Сообщения

Сообщения за апрель, 2011

СЗПДн. Анализ. Нужен ли Перечень ПДн?

Сразу скажу, что нет явных требований в нормативных документов РФ к наличию такого документа в Организации. Но если мы начинаем выполнять другие требования, то сталкиваемся со следующей картиной: 1. Часть 1 Статьи 5 ФЗ-152 определяет принципы, на основе которых должны обрабатываться ПДн. Для выполнения данного требования необходимо определить следующие основные характеристики обработки ПДн: цели обработки ПДн, способы обработки ПДн, законные основания для обработки ПДн, цели заявленные при сборе данных, объем обрабатываемых ПДн, характер обрабатываемых ПДн. Так как условия обработки ПДн постоянно меняются, то недостаточно определить эти основные характеристики один раз - например, в отчете об обследовании ИСПДн. При любом изменении существенных характеристик обработки ПДн должен выполнятся анализ соблюдения принципов. Результатом этого регулярного анализа должен быть какой-то документ. Почему бы этим документом не быть – Перечню ПДн ? 2. Часть 2 Статьи 5 ФЗ-15

СЗПДн. Проектирование. Новый шаг в сертификации ПО Microsoft

Обычно я не пишу заметки про новые СЗИ, но в данном случае вопрос слишком актуальный чтобы обойти его вниманием. До недавнего времени сертифицированные в ФСТЭК версии ПО Microsoft были фактически не жизнеспособны в средних и крупных компаниях. Дело в том, что для выполнения всех требований ФСТЭК России при сертификации, компания АЛТЭКС-СОФТ разработала следующие условия функционирования сертифицированной версии: · Необходимо полностью отключить автоматическое обновление и в дальнейшем устанавливать обновления вручную и локально. · Обновления нельзя устанавливать любые, а только те, которые предлагает утилита Check , после локального анализа системы. Проблема усугубляется тем, что утилита Check ошибается при анализе и пытается “заставить” Вас установить лишние обновления. · Обновления необходимо скачать вручную и установить на каждую систему отдельно. · Необходимо отключить все “лишние” службы. Обычно отключенная служба оказывается нужна для

СЗПДн. Анализ. Новые квалифицированные сертификаты

В соответствии с Федеральным законом РФ от 6 апреля 2011 г. N 63-ФЗ "Об электронной подписи" в квалифицированном сертификате будет содержаться «номер страхового свидетельство государственного пенсионного страхования». Соответственно по нашей методике категорирования ПДн, данные о субъекте содержащиеся в сертификате будут относиться к персональным данным 2-ой категории – «персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию». Конечно УЦ может начать собирать согласия на общедоступность номера страхового свидетельства государственного пенсионного страхования. Но как быть если субъект согласие не дает, а сертификат нужен для получения неких гос. услуг. А в соответствии с ФЗ-152 права и свободы граждан не могут быть ограничены, даже если он не дает согласия. Плюс согласие может быть отозвано в любой момент, а обработка данных в сертификате продолжит обрабатываться. В общем, эти особенности нак

СОИБ. Анализ. Парадокс подготовки к аудиту ИБ

Каждый раз при аудите ИБ участники на объекте аудита чтобы подготовится со своей стороны просят предоставить: регламент аудита, план аудита, предварительный опросник по аудиту ИБ, общий перечень вопросов в рамках аудита ИБ. И каждый раз повторяется ситуация, что до начала аудита проверяемая сторона не успевает определить участников аудита в соответствии с регламентов и заполнить предварительный опросный лист. В итоге эти вопросы приходится решать на первом совещании, на объекте аудита и первые пару дней после него. И даже после этого план аудита постоянно продолжает меняться – у одного участника аудита возникает ЧП, у другого срочное совещание, у третьего наоборот свободный день появляется раньше запланированного. И что самое странное – чем крупнее и серьезнее Организация, тем меньше они делают со своей стороны на этапе подготовки к аудиту ИБ. Это у всех такое случается или только я что-то непонимаю?