Автор: Сергей | 109509 | 08.09.2021 17:46 |
Вопрос немного странный, но всё же - я помню те времена, когда только вводился 152 закон. Мы категорировали объекты, ставили СЗИ, писали регламенты, инструкции документы...аттестовывали нашу гос. систему.
Тогда говорили, что все кто работает с перс данными, должны пройти аттестацию. Даже коммерческие организации. А потом этот пункт отменили. В общем есть гос. госпиталь, где обрабатывают перс данные класса 1 (что очевидно). Правильно ли я понимаю, что для соблюдения законодательства, в том числе 152 закона, помимо кучи документации нужно будет: 1) Купить СЗИ сертифицированную ФСТЕК. 2) Купить антивирус, сертифицированный ФСТЕК. Это базовый минимум. (Разумеется все проверить на соответствие требованиям, настроить в соответствии с требованиями закона, связать с документацией, регламенты настройки и т.д.) ? Или есть другие способы (ну а вдруг?)? PS Просто я ещё ни в одной больнице не видел СЗИ на компьютере, где идет обработка перс данных. Как они работают? |
Автор: oko | 109510 | 08.09.2021 22:07 |
*в сторону*
Оптимальный алгоритм: Вначале узнать, что 1 класс к ИСПДн не имеет отношения уже лет 9 как... Затем, что "экспортный" пишется через "э", а не "е"... Далее обратиться к лицензиату ТЗКИ и уточнить все вопросы у него или сразу сходить на курсы повышения квалификации (или хотя бы соответствующие материалы в Сети почитать)... В конце пройтись по нормальным больницам, пообщаться с ответственными лицами, узнать набор принятых орг. и техн. мер защиты, реализованных согласно требованиям и актуальной Модели угроз, и сравнить их с фактическим положением дел... И неплохо еще обоим регуляторам передать информацию о тех больницах, где ничего из вышесказанного не выполняется или выполняется для галочки. Конечно, после этого кто-то может внезапно выпасть из окна, но, imho, туда ему и дорога... |
Автор: Сергей | 109513 | 09.09.2021 03:46 |
"Вначале узнать, что 1 класс к ИСПДн не имеет отношения уже лет 9 как..." - согласен. Бегло посмотрел эту тему. Давно дело было - надо освежить знания.
"Затем, что "экспортный" пишется через "э", а не "е"..." - ?? не нашел у себя такого в тексте. "Далее обратиться к лицензиату ТЗКИ и уточнить все вопросы у него" - на хабре пишут, что не обязательна сертификация средств СЗИ, но нужно использовать средства защиты, прошедшие в установленном порядке процедуру оценки соответствия. Понятно, что надо все подбирать исходя из анализа ситуации, перс данных, документов и т.д. - но у меня есть необоснованное сомнение, что наши любимые гос органы могут не принять то, что ими не сертифицировано. А до чего докопаться - найдут. "В конце пройтись по нормальным больницам" - 2 крупнейших гос. мед учреждения. Ничего не выполняется. Ответственное лицо ничего не делает 4 года. А последний год ответственного лица...нет. Бардак? Да. И что? Ни-че-го. Ещё раз - ничего нет. Даже близко никакой модели угроз (на сервер смотреть жалко) - ни-че-го. Мои перс. данные (причем значительный объем), передали по запросу на в гос. мед организацию на email вида bolnica@mail.ru. На маил ру. У меня на столе запрос с подписью главврача об этой просьбе, с печатью. "И неплохо еще обоим регуляторам передать информацию о тех больницах, где ничего из вышесказанного не выполняется" - да ладно! А мужики и не знают! (c) "Конечно, после этого кто-то может внезапно выпасть из окна" - тот кто сообщил? ) Почему он? Ну а кто ещё? Может главврач? У которого связи, кто накрывает поляну проверяющим? Грамот полная стена от всех ваших органов. И неужели комиссия приостановит работу больницы? Вы как себе это представляете? |
Автор: oko | 109515 | 09.09.2021 22:20 |
to Сергей
Если вы не видели, как останавливают работу учреждения любого масштаба, а его руководитель/заместитель случайно вываливается из окна - это не значит, что такого не бывает... Если вы интересуетесь, "почему бардак?" или "что мне как посетителю больницы делать с таким бардаком?", то ответ может быть один - пишите регуляторам (вначале РКН), а затем в суд (при желании)... Если хотите все-таки найти решение проблемы "изнутри и не со стороны", то вначале RTFM, а затем изучайте реальную ситуацию, придумывайте варианты решения - и welcome, обсудим (в допустимых пределах)... И да, ФСТ_Э_К... |
Автор: Сергей | 109517 | 10.09.2021 16:30 |
to oko
"пишите регуляторам (вначале РКН), а затем в суд (при желании)" Я бы вам многое рассказал в личке про письма и взаимодействие с органами власти. Из богатого личного опыта. Но лички тут нет и вам оно наверно не надо. Суд - только ЕСПЧ (хоть смейся, хоть плачь). Другого суда из своей практики не наблюдаю. |
Автор: oko | 109518 | 10.09.2021 16:47 |
to Сергей
Так-то вы либо пишите регуляторам, приложив накопленный материал и опыт, либо постарайтесь тут задать конкретный вопрос, чтобы получить конкретный ответ. А то это все смахивает на риторику в стиле "кто виноват? что делать? едят ли курицу руками?", ага... ЗЫ Отвечая на вопрос-шапку топика, СЗИ нужны для любых ИСПДн любого уровня защищенности. Но их количество, качество, свойство "сертифицированности" и места применения определяются особенностями конечной ИСПДн... |
Просмотров темы: 912