Классификация ИСПДн

Форум Сообщества Практиков Конкурентной разведки (СПКР)

Конкурентная разведка, Бизнес-разведка, Корпоративная разведка,
Деловая разведка по открытым источникам в бизнесе.
Работаем строго в рамках закона.

Дезинформация и активные мероприятия в бизнесе
Форум Сообщества Практиков Конкурентной разведки (СПКР) »   Теория и практика работы с персональными данными »   Классификация ИСПДн
RSS

Классификация ИСПДн

<<Назад  Вперед>>Страницы: 1 2 3 * 4
Печать
 
Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
ссылка почти в тему - как защищать свою классификацию :evil:


_ttp://dom.bankir.ru/showthread.php?t=78706&page=26
[q]

Вы правы, неоднозначно. Более того, это наглость и авантюра. Но может сложиться ситуация, когда другого выхода просто нет.

Основной принцип надзорной деятельности - перезумпция добросовестности, она прописана в соответствующем законе.

Оператор оценивает класс ИСПД, в том числе - ее категорию исходя из количества субъектов. Если оператор утверждает, что субъектов меньше 1000, а надзорный орган уверен в обратном, в соответствии с законом он должен привести объективные свидетельства. Чтобы получить свидетельства, регулятор вынужден запросить у оператора доступ к какой-то информации. Теперь поставьте себя на место регулятора - как вы запрос сформулируете?

"Предоставьте нам сведения о количестве субъектов"? Получите письмо с указанной в акте классификации цифрой.
"Предоставьте доступ к информационной системе"? Получите вежливый отказ со ссылкой на процитированную статью закона. Для верности - со ссылкой на то, что это ИСПД с равноправными пользоватеолями, и технической невозможностью исключить доступ проверяющего к персональным данным.
"Предоставьте доступ к базе данных"? "Предоставьте техническую возможность для подсчета записей"? К какой базе? Каких записей? Все та же проблема идентификации актива

А дальше - лзамкнутый круг. Чтобы получить доступ, нужно доказать, что это неправда. А чтобюы доказать, что это неправда, нужно получить доступ.

Для персональных данных практики нет, а вот попытки налоговых органов получить дополнительную информацию при проверке таким макаром успешно отбивались.
[/q]
curious
Модератор форума

Всего сообщений: 89
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
7 июня 2009

Материал откуда?
[q]
Вчера на АРБ приводил соответствие требовний к ИСПДн и требований РД Гостехкомиссии.
Привожу здесь полностью "домашнюю заготовку": ИСПДн 3 класса при однопользовательском режиме обработки ПДн Включают полностью требования 3Б и МЭ 5 класса, при подключении к интернету
ИСПДн 2 класса при однопользовательском режиме обработки ПДн Включают полностью требования 3Б, ИСПДн 3 класса при однопользовательском режиме обработки ПДн и МЭ 3 класса, при подключении к интернету
ИСПДн 1 класса при однопользовательском режиме обработки ПДн Включают полностью требования 3А (гостайна! – исключен лишь пункт о регистрации успешной/неуспешной попытке входа), ИСПДн 2 класса при однопользовательском режиме обработки ПДн и МЭ 2 класса, при подключении к интернету
Непонятно зачем это при однопользовательском режиме:
а) в подсистеме управления доступом:
импорт и экспорт объектов (сообщений, данных, программ и т.п.) должен выполняться субъектом доступа со специальной ролью «оператора ввода/вывода»;
для каждого субъекта доступа должен быть определен перечень исполняемых модулей, которые он может активизировать;
аутентификационная информация субъектов доступа должна быть защищена от НСД нарушителя;
б) в подсистеме регистрации и учета:
импорт и экспорт объектов (сообщений, данных, программ и т.п.) должен выполняться субъектом доступа со специальной ролью «оператора ввода/вывода»;
для каждого субъекта доступа должен быть определен перечень исполняемых модулей, которые он может активизировать
ИСПДн 3 класса при многопользовательском режиме обработки ПДн и равными правами доступа к ним Включают полностью требования 2Б, ИСПДн 3 класса при однопользовательском режиме обработки ПДн.
МЭ 5 класса, при отсутствии подключения к интеренту или МЭ 2 класса, при подключении к интернету
ИСПДн 2 класса при многопользовательском режиме обработки ПДн и равными правами доступа к ним Включают частично требования 2А (гостайна!) и полностью ИСПДн 3 класса при многопользовательском режиме обработки ПДн и равными правами доступа к ним.
МЭ 5 класса, при отсутствии подключения к интеренту или МЭ 2 класса, при подключении к интернету
ИСПДн 1 класса при многопользовательском режиме обработки ПДн и равными правами доступа к ним Включают полностью требования 2А (гостайна!) и полностью ИСПДн 2 класса при многопользовательском режиме обработки ПДн и равными правами доступа к ним
МЭ 5 класса, при отсутствии подключения к интеренту или МЭ 2 класса, при подключении к интернету
Из 2А исключены только следующие требования:
- учет защищаемых носителей должен проводиться в журнале (картотеке) с регистрацией их выдачи (приема)
- физическая охрана с помощью технических средств охраны и специального персонала, использование строгого пропускного режима, специальное оборудование помещений
ИСПДн 3 класса при многопользовательском режиме обработки ПДн и разными правами доступа к ним разных пользователей Включают полностью требования 1Д.
МЭ то ли 5, то ли 2 класса без подключения к интернету и то ли 2, то ли 5 класса при подключении к интернету
ИСПДн 2 класса при многопользовательском режиме обработки ПДн и разными правами доступа к ним разных пользователей Включают полностью требования 1Г и ИСПДн 3 класса при многопользовательском режиме обработки ПДн и разными правами доступа к ним разных пользователей
МЭ то ли 5, то ли 2 класса без подключения к интернету и то ли 2, то ли 5 класса при подключении к интернету
Из требований 1Г исключен пункт:
- учет защищаемых носителей должен проводиться в журнале (картотеке) с регистрацией их выдачи (приема)
ИСПДн 1 класса при многопользовательском режиме обработки ПДн и разными правами доступа к ним разных пользователей Включают практически полностью требования 1В (гостайна) и ИСПДн 2 класса при многопользовательском режиме обработки ПДн и разными правами доступа к ним разных пользователей
МЭ то ли 5, то ли 2 класса без подключения к интернету и то ли 2, то ли 5 класса при подключении к интернету
Дополнительно:
подсистема обеспечения целостности – включены полностью требования как и в ИСПДн 2 класса с многопользовательским режимом и равными правами доступа пользователей (частично 2Б – гостайна)

Вопрос по криптографической подсистеме (при этом данный пункт присутствует в требованиях к ИСПДн 1 класса при многопользовательском режиме обработки ПДн и равными правами доступа к ним). Хотя криптографическая подсистема здесь могла пропасть именно по причине "копипаста" 1В

Исключены пункты 1В:
- должна осуществляться идентификация программ, томов, каталогов, файлов, записей, полей записей по именам (при этом данный пункт присутствует в требованиях к ИСПДн 1 класса при многопользовательском режиме обработки ПДн и равными правами доступа к ним)
- физическая охрана с помощью технических средств охраны и специального персонала, использование строгого пропускного режима, специальное оборудование помещений
- Выдача должна сопровождаться автоматической маркировкой каждого листа (страницы) документа его последовательным номером и учетными реквизитами АС с указанием на последнем листе документа общего количества листов (страниц) (при этом данный пункт присутствует в требованиях к ИСПДн 1 класса при многопользовательском режиме обработки ПДн и равными правами доступа к ним)
- объем фактически выданного документа (количество страниц, листов, копий) и результат выдачи: успешный (весь объем), неуспешный
- имя программы (процесса, задания, задачи), осуществляющей доступ к файлу/защищаемому объекту
- вид запрашиваемой операции (чтение, запись, удаление, выполнение, расширение, монтирование, захват и т.п.)
- целостность СЗИ НСД проверяется при загрузке системы по контрольным суммам компонент СЗИ
Администратор должен иметь свой терминал и необходимые средства оперативного контроля и воздействия на безопасность АС;
- должно проводиться периодическое тестирование всех функций СЗИ НСД с помощью специальных программных средств не реже одного раза в год

Тем самым получается, что ПД 1 категории отнесены к государственной тайне - тогда возникает вопрос почему они не внесены в Перечень, сведений составляющих ГТ? При этом требования к защите объектов класса 3А/2А/1В меньше, чем требования к аналогичным по обработке ИСПДн К1 т.к. не содержат требований к защите от программно-математических воздействии (ПМВ) и требований к антивирусным подсистемам.

Бездумное копирование требований классов 3А/2А/1В (даже не везде заменен термин «ЭВМ» из РД АС на термин «компьютеры» в Основных требованиях) в требования к ИСПДн привело к тому, что были допущены ошибки, вызывающие неразбериху в определении требований, вплоть до отсылки на требования раскрытые в СТР-97 (Решение Гостехкомиссии России от 23.04.1997 г. № 55).

Напомню, что осталось пол года, а окончательных и действующих требований еще нет.
[/q]
toparenko
Модератор форума
ANTESIGNĀNUS
Откуда: СССР
Всего сообщений: 728
Рейтинг пользователя: 5


Ссылка


Дата регистрации на форуме:
7 июня 2009

curious написал:
[q]

Материал откуда?
[q]
Вчера на АРБ приводил соответствие требовний к ИСПДн и требований РД Гостехкомиссии.
[/q]
[/q]

"Основные мероприятия" (Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных) из "Четырехкнижия" ФСТЭК и РД Гостехкомиссии по АС и МЭ.
Далее банальное сравнение текстов (почувствовал что-то знакомое "до глубины души" в тексте и проверил догадку :wink: )

---
Грабли - это оружие. Бывают веерные и обычные (с) Что? Где? Когда? 30.05.2009
curious
Модератор форума

Всего сообщений: 89
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
7 июня 2009
я таки предположил:)
но все халявы хочется;)))
toparenko
Модератор форума
ANTESIGNĀNUS
Откуда: СССР
Всего сообщений: 728
Рейтинг пользователя: 5


Ссылка


Дата регистрации на форуме:
7 июня 2009

curious написал:
[q]
но все халявы хочется;)))
[/q]

Куда уж халявнее?

Берем РД АС (Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации) и РД МЭ (Руководящий документ. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа. Показатели защищенности от несанкционированного доступа к информации), которые "ни разу" не конфиденциальны, с сайта ФСТЭК - сравниваем с таблицей и получаем техтребования из "Основных мероприятий"

Для многопользовательской с разным уровенем доступа К2 можно еще залезть на банкир.ру. - см. в ветке "Персональные данные - вход в тему":

Vinni написал:
[q]
Краткий пересказ требований для многопользовательской К2 с разными правами
[/q]

---
Грабли - это оружие. Бывают веерные и обычные (с) Что? Где? Когда? 30.05.2009
toparenko
Модератор форума
ANTESIGNĀNUS
Откуда: СССР
Всего сообщений: 728
Рейтинг пользователя: 5


Ссылка


Дата регистрации на форуме:
7 июня 2009
:preved: Подсистема одной из крупнейших в мире ИСПДн (ПФ РФ) классифицирована и аттестована по 1Г, а не по спецК1 (см. ветку обсуждения) :crazy:

---
Грабли - это оружие. Бывают веерные и обычные (с) Что? Где? Когда? 30.05.2009
Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
:lol:
Ress
Новичок

Всего сообщений: 1
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
19 мая 2010
Подскажите как счтать количество ПД ? У меня больница в этом месяце пришло 500 чел в следующем 1500 а в лучшем 5000.
Если сложить за год то где-то 3000*12=36000 это понятно боле мене т.к. данные хоть и повторяются но инет в тоже время (обращения по разным причинам= значит и объекты разные). Но тут видел где то что обработанные ПД надо 75 лет хранить.
если мои 50т*75лет=3750т объектов получается. Тоесть мне клас защиты сразу установить отвечающим 75 годам или постепенно поднимать
Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009

Ress написал:
[q]

Подскажите как счтать количество ПД ? У меня больница в этом месяце пришло 500 чел в следующем 1500 а в лучшем 5000.Если сложить за год то где-то 3000*12=36000 это понятно боле мене т.к. данные хоть и повторяются но инет в тоже время (обращения по разным причинам= значит и объекты разные). Но тут видел где то что обработанные ПД надо 75 лет хранить.если мои 50т*75лет=3750т объектов получается. Тоесть мне клас защиты сразу установить отвечающим 75 годам или постепенно поднимать
[/q]


Вообще можно просто посчитать количество записей таблицы, где хранятся ФИО (у Вас же все в БД хранится, насколько я понимаю).
Это и будет самая реалистичная оценка.
С другой стороны зачем Вам хранить в БД данные за все время? ПД нужны для какой-то цели. Если она выполнена (пациент вылечен и т.д.), то ПД нужно удалять. Это - один из принципов обработки ПД.
Вам надо разобраться сначала с целями обработки и сроками хранения данных согласно тем или иным нормативным актам (что-то я про 75 лет не слышал - уточните у того, кто говорил это, на основании какого ФЗ был сделан такой вывод)

toparenko
Модератор форума
ANTESIGNĀNUS
Откуда: СССР
Всего сообщений: 728
Рейтинг пользователя: 5


Ссылка


Дата регистрации на форуме:
7 июня 2009

Ress написал:
[q]

Подскажите как счтать количество ПД ? У меня больница в этом месяце пришло 500 чел в следующем 1500 а в лучшем 5000.Если сложить за год то где-то 3000*12=36000 это понятно боле мене т.к. данные хоть и повторяются но инет в тоже время (обращения по разным причинам= значит и объекты разные). Но тут видел где то что обработанные ПД надо 75 лет хранить.если мои 50т*75лет=3750т объектов получается. Тоесть мне клас защиты сразу установить отвечающим 75 годам или постепенно поднимать
[/q]

Обычно считается количество одновременно обрабатываемых - например:
- на терминале отображается в каждый момент не более 1 записи - значит считем 1 запись
- в базе одновременно хранится х000000 записей - значит это количество записей...

Но смысл считать для больницы? :wonder1: Спецкатегория ПДн (была бы типовая =К1 - хоть десять субъектов, хоть в масштабах всей Страны) и по приказу трех спецИСПДн
Здесь скорее следует смотреть травма/реанимация или вендиспансер - в первом случае критичнее опознать и помочь, а во втором от разглашения диагноза уже возможен ущерб "подцепившему" (например супруг/супруга "пришибет" за загул налево)...

75 лет - это для хранения ПДн персонала.
Мед. данные вроде порядка 25 лет хранятся.

---
Грабли - это оружие. Бывают веерные и обычные (с) Что? Где? Когда? 30.05.2009
<<Назад  Вперед>>Страницы: 1 2 3 * 4
Печать
Форум Сообщества Практиков Конкурентной разведки (СПКР) »   Теория и практика работы с персональными данными »   Классификация ИСПДн
RSS

Последние RSS
Open Source Intelligence (OSINT) Tools and Resources Handbook
Top tips on gathering information about companies by using free online sources
Новое на блоге HRразведка
Безопасность данных в MS Access
Слово как улика
20 Recon and Intel Gathering Tools used by InfoSec Professionals
What’s Changed?
10 альтернативных поисковиков
Ситуационный центр главы Республики Коми
Развёртывание ситуационных центров на базе технологии Avalanche
Как принимать сложные решения. Советы бывшего оперативника ЦРУ.
Открытая информация о "Новичке" из сети интернет.
Ген. директор "ОЗХО" Ахмет Узюмдж о "Новичке" и хим. атаке в Сирии
Онлайн-сервисы для Twitter
Коллекция для Twitter
Приложение Opera VPN закрывается
О работе разведки
Deep web и 11 поисковиков по нему
Об изначальной "лживости" любых документов
Обновление на блоге HRазведка

Самые активные 20 тем RSS
Стандартные источники информации в СайтСпутнике
Слово как улика
Open Source Intelligence (OSINT) Tools and Resources Handbook