Тема: О защите персональных данных

[Woodu]

Первое января не за горами. Лето закончилось, резко стал вопрос о выборе компании, которая может предложить услуги в этой сфере.
Господа сисадмины расскажите, что по чем.
 
Да и собственно как всё будет протекать. Пока смутно представляю. С законом ознакомился.
Вот только есть некоторые вопросы.
Как насчет Windows server 2008 standard edition r2 есть ли у него сертификат ФСТЭК?
Сайт microsoft уверят, что нет, но на сайте фстэк обратная информация.
Придется ли приобретать новые лицензии на windows xp professional. У нас везде OEM еще 2002-2003 года.
C 2000 серваком придется распрощаться.


В гугл отправлять не надо начитался    и еще читать и читать  ;)
Хотелось бы услышать мнение того кто уже с этим столкнулся.

http://ispdn.ru/ сайт посвященный данной тематике.
http://www.microsoft.com/Rus/Security/Certificate/results.aspx
Добавлено: [time]13 Сентября 2010г 12:52:27[/time]По поводу freebsd тоже глухо (

[Stalker]

что-то вообще не в курсе \\

[Abi7 Project]

Какую только хрень не придумают, лишь бы стричь бабло! Срочно дышим воздухом с удвоенной скоростью, пока он бесплатен  >:D

[Woodu]

Stalker, читаем закон Ф3-152. Я до весны этого года тоже был не в курсе, а вот закон разработан в 2006 году.
Добавлено: 13 Сентябрь 2010г 13:37:40Abi7 Project, эта хрень по примерным подсчетам обойдется дороже, чем всё оборудование в организации. Чудаки на букву м.

[freeman]

WayOfLife, закон постоянно на доработку отправляют, и хрен его точно знает что в итоге они там до придумывают
насчёт WinXP твоего, насколько я знаю, то с ним нормально всё, лишь бы лицензия была, наклейки там...

У нас везде OEM еще 2002-2003 года.

Так а ХП и был выпущен в 2003 году и всё. ))
Добавлено: 13 Сентябрь 2010г 14:17:02там ещё есть разные классы ПНД.
к примеру если у тебя храняться данные только о работниках, такие как ФИО и адрес вроде, то можно вообще голову себе не морочить, это самый низший класс. т.е. тело движений никаких не надо делать.

[Balaganoff]

что-то вообще не в курсе \\

АНАЛОгично
И не собираюсь раньше времени парить себе уставший мосх!


<?
while($life="живой")
{
If date("m.d.y"); ="01.13.10";
echo ("Все в сад ! У меня праздник!");
else echo("Пля ... как я устал. Давайте завтра !");
}
?>

 ;D

[rahail]

<?
while($life="живой")
{
If date("m.d.y"); ="01.13.10";
echo ("Все в сад ! У меня праздник!");
else echo("Пля ... как я устал. Давайте завтра !");
}
?>

 ;D

я попрошу марсиан..в присутствие Землян разговаривать на земном языке!!!!!! Земля для землян!! Марсианская экспансия не пройдет!!! )))

[Серьезный Сэм]

У нас безопасники наваяли по этому закону глобальный иструкшен "как, чего и через что", исходя, так сказать, из реального положения и состояния инфраструктуры. А также "Положение о работе с персональными данными"
В основном всякая хрень касаемая, регулярной смены паролей юзверей (и не простых, а соответствующих требованиям информационной безопасности), подписания работниками, допущенными к работе с персональными данными, бамажек об ответственности и т.д., терминалки только по ВПНу, сервак с ПД доступа к инету не должен иметь, "безопасные" настройки фаерволов и прочее...
Плюс у нас идет обмен данными с банками, и пер.данные им частично запрещено передавать, не помню - прописано ли это в самом законе, или просто безопасники перестраховались.
Что касаемо самого ПО - тут глухо и не ясно. Вернее, выглядит все "ништяк", безопасники молчат молчком. 2003-й сервер, семанта, корпоративные ХРюши. Так шта сижу пока и не парюсь

[Denis]

Опа - надо срочно становиться диллером Alt Linux ( ибо http://www.altlinux.ru/products/certified-systems/ ), и в день X начинать рубить бабло

[miuchi]

Если Ваша компания планирует серьезно подойти к данной теме, то Вам сначала нужно будет провести предпроектное обследование инфраструктуры, которое в общем виде выглядит примерно так:
1.Определение перечня ПДн, подлежащих защите от НСД
2.Определение условий расположения ИСПДн относительно границ КЗ.
3.Определение конфигурации, технических средств и систем ИСПДн.
4.Определение режимов обработки ПДн в ИСПДн.
5.Определение класса ИСПДн.
6.Определение степени участия персонала в обработке ПДн
7. Определение угроз безопасности (разработка частной модели угроз)

Соответственно, в зависимости от выявленного в Вашей компании класс ИСПДн необходимо будет применять программно-аппаратные решения для защиты ПДн. Если класс ПДн нельзя понизить с помощью организационных мероприятий, то нужно будет использовать софт и (или) "Железо" для защиты ПДн. Софта разного на данный момент много. Все кричат о своей незаменимости в сертификации по ФЗ 152. Но с нового года такого софта станет меньше, будет проведена "чистка" на соответствие нормам закона. "Железа" тоже иногда советуют купить специфического. Особенно под это любят всякие Циски продавать за хорошие деньги. В общем главное-это найти опытную компанию, которая проведен предпроектное обследование, понизит класс Вашей ИСПДн, если необходимо (а не факт, что ещё вам нужно сертифицироваться по полной программе. Если класс ИСПДн низкий, то Вам будет достаточно подтверждающей это информации) порекомендует ПО и если нужно - проведет сертификацию (аттестацию).
Если Ваше руководство готово под это выделять деньги, то пишите в личку, пообщаемся отдельно. Если нет, то скорее всего ещё 1-2 года в Кореновске до Вас не доберутся проверяющие органы. Они сначала возьмутся за медицинские учреждения, банки, финансы и т.п. Но это риск - штрафы обещают серьезные.
Вот как-то так...

[ronin]

Новый способ обуть предпринимателя. Какая нафиг защита. Админ, обиделся на работодателя, скачал все базы и уволился. Через пару базу данных можно скачать в интернете. И никакие защиты не помогут. Не думаю, что базы ГАИ, банков, крупных компаний типа МТС или Билайн плохо защищены, и периодически базы появляются в интернете, они обновляются постоянно. Защитить данные можно тупо в EXCEL, поставив пароль на файл. Но блин надо купить сервер, специальное ПО, кучу приказов, постановлений подписать. В общем все направлено на то, чтобы состричь бабло с предпринимателя.

[Balaganoff]

miuchi, какие страсти-мордасти понарасказывала  :o
Добавлено: 14 Сентябрь 2010г 14:55:32Это что получается что ведомость на зарплату уже попадает под эту шнягу ?

[ronin]

Это что получается что ведомость на зарплату уже попадает под эту шнягу ?

Ага, и карточки сотрудников, которые от руки написаны тоже. Вот как их защищать?

[Stalker]

Ага, и карточки сотрудников, которые от руки написаны тоже. Вот как их защищать?

сертифицированный сейф, учет доступа etc... вот проверки начнутся и все прояснится )))

[ronin]

сертифицированный сейф, учет доступа etc... вот проверки начнутся и все прояснится )))

Ага, а если 2000 сотрудников, этож какой сейф надо?