Сообщения

Сообщения за 2011

Общее. Обзор наиболее интересных событий информационной безопасности на Кубани

Конец года – возможность подвести итоги и сделать какие-то выводы. Чтобы оправдать название рассмотрю наиболее интересные для меня события, связанные с информационной безопасностью, произошедшие в Краснодарском Крае и окрестностях в 2011 году, на пересечении Заказчиков, Интеграторов и Регуляторов. Новички, расширения, слияния  1. Местный интегратор - “Орбита” поменяла бренд на ГК “Россигнал”, попутно потеряв часть наиболее квалифицированных сотрудников по ИБ, которые в том числе отличались в событиях описанных ниже. Вполне возможно, что соответствующая деятельность будет уже проводится под эгидой других компаний. 2. Местный интегратор - “Росинтеграция”, оказывающий услуги по ИБ, расширил свое присутствие в регионах. Теперь подразделения компании есть не только в Краснодаре, но и в Ростове-на-Дону, Майкопе, Ставрополе. 3. Новый местный интегратор “Сириус”, костяк которого составляют бывшие сотрудники компании “Орбита”, в конце 2011 года начал оказывать услуги по ИБ и созд

Общее. Система управления ПДн

Изображение
Привожу в данной статье обзор системы “Privacy-SPS” производства компании ООО "АйРЭД" (IRADD) , которая относится к новому классу систем – “Системы управления ПДн”. Примечательно, что система местного производства – разработчик находится в Краснодаре. Система предназначена для автоматизации процессов связанных с обработкой и защитой персональных данных. Выполнение всех требований законодательства РФ в области ПДн требует большого количества рутинных операций и как следствие больших трудозатрат. Причем, требуемые операции выполняются не один раз, а постоянно в течении срока жизни ИСПДн. Я думаю, что любой Оператор пытающийся выполнить требования осознал необходимость автоматизация таких операций. Я блоге я уже писал про некоторые из них: 1 , 2 , 3 , 4 . На сайте выложена документация и по требованию Разработчик проводит демонстрацию решения. Основное, что можно почерпнуть из этого: Разработчик заявляет, что в их продукте автоматизирован необходимый комплекс опер

Общее. Новый регламент Роскомнадзора

Как все, наверное, уже видели утвержден новый административный регламент Роскомнадзора по контролю за соответствием обработки ПДн . Документ представляет большой интерес, но он пока не опубликован. Вместо него у меня оказался под рукой проект регламента . Так как это проект не буду разбирать его детально – только несколько замечаний: ·         Появился раздел с правами и обязанностями должностных лиц РКН. Например, могу получать доступ к ИСПДн в режиме просмотра; обязаны учитывать при определении мер тяжесть нарушений, не допускать ораничение прав Оператора; не требовать от Оператора документы, не предусмотренные законодательством РФ. ·         Появился раздел с ответственностью  должностных лиц РКН. ·         Появился раздел с правами и обязанностями проверяемых. Например, могут указать в акте проверке несогласие с определенными пунктами проверки; обязаны предоставить доступ на территорию, к документам, к оборудованию. ·         (осталось без изменений) Срок проверки ог

СЗПДн. Проектирование. Выбор СЗИ

В обсуждениях к предыдущейзаметке был поднят вопрос о таком важном этапе в процессе проектирования СЗПДн как – выбор СЗИ. Действительно, при внедрении качественной, работающей СЗПДн – Заказчик не должен ставится перед фактом, что будет внедрятся такой-то перечень СЗИ и точка. Заказчик должен активно участвовать в выборе СЗИ, и на выбор должны влиять не только требования Правительства РФ, ФСТЭК, ФСБ но и некие особенности в данном Операторе. Предполагается, что приступая к выбору СЗИ, мы уже определили требуемый минимально перечень мер (методов и способов) защиты ПДн, на предыдущем этапе . Хочу отметить, что сравниваться должны не только СЗИ и СЗИ, но и организационные меры. Например, требования по регистрации определенных событий, уничтожению информации могут быть выполнены как СЗИ, так и без них.  Так-же могут сравниваться варианты с применением централизованных средств (управления, сбора событий и т.п.) и без них. Одним из важнейших характеристик при сравнении СЗИ является

СЗПДн. Проектирование. Качественный проект

В последнее время очень часто сталкивался со следующей ситуацией: Операторы ПДн заказывает у Лицензиата комплект бумажек (отчет об обследовании, модель угроз, ТЗ, проект, ОРД) и сертифицированных средств защиты по минимальной стоимости, не беспокоясь как это будет работать и будет ли работать. Главное чтобы жопу прикрыть защитится от Регулятора. В результате этого у других Операторов создается впечатление – всё что связано с СЗПДн это что-то бесполезное, заведомо не работающее. На самом деле это не так. Мне приходилось участвовать в большом количестве проектов, в рамках которых внедрялись действительно необходимые заказчику меры и СЗИ. В дальнейшем СЗПДн расширялась или интегрировалась в общую систему обеспечения ИБ Организации. Что можно предпринять, если вам нужна действительно работающая СЗПДн и исполнитель - Интегратор обещает внедрить такую систему? Большое значение для эффективной реализации СЗПДн имеет проект СЗПДн.  При выставлении требований к Исполнителю необходим

СЗПДн. Анализ. Поручение обработки ПДн. Часть 2.

Для начала сравним обязанности и ответственность Оператора ПДн и Обработчика ПДн (лицо, осуществляющее обработку персональных данных по поручению оператора) при обработке ПДн.   № Обязанности и ответственность Оператора Обязанности и ответственность Обработчика Общие 1.              Соблюдение принципов обработки ПДн, определенных в статье 5 Соблюдение принципов обработки ПДн, определенных в статье 5 2.              Ответственность перед субъектом ПДн за действия Обработчиков, которым поручал Ответственность перед Оператором , который поручил обработку 3.              Назначать ответственного за организацию обработки ПДн - При взаимодействии с Субъектом 4.              Соблюдение условий обработки ПДн, определенных в части 1 статьи 6, в том числе получение согласия на обработку ПДн в случаях, не попадающих под исключения. - 5.              Пре