений: 228
Статус: Offline
| Читеры вы.
Хотя мы теперь отчасти тоже 
Хотел поставить в подписи рекламу, почитал правила форума :)
Так что: ==Тут могла быть наша реклама==
|
| |
| |
| frask | Дата: Среда, 24.02.2010, 23:18 | Сообщение # 62 |
 Генерал-майор
Группа: Проверенные
Сообщений: 253
Статус: Offline
| по причине стыковки на практике с персоналкой выяснил некоторые интересные вещи, подтверждающиеся на форумах паутины: При этом системы классов К1 и К2 должны получать аттестат ФСТЭК, операторы систем К3 могут просто декларировать свою защищенность, а К4 защищается вообще по решению оператора — без участия ФСТЭК. На пример:
ФИО + некоторый id – персональные данные 4 категории.
ФИО + и номер, дата выдачи паспорта или номер ИНН – персональные данные 3 категории.
Карточка Т-2 (унифицированная карточка сотрудника) – персональные данные 2 категории
ФИО + сведения о здоровье (причина заболевания, временные факторы) – персональные данные 1 категории. или вот такое: А вот представитель ФСТЭК на конференции осенью 2009 года говорил, что ФИО без любой другой дополнительной информации НЕ ЯВЛЯЮТСЯ персональными данными.
|
| |
| |
| Sanny | Дата: Среда, 24.02.2010, 23:25 | Сообщение # 63 |
 Правдоборец
Группа: Гости
Сообщений: 6257
Статус: Offline
| Quote (frask) А вот представитель ФСТЭК на конференции осенью 2009 года говорил, что ФИО без любой другой дополнительной информации НЕ ЯВЛЯЮТСЯ персональными данными.
Он скорее всего имел ввиду то, что это обезличенные персональные данные. Просто неправильно выразился.
У меня есть план - выпить столько, сколько смогу. Отличный план!
Сообщение отредактировал Sanny - Среда, 24.02.2010, 23:25 |
| |
| |
| frask | Дата: Среда, 24.02.2010, 23:28 | Сообщение # 64 |
|
Генерал-майор
Группа: Проверенные
Сообщений: 253
Статус: Offline
| да меня это просто слегка возмутило седня... по сути выходит, что например база ФИО абонентов любой компании может практически не защищаться
и в этом случае радуйся иванов иван иванович коих пардон хоть жопой ешь, и попадай товарищ черезногузадерищенко коий один на всю россию
Сообщение отредактировал frask - Среда, 24.02.2010, 23:30 |
| |
| |
| Sanny | Дата: Среда, 24.02.2010, 23:44 | Сообщение # 65 |
|
Правдоборец
Группа: Гости
Сообщений: 6257
Статус: Offline
| Ну не любой компании. А только той у которой субъектов ПДн меньше 1000. У нее скорее всего и средств то нет на создание защищенной ИСПДн второго класса. А то что злоумышленник определит какая строчка в базе к какому человеку относится не так страшно если там не содержится никакой дополнительной информации.
У меня есть план - выпить столько, сколько смогу. Отличный план!
Сообщение отредактировал Sanny - Среда, 24.02.2010, 23:48 |
| |
| |
| BoSSurman | Дата: Среда, 24.02.2010, 23:48 | Сообщение # 66 |
|
Корифей
Группа: Модераторы
Сообщений: 674
Статус: Offline
| Фтопку ФСТЭК. Ждем новые требования, которые заменят четверокнижие.
:-P
|
| |
| |
| maestRo | Дата: Четверг, 25.02.2010, 22:37 | Сообщение # 67 |
|
Полковник
Группа: Проверенные
Сообщений: 228
Статус: Offline
| Появился проект еще одного документа.
Вот он. http://www.ispdn.ru/news/detail_industry.php?ELEMENT_ID=5397
На сайте ФСТЭК он появился 29 января, но в начале фераля был удален, о чем свидетельствует раздел Новости (www.fstec.ru)
Хотел поставить в подписи рекламу, почитал правила форума :)
Так что: ==Тут могла быть наша реклама==
|
| |
| |
| lamama | Дата: Пятница, 26.02.2010, 12:27 | Сообщение # 68 |
 Заведующий кафедрой
Группа: Модераторы
Сообщений: 524
Статус: Offline
| Quote (BoSSurman) Фтопку ФСТЭК. Ждем новые требования, которые заменят четверокнижие.
Может Пятикнижие Моисея за основу взять  ?
Чем Вас ФСТЭК не устроил? Все понятно и просто. Есть конечно заморочки, но они есть во всем нашем законодательстве и получается "Закон что дышло ...".
Не оседать, не приживаться -
Ступенька за ступенькой - без печали,
Шагать вперед, идти от дали к дали,
Все шире быть, все выше подниматься.
|
| |
| |
| BoSSurman | Дата: Пятница, 26.02.2010, 20:20 | Сообщение # 69 |
|
Корифей
Группа: Модераторы
Сообщений: 674
Статус: Offline
| lamama, тем, что требования неадекватные абсолютно и никак не учитывают различные особенности организаций. Они для сферических коней в вакууме, а не для организаций, в которых хотят, чтобы расходы на защиту адекватно отвечали уровню реальных угроз.
:-P
|
| |
| |
| lamama | Дата: Понедельник, 01.03.2010, 19:43 | Сообщение # 70 |
|
Заведующий кафедрой
Группа: Модераторы
Сообщений: 524
Статус: Offline
| Quote (BoSSurman) lamama, тем, что требования неадекватные абсолютно и никак не учитывают различные особенности организаций. Они для сферических коней в вакууме, а не для организаций, в которых хотят, чтобы расходы на защиту адекватно отвечали уровню реальных угроз.
Эти требования для типовых ИСПДн. Вы для начала найдите такие. Большинство ИСПДн - специальные, а потому их безопасность обеспечивается на основании модели угроз. Это-же огромный простор для творчества. Как Вы этого не понимаете? Вплоть до того, что все свои банковские ИСПДн можете свести к Вашему любимому Стандарту национального банка России по ИБ.
Не оседать, не приживаться -
Ступенька за ступенькой - без печали,
Шагать вперед, идти от дали к дали,
Все шире быть, все выше подниматься.
|
| |
| |
| BoSSurman | Дата: Вторник, 02.03.2010, 23:12 | Сообщение # 71 |
|
Корифей
Группа: Модераторы
Сообщений: 674
Статус: Offline
| Уважаемый, lamama, я как раз прекрасно все понимаю и об этой возможности писал в данной теме уже почти месяц назад (14 и 15 февраля) и именно в контексте защиты ПДн в кредитных организациях. Но вы ведь сами, уверен, тоже прекрасно знаете, что сравнительно недавно еще нельзя было совершенно спокойно отходить от требований, предъявляемых ФСТЭК к конкретным классам. Да, сейчас действительно в методичке ФСТЭК после таблицы классификации ИСПДн про специальные ИС написано:
Quote По результатам оценки *актуальности угроз, прим.* требования по защите ИСПДн от различных угроз могут быть скорректированы по сравнению с типовыми, приведенными в разделе 5. Решение об этом принимает оператор ИСПДн.
Но ведь совсем немногим раньше в методичках, рассылаемых ФСТЭК, а в университете, думаю, у нас есть старая редакция, формулировка данного абзаца была совершенно иной. Речи о оценке актуальности угроз даже и не шло. Более того, "новая и исправленная редакция" методичек вышла не под новым номером, а под тем же старым. ФСТЭК просто взял и заменил абзацы, как будто так все и было, и, если не ошибаюсь, такое произошло не только с этим абзацем. Разве это нормальная ситуация для серьезной структуры? И вообще методические документы должны помогать организациям в обеспечении защиты ПДн, должны быть четкими, понятными и не должны допускать никаких разночтений.
Quote (lamama) "Закон что дышло ...".
Это как раз и грустно  После выхода четверокнижия вместо полезных рекомендаций по технологии защиты ПДн мы получаем нечто сумбурное и маловыполнимое с непонятным правовым статусом. Одни вопросы и поиски путей ухода от выполнения требований. Почему я открываю какой-нибудь NIST и там все четко и прекрасно расписано, все по теме и максимально полезно? Хочется видеть документы, которые хоть немного по качеству приблизятся к тем же NISTам....
:-P
|
| |
| |
| BoSSurman | Дата: Вторник, 02.03.2010, 23:25 | Сообщение # 72 |
|
Корифей
Группа: Модераторы
Сообщений: 674
Статус: Offline
| Quote (BoSSurman) Фтопку ФСТЭК. Ждем новые требования, которые заменят четверокнижие.
Приказ ФСТЭК от 5 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных»
:-P
|
| |
| |
| maestRo | Дата: Среда, 03.03.2010, 00:20 | Сообщение # 73 |
|
Полковник
Группа: Проверенные
Сообщений: 228
Статус: Offline
| Согласен с мненеием BoSSurman, что даже в такой федеральной структуре как ФСТЭК нет полноценных специалистов, которые бы могли четко продумать документ, донести его до обычных людей, которым необходимо будет столкнуться с этим. Сделали для того, чтобы выполнить так сказать план. Причем по части документов тупо передирая зарубежную практику, и даже неправильно переводя кое-какие абзацы. Почему в Банке России стандарты намного понятнее и более четко прописаны?
Почему документы по криптографии ФСБ России понятны с первого прочтения, а со второго ты знаешь как это организовать, соблюсти и тому подобное? (замечу не менее заковыристые и сложные)
ФСТЭК до них еще как до луны. Что ж, им есть куда стремиться.
А пока приходится глотать то, что они изрыгнули на белый свет. Тут уж что поделать.
Вон приказ от 5 февраля вышел. Латают дыры на крыльях своего Боинга.
Хотел поставить в подписи рекламу, почитал правила форума :)
Так что: ==Тут могла быть наша реклама==
|
| |
| |
| lamama | Дата: Пятница, 05.03.2010, 16:38 | Сообщение # 74 |
|
Заведующий кафедрой
Группа: Модераторы
Сообщений: 524
Статус: Offline
| Quote (BoSSurman) Приказ ФСТЭК от 5 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных»
Приказ очень приятный и понятный  . Жал только, что еще не действует (начнет действовать через 10 дней после опубликования, которого еще не было).
Quote (BoSSurman) Но ведь совсем немногим раньше в методичках, рассылаемых ФСТЭК, а в университете, думаю, у нас есть старая редакция, формулировка данного абзаца была совершенно иной.
Там было указано:
Quote (выписка из рекоммендаций до снятия пометки)
По результатам оценки требования по защите ИСПДн от различных угроз могут быть скорректированы по сравнению с типовыми, приведенными в разделе 5. Решение об этом принимает оператор ИСПДн.
То есть формулировка совпадает. Так-же смотрите 781 Постановление Правительства - оно выше по статусу.
А на счет несовершенства системы защиты информации в России - согласен с maestRo.
Не оседать, не приживаться -
Ступенька за ступенькой - без печали,
Шагать вперед, идти от дали к дали,
Все шире быть, все выше подниматься.
|
| |
| |
| EDA | Дата: Пятница, 05.03.2010, 19:32 | Сообщение # 75 |
 Лейтенант
Группа: Проверенные
Сообщений: 65
Статус: Offline
| Сегодня приказ фстэк № 58 опубликован в Российской газете! Вступает в силу 16 марта 2010 г.
http://www.rg.ru/2010/03/05/dannye-dok.html
|
| |
| |
