Автор: Вилли | 67278 | 07.12.2016 10:18 |
to Arihon
Добрый день. В чем выразилось административное наказание? Если штраф, можете сказать сумму, хотя бы примерно? |
Автор: Arihon | 67289 | 08.12.2016 00:51 |
Спасибо большое за советы и наставления я вам всем очень благодарен, если есть еще что то полезное, поделитесь будьте так добры.) Штраф на мера городского округа в размере 5 зарплат, точная сумму затерли на документах которые мне выдали.
|
Автор: WORM, MK | 67290 | 08.12.2016 10:10 |
Сдается мне, что Приказ 416/489 к Вам никакого отношения не имеет:
"Настоящие Требования распространяются на федеральные государственные информационные системы, созданные или используемые в целях реализации полномочий федеральных органов исполнительной власти и содержащие сведения о деятельности Правительства РФ и федеральных органов исполнительной власти, обязательные для размещения в информационно-телекоммуникационной сети Интернет, определяемые Правительством Российской Федерации" Обычный наезд ФСБ, при котором они, ссылаясь на приказ, наказывают тех, кто под этот приказ никаким боком не подпадает. Причины бывают разные: неграмотный проверяющий, поступила команда вздрючить мэра, нужно выполнить план по проверкам и штрафам, и т.п. По идее, вас должны были наказать за незащиту ПДн, но они защищаются совсем по другим документам. Проверяющему было лень вникать. Напишите дурацкие бумажки, о которых указано в акте "проверки". А вот ПДн защитите, Вам тов. oko написал, что нужно сделать. |
Автор: Вилли | 67292 | 08.12.2016 16:07 |
to Arihon
Здесь шаблоны ОРД по ИСПДн. |
Автор: oko | 67293 | 08.12.2016 19:36 |
Оценил ссылку на шаблоны... как же много бумаги для розжига печи зимой... смысловая нагрузка в таком "комплекте" соответствующая...
Модель вообще убила - построена по принципу "побольше сферической формализации, чтобы никто это не читал" по всей видимости. Хотя стройность внутренняя есть, уязвимостей (опять-таки) слегка касаются, но, е-мое, как же много лишних нагромождений и, меж тем, отсутствие конкретики в итоговых выводах. Также порадовали ссылки на литературу, которая уже частично мертва (по совокупности факторов)... |
Автор: Вилли | 67294 | 08.12.2016 19:53 |
to oko
А есть пример модели нормальной? Чтобы с конкретикой. Я без сарказма. |
Автор: WORM, MK | 67295 | 08.12.2016 20:16 |
Именно бумажки очень любят наши регуляторы. Особенно в случаях, когда проверяющий не знает, что ему проверять. В примере, описанном топикстартером, это отлично видно. Был бы ворох бумажек - все было бы ОК, мне кажется.
|
Автор: oko | 67298 | 08.12.2016 22:51 |
to Вилли
Шаблонов как по ссылке выше нет. Поскольку для каждой ИС Модели сильно различаются (кроме случаев типовых подведомственных систем, и то не всегда). И вообще шаблоны и всяческая полновесная автоматизация разработки Модели - это плохо (DocShell тому подтверждение)... Примеров хватает, но их надо обезличивать перед сливом в Сеть. Что повлечет за собой еще большую путаницу - объект-то совершенно не будет раскрыт и, следовательно, все выводы модели будут порождать у стороннего читателя такой обезличенной лабуды два извечных вопроса: "как?" и... мнэ... "зачем?". Структура же типовой Модели легко расписывается как по нормативке 2008 (в части ПДн), так и по 2015 (не утвержденные методики от обоих регуляторов). Как говорится - выбирай на вкус... to WORM Это, увы, понятно. Скорее всего регулятор бы поставил "+" за наличие и даже трогать такой ворох бумаг бы не стал... Но и обратная сторона медали тоже имеет место - иногда случается, что бумаг много, но "дерут" за полный крах фактической системы защиты. Особенно по явному факту успешного НСД... |
Автор: Arihon | 67300 | 09.12.2016 01:05 |
Спасибо большое за советы и примеры.
Вопрос, как совместить организационные мероприятия и защиту от НСД на уровне, просто на мой взгляд улучшение одного влечет крах другой? Или это просто моя не опытность в этом вопросе сказывается? |
Автор: oko | 67301 | 09.12.2016 09:57 |
to Arihon
Орг. мероприятия - это в первую голову учет и контроль, а уже потом подготовка бумаг на все случаи жизни. Банальный пример: контроль отсутствия посторонних лиц в кабинетах во время обработки информации ограниченного доступа. Или притча во языцех - запрет хранения паролей на бумажке, приклеенной к монитору. Техн. мероприятия - это использование технических решений для ограничения действий сторонних лиц и штатных пользователей, а также много чего еще. И эти две группы мероприятий должны идти нога в ногу (использоваться комплексно), иначе толку не будет. Простейший пример: имеется кпп с ответственным дежурным, который не допускает сторонних лиц на территорию без сопровождения/согласования. Но также имеется и комплекс технических средств системы контроля доступа - те же proximity-считыватели карт на дверях помещений с э/м-замками. Надежность такой системы много выше, чем выделение одного рьяного, но очень ответственного сотрудника, который будет бегать по кабинетам и дергать всех незнакомых людей за рукав со словами "А вы, собственно, кто и по какому вопросу?" Хотя и такой метод на безрыбье допускается - лишь бы плоды приносил... А бумажки... они не столько отдельно, сколько органично должны во всю эту структуру вписываться. И нужны в первую голову для надзора (как внутреннего - со стороны руководства организации и ответственных лиц, так и внешнего - со стороны регуляторов). Опять-таки простейший пример: ответственное лицо в некоем кабинете с ПЭВМ, предназначенной для работы с защищаемой информацией, обнаруживает подключенную к ней "черную коробочку" (под столом, ага). Поднимает "Технический паспорт", смотрит серийный номер и решает что делать. Может статься, что это не "коробочка", а самая что ни на есть "закладка" от конкурентов, решивших украсть эту самую защищаемую информацию. А, возможно, "коробочка" - это всего лишь носитель ключевой информации, предназначенный для работы лицензионной программы, установленной на ПЭВМ. ЗЫ Примеры, конечно, не под ПДн особо. Но, надеюсь, наглядные и понятные. |
Просмотров темы: 10398