Клуб специалистов информационной безопасности
Клуб неформального общения специалистов в области информационной безопасности
Вы не вошли. Пожалуйста, войдите или зарегистрируйтесь.
Клуб специалистов информационной безопасности → Комплексные вопросы защиты ПДн → Являются ли платежные системы (например SWIFT) - ИСПДн?
Администратор безопасности не может быть не доверенным - вы просто не можете защититься от такого сотрудника техническими мерами.
Не надо от всего защищаться техническими мерами.
вы просто не можете защититься от такого сотрудника техническими мерами.
Увы. Но оргмеры так же "ограничены" ТК и 152-ФЗ.
К сожалению не все вопросы лоялизации сводятся только к материальному стимулированию.
ну я вас понимаю)
его рассматривать в модели не нужно...
а мой теска Александр Владимирович что думает?
ну я вас понимаю)
его рассматривать в модели не нужно...
а мой теска Александр Владимирович что думает?
Система, надежность которой зависит от человека, всегда ненадежна... (с)
Т.ч. в комплексе мероприятиях по предотвращению и локализации последствий ненадежность, даже самого доверенного, персонала всегда следует учитывать.
Вообще-то вопрос обсуждался на банкире. И с тех пор меня еще никто не переубедил, что этот вопрос вообще можно решить по ФСТЭК-овскими и/или ФСБ-шными моделям 
Хотя вопрос решаемый... Но уже в рамках того самого "второго этапа".
хех вы стало быть предлагаете рассматривать?))
и например того же админа безопасности по СКЗИ для ФСБ модели рассматривать в качестве нарушителя? 
конечно в модели нужно какие то предположения вводить и без доверенных субъектов не обойтись (смотрю минздравовские рекомендации), да только делать это нужно осторожно..
хех вы стало быть предлагаете рассматривать?))
и например того же админа безопасности по СКЗИ для ФСБ модели рассматривать в качестве нарушителя?
Я же сказал, что этот вопрос невозможно решить оставаясь в рамках модели ФСТЭК/ФСБ.
a.efimov пишет:хех вы стало быть предлагаете рассматривать?))
и например того же админа безопасности по СКЗИ для ФСБ модели рассматривать в качестве нарушителя?Я же сказал, что этот вопрос невозможно решить оставаясь в рамках модели ФСТЭК/ФСБ.
Для моделей технической защиты необходимо принимать, что персонал доверенный и вводить из общей модели безопасности требования по контролю за доверенными пользователями. Другого вменяемого на сегодня решения нет.
toparenko пишет:a.efimov пишет:хех вы стало быть предлагаете рассматривать?))
и например того же админа безопасности по СКЗИ для ФСБ модели рассматривать в качестве нарушителя?Я же сказал, что этот вопрос невозможно решить оставаясь в рамках модели ФСТЭК/ФСБ.
Для моделей технической защиты необходимо принимать, что персонал доверенный и вводить из общей модели безопасности требования по контролю за доверенными пользователями.
И соответственно выводить из проекта защиты самый актуальный канал утечки защищаемой информации.
Другого вменяемого на сегодня решения нет.
Есть - и уже давно существует... Правда не в рамках чисто технической, а в рамках комплексной защиты.
Еще раз прочитайте мой пост - есть вопросы технической защиты и регуляторы этой области.
Есть задачи комплексного обеспечения безопасности, включая правовые и иные меры - это уже не имеет методических документов наших родных регуляторов.
Еще раз прочитайте мой пост - есть вопросы технической защиты и регуляторы этой области.
Есть задачи комплексного обеспечения безопасности, включая правовые и иные меры - это уже не имеет методических документов наших родных регуляторов.
А я о чем и веду речь 
Что модель защиты, предлагаемая регуляторами в области техзащиты, не закрывает самый актуальный канал утечки.
Следовательно это уже не защита, а ее профанация.
Напишите общий методический документ по комплексной защите - тогда будет говорить о профанации.
Сейчас профанация с Вашей стороны - то что есть нас не устраивает, поэтому данные требования надо убрать, а регуляторов упразднить.
Я с этим не согласен - сначала создайте, а потом уже разрушайте старое.
Напишите общий методический документ по комплексной защите - тогда будет говорить о профанации.
Сейчас профанация с Вашей стороны - то что есть нас не устраивает, поэтому данные требования надо убрать, а регуляторов упразднить.
Я с этим не согласен - сначала создайте, а потом уже разрушайте старое.
Создано давно. Но дорого и потому редко применяется - лишь там, где вопрос того стОит.
Алгоритм первого этапа я дал в открытом доступе.
Второй этап, как ранее уже сказал, - работа по инсайдерам/секретонсителям (учет, контроль, мотивация, лоялизация, локализация внешних воздействий, многоступенчатое разграничение административных и контролирующих функций, правила "двух/трех рук" и "четырех/шести глаз", алгоритмы локализации последствий и т.д. и т.п.). Т.е. работа по тому самому доверенному персоналу.
Вот на том самом втором этапе (когда начинается индивидуальная работа) начинают сказываться те "мины" игнорирования баланса интересов, которые заложены в ТК и 152-ФЗ.
Сейчас профанация с Вашей стороны - то что есть нас не устраивает, поэтому данные требования надо убрать, а регуляторов упразднить.
Хде я такое говорил?!?
Не передергивайте:
Я говорю о недоработке требований и о том, что их навязывание не имеет ничего общего с реальной защитой прав. Та самая "коррупционная составляющая" о которой чуть ли не ежедневно говорит Президент.
Я говорю о том, что чрезмерное давление со стороны органов, уполномоченных в области безопасности (при их 20-летнем нерегулировании вопросов), может привести к нанесению ущерба безопасности Государства.
Я неоднократно говорил (например) о том, что не отказываюсь от участия в переработке/доработке механизмов защиты (если кому-то нужен мой более чем 20-летний опыт работы по теме). Но для нормальной работы необходимо плотное взаимодействие и обратная связь, а не "глас вопиющего в пустыне (с)".
Применение обратной связи сейчас имеет очень не приклядный вид - давайте сделаем как нам удобно. Именно так трактуют многие внесение изменений.
Увы, плотное взаимодействие пораждает новые коррупционные схемы.
Применение обратной связи сейчас имеет очень не приклядный вид - давайте сделаем как нам удобно. Именно так трактуют многие внесение изменений.
Увы, плотное взаимодействие пораждает новые коррупционные схемы.
Увы... Но отсутствие обратной связи имеет еще более неприглядный вид.
Естественно все хотят как удобно, а не через ж...
Найти баланс интересов - вот это и будет решением задачи.
Хотели как лучше - получилось как всегда. В.Черномырдин.
Добрый день!
давайте еще раз вернемся к электронной почте...информация передаваемая по каналам связи должна быть защищена криптографическими средствами и методами ..если учитывать что средства должны быть сертифицированными то это как минимум КС1 ...и что же везде использовать криптопро мне это кажется абсурдным...но получается именно так ...поскольку вы все-таки аксакалы ИБ может быть расскажите как регуляторы при проверках на это реагируют? и к этому относятся ..может про провергу МТС кто нибудь что слышал
Начнем сначала:
1. О каком статусе электронной почте идет речь?
2. Для кого рассматриваем данный сервис?
3. Какие ограничения наложены на работу данного сервиса?
может быть расскажите как регуляторы при проверках на это реагируют?
Например Дальсвязь
В Евродирективе (в РФ не ратифицирована) есть интересный момент, которого нет в 152-ФЗ:
(47) принимая во внимание, что если сообщение, содержащее персональные данные, передается средствами телекоммуникаций или электронной почты, единственной целью которой является передача таких сообщений, в отношении персональных данных, содержащихся в сообщении, лицом, от которого исходит сообщение, как правило, считается контролер, а не лицо, предоставляющее услуги по передаче; принимая во внимание, тем не менее, что те, кто предлагают такие услуги, как правило считаются контролерами в отношении обработки дополнительных персональных данных, необходимых для осуществления такой услуги;
Дима вы опять вопросом на вопрос 
я просто думаю что средства S/MIME не подходят..а поскольку я рассматриваю почту как ИСПДн то встает вопрос чем обеспечить защиту передаваемых данных по сети так чтобы соответствовать требованиям НМД....
а что за директива то?
а что за директива то?
Директива 95/46/ЕС Европейского парламента и Совета Европейского Союза от 24 октября 1995 года
"О защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных"
См. неофициальный перевод на DATUM
Или оригинал Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data
Дима вы опять вопросом на вопрос
я просто думаю что средства S/MIME не подходят..а поскольку я рассматриваю почту как ИСПДн то встает вопрос чем обеспечить защиту передаваемых данных по сети так чтобы соответствовать требованиям НМД....
а что за директива то?
В зависимости от рассматриваемой ситуации есть разные варианты-))).
Для понимания начнем с простого, когда услуги предоставления сервиса электронной почты необходимо лицензировать:
Если компания предоставляет сервис электронной почты своим сотрудникам и не просит за это платы, то лицензия не нужна.
Если компания предоставляет услуги электронной почты своим клиентам и не просит за это платы и при этом передача личных сообщений запрещена - то лицензия не требуется.
Если компания предоставляет услуги электронной почты за плату - то необходимо иметь лицензию на телематические услуги.
Если компания предоставляет услугу электронной почты, в том числе для передачи личных сообщений - то необходимо иметь лицензию на телематические услуги.
Это только со стороны РКН проверка по лицензиям.
Далее смотрим что конткретно передается по электронной почте. В настоящий момент адрес электронной почты однозначно не идентифицирует физлицо - это явно указано минсвязи, но они планируют это изменить законодательно.
В продолжение темы по электронной почте: http://internet.cnews.ru/news/top/index … /08/385889
Если компания предоставляет услугу электронной почты, в том числе для передачи личных сообщений - то необходимо иметь лицензию на телематические услуги.
Это только со стороны РКН проверка по лицензиям.
Если не оказывает возмездные услуги связи, но предоставляет сервис для отправки личных сообщений - то лицензия на телематические услуги связи не требуется. Например mail.ru, rambler.ru, yanex.ru, its.
Этот случай
Если компания предоставляет сервис электронной почты своим сотрудникам и не просит за это платы, то лицензия не нужна.
Клуб специалистов информационной безопасности → Комплексные вопросы защиты ПДн → Являются ли платежные системы (например SWIFT) - ИСПДн?
Currently installed 2 official extensions. Copyright © 2003–2009 PunBB.