Персональные данные - вход в тему

Форум Сообщества Практиков Конкурентной разведки (СПКР)

Конкурентная разведка, Бизнес-разведка, Корпоративная разведка,
Деловая разведка по открытым источникам в бизнесе.
Работаем строго в рамках закона.

Дезинформация и активные мероприятия в бизнесе
Форум Сообщества Практиков Конкурентной разведки (СПКР) »   Теория и практика работы с персональными данными »   Персональные данные - вход в тему
RSS

Персональные данные - вход в тему

<<Назад  Вперед>>Страницы: 1 2 3 4 5 6 7
Печать
 
Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
и еще интересные документы :good: про защиту ПД в одном из банковских продуктов

_ttp://dom.bankir.ru/showpost.php?p=2604541&postcount=2652

[q]

Настоящая информация адресована банкам, эксплуатирующим программные продукты ЦФТ на базе Платформы развития: ЦФТ-Банк, ЦФТ-Ритейл Банк, ЦФТ-Фронт Офис (в дальнейшем ИС), и заинтересованным в сотрудничестве с целью успешного прохождения проверки регулирующими органами выполнения законодательных требований по защите персональных данных.
...
специалисты ЦФТ подготовили предусмотренный действующими требованиями набор типовых документов, которые способны помочь банку провести мероприятия по защите персональных данных и прохождению проверки регулирующих органов. А именно:
- Анализ и режим обработки ПДн ИС,
- Модель угроз,
- Модель злоумышленника,
- Анализ соответствия требованиям ИС.
[/q]


Особо полезны последние два :wink:
Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009

на форуме Банкир.Ру в теме "Стандарты и методики по ИБ (файлы, ссылки, поиск) " появилась информация, где скачать документы с требованиями ФСТЭК :lol:



Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
Так как в ряде случаев необходимо получать лицензию ТКЗИ, то требуется иметь аттестованную автоматизированную систему и защищенное помещение. Вот примеры полного комплекта документов для них, которые необходимо разработать для успешного прохождения аттестации :wink:
Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
а вот на сайте ФСТЭК все-таки появились два из четырех документов про защиту ПД -
Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных и Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных

:goodbuy:
[q]

Применительно к специальным информационным системам после определения класса системы оператором должна быть разработана модель угроз безопасности персональных данных с использованием методических документов, разрабатываемых в соответствии с пунктом 2 постановления Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» ,
и проведена оценка актуальности угроз. По результатам оценки требования
по защите ИСПДн от различных угроз могут быть скорректированы
по сравнению с типовыми, приведенными в разделе 5.
[/q]


Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
на сайте РСКН появился "Проект Административного регламента проведения проверок при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных"

[q]

73. В ходе проведения проверки Служба или ее территориальный орган осуществляют следующие мероприятия по контролю:
...
73.1.7. о порядке обработки персональных данных, осуществляемой без использования средств автоматизации;
73.1.8. о соблюдении требований конфиденциальности при обработке персональных данных;
...
[/q]


[q]

77.3.1. В приказе о проведении документарной проверки указывается перечень запрашиваемых документов и сведений.
77.3.2. Примерный перечень запрашиваемых документов:
учредительные документы Оператора;
копия уведомления об обработке персональных данных;
положение о порядке обработки персональных данных;
положение о подразделении, осуществляющем функции по организации защиты персональных данных;
должностные регламенты лиц, имеющих доступ и (или) осуществляющих обработку персональных данных;
план мероприятий по защите персональных данных;
план внутренних проверок состояния защиты персональных данных;
приказ о назначении ответственных лиц по работе с персональными данными;
типовые формы документов, предполагающие или допускающие содержание персональных данных;
журналы, реестры, книги, содержащие персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится Оператор, или в иных аналогичных целях;
договоры с субъектами персональных данных, лицензии на виды деятельности, в рамках которых осуществляется обработка персональных данных;
выписки из ЕГРЮЛ, содержащие актуальные данные на момент проведения проверки;
приказы об утверждении мест хранения материальных носителей персональных данных;
письменное согласие субъектов персональных данных на обработку их персональных данных (типовая форма);
распечатки электронных шаблонов полей, содержащие персональные данные;
справки о постановке на балансовый учет ПЭВМ, на которых осуществляется обработка персональных данных;
заключения экспертизы ФСБ России, ФСТЭК России об оценке соответствия средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке (проверяется только наличие данных документов);
приказ о создании комиссии и акты проведения классификации информационных систем персональных данных (проверяется только наличие данных документов);
журналы (книги) учета обращений граждан (субъектов персональных данных);
акт об уничтожении персональных данных субъекта(ов) персональных данных (в случае достижения цели обработки);
иные документы, отражающие исполнение Оператором требований законодательства Российской Федерации в области персональных данных.
...

79. При проведении проверки должностные лица Службы и (или) ее территориальных органов не вправе:
79.1. проверять выполнение обязательных требований и требований, установленных нормативными правовыми актами в области персональных данных, если такие требования не относятся к полномочиям Службы;

[/q]


Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
_ttp://lukatsky.blogspot.com/2009/10/blog-post_07.html

[q]

Одно из региональных управлений ФСТЭК выпустило "Методические рекомендации по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных". Иными словами это методичка как пользоваться методическими документами ФСТЭК, известными всем под названием "четверокнижие".

По сути своей этот 58-тистраничный документ представляет собой некоторые разъяснения по неосвещенным в четверокнижии моментам. Например, ФСТЭК прямо пишет, что "практически все ИСПДн являются специальными информационными системами, поскольку в соответствии с требованиями Постановления Правительства №781 должна быть обеспечена возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним. Таким образом, обеспечение целостности является обязательным условием, отличным от конфиденциальности". Аргументация, конечно, корявая, но вывод сделан правильный.

Однако несмотря на это, специальной ИСПДн все равно необходимо присвоить класс исходя из "Приказа трех". Т.е. специальная ИСПДн тоже классифицируется исходя из 4-х классов на основе объема и категории ПДн. Из других "интересных" рекомендаций:

* Создание выделенного подразделения, единственная задача которого - защита ПДн.
* Модель угроз ни с кем согласовывать не надо (особенно с ФСТЭК).
* На основании модели угроз разрабатывается перечень защитных мероприятий. Ни слова про "Основные мероприятия". Т.е. как бы список разрабатывается самостоятельно. Но вот далее ниоткуда возникает требования опираться только на перечень защитных мер из "Основных мерпориятий". Связи я так и не нашел.
* Уничтожение ПДн с магнитных носителей должно осуществляться только средствами гарантированного уничтожения информации.
* Дана таблица соответствия классов и типов ИСПДн классам АС согласно РД ФСТЭК.
* Дана таблица соответствия классов и типов ИСПДн классам МСЭ согласно РД ФСТЭК.
* Интересно, что ссылки на нормативные документы ФСБ по защите ПДн даются не сайт ФСБ, не на сайт РКН, а на сайт Информзащиты и сайт www.iso27000.ru.
* Для ИСПДн 1-го и 2-го класса разрешается исключить из модели угроз утечки за счет ПЭМИН. Про остальные технические каналы утечки ни слова - защиту от акустики и видовых утечек обеспечивать все равно надо.
* Под декларированием ФСТЭК в нарушении ФЗ "О техническом регулировании" понимает просто издание оператором ПДн документа, объявляющего ИСПДн соответствующей требования безопасности. Напомню, что это требуется для ИСПДн 3-го класса.
* Аттестация проводится лицензиатом ФСТЭК. По идее любым, но при условии наличия у него спецаппаратуры, что есть далеко не у всех.
* В качестве средств защиты от НСД можно использовать ОС с сертификатом ФСТЭК.


Из очень полезных разделов этого документа могу назвать:

* Содержание Положения по организации и порядку проведения работ по обеспечению безопасности ПДн при их обработке в ИСПДн.
* Списки и содержание документов, требуемых для обеспечения ПДн (например, журнал маркировки носителей ПДн, журнал учета СЗИ, инструкция по порядку резервирования ПДн).


Большой интерес вызывают приложения этой методички. В частности, в них приведены формы следующих документов:

* Акт классификации ИСПДн (ничем не отличается от выложенного мною).
* Матрица доступа пользователей к защищаемым информационным ресурсам ИСПДн
* Приказ "Об организации работ по обеспечению безопасности персональных данных при их обработке в ИСПДн"
* Список сотрудников, доступ которых к ПДн, необходим для выполнения служебных обязанностей
* Инструкция по учету лиц, допущенных к работе с персональными данными в ИСПДн
* Модель угроз
* Требования по обеспечению безопасности ПДн при их обработке в ИСПДн
* Журнал учета СЗИ
* Заключение о возможности эксплуатации СЗИ
* Инструкция по организации резервирования и восстановления ПО, баз ПДн
* Журнал учета машинных носителей ПДн
* Акт обследования ИСПДн
* Заключение по результатам атестационных испытаний
* Описание системы защиты ПДн в ИСПДн
* Аттестат соответствия ИСПДн
* Уведомление об обработке ПДн
* Свидетельство о неразглашении конфиленциальной информации (персональных данных)


Можно заключить, что отдельные управления ФСТЭК пошли навстречу потребителю и выпустили документы, которые уменьшают число вопросов по официальной позиции регулятора. Не со всем в этом документе я согласен, но наличие большого количества шаблонов документов, делает документ достаточно полезным.

ЗЫ. Начну выкладывать формы упомянутых документов сюда в блог в ближайшее время.
[/q]


Рекомендую внимательно следить за блогом А. Лукацкого в свете последней фразы :evil:
Уже появилось три шаблона
toparenko
Модератор форума
ANTESIGNĀNUS
Откуда: СССР
Всего сообщений: 728
Рейтинг пользователя: 5


Ссылка


Дата регистрации на форуме:
7 июня 2009

---
Грабли - это оружие. Бывают веерные и обычные (с) Что? Где? Когда? 30.05.2009
Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009

описание алгоритма реализации требований ФЗ-152 - пока еще в черновом варианте
Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
<<Назад  Вперед>>Страницы: 1 2 3 4 5 6 7
Печать
Форум Сообщества Практиков Конкурентной разведки (СПКР) »   Теория и практика работы с персональными данными »   Персональные данные - вход в тему
RSS

Последние RSS
Open Source Intelligence (OSINT) Tools and Resources Handbook
Top tips on gathering information about companies by using free online sources
Новое на блоге HRразведка
Безопасность данных в MS Access
Слово как улика
20 Recon and Intel Gathering Tools used by InfoSec Professionals
What’s Changed?
10 альтернативных поисковиков
Ситуационный центр главы Республики Коми
Развёртывание ситуационных центров на базе технологии Avalanche
Как принимать сложные решения. Советы бывшего оперативника ЦРУ.
Открытая информация о "Новичке" из сети интернет.
Ген. директор "ОЗХО" Ахмет Узюмдж о "Новичке" и хим. атаке в Сирии
Онлайн-сервисы для Twitter
Коллекция для Twitter
Приложение Opera VPN закрывается
О работе разведки
Deep web и 11 поисковиков по нему
Об изначальной "лживости" любых документов
Обновление на блоге HRазведка

Самые активные 20 тем RSS
Open Source Intelligence (OSINT) Tools and Resources Handbook
Слово как улика
Top tips on gathering information about companies by using free online sources
Новое на блоге HRразведка
WebSite Watcher
Безопасность данных в MS Access