Автор: Дмитрий, Prominform | 53152 | 22.08.2014 11:22 |
Для sekira:
В том то и дело, что "с применением автоматизированных средств: накопление данных, проведение логических или/и арифметических операций с такими данными, их изменение, стирание, восстановление или распространение". А когда все эти действия выполняются пользователем (сотрудником) самостоятельно, в ручном режиме (Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее - персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.) Другими словами: на компе в Word набирается текст, и сохраняется в памяти. Через некоторое время в ручную вносятся изменения, выводится текст на печать. Ещё через некоторое время информация удаляется. Это всё обработка без средств автоматизации. Другой вариант: те же действия, но с использованием 1С Бухгалтерия, + Автоматически осуществляется расчет, ну к примеру заработной платы. Это автоматизированная обработка. Но в ИСПДн "Бухгалтерия" выполняются работы не только с 1С. Таким образом получаем смешанную обработку информации. |
Автор: Игорь | 53153 | 22.08.2014 11:34 |
Прошу прощения, что вмешиваюсь в ваше бурное обсуждение, но хотелось бы внести дополнение к написанному Sekira.
"а методики оценки соответствия берутся согласно СТР-К " Оценка соответствия может быть проведена в форме аттестации (для ИСПДн, не являющейся ГИС - не обязательно). В СТР-К нет МЕТОДИК оценки соответствия требований к системе защиты от несанкционированного доступа. Таких официальных методик по НСД вообще нет, за исключением приведенных в ГОСТ РО 0043-004-2013 при проведении аттестации. Но все приложения в этом ГОСТе с методиками аттестационных испытаний, в т.ч. по НСД, являются рекомендуемыми |
Автор: Дмитрий, Prominform | 53154 | 22.08.2014 11:39 |
"Для ИСПДн ФЗ 152, ППр 1119, Приказ 21 - в них требования к защите НСД."
Именно что требования. Но нет методик оценки защищенности. По аналогии Есть мопед, есть требования: водитель должен иметь права на управления мопедом. Но нет методики принятия экзаменов. И мопеды не подведены ни в какую из имеющихся категорий транспортных средств. Теперь смотрим квадроциклы: те же требования, но квадроциклы относятся к категории В1, то есть знания водителя оценивают в соответствии с требованиями к категории В. С ИСПДн такая же ситуация. Требования есть. Но отдельно для ПДн методик оценки не существует. По этому в связи с тем, что ПДн являются разновидностью конфиденциальной информации, используются методики оценки защищенности применяемые к системе защиты конфиденциальной информации. |
Автор: sekira | 53155 | 22.08.2014 11:47 |
Дмитрий
В том то и дело, что "с применением автоматизированных средств: ...". "А когда все эти действия выполняются пользователем (сотрудником) самостоятельно, в ручном режиме..." Это вы сами придумали? В ФЗ и Конвенции такого нет! Еще раз ФЗ ст 3 4) автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники; Есть СВТ автоматизированная - нет СВТ неавтоматизированная Все остальное додумки трактовки и искажения фактов совместно с ахенеей ППр так и не исправленной. |
Автор: sekira | 53156 | 22.08.2014 11:52 |
"С ИСПДн такая же ситуация. Требования есть. Но отдельно для ПДн методик оценки не существует. По этому в связи с тем, что ПДн являются разновидностью конфиденциальной информации, используются методики оценки защищенности применяемые к системе защиты конфиденциальной информации".
Сколько можно подменять действительность своими додумками! Такого нет в НМД - это все придумали вы сами! Кто вам сказал что должны быть для любой ИСПДн "методики оценки защищенности" . Они создаются для каждой ИСПД при ее аттестации на соответствие требованиям! "методики оценки защищенности применяемые к системе защиты конфиденциальной информации." Ссылку на данное "НМД" в студию пожалуйста. Название дата? |
Автор: Дмитрий, Prominform | 53157 | 22.08.2014 12:07 |
Для Игоря:
Эти методики (в том числе "Сборник руководящих документов по защите информации от несанкционированного доступа" Гостехкомиссия Россия, 1998г.).(приложение 1 к СТР-К) для "иных" информационных систем рекомендуемые документы. Не хотите использовать их - разработайте свои, но отвечающие требованиям действующих документов, в том числе и ГОСТ Р 50739-95 "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования" и других документов. Заявление "всё хорошо, потому что мы так решили" при проверке роскомнадзором оператора не проходит. |
Автор: sekira | 53158 | 22.08.2014 12:16 |
"Эти методики (в том числе "Сборник руководящих документов по защите информации от несанкционированного доступа" Гостехкомиссия Россия, 1998г.).(приложение 1 к СТР-К) для "иных" информационных систем рекомендуемые документы. Не хотите использовать их - разработайте свои, но отвечающие требованиям действующих документов, в том числе и ГОСТ Р 50739-95 "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования" и других документов. Заявление "всё хорошо, потому что мы так решили" при проверке роскомнадзором оператора не проходит."
Опять все в кучу!! РД НСД АС ФСТЭК и СТР-К, ГОСТ Р 50739-95 - это ТРЕБОВАНИЯ !!! Не методики! "Заявление "всё хорошо, потому что мы так решили" при проверке роскомнадзором оператора не проходит." А это фраза куда !? В доказательство чего? Никто и не собирается так заявлять. Будьте добры выполнить в соответствии сНМД : Пр 21 п. 6. ФЗ 152 ст 18 п1 пп 4) cт 19 п. 1 4) ППр 1119 п. 17 В форме аттестации за неимением в НМД четкой альтернативы. |
Автор: Дмитрий, Prominform | 53159 | 22.08.2014 12:19 |
Для sekira:
Если у вас компьютер используется как печатная машинка с памятью, а вы хотите защищать её как автоматизированную систему, это ваше право. Только не забудьте, что все средства защиты должны быть сертифицированы. |
Автор: Дмитрий, Prominform | 53160 | 22.08.2014 12:26 |
для sekira
".. ППр 1119 п. 17 В форме аттестации за неимением в НМД четкой альтернативы." Замечательно. Вы являетесь органом по аттестации? У вас есть соответствующая лицензия? По каким документам и методикам будете проводить аттестацию? |
Автор: sekira | 53161 | 22.08.2014 12:28 |
"Если у вас компьютер используется как печатная машинка с памятью, а вы хотите защищать её как автоматизированную систему, это ваше право."
Это вообще куда сейчас было сказано? Защищать как ИСПДн!! Не АС! Я обязан это делать в соотвествии с ФЗ 152 18, 19 статья. Ну и конечно все средства которые я буду использовать как СЗИ я буду использовать сертифицированные. |
Просмотров темы: 46552