Классификация ИСПДн

Форум Сообщества Практиков Конкурентной разведки (СПКР)

Конкурентная разведка, Бизнес-разведка, Корпоративная разведка,
Деловая разведка по открытым источникам в бизнесе.
Работаем строго в рамках закона.

Дезинформация и активные мероприятия в бизнесе
Форум Сообщества Практиков Конкурентной разведки (СПКР) »   Теория и практика работы с персональными данными »   Классификация ИСПДн
RSS

Классификация ИСПДн

<<Назад  Вперед>>Страницы: 1 2 3 * 4
Печать
 
Vinni
Администратор

Всего сообщений: 2711
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
ссылка почти в тему - как защищать свою классификацию :evil:


_ttp://dom.bankir.ru/showthread.php?t=78706&page=26
[q]

Вы правы, неоднозначно. Более того, это наглость и авантюра. Но может сложиться ситуация, когда другого выхода просто нет.

Основной принцип надзорной деятельности - перезумпция добросовестности, она прописана в соответствующем законе.

Оператор оценивает класс ИСПД, в том числе - ее категорию исходя из количества субъектов. Если оператор утверждает, что субъектов меньше 1000, а надзорный орган уверен в обратном, в соответствии с законом он должен привести объективные свидетельства. Чтобы получить свидетельства, регулятор вынужден запросить у оператора доступ к какой-то информации. Теперь поставьте себя на место регулятора - как вы запрос сформулируете?

"Предоставьте нам сведения о количестве субъектов"? Получите письмо с указанной в акте классификации цифрой.
"Предоставьте доступ к информационной системе"? Получите вежливый отказ со ссылкой на процитированную статью закона. Для верности - со ссылкой на то, что это ИСПД с равноправными пользоватеолями, и технической невозможностью исключить доступ проверяющего к персональным данным.
"Предоставьте доступ к базе данных"? "Предоставьте техническую возможность для подсчета записей"? К какой базе? Каких записей? Все та же проблема идентификации актива

А дальше - лзамкнутый круг. Чтобы получить доступ, нужно доказать, что это неправда. А чтобюы доказать, что это неправда, нужно получить доступ.

Для персональных данных практики нет, а вот попытки налоговых органов получить дополнительную информацию при проверке таким макаром успешно отбивались.
[/q]
curious
Модератор форума

Всего сообщений: 89
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
7 июня 2009

Материал откуда?
[q]
Вчера на АРБ приводил соответствие требовний к ИСПДн и требований РД Гостехкомиссии.
Привожу здесь полностью "домашнюю заготовку": ИСПДн 3 класса при однопользовательском режиме обработки ПДн Включают полностью требования 3Б и МЭ 5 класса, при подключении к интернету
ИСПДн 2 класса при однопользовательском режиме обработки ПДн Включают полностью требования 3Б, ИСПДн 3 класса при однопользовательском режиме обработки ПДн и МЭ 3 класса, при подключении к интернету
ИСПДн 1 класса при однопользовательском режиме обработки ПДн Включают полностью требования 3А (гостайна! – исключен лишь пункт о регистрации успешной/неуспешной попытке входа), ИСПДн 2 класса при однопользовательском режиме обработки ПДн и МЭ 2 класса, при подключении к интернету
Непонятно зачем это при однопользовательском режиме:
а) в подсистеме управления доступом:
импорт и экспорт объектов (сообщений, данных, программ и т.п.) должен выполняться субъектом доступа со специальной ролью «оператора ввода/вывода»;
для каждого субъекта доступа должен быть определен перечень исполняемых модулей, которые он может активизировать;
аутентификационная информация субъектов доступа должна быть защищена от НСД нарушителя;
б) в подсистеме регистрации и учета:
импорт и экспорт объектов (сообщений, данных, программ и т.п.) должен выполняться субъектом доступа со специальной ролью «оператора ввода/вывода»;
для каждого субъекта доступа должен быть определен перечень исполняемых модулей, которые он может активизировать
ИСПДн 3 класса при многопользовательском режиме обработки ПДн и равными правами доступа к ним Включают полностью требования 2Б, ИСПДн 3 класса при однопользовательском режиме обработки ПДн.
МЭ 5 класса, при отсутствии подключения к интеренту или МЭ 2 класса, при подключении к интернету
ИСПДн 2 класса при многопользовательском режиме обработки ПДн и равными правами доступа к ним Включают частично требования 2А (гостайна!) и полностью ИСПДн 3 класса при многопользовательском режиме обработки ПДн и равными правами доступа к ним.
МЭ 5 класса, при отсутствии подключения к интеренту или МЭ 2 класса, при подключении к интернету
ИСПДн 1 класса при многопользовательском режиме обработки ПДн и равными правами доступа к ним Включают полностью требования 2А (гостайна!) и полностью ИСПДн 2 класса при многопользовательском режиме обработки ПДн и равными правами доступа к ним
МЭ 5 класса, при отсутствии подключения к интеренту или МЭ 2 класса, при подключении к интернету
Из 2А исключены только следующие требования:
- учет защищаемых носителей должен проводиться в журнале (картотеке) с регистрацией их выдачи (приема)
- физическая охрана с помощью технических средств охраны и специального персонала, использование строгого пропускного режима, специальное оборудование помещений
ИСПДн 3 класса при многопользовательском режиме обработки ПДн и разными правами доступа к ним разных пользователей Включают полностью требования 1Д.
МЭ то ли 5, то ли 2 класса без подключения к интернету и то ли 2, то ли 5 класса при подключении к интернету
ИСПДн 2 класса при многопользовательском режиме обработки ПДн и разными правами доступа к ним разных пользователей Включают полностью требования 1Г и ИСПДн 3 класса при многопользовательском режиме обработки ПДн и разными правами доступа к ним разных пользователей
МЭ то ли 5, то ли 2 класса без подключения к интернету и то ли 2, то ли 5 класса при подключении к интернету
Из требований 1Г исключен пункт:
- учет защищаемых носителей должен проводиться в журнале (картотеке) с регистрацией их выдачи (приема)
ИСПДн 1 класса при многопользовательском режиме обработки ПДн и разными правами доступа к ним разных пользователей Включают практически полностью требования 1В (гостайна) и ИСПДн 2 класса при многопользовательском режиме обработки ПДн и разными правами доступа к ним разных пользователей
МЭ то ли 5, то ли 2 класса без подключения к интернету и то ли 2, то ли 5 класса при подключении к интернету
Дополнительно:
подсистема обеспечения целостности – включены полностью требования как и в ИСПДн 2 класса с многопользовательским режимом и равными правами доступа пользователей (частично 2Б – гостайна)

Вопрос по криптографической подсистеме (при этом данный пункт присутствует в требованиях к ИСПДн 1 класса при многопользовательском режиме обработки ПДн и равными правами доступа к ним). Хотя криптографическая подсистема здесь могла пропасть именно по причине "копипаста" 1В

Исключены пункты 1В:
- должна осуществляться идентификация программ, томов, каталогов, файлов, записей, полей записей по именам (при этом данный пункт присутствует в требованиях к ИСПДн 1 класса при многопользовательском режиме обработки ПДн и равными правами доступа к ним)
- физическая охрана с помощью технических средств охраны и специального персонала, использование строгого пропускного режима, специальное оборудование помещений
- Выдача должна сопровождаться автоматической маркировкой каждого листа (страницы) документа его последовательным номером и учетными реквизитами АС с указанием на последнем листе документа общего количества листов (страниц) (при этом данный пункт присутствует в требованиях к ИСПДн 1 класса при многопользовательском режиме обработки ПДн и равными правами доступа к ним)
- объем фактически выданного документа (количество страниц, листов, копий) и результат выдачи: успешный (весь объем), неуспешный
- имя программы (процесса, задания, задачи), осуществляющей доступ к файлу/защищаемому объекту
- вид запрашиваемой операции (чтение, запись, удаление, выполнение, расширение, монтирование, захват и т.п.)
- целостность СЗИ НСД проверяется при загрузке системы по контрольным суммам компонент СЗИ
Администратор должен иметь свой терминал и необходимые средства оперативного контроля и воздействия на безопасность АС;
- должно проводиться периодическое тестирование всех функций СЗИ НСД с помощью специальных программных средств не реже одного раза в год

Тем самым получается, что ПД 1 категории отнесены к государственной тайне - тогда возникает вопрос почему они не внесены в Перечень, сведений составляющих ГТ? При этом требования к защите объектов класса 3А/2А/1В меньше, чем требования к аналогичным по обработке ИСПДн К1 т.к. не содержат требований к защите от программно-математических воздействии (ПМВ) и требований к антивирусным подсистемам.

Бездумное копирование требований классов 3А/2А/1В (даже не везде заменен термин «ЭВМ» из РД АС на термин «компьютеры» в Основных требованиях) в требования к ИСПДн привело к тому, что были допущены ошибки, вызывающие неразбериху в определении требований, вплоть до отсылки на требования раскрытые в СТР-97 (Решение Гостехкомиссии России от 23.04.1997 г. № 55).

Напомню, что осталось пол года, а окончательных и действующих требований еще нет.
[/q]
toparenko
Модератор форума
ANTESIGNĀNUS
Откуда: СССР
Всего сообщений: 728
Рейтинг пользователя: 5


Ссылка


Дата регистрации на форуме:
7 июня 2009

curious написал:
[q]

Материал откуда?
[q]
Вчера на АРБ приводил соответствие требовний к ИСПДн и требований РД Гостехкомиссии.
[/q]
[/q]

"Основные мероприятия" (Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных) из "Четырехкнижия" ФСТЭК и РД Гостехкомиссии по АС и МЭ.
Далее банальное сравнение текстов (почувствовал что-то знакомое "до глубины души" в тексте и проверил догадку :wink: )

---
Грабли - это оружие. Бывают веерные и обычные (с) Что? Где? Когда? 30.05.2009
curious
Модератор форума

Всего сообщений: 89
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
7 июня 2009
я таки предположил:)
но все халявы хочется;)))
toparenko
Модератор форума
ANTESIGNĀNUS
Откуда: СССР
Всего сообщений: 728
Рейтинг пользователя: 5


Ссылка


Дата регистрации на форуме:
7 июня 2009

curious написал:
[q]
но все халявы хочется;)))
[/q]

Куда уж халявнее?

Берем РД АС (Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации) и РД МЭ (Руководящий документ. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа. Показатели защищенности от несанкционированного доступа к информации), которые "ни разу" не конфиденциальны, с сайта ФСТЭК - сравниваем с таблицей и получаем техтребования из "Основных мероприятий"

Для многопользовательской с разным уровенем доступа К2 можно еще залезть на банкир.ру. - см. в ветке "Персональные данные - вход в тему":

Vinni написал:
[q]
Краткий пересказ требований для многопользовательской К2 с разными правами
[/q]

---
Грабли - это оружие. Бывают веерные и обычные (с) Что? Где? Когда? 30.05.2009
toparenko
Модератор форума
ANTESIGNĀNUS
Откуда: СССР
Всего сообщений: 728
Рейтинг пользователя: 5


Ссылка


Дата регистрации на форуме:
7 июня 2009
:preved: Подсистема одной из крупнейших в мире ИСПДн (ПФ РФ) классифицирована и аттестована по 1Г, а не по спецК1 (см. ветку обсуждения) :crazy:

---
Грабли - это оружие. Бывают веерные и обычные (с) Что? Где? Когда? 30.05.2009
Vinni
Администратор

Всего сообщений: 2711
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
:lol:
Ress
Новичок

Всего сообщений: 1
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
19 мая 2010
Подскажите как счтать количество ПД ? У меня больница в этом месяце пришло 500 чел в следующем 1500 а в лучшем 5000.
Если сложить за год то где-то 3000*12=36000 это понятно боле мене т.к. данные хоть и повторяются но инет в тоже время (обращения по разным причинам= значит и объекты разные). Но тут видел где то что обработанные ПД надо 75 лет хранить.
если мои 50т*75лет=3750т объектов получается. Тоесть мне клас защиты сразу установить отвечающим 75 годам или постепенно поднимать
Vinni
Администратор

Всего сообщений: 2711
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009

Ress написал:
[q]

Подскажите как счтать количество ПД ? У меня больница в этом месяце пришло 500 чел в следующем 1500 а в лучшем 5000.Если сложить за год то где-то 3000*12=36000 это понятно боле мене т.к. данные хоть и повторяются но инет в тоже время (обращения по разным причинам= значит и объекты разные). Но тут видел где то что обработанные ПД надо 75 лет хранить.если мои 50т*75лет=3750т объектов получается. Тоесть мне клас защиты сразу установить отвечающим 75 годам или постепенно поднимать
[/q]


Вообще можно просто посчитать количество записей таблицы, где хранятся ФИО (у Вас же все в БД хранится, насколько я понимаю).
Это и будет самая реалистичная оценка.
С другой стороны зачем Вам хранить в БД данные за все время? ПД нужны для какой-то цели. Если она выполнена (пациент вылечен и т.д.), то ПД нужно удалять. Это - один из принципов обработки ПД.
Вам надо разобраться сначала с целями обработки и сроками хранения данных согласно тем или иным нормативным актам (что-то я про 75 лет не слышал - уточните у того, кто говорил это, на основании какого ФЗ был сделан такой вывод)

toparenko
Модератор форума
ANTESIGNĀNUS
Откуда: СССР
Всего сообщений: 728
Рейтинг пользователя: 5


Ссылка


Дата регистрации на форуме:
7 июня 2009

Ress написал:
[q]

Подскажите как счтать количество ПД ? У меня больница в этом месяце пришло 500 чел в следующем 1500 а в лучшем 5000.Если сложить за год то где-то 3000*12=36000 это понятно боле мене т.к. данные хоть и повторяются но инет в тоже время (обращения по разным причинам= значит и объекты разные). Но тут видел где то что обработанные ПД надо 75 лет хранить.если мои 50т*75лет=3750т объектов получается. Тоесть мне клас защиты сразу установить отвечающим 75 годам или постепенно поднимать
[/q]

Обычно считается количество одновременно обрабатываемых - например:
- на терминале отображается в каждый момент не более 1 записи - значит считем 1 запись
- в базе одновременно хранится х000000 записей - значит это количество записей...

Но смысл считать для больницы? :wonder1: Спецкатегория ПДн (была бы типовая =К1 - хоть десять субъектов, хоть в масштабах всей Страны) и по приказу трех спецИСПДн
Здесь скорее следует смотреть травма/реанимация или вендиспансер - в первом случае критичнее опознать и помочь, а во втором от разглашения диагноза уже возможен ущерб "подцепившему" (например супруг/супруга "пришибет" за загул налево)...

75 лет - это для хранения ПДн персонала.
Мед. данные вроде порядка 25 лет хранятся.

---
Грабли - это оружие. Бывают веерные и обычные (с) Что? Где? Когда? 30.05.2009
<<Назад  Вперед>>Страницы: 1 2 3 * 4
Печать
Форум Сообщества Практиков Конкурентной разведки (СПКР) »   Теория и практика работы с персональными данными »   Классификация ИСПДн
RSS

Последние RSS
шантаж, угрозы по Интернету
Практически весь интернет становится русскоязычным
SiteSputnik. Об одном подходе к мониторингу Телеграм
Безопасность при работе на ПК
Книги о критическом мышлении
Наказывать за вмешательство в частную жизнь, Верховный суд
CI Academic Materials
CiMi.CON Evolution USA
Поиск в КЭШ поисковиков по запросу и пакету запросов
СайтСпутник: Многоязычность, Юникод, MS ACCESS
Новый курс OSINT от АИС
Год тюрьмы за отказ удалять
Книга "Строим доверие по методикам спецслужб"
аналог "Консультанта" о зарубежном законодательстве
Открытые данные ФНС
Получаем информацию по VIN
Competitive-Market Intelligence Conference, Berlin 2018
Не все VPN-сервисы одинаково полезны
«Яндекс» научился выдавать в поиске не скрытые Google-документы. Правда лавочку
War and marketing: 1937 July 7th vs. 2018 July 1st

Самые активные 20 тем RSS
Новости блогов
Наказывать за вмешательство в частную жизнь, Верховный суд