Контакты
Подписка
МЕНЮ
Контакты
Подписка

Обоснование наличия администратора безопасности ИСПДн - Форум по вопросам информационной безопасности

Обоснование наличия администратора безопасности ИСПДн - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Страницы: < 1 2 3 4 5 6 >

Автор: Дмитрий, Prominform | 53152 22.08.2014 11:22
Для sekira:
В том то и дело, что "с применением автоматизированных средств: накопление данных, проведение логических или/и арифметических операций с такими данными, их изменение, стирание, восстановление или распространение".
А когда все эти действия выполняются пользователем (сотрудником) самостоятельно, в ручном режиме (Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее - персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.)
Другими словами: на компе в Word набирается текст, и сохраняется в памяти. Через некоторое время в ручную вносятся изменения, выводится текст на печать. Ещё через некоторое время информация удаляется. Это всё обработка без средств автоматизации.
Другой вариант: те же действия, но с использованием 1С Бухгалтерия, + Автоматически осуществляется расчет, ну к примеру заработной платы. Это автоматизированная обработка. Но в ИСПДн "Бухгалтерия" выполняются работы не только с 1С. Таким образом получаем смешанную обработку информации.

Автор: Игорь | 53153 22.08.2014 11:34
Прошу прощения, что вмешиваюсь в ваше бурное обсуждение, но хотелось бы внести дополнение к написанному Sekira.

"а методики оценки соответствия берутся согласно СТР-К "

Оценка соответствия может быть проведена в форме аттестации (для ИСПДн, не являющейся ГИС - не обязательно). В СТР-К нет МЕТОДИК оценки соответствия требований к системе защиты от несанкционированного доступа. Таких официальных методик по НСД вообще нет, за исключением приведенных в ГОСТ РО 0043-004-2013 при проведении аттестации. Но все приложения в этом ГОСТе с методиками аттестационных испытаний, в т.ч. по НСД, являются рекомендуемыми

Автор: Дмитрий, Prominform | 53154 22.08.2014 11:39
"Для ИСПДн ФЗ 152, ППр 1119, Приказ 21 - в них требования к защите НСД."
Именно что требования. Но нет методик оценки защищенности.
По аналогии Есть мопед, есть требования: водитель должен иметь права на управления мопедом. Но нет методики принятия экзаменов. И мопеды не подведены ни в какую из имеющихся категорий транспортных средств.
Теперь смотрим квадроциклы: те же требования, но квадроциклы относятся к категории В1, то есть знания водителя оценивают в соответствии с требованиями к категории В.
С ИСПДн такая же ситуация. Требования есть. Но отдельно для ПДн методик оценки не существует. По этому в связи с тем, что ПДн являются разновидностью конфиденциальной информации, используются методики оценки защищенности применяемые к системе защиты конфиденциальной информации.

Автор: sekira | 53155 22.08.2014 11:47
Дмитрий
В том то и дело, что "с применением автоматизированных средств: ...".
"А когда все эти действия выполняются пользователем (сотрудником) самостоятельно, в ручном режиме..."
Это вы сами придумали? В ФЗ и Конвенции такого нет!

Еще раз ФЗ
ст 3 4) автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

Есть СВТ автоматизированная - нет СВТ неавтоматизированная

Все остальное додумки трактовки и искажения фактов совместно с ахенеей ППр так и не исправленной.

Автор: sekira | 53156 22.08.2014 11:52
"С ИСПДн такая же ситуация. Требования есть. Но отдельно для ПДн методик оценки не существует. По этому в связи с тем, что ПДн являются разновидностью конфиденциальной информации, используются методики оценки защищенности применяемые к системе защиты конфиденциальной информации".
Сколько можно подменять действительность своими додумками! Такого нет в НМД - это все придумали вы сами!
Кто вам сказал что должны быть для любой ИСПДн "методики оценки защищенности" . Они создаются для каждой ИСПД при ее аттестации на соответствие требованиям!

"методики оценки защищенности применяемые к системе защиты конфиденциальной информации."
Ссылку на данное "НМД" в студию пожалуйста. Название дата?

Автор: Дмитрий, Prominform | 53157 22.08.2014 12:07
Для Игоря:
Эти методики (в том числе "Сборник руководящих документов по защите информации от несанкционированного доступа" Гостехкомиссия Россия, 1998г.).(приложение 1 к СТР-К) для "иных" информационных систем рекомендуемые документы. Не хотите использовать их - разработайте свои, но отвечающие требованиям действующих документов, в том числе и ГОСТ Р 50739-95 "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования" и других документов. Заявление "всё хорошо, потому что мы так решили" при проверке роскомнадзором оператора не проходит.

Автор: sekira | 53158 22.08.2014 12:16
"Эти методики (в том числе "Сборник руководящих документов по защите информации от несанкционированного доступа" Гостехкомиссия Россия, 1998г.).(приложение 1 к СТР-К) для "иных" информационных систем рекомендуемые документы. Не хотите использовать их - разработайте свои, но отвечающие требованиям действующих документов, в том числе и ГОСТ Р 50739-95 "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования" и других документов. Заявление "всё хорошо, потому что мы так решили" при проверке роскомнадзором оператора не проходит."

Опять все в кучу!!
РД НСД АС ФСТЭК и СТР-К, ГОСТ Р 50739-95 - это ТРЕБОВАНИЯ !!!
Не методики!

"Заявление "всё хорошо, потому что мы так решили" при проверке роскомнадзором оператора не проходит."
А это фраза куда !? В доказательство чего? Никто и не собирается так заявлять.
Будьте добры выполнить в соответствии сНМД :
Пр 21 п. 6.
ФЗ 152 ст 18 п1 пп 4)
cт 19 п. 1 4)
ППр 1119 п. 17
В форме аттестации за неимением в НМД четкой альтернативы.

Автор: Дмитрий, Prominform | 53159 22.08.2014 12:19
Для sekira:
Если у вас компьютер используется как печатная машинка с памятью, а вы хотите защищать её как автоматизированную систему, это ваше право. Только не забудьте, что все средства защиты должны быть сертифицированы.

Автор: Дмитрий, Prominform | 53160 22.08.2014 12:26
для sekira
".. ППр 1119 п. 17
В форме аттестации за неимением в НМД четкой альтернативы."
Замечательно. Вы являетесь органом по аттестации? У вас есть соответствующая лицензия? По каким документам и методикам будете проводить аттестацию?

Автор: sekira | 53161 22.08.2014 12:28
"Если у вас компьютер используется как печатная машинка с памятью, а вы хотите защищать её как автоматизированную систему, это ваше право."

Это вообще куда сейчас было сказано?
Защищать как ИСПДн!! Не АС! Я обязан это делать в соотвествии с ФЗ 152 18, 19 статья.
Ну и конечно все средства которые я буду использовать как СЗИ я буду использовать сертифицированные.

Страницы: < 1 2 3 4 5 6 >

Просмотров темы: 35923

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*