Классификация ИСПДн

Форум Сообщества Практиков Конкурентной разведки (СПКР)

Конкурентная разведка, Бизнес-разведка, Корпоративная разведка,
Деловая разведка по открытым источникам в бизнесе.
Работаем строго в рамках закона.

Дезинформация и активные мероприятия в бизнесе
Форум Сообщества Практиков Конкурентной разведки (СПКР) »   Теория и практика работы с персональными данными »   Классификация ИСПДн
RSS

Классификация ИСПДн

<<Назад  Вперед>>Страницы: 1 2 3 4
Печать
 
Vinni
Администратор

Всего сообщений: 2711
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009

toparenko написал:
[q]
Здесь уже видимо не кадровая ИСПД
[/q]


Да, это не кадровая система. :wink:


toparenko написал:
[q]
Наверно не Х_пд, а класс ИСПД не К2, а К3? :wink:
[/q]


Да нет - как раз Х_пд. Хочется уйти с К1 на К2. И варианты с сегментацией в связи с спецификой системы крайне трудны в реализации... :wonder1:
toparenko
Модератор форума
ANTESIGNĀNUS
Откуда: СССР
Всего сообщений: 728
Рейтинг пользователя: 5


Ссылка


Дата регистрации на форуме:
7 июня 2009

Vinni написал:
[q]
Да нет - как раз Х_пд.
[/q]

Тогда надо смотреть конкретно почему именно Х_пд=2, а не Х_пд=3 или Х_пд=4.

toparenko написал:
[q]
1 вариант (небесспорный) - паспорт у нас является основным идентифицирующим документом т.ч. все, что есть в паспорте относим к Xнпд=3
[/q]

Уменьшить расходы можно переведя пользователей на терминальный доступ к базе - тогда только серверная будет ИСПД.

---
Грабли - это оружие. Бывают веерные и обычные (с) Что? Где? Когда? 30.05.2009
toparenko
Модератор форума
ANTESIGNĀNUS
Откуда: СССР
Всего сообщений: 728
Рейтинг пользователя: 5


Ссылка


Дата регистрации на форуме:
7 июня 2009

Vinni написал:
[q]
Хочется уйти с К1 на К2
[/q]

Как вариант: раз К1 - значит криптуха. Посмотри, что будет если уйти полностью на ФСБ-ные требования.

---
Грабли - это оружие. Бывают веерные и обычные (с) Что? Где? Когда? 30.05.2009
Vinni
Администратор

Всего сообщений: 2711
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009

toparenko написал:
[q]
Тогда надо смотреть конкретно почему именно Х_пд=2, а не Х_пд=3 или Х_пд=4.
[/q]


Вот это самое интересное - я нигде не нашел внятных критериев отнесения к Х_пд=2. А поскольку понятие ПД очень размыто, то любую информацию, связанную с конкретным человеком потенциально можно отнести к ПД, и сказать, что Х_пд=2. :reful:


toparenko написал:
[q]
Уменьшить расходы можно переведя пользователей на терминальный доступ к базе - тогда только серверная будет ИСПД.
[/q]


Это да. Но это уже оптимизация внутри класса. а меня прежде всего интересует оптимизация класса ИСПД :tuktuk:
toparenko
Модератор форума
ANTESIGNĀNUS
Откуда: СССР
Всего сообщений: 728
Рейтинг пользователя: 5


Ссылка


Дата регистрации на форуме:
7 июня 2009

Vinni написал:
[q]
А поскольку понятие ПД очень размыто, то любую информацию, связанную с конкретным человеком потенциально можно отнести к ПД, и сказать, что Х_пд=2
[/q]

Вот именно, что очень размыто. С таким же успехом можно и сказать, что Х_пд=3. :wink:
Определяет то оператор.

Дело новое, четких критериев нет - оператор может и "ошибиться"

---
Грабли - это оружие. Бывают веерные и обычные (с) Что? Где? Когда? 30.05.2009
Vinni
Администратор

Всего сообщений: 2711
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009

toparenko написал:
[q]

Vinni написал:
[q]
А поскольку понятие ПД очень размыто, то любую информацию, связанную с конкретным человеком потенциально можно отнести к ПД, и сказать, что Х_пд=2
[/q]
Вот именно, что очень размыто. С таким же успехом можно и сказать, что Х_пд=3. Определяет то оператор.Дело новое, четких критериев нет - оператор может и "ошибиться"
[/q]


Понятно. Да пребудет с нами Сила! :drinks:
Vinni
Администратор

Всего сообщений: 2711
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009

toparenko написал:
[q]

Vinni написал:
[q]
Хочется уйти с К1 на К2
[/q]
Как вариант: раз К1 - значит криптуха. Посмотри, что будет если уйти полностью на ФСБ-ные требования.
[/q]


Хм. Вариант интересный.
Только не выйдет без подсистем управления доступом и регистрации СЗИ построить... :bottle:

toparenko
Модератор форума
ANTESIGNĀNUS
Откуда: СССР
Всего сообщений: 728
Рейтинг пользователя: 5


Ссылка


Дата регистрации на форуме:
7 июня 2009

Vinni написал:
[q]

toparenko написал:
[q]
Vinni написал:
[q]
Хочется уйти с К1 на К2
[/q]
Как вариант: раз К1 - значит криптуха. Посмотри, что будет если уйти полностью на ФСБ-ные требования.
[/q]
Хм. Вариант интересный. Только не выйдет без подсистем управления доступом и регистрации СЗИ построить...
[/q]

Это уже из модели угроз :wink:

---
Грабли - это оружие. Бывают веерные и обычные (с) Что? Где? Когда? 30.05.2009
Vinni
Администратор

Всего сообщений: 2711
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
В продолжение - читаю на zki.infosec.ru/faq/
[q]


[q]

Что относится к дополнительной информации при классификации ИСПДн? (пожалуйста со ссылкой на регламентирующие документы). Наиболее распространенные категории ПДн вторая и третья различаются наличием только дополнительной информации. Например Форма Т-2 кадровой службы до 1000 сотрудников.
[/q]


Не могу выполнить Вашу просьбу о ссылке на нормативные документы. Их нет.
Форма Т-2 –категория 2, персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию. Исходите из целей обработки и здравого смысла. Телефонный справочник или СКУД – категория 3, информация именно для идентификации, исходя из цели обработки.
[/q]


Судя по примеру, под категорию 3 ПД могут подпадать не только пропускные системы, но и ряд других, если цель обработки включает в себя принятие решения о чем-то на основе идентификации человека по каким-то признакам. Но на самом деле ведь решение о чем-то принимается на основе не только идентификации, но и некой дополнительной информации :wink: Идентификация человека служит первым шагом в принятии решения.
В случае пропускной системы - это допуск человека в какое-то помещение и решение принимается на основе информации о нахождении данного человека в некоем списке (неважно, бумажном или электронном).
Аналогично будет приниматься решение о предоставлении каких-либо услуг на каком-то веб-сайте - идентификация человека, например, по логину и паролю на веб-сайте и допуск его на сайт, если этот логин находится в некотором списке доступа.
Еще пример - разрешение человеку звонить по сотовому телефону (идентификация по IMSI, аутентификация и проверка баланса)

Могу я сформулировать принцип - если в ИСПДн при реализации цели обработки ПД используется только для идентификации человека, то в этой системе обрабатывается класс 3 ПД? :evil:

Еще дополнение - если в ИСПД хранится финансовая информация, то она связана не с конкретным человеком, а с обезличенным пользователем с неким идентификатором и не является частью ПД :tank:
toparenko
Модератор форума
ANTESIGNĀNUS
Откуда: СССР
Всего сообщений: 728
Рейтинг пользователя: 5


Ссылка


Дата регистрации на форуме:
7 июня 2009
Вчера на АРБ приводил соответствие требовний к ИСПДн и требований РД Гостехкомиссии.
Привожу здесь полностью "домашнюю заготовку": :wink:
ИСПДн 3 класса при однопользовательском режиме обработки ПДнВключают полностью требования 3Б и МЭ 5 класса, при подключении к интернету
ИСПДн 2 класса при однопользовательском режиме обработки ПДнВключают полностью требования 3Б, ИСПДн 3 класса при однопользовательском режиме обработки ПДн и МЭ 3 класса, при подключении к интернету
ИСПДн 1 класса при однопользовательском режиме обработки ПДнВключают полностью требования 3А (гостайна! – исключен лишь пункт о регистрации успешной/неуспешной попытке входа), ИСПДн 2 класса при однопользовательском режиме обработки ПДн и МЭ 2 класса, при подключении к интернету
Непонятно зачем это при однопользовательском режиме:
а) в подсистеме управления доступом:
импорт и экспорт объектов (сообщений, данных, программ и т.п.) должен выполняться субъектом доступа со специальной ролью «оператора ввода/вывода»;
для каждого субъекта доступа должен быть определен перечень исполняемых модулей, которые он может активизировать;
аутентификационная информация субъектов доступа должна быть защищена от НСД нарушителя;
б) в подсистеме регистрации и учета:
импорт и экспорт объектов (сообщений, данных, программ и т.п.) должен выполняться субъектом доступа со специальной ролью «оператора ввода/вывода»;
для каждого субъекта доступа должен быть определен перечень исполняемых модулей, которые он может активизировать
ИСПДн 3 класса при многопользовательском режиме обработки ПДн и равными правами доступа к нимВключают полностью требования 2Б, ИСПДн 3 класса при однопользовательском режиме обработки ПДн.
МЭ 5 класса, при отсутствии подключения к интеренту или МЭ 2 класса, при подключении к интернету
ИСПДн 2 класса при многопользовательском режиме обработки ПДн и равными правами доступа к нимВключают частично требования 2А (гостайна!) и полностью ИСПДн 3 класса при многопользовательском режиме обработки ПДн и равными правами доступа к ним.
МЭ 5 класса, при отсутствии подключения к интеренту или МЭ 2 класса, при подключении к интернету
ИСПДн 1 класса при многопользовательском режиме обработки ПДн и равными правами доступа к нимВключают полностью требования 2А (гостайна!) и полностью ИСПДн 2 класса при многопользовательском режиме обработки ПДн и равными правами доступа к ним
МЭ 5 класса, при отсутствии подключения к интеренту или МЭ 2 класса, при подключении к интернету
Из 2А исключены только следующие требования:
- учет защищаемых носителей должен проводиться в журнале (картотеке) с регистрацией их выдачи (приема)
- физическая охрана с помощью технических средств охраны и специального персонала, использование строгого пропускного режима, специальное оборудование помещений
ИСПДн 3 класса при многопользовательском режиме обработки ПДн и разными правами доступа к ним разных пользователейВключают полностью требования 1Д.
МЭ то ли 5, то ли 2 класса без подключения к интернету и то ли 2, то ли 5 класса при подключении к интернету
ИСПДн 2 класса при многопользовательском режиме обработки ПДн и разными правами доступа к ним разных пользователейВключают полностью требования 1Г и ИСПДн 3 класса при многопользовательском режиме обработки ПДн и разными правами доступа к ним разных пользователей
МЭ то ли 5, то ли 2 класса без подключения к интернету и то ли 2, то ли 5 класса при подключении к интернету
Из требований 1Г исключен пункт:
- учет защищаемых носителей должен проводиться в журнале (картотеке) с регистрацией их выдачи (приема)
ИСПДн 1 класса при многопользовательском режиме обработки ПДн и разными правами доступа к ним разных пользователейВключают практически полностью требования 1В (гостайна) и ИСПДн 2 класса при многопользовательском режиме обработки ПДн и разными правами доступа к ним разных пользователей
МЭ то ли 5, то ли 2 класса без подключения к интернету и то ли 2, то ли 5 класса при подключении к интернету
Дополнительно:
подсистема обеспечения целостности – включены полностью требования как и в ИСПДн 2 класса с многопользовательским режимом и равными правами доступа пользователей (частично 2Б – гостайна)

Вопрос по криптографической подсистеме (при этом данный пункт присутствует в требованиях к ИСПДн 1 класса при многопользовательском режиме обработки ПДн и равными правами доступа к ним). Хотя криптографическая подсистема здесь могла пропасть именно по причине "копипаста" 1В

Исключены пункты 1В:
- должна осуществляться идентификация программ, томов, каталогов, файлов, записей, полей записей по именам (при этом данный пункт присутствует в требованиях к ИСПДн 1 класса при многопользовательском режиме обработки ПДн и равными правами доступа к ним)
- физическая охрана с помощью технических средств охраны и специального персонала, использование строгого пропускного режима, специальное оборудование помещений
- Выдача должна сопровождаться автоматической маркировкой каждого листа (страницы) документа его последовательным номером и учетными реквизитами АС с указанием на последнем листе документа общего количества листов (страниц) (при этом данный пункт присутствует в требованиях к ИСПДн 1 класса при многопользовательском режиме обработки ПДн и равными правами доступа к ним)
- объем фактически выданного документа (количество страниц, листов, копий) и результат выдачи: успешный (весь объем), неуспешный
- имя программы (процесса, задания, задачи), осуществляющей доступ к файлу/защищаемому объекту
- вид запрашиваемой операции (чтение, запись, удаление, выполнение, расширение, монтирование, захват и т.п.)
- целостность СЗИ НСД проверяется при загрузке системы по контрольным суммам компонент СЗИ
Администратор должен иметь свой терминал и необходимые средства оперативного контроля и воздействия на безопасность АС;
- должно проводиться периодическое тестирование всех функций СЗИ НСД с помощью специальных программных средств не реже одного раза в год
Тем самым получается, что ПД 1 категории отнесены к государственной тайне - тогда возникает вопрос почему они не внесены в Перечень, сведений составляющих ГТ? При этом требования к защите объектов класса 3А/2А/1В меньше, чем требования к аналогичным по обработке ИСПДн К1 т.к. не содержат требований к защите от программно-математических воздействии (ПМВ) и требований к антивирусным подсистемам.

Бездумное копирование требований классов 3А/2А/1В (даже не везде заменен термин «ЭВМ» из РД АС на термин «компьютеры» в Основных требованиях) в требования к ИСПДн привело к тому, что были допущены ошибки, вызывающие неразбериху в определении требований, вплоть до отсылки на требования раскрытые в СТР-97 (Решение Гостехкомиссии России от 23.04.1997 г. № 55).

Напомню, что осталось пол года, а окончательных и действующих требований еще нет.

---
Грабли - это оружие. Бывают веерные и обычные (с) Что? Где? Когда? 30.05.2009
<<Назад  Вперед>>Страницы: 1 2 3 4
Печать
Форум Сообщества Практиков Конкурентной разведки (СПКР) »   Теория и практика работы с персональными данными »   Классификация ИСПДн
RSS

Последние RSS
шантаж, угрозы по Интернету
Практически весь интернет становится русскоязычным
SiteSputnik. Об одном подходе к мониторингу Телеграм
Безопасность при работе на ПК
Книги о критическом мышлении
Наказывать за вмешательство в частную жизнь, Верховный суд
CI Academic Materials
CiMi.CON Evolution USA
Поиск в КЭШ поисковиков по запросу и пакету запросов
СайтСпутник: Многоязычность, Юникод, MS ACCESS
Новый курс OSINT от АИС
Год тюрьмы за отказ удалять
Книга "Строим доверие по методикам спецслужб"
аналог "Консультанта" о зарубежном законодательстве
Открытые данные ФНС
Получаем информацию по VIN
Competitive-Market Intelligence Conference, Berlin 2018
Не все VPN-сервисы одинаково полезны
«Яндекс» научился выдавать в поиске не скрытые Google-документы. Правда лавочку
War and marketing: 1937 July 7th vs. 2018 July 1st

Самые активные 20 тем RSS