Сообщения

Сообщения за 2012

СЗПДн. Анализ. Обработка фотографий и биометрия

Изображение
14 декабря были опубликованы разъясненияРоскомнадзора по вопросам обработки персональных данных работников и соискателей, подготовленные совместно с экспертами: А.В. Лукацким, Емельянниковым М.Ю., Волковым А.Н., Токаренко А.В. Появление такого документа радует, потому что подобные вопросы возникают у всех операторов ПДн и теперь могут быть решены гораздо быстрее.   Пока ожидаются разъяснения по другим темам, привожу информацию по вопросу обработки фотографий и классификации её как биометрии, которая может быть кому-то полезна. Данная тема боян поднималась регулярно в блогах экспертов (например, эта , эта и эта ). Но, пока эксперты обсуждали, краснодарский РКН в этом году регулярно карал операторов. По моим наблюдениям подобные нарушения были выявлены в половине проверок (примеры тут и тут )     При этом обработку черно-белых ксерокопий паспортов трактовалась краснодарским РКН как обработка биометрических данных, а нарушением являлось отсутствие согласия субъекта

СЗПДн. Анализ. Предложения по совершенствованию состава и содержания организационных и технических мер по ОБ ПДн от ФСТЭК

В соответствии с информационным сообщением ФСТЭК России “о проекте приказа ФСТЭК России «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»” от 07 декабря 2012 г. № 240/22/4947 провел экспертизу проекта приказа ФСТЭК России “Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных”.                                     В соответствии с предыдущим комплектом документов регуляторов (ФСТЭК и ФСБ) нам удавалось реализовывать эффективные проекты по защите ПДн . А именно была возможность учесть базовый набор мер от регуляторов, пожелания заказчика и выбрать только те меры, которые были необходимы для обработки актуальных угроз безопасности ПДн. Новые документы ФСТЭК анализировал в том направлении, насколько они будут помогать или мешать реализации эффективных проектов СЗПДн у операторов а

СОИБ. Проектирование. Усиленная аутентификация на уровне сети (UPD)

Изображение
В своем блоге я уже делал несколько заметок по теме усиленной аутентификации ( например, эта ), и теме защищенного доступа к сети . Сегодня ещё одна заметка в продолжение. Большинство организаций уже осознает проблемы с классическими паролями – с их большим количеством, запоминанием, подбором, потерей и т.п. и пытаются разработать дополнительное решение. Но на пути внедрения усиленной аутентификации могут встать технические ограничения: ·         большинство бизнес-приложений организации может не поддерживать усиленную аутентификацию (об этом я писал в заметке ) ·         в организации могут быть программно или аппаратно отключены USB порты на АРМ пользователей, либо они могут быть опечатаны. А большинство средств усиленной аутентификации (токены, смарт-карты, биометрические сканеры) подключаются по USB ·         в организации может использоваться нестандартная служба каталогов ( Linux и LDAP или Novell eDirectory ) а большинство средств усиленной аутентификации осн

СОИБ. Проектирование. Недостающий элемент С-терра

Изображение
В продолжение предыдущей заметки про решения С-терра СиЭсПи в этот раз хочу написать про приятную новость от коллег по Микротест у. В рамках одного из проектов проектировалось решение для крупного заказчика. Требовалось создать систему защищенного взаимодействия между большим количеством крупных удаленных офисов Заказчика.  Требования по пропускной способности составляли порядка 20-30 Мбит, требования к форм-фактору – desktop , потому что не во всех офисах были стойки, криптография в соответствии с законодательством – по ГОСТ. Так как у Заказчика в основном использовалось активное сетевое оборудование и сетевые средства защиты производства Cisco Systems , оптимальным вариантом были криптошлюзы С-терра СиЭсПи. Но в линейке криптошлюзов С-терра был большой разрыв в интересующей нас области:  самый простой шлюз С-терра CSP VPN Gate 100 – имеет производительность VPN до 10 Мбит/ c . Следующий по криптошлюз Gate 1000 – имеет производительность уже до 200 Мбит/ c и стоечное

СЗПДн. Анализ. Информационное сообщение ФСТЭК по защите ПДн

Сегодня на сайте ФСТЭК Р было опубликовано  информационное сообщение “об особенностях защиты персональных данных при их обработке в информационных системах персональных данных и сертификации средств защиты информации, предназначенных для защиты персональных данных” от 20 ноября  2012 г. № 240/24/4669. В нем ФСТЭК Р информирует о планируемой дате размещения нового правового акта по защите ПДн (разработанного в соответствии с ПП 1119 ) – 07 декабря 2012 г. и приводит основные положения будущего документа: ·         новые требования будут распространяться только на новые СЗПДн; ·         все существующие сертификаты трогать не будут; ·         при выборе средств защиты, при наличие в сертификате ФСТЭК Р упоминаний классов ИСПДн надо руководствоваться таблицей: СЗИ, сертифицированные  в соответствии с  требованиям 1.0 усл. об. усл. об. могут применяться для защиты ПДн в соответствии с требованиям 2.0 для защиты ИСПДн до 1 клас

СЗПДн. Проектирование. Как централизованно управлять криптошлюзами С-терра?

Есть два замечательных производителя СЗИ: Cisco Systems предлагает комплекс решений для создания защищенной сети без границ, но не имеет Российской криптографии; С-терра СиЭсПи – предлагает широкую линейки средств построения VPN включающих Российскую криптографию, но не производит других средств защиты. В маркетинговых материалах этих двух производителей говорится о тесной  интеграции  друг с другом.   Так получилось, что в одном проекте по защите ПДе планировалось использование и интеграция решений этих двух производителей. Один из вопросов, который необходимо было решить при проектировании – определить, как будут управляться сетевые средства защиты информации. Приоритетным вариантом являлось использование централизованной системы управления. Причин использовать именно его несколько : ·         Визуализации всех сетевых средств защиты на графической консоли ·         Гибкая ролевая модель управления ·         Иерархия и наследование политик (глобальные, общие и