51 (2010-02-16 18:13:51 отредактировано toparenko)

Re: Являются ли платежные системы (например SWIFT) - ИСПДн?

a.efimov пишет:

smile но если посетитель вышел ...то соответственно цель обработки достигнута ...и ПДн должны быть уничтожены ..так ведь?

Срок хранения журнала определен в 3 года.
Не факт, что он нужен 3 года банку или иной организации - но такой срок установлен нормативными требованиями РФ.

52

Re: Являются ли платежные системы (например SWIFT) - ИСПДн?

a.efimov пишет:

...в случае клиентов и работников письменное согласие должно различаться


Естественно

a.efimov пишет:

как бы вы сформулировали цели для этих категорий субъектов?

Берете все цели обработки по каждой категории субъектов. Исключаете то, что подпадает под ч.2 ст.6 152-ФЗ - далее исключаете то без чего можете обойтись. В результате получаете искомое.

По практике: рабочая группа с участием юристов порядка 4 месяцев отсортировывала...
И получились разные формы не только для работников и клиентов... Пришлось и их дробить.

53

Re: Являются ли платежные системы (например SWIFT) - ИСПДн?

спасибо

54

Re: Являются ли платежные системы (например SWIFT) - ИСПДн?

Добрый день! поясните мне пожалуйста что за зверь такой Положение по организации и проведению работ по обеспечению безопасности ПДн при их обработке в ИСПДн из документов ФСТЭК что он содержит то....на ИСПДн форуме четкого ответа для себя не нашел ...разъясните мне пожалуйста

55

Re: Являются ли платежные системы (например SWIFT) - ИСПДн?

a.efimov пишет:

Добрый день! поясните мне пожалуйста что за зверь такой Положение по организации и проведению работ по обеспечению безопасности ПДн при их обработке в ИСПДн из документов ФСТЭК что он содержит то....на ИСПДн форуме четкого ответа для себя не нашел ...разъясните мне пожалуйста

"Положение по информационной безопасности автоматизированной системы в защищенном исполнении" в проекции на обработку исключительно ПДн и исключительно в ИСПДн с автоматизированной обработкой

Перевод с русского на русский (с) lol

56

Re: Являются ли платежные системы (например SWIFT) - ИСПДн?

оно обязательно? хотя вроде и написано, что да(( sadочередной рекомендательно-принудительный характер
кстати ваши прогнозы хотелось бы узнать по поводу СТО ИББС 2010 smile что его ждет по вашему?

57

Re: Являются ли платежные системы (например SWIFT) - ИСПДн?

Информация из зала конференции:
текст стандарта будет согласован с середине апреля 2010 года.
у всех регуляторов есть предложения и замечания, которые в рабочем порядке будут согласованы.
требования законодательства выполнять необходимо обязательно, включая вопросы лицензирования ФСБ России.

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

58

Re: Являются ли платежные системы (например SWIFT) - ИСПДн?

a.efimov пишет:

кстати ваши прогнозы хотелось бы узнать по поводу СТО ИББС 2010 smile что его ждет по вашему?

Если бы я не верил в возможность его "прохода" с сохранением концепта - то маловероятно, чтоб я тратил личное и служебное время на участие в его составлении wink

Dmitry Leviev пишет:

требования законодательства выполнять необходимо обязательно, включая вопросы лицензирования ФСБ России.

Ага. Именно на актуальные требования законодательства big_smile

Учитывая, что один законопроект по изменению 152-ФЗ уже лежит в Думе, а второй стоит в плане законотворческой деятельности Минкомсвязи со сроком исполнения март сг.

Т.ч. ориентируемся на конец весенней сессии "Парламента"

59

Re: Являются ли платежные системы (например SWIFT) - ИСПДн?

продолжим smile добрый день коллеги!
Дмитрий напишите пожалуйста примерный набор средств защиты, который бы покрывал требования класса К3 .....если вам  несложно напишите несколько вариантов.

Господин Топаренко к вам тоже вопросик по поводу согласия на включение сведений в общедоступный справочник, может быть имеет смысл в случае АД например просто брать согласие с субъекта на общедоступность ...и это помоему не выход sad может быть порассуждаем?

60 (2010-02-19 17:00:12 отредактировано toparenko)

Re: Являются ли платежные системы (например SWIFT) - ИСПДн?

a.efimov пишет:

Господин Топаренко к вам тоже вопросик по поводу согласия на включение сведений в общедоступный справочник, может быть имеет смысл в случае АД например просто брать согласие с субъекта на общедоступность ...и это помоему не выход sad может быть порассуждаем?

На счет общедоступности: есть риски несоответствия целей
например big_smile

На счет АД: я бы не относил средства разграничения доступа (в том числе СЗПДн) к ИСПДн wink
Оптимально вообще уйти от ПДн (данных идентифицирующих субъекта, а не должностное лицо компании)

61

Re: Являются ли платежные системы (например SWIFT) - ИСПДн?

ромашка получается относить/не относить, Дмитрий по другому считает вы так другие тоже 50/50, а у меня уже головные боли на фоне ПДн, как оптимально то если привязка ФИО к организации это уже 3 категория что и получается в АД, а почта такая же фигня ...вы не могли бы четко меня убедить, чтоб меня перекосило в какую то одну сторону smile

62

Re: Являются ли платежные системы (например SWIFT) - ИСПДн?

a.efimov пишет:

ромашка получается относить/не относить, Дмитрий по другому считает вы так другие тоже 50/50, а у меня уже головные боли на фоне ПДн, как оптимально то если привязка ФИО к организации это уже 3 категория что и получается в АД, а почта такая же фигня ...вы не могли бы четко меня убедить, чтоб меня перекосило в какую то одну сторону smile

1. АД: цель обработки - распределение доступа пользователей к информационным ресурсам ИСПДн, а не обработка ПДн (самостоятельная ИСПДн).

Так можно создать бесконечную цепочку:
ИСПДн -> система разграничения доступа (СРД) ИСПДн -> СРД СРД ИСПДн -> СРД СРД СРД ИСПДн -> СРД СРД СРД СРД ИСПДн -> ....

2. Какие именно ПДн там обрабатываются? Есть ли возможность однозначной идентификации субъекта лишь по этим данным? Есть ли необходимость в комплекте ПДн, позволяющем лишь на его основании идентифицировать субъекта?

63

Re: Являются ли платежные системы (например SWIFT) - ИСПДн?

мы с вами уже говорили что там ФИО должность организация к примеру
стандартный компот! они там хранятся в виде справочников (сами знаете) следовательно обрабатываются если вспомнить определение обработки из закона.  А если есть ФИО должность и привязка к конкретной организации это по вашему что?

64

Re: Являются ли платежные системы (например SWIFT) - ИСПДн?

Active Directory хранит данные и настройки среды в централизованной базе данных вот я чесно завис в этом вопросе((

65

Re: Являются ли платежные системы (например SWIFT) - ИСПДн?

a.efimov пишет:

мы с вами уже говорили что там ФИО должность организация к примеру
стандартный компот!

Не факт.

Может быть и так

a.efimov пишет:

А если есть ФИО должность и привязка к конкретной организации это по вашему что?

А нужен ли этот набор? Можно ведь заменить [инициалы]_[должность/роль]_[офис]

66

Re: Являются ли платежные системы (например SWIFT) - ИСПДн?

на что?

67

Re: Являются ли платежные системы (например SWIFT) - ИСПДн?

ну а например визитка как приложение письма электронного с наименованием организации и тд ну это уже почта)

68

Re: Являются ли платежные системы (например SWIFT) - ИСПДн?

a.efimov пишет:

ну а например визитка как приложение письма электронного с наименованием организации и тд ну это уже почта)

По почте сложнее

В нормальных условиях это К3 (спец или не спец, и вообще автоматизированная обработка или нет - это другой вопрос).
Если разрешены личные сообщения - могут и на К1 притянуть (очень спорный вопрос по определяющим цели обработки)

69

Re: Являются ли платежные системы (например SWIFT) - ИСПДн?

а на что заменить то? вот вы как бы сделали? [инициалы]_[должность/роль]_[офис] как это объяснить то людям которые привыкли к этому....

70

Re: Являются ли платежные системы (например SWIFT) - ИСПДн?

Коллеги!
Для начала поймите, что Вы называете AD. Ведь технически это LDAP сервис, содержащий информация в виде базы данных, предназначенный для идентификации и аутентификации пользователей информационной системы.
Правильно описывайте цель и состав обрабатываемых данных. Только после такого описания можно нормально работать. Это подтверждает и работа конференции.

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

71

Re: Являются ли платежные системы (например SWIFT) - ИСПДн?

Дмитрий вообщем вы бы сделали К3 и вперед smile я так понял ...технически все понятно
Ответьте пожалуйста на предыдущий мой вопрос  "напишите пожалуйста примерный набор средств защиты, который бы покрывал требования класса К3 .....если вам  несложно напишите несколько вариантов".
И если несложно к чему на конференции пришли? было что то важное? ..видел отрывок в новостях коротенький...из которого только Баранов из ФСБ чего то путное сказал ...

72

Re: Являются ли платежные системы (например SWIFT) - ИСПДн?

К3 - это для типовой системы 1Г.
для остального - надо Вашу модель угроз смотреть.
Путного много было, но надо понимать, что часть вопросов находится не введении ФСБ России и ФСТЭК России, а МВД России пока.

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

73

Re: Являются ли платежные системы (например SWIFT) - ИСПДн?

ясно sad жалко что вы на мой предыдущий вопрос не ответили sad

74

Re: Являются ли платежные системы (например SWIFT) - ИСПДн?

a.efimov пишет:

а на что заменить то? вот вы как бы сделали? [инициалы]_[должность/роль]_[офис] как это объяснить то людям которые привыкли к этому....

Так же как и объясняю, что учетная запись "Администратор" должна быть переименована, а под этим именем должна быть заблокированная учетная запись с минимальными правами и ОЧЕНЬ сложным паролем wink

Вообще оптимально, чтоб постороннему человеку (от внешнего злоумышленника до собственного сотрудника, не входящего в группы администраторов и СБ) однозначно определить сотрудника по его учетной записи было бы очень затруднительно - это банальная защита нижнего уровня

75

Re: Являются ли платежные системы (например SWIFT) - ИСПДн?

Dmitry Leviev пишет:

К3 - это для типовой системы 1Г.

8)
На сколько мне склероз не изменяет типовая К3 это 3Б/2Б/ - хоть по Основным мероприятиям, хоть по проекту приказа ФСТЭК, хоть по СТР-К