Классификация ИСПДн

Форум Сообщества Практиков Конкурентной разведки (СПКР)

Конкурентная разведка, Бизнес-разведка, Корпоративная разведка,
Деловая разведка по открытым источникам в бизнесе.
Работаем строго в рамках закона.

Дезинформация и активные мероприятия в бизнесе
Форум Сообщества Практиков Конкурентной разведки (СПКР) »   Теория и практика работы с персональными данными »   Классификация ИСПДн
RSS

Классификация ИСПДн

<<Назад  Вперед>>Страницы: 1 2 3 4
Печать
 
Sprinter
Участник
Скептик
Откуда: Откуда и все
Всего сообщений: 96
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
24 июня 2009
Тут вообще очень много непонятного - вот например в личной карточке в кадрах присутствует фото, а это данные, позволяющие определить рассовую принадлежность. соответственно К1 выходит :wonder:
toparenko
Модератор форума
ANTESIGNĀNUS
Откуда: СССР
Всего сообщений: 728
Рейтинг пользователя: 5


Ссылка


Дата регистрации на форуме:
7 июня 2009

Sprinter написал:
[q]
вот например в личной карточке в кадрах присутствует фото
[/q]

См. соседнюю ветку Персональные данные и фото/видеонаблюдение

Sprinter написал:
[q]
это данные, позволяющие определить рассовую принадлежность. соответственно К1 выходит
[/q]

Опеределите национальность по фото:

---
Грабли - это оружие. Бывают веерные и обычные (с) Что? Где? Когда? 30.05.2009
Sprinter
Участник
Скептик
Откуда: Откуда и все
Всего сообщений: 96
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
24 июня 2009

toparenko написал:
[q]
Опеределите национальность по фото:
[/q]

А кто говорит про национальность? В 152 ФЗ говорится ещё и про рассовую принадлежность, что сильно облегчает определение данного критерия по фото
toparenko
Модератор форума
ANTESIGNĀNUS
Откуда: СССР
Всего сообщений: 728
Рейтинг пользователя: 5


Ссылка


Дата регистрации на форуме:
7 июня 2009

Sprinter написал:
[q]
А кто говорит про национальность? В 152 ФЗ говорится ещё и про рассовую принадлежность, что сильно облегчает определение данного критерия по фото
[/q]

После монголо-татарского ига большая часть населения РФ имеет "коктейль" из монголоидной и европеидной рас (в разной консистенции) - т.ч. определить расовую принадлежность по фото (для подавляющего большинства) можно с точностью +/- "два локтя по карте" :lol:

Только по указанному фото Вы способны определить рассовую/национальную принадлежность и состояние здоровья (на момент съемки)?

---
Грабли - это оружие. Бывают веерные и обычные (с) Что? Где? Когда? 30.05.2009
Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
ссылка почти в тему - как защищать свою классификацию :evil:


_ttp://dom.bankir.ru/showthread.php?t=78706&page=26
[q]

Вы правы, неоднозначно. Более того, это наглость и авантюра. Но может сложиться ситуация, когда другого выхода просто нет.

Основной принцип надзорной деятельности - перезумпция добросовестности, она прописана в соответствующем законе.

Оператор оценивает класс ИСПД, в том числе - ее категорию исходя из количества субъектов. Если оператор утверждает, что субъектов меньше 1000, а надзорный орган уверен в обратном, в соответствии с законом он должен привести объективные свидетельства. Чтобы получить свидетельства, регулятор вынужден запросить у оператора доступ к какой-то информации. Теперь поставьте себя на место регулятора - как вы запрос сформулируете?

"Предоставьте нам сведения о количестве субъектов"? Получите письмо с указанной в акте классификации цифрой.
"Предоставьте доступ к информационной системе"? Получите вежливый отказ со ссылкой на процитированную статью закона. Для верности - со ссылкой на то, что это ИСПД с равноправными пользоватеолями, и технической невозможностью исключить доступ проверяющего к персональным данным.
"Предоставьте доступ к базе данных"? "Предоставьте техническую возможность для подсчета записей"? К какой базе? Каких записей? Все та же проблема идентификации актива

А дальше - лзамкнутый круг. Чтобы получить доступ, нужно доказать, что это неправда. А чтобюы доказать, что это неправда, нужно получить доступ.

Для персональных данных практики нет, а вот попытки налоговых органов получить дополнительную информацию при проверке таким макаром успешно отбивались.
[/q]
curious
Модератор форума

Всего сообщений: 89
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
7 июня 2009

Материал откуда?
[q]
Вчера на АРБ приводил соответствие требовний к ИСПДн и требований РД Гостехкомиссии.
Привожу здесь полностью "домашнюю заготовку": ИСПДн 3 класса при однопользовательском режиме обработки ПДн Включают полностью требования 3Б и МЭ 5 класса, при подключении к интернету
ИСПДн 2 класса при однопользовательском режиме обработки ПДн Включают полностью требования 3Б, ИСПДн 3 класса при однопользовательском режиме обработки ПДн и МЭ 3 класса, при подключении к интернету
ИСПДн 1 класса при однопользовательском режиме обработки ПДн Включают полностью требования 3А (гостайна! – исключен лишь пункт о регистрации успешной/неуспешной попытке входа), ИСПДн 2 класса при однопользовательском режиме обработки ПДн и МЭ 2 класса, при подключении к интернету
Непонятно зачем это при однопользовательском режиме:
а) в подсистеме управления доступом:
импорт и экспорт объектов (сообщений, данных, программ и т.п.) должен выполняться субъектом доступа со специальной ролью «оператора ввода/вывода»;
для каждого субъекта доступа должен быть определен перечень исполняемых модулей, которые он может активизировать;
аутентификационная информация субъектов доступа должна быть защищена от НСД нарушителя;
б) в подсистеме регистрации и учета:
импорт и экспорт объектов (сообщений, данных, программ и т.п.) должен выполняться субъектом доступа со специальной ролью «оператора ввода/вывода»;
для каждого субъекта доступа должен быть определен перечень исполняемых модулей, которые он может активизировать
ИСПДн 3 класса при многопользовательском режиме обработки ПДн и равными правами доступа к ним Включают полностью требования 2Б, ИСПДн 3 класса при однопользовательском режиме обработки ПДн.
МЭ 5 класса, при отсутствии подключения к интеренту или МЭ 2 класса, при подключении к интернету
ИСПДн 2 класса при многопользовательском режиме обработки ПДн и равными правами доступа к ним Включают частично требования 2А (гостайна!) и полностью ИСПДн 3 класса при многопользовательском режиме обработки ПДн и равными правами доступа к ним.
МЭ 5 класса, при отсутствии подключения к интеренту или МЭ 2 класса, при подключении к интернету
ИСПДн 1 класса при многопользовательском режиме обработки ПДн и равными правами доступа к ним Включают полностью требования 2А (гостайна!) и полностью ИСПДн 2 класса при многопользовательском режиме обработки ПДн и равными правами доступа к ним
МЭ 5 класса, при отсутствии подключения к интеренту или МЭ 2 класса, при подключении к интернету
Из 2А исключены только следующие требования:
- учет защищаемых носителей должен проводиться в журнале (картотеке) с регистрацией их выдачи (приема)
- физическая охрана с помощью технических средств охраны и специального персонала, использование строгого пропускного режима, специальное оборудование помещений
ИСПДн 3 класса при многопользовательском режиме обработки ПДн и разными правами доступа к ним разных пользователей Включают полностью требования 1Д.
МЭ то ли 5, то ли 2 класса без подключения к интернету и то ли 2, то ли 5 класса при подключении к интернету
ИСПДн 2 класса при многопользовательском режиме обработки ПДн и разными правами доступа к ним разных пользователей Включают полностью требования 1Г и ИСПДн 3 класса при многопользовательском режиме обработки ПДн и разными правами доступа к ним разных пользователей
МЭ то ли 5, то ли 2 класса без подключения к интернету и то ли 2, то ли 5 класса при подключении к интернету
Из требований 1Г исключен пункт:
- учет защищаемых носителей должен проводиться в журнале (картотеке) с регистрацией их выдачи (приема)
ИСПДн 1 класса при многопользовательском режиме обработки ПДн и разными правами доступа к ним разных пользователей Включают практически полностью требования 1В (гостайна) и ИСПДн 2 класса при многопользовательском режиме обработки ПДн и разными правами доступа к ним разных пользователей
МЭ то ли 5, то ли 2 класса без подключения к интернету и то ли 2, то ли 5 класса при подключении к интернету
Дополнительно:
подсистема обеспечения целостности – включены полностью требования как и в ИСПДн 2 класса с многопользовательским режимом и равными правами доступа пользователей (частично 2Б – гостайна)

Вопрос по криптографической подсистеме (при этом данный пункт присутствует в требованиях к ИСПДн 1 класса при многопользовательском режиме обработки ПДн и равными правами доступа к ним). Хотя криптографическая подсистема здесь могла пропасть именно по причине "копипаста" 1В

Исключены пункты 1В:
- должна осуществляться идентификация программ, томов, каталогов, файлов, записей, полей записей по именам (при этом данный пункт присутствует в требованиях к ИСПДн 1 класса при многопользовательском режиме обработки ПДн и равными правами доступа к ним)
- физическая охрана с помощью технических средств охраны и специального персонала, использование строгого пропускного режима, специальное оборудование помещений
- Выдача должна сопровождаться автоматической маркировкой каждого листа (страницы) документа его последовательным номером и учетными реквизитами АС с указанием на последнем листе документа общего количества листов (страниц) (при этом данный пункт присутствует в требованиях к ИСПДн 1 класса при многопользовательском режиме обработки ПДн и равными правами доступа к ним)
- объем фактически выданного документа (количество страниц, листов, копий) и результат выдачи: успешный (весь объем), неуспешный
- имя программы (процесса, задания, задачи), осуществляющей доступ к файлу/защищаемому объекту
- вид запрашиваемой операции (чтение, запись, удаление, выполнение, расширение, монтирование, захват и т.п.)
- целостность СЗИ НСД проверяется при загрузке системы по контрольным суммам компонент СЗИ
Администратор должен иметь свой терминал и необходимые средства оперативного контроля и воздействия на безопасность АС;
- должно проводиться периодическое тестирование всех функций СЗИ НСД с помощью специальных программных средств не реже одного раза в год

Тем самым получается, что ПД 1 категории отнесены к государственной тайне - тогда возникает вопрос почему они не внесены в Перечень, сведений составляющих ГТ? При этом требования к защите объектов класса 3А/2А/1В меньше, чем требования к аналогичным по обработке ИСПДн К1 т.к. не содержат требований к защите от программно-математических воздействии (ПМВ) и требований к антивирусным подсистемам.

Бездумное копирование требований классов 3А/2А/1В (даже не везде заменен термин «ЭВМ» из РД АС на термин «компьютеры» в Основных требованиях) в требования к ИСПДн привело к тому, что были допущены ошибки, вызывающие неразбериху в определении требований, вплоть до отсылки на требования раскрытые в СТР-97 (Решение Гостехкомиссии России от 23.04.1997 г. № 55).

Напомню, что осталось пол года, а окончательных и действующих требований еще нет.
[/q]
toparenko
Модератор форума
ANTESIGNĀNUS
Откуда: СССР
Всего сообщений: 728
Рейтинг пользователя: 5


Ссылка


Дата регистрации на форуме:
7 июня 2009

curious написал:
[q]

Материал откуда?
[q]
Вчера на АРБ приводил соответствие требовний к ИСПДн и требований РД Гостехкомиссии.
[/q]
[/q]

"Основные мероприятия" (Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных) из "Четырехкнижия" ФСТЭК и РД Гостехкомиссии по АС и МЭ.
Далее банальное сравнение текстов (почувствовал что-то знакомое "до глубины души" в тексте и проверил догадку :wink: )

---
Грабли - это оружие. Бывают веерные и обычные (с) Что? Где? Когда? 30.05.2009
curious
Модератор форума

Всего сообщений: 89
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
7 июня 2009
я таки предположил:)
но все халявы хочется;)))
toparenko
Модератор форума
ANTESIGNĀNUS
Откуда: СССР
Всего сообщений: 728
Рейтинг пользователя: 5


Ссылка


Дата регистрации на форуме:
7 июня 2009

curious написал:
[q]
но все халявы хочется;)))
[/q]

Куда уж халявнее?

Берем РД АС (Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации) и РД МЭ (Руководящий документ. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа. Показатели защищенности от несанкционированного доступа к информации), которые "ни разу" не конфиденциальны, с сайта ФСТЭК - сравниваем с таблицей и получаем техтребования из "Основных мероприятий"

Для многопользовательской с разным уровенем доступа К2 можно еще залезть на банкир.ру. - см. в ветке "Персональные данные - вход в тему":

Vinni написал:
[q]
Краткий пересказ требований для многопользовательской К2 с разными правами
[/q]

---
Грабли - это оружие. Бывают веерные и обычные (с) Что? Где? Когда? 30.05.2009
toparenko
Модератор форума
ANTESIGNĀNUS
Откуда: СССР
Всего сообщений: 728
Рейтинг пользователя: 5


Ссылка


Дата регистрации на форуме:
7 июня 2009
:preved: Подсистема одной из крупнейших в мире ИСПДн (ПФ РФ) классифицирована и аттестована по 1Г, а не по спецК1 (см. ветку обсуждения) :crazy:

---
Грабли - это оружие. Бывают веерные и обычные (с) Что? Где? Когда? 30.05.2009
<<Назад  Вперед>>Страницы: 1 2 3 4
Печать
Форум Сообщества Практиков Конкурентной разведки (СПКР) »   Теория и практика работы с персональными данными »   Классификация ИСПДн
RSS

Последние RSS
Top tips on gathering information about companies by using free online sources
Новое на блоге HRразведка
Безопасность данных в MS Access
Слово как улика
20 Recon and Intel Gathering Tools used by InfoSec Professionals
What’s Changed?
10 альтернативных поисковиков
Ситуационный центр главы Республики Коми
Развёртывание ситуационных центров на базе технологии Avalanche
Как принимать сложные решения. Советы бывшего оперативника ЦРУ.
Открытая информация о "Новичке" из сети интернет.
Ген. директор "ОЗХО" Ахмет Узюмдж о "Новичке" и хим. атаке в Сирии
Онлайн-сервисы для Twitter
Коллекция для Twitter
Приложение Opera VPN закрывается
О работе разведки
Deep web и 11 поисковиков по нему
Об изначальной "лживости" любых документов
Обновление на блоге HRазведка
методическое пособие

Самые активные 20 тем RSS
Слово как улика
Top tips on gathering information about companies by using free online sources
Новое на блоге HRразведка
WebSite Watcher
Безопасность данных в MS Access