Перейти к содержанию

Персональные данные и разделение ЛВС


stepa405

Рекомендуемые сообщения

Здравствуйте уважаемые! На этом фолруме я новичок, поэтому не судите строго, а помогите добрым словом, дельным советом.

 

1.А вопрос мой таков. Слышал, что в организации обрабатывающе персональные данные (ПД), должно быть произведно разделение сети (ЛВС) на открытый сегмент для доступа к ресурсам Интенет и закрытый для обработки ПД.

И как следствие еще дополнительные вопросы.

2. Какими документами регламентируется такое разграничение. (Желательно с сылкой до статьи, пункта)

3. Обязательно ли проводить физическое разделение или же можно воспользоваться сертифицированными ФСЭК

программами типа "Shield Multi Service - FW" Как к этим вариантам относится сам ФСЭК?

4. Что можите посоветовать изходя из личного опыта.

 

P.S. Заранее благодарен за развернутые и конкретные ответы.

Если вопрос задал не в том форуме, не серчайте сильно, подскажите где можно проконсультироваться по этим вопросам с опытными льдьми.

 

Ссылка на комментарий
Поделиться на другие сайты

  • Ответов 36
  • Создана
  • Последний ответ

Ув. Степа. Ну тема не по ветке, эт. понятно. А насчет ПД, посмотрите http://it2b-forum.ru/index.php?showtopic=2333, ну и общим поиском http://it2b-forum.ru/index.php?act=Search&...%E0%ED%ED%FB%E5

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте уважаемые! На этом фолруме я новичок, поэтому не судите строго, а помогите добрым словом, дельным советом.

 

1.А вопрос мой таков. Слышал, что в организации обрабатывающе персональные данные (ПД), должно быть произведно разделение сети (ЛВС) на открытый сегмент для доступа к ресурсам Интенет и закрытый для обработки ПД.

И как следствие еще дополнительные вопросы.

2. Какими документами регламентируется такое разграничение. (Желательно с сылкой до статьи, пункта)

3. Обязательно ли проводить физическое разделение или же можно воспользоваться сертифицированными ФСЭК

программами типа "Shield Multi Service - FW" Как к этим вариантам относится сам ФСЭК?

4. Что можите посоветовать изходя из личного опыта.

 

P.S. Заранее благодарен за развернутые и конкретные ответы.

Если вопрос задал не в том форуме, не серчайте сильно, подскажите где можно проконсультироваться по этим вопросам с опытными льдьми.

 

Так там все ДСП-шное, насколько я понял из выступления одного из ФСТЭКовцев :smile1:

Они потихоньку выкладывают все в публичный доступ - вот недавно методику классификации информационных систем выложили - но не быстро... :smile10:

В принципе за основу можно взять СТР-К, если достанете :smile14:

 

Поэтому, как я догадываюсь перечень мер, предлагаемых для защиты ПД в конкретной организации зависит от фантазии и профессонализма проверяющих из ФСТЭК (ну и лоббируемых продуктоы, ессно :smile19: )

 

Могу предложить поучиться на курсе по защите ПД у М.Ю. Емельянникова - http://www.itsecurity.ru/edu/kurs/kp_32.html

Может что понятнее станет... :smile8:

 

 

Ссылка на комментарий
Поделиться на другие сайты

Спасибо всем откликнувшимся за советы и рекомендации.

Если темупереместят в нужную ветку возражать не стану, а только поблагодарю.

В принципе с чего начинать понятно, но многие вопросы по защите ПД к сожалению имеют не однозначные ответы.

Половина документов по защите ПДзакрыто ФСЭКом грифом ДСП, часть открыта, опять же таки непонятно...

Вопросов только прибавляется...

Будем искать ответы...

Ссылка на комментарий
Поделиться на другие сайты

Спасибо всем откликнувшимся за советы и рекомендации.

Если темупереместят в нужную ветку возражать не стану, а только поблагодарю.

В принципе с чего начинать понятно, но многие вопросы по защите ПД к сожалению имеют не однозначные ответы.

А так со всеми нормативными документами ГТК/ФСТЭК :smile2:

Поэтому и есть аттестация объектов информатизации, которую проводят только уполномоченные лицензированные организации, в ходе которой их сотрудники занимаются интертрепацией :smile9: положений РД. Я сам как-то в этом участвовал - :smile17:

 

 

Ссылка на комментарий
Поделиться на другие сайты

Документы с грифом ДСП, публиковаться в средствах массовой информации, справочно-правовых системах Консультант Плюс, Гарант не будут. Представительства ФСТЭК по округам получили следующие документы:

1.«Методика определения актуальных угроз безопасности персональных данных при их обработке, в информационных системах персональных данных» (утверждена 14 февраля 2008г. заместителем директора ФСТЭК России);

2. «Базовая модель угроз безопасности персональных данных при их обработке, в информационных системах персональных данных» (утверждена 15 февраля 2008г. заместителем директора ФСТЭК России);

3. «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» (утверждены 15 февраля 2008г.

заместителем директора ФСТЭК России);

4. «Рекомендации по обеспечению безопасности персональных данных при их обработке, в информационных системах персональных данных» (утверждены 15 февраля 2008 г. заместителем директора ФСТЭК России).

Документы можно приобрести у ФСТЭК.

Ессно нужны лицензии :о))

Ссылка на комментарий
Поделиться на другие сайты

На что лицензии?

 

мне тоже интересно

одно КА получило лицензию acm-debt.ru/images/sert_1755_1.jpg

цитрую с их с

получило лицензию на деятельность по технической защите информации Федеральной службы по техническому и экспортному контролю РФ.

Риск утечки конфиденциальной информации существенно минимизируется при работе с агентством, владеющим высоким уровнем защиты персональных данных, который подтверждается соответствующей лицензией и сертификатами

однако, насколько мне известно, это было дело добровольное, имиджевый ход, компания ожидала, что после того, как они единственные обзаведутся этой лицензией, к ним ломанется толпа клиентов, но этого не произошло.

 

поглядел я этот документ

Утверждено

Постановлением Правительства

Российской Федерации

от 15 августа 2006 г. N 504

 

ПОЛОЖЕНИЕ

О ЛИЦЕНЗИРОВАНИИ ДЕЯТЕЛЬНОСТИ ПО ТЕХНИЧЕСКОЙ

ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ

по нему действительно, лицензирование происходит в заявительном порядке

Ссылка на комментарий
Поделиться на другие сайты

Не помню конкретно какое дело рассматривалось в АСе РФ (там что то с отходами и утилизацией было связано), но точно помню соглсно ст. 2 Гражданского кодекса Российской Федерации под предпринимательской деятельностью понимается самостоятельная деятельность, направленная на систематическое получение прибыли от пользования имуществом, продажи товаров, выполнения работ или оказания услуг.

В нашем случае, такие меропрития ведутся, но предприятие не извлекает прибыль, т.е. работы осуществляются для собственных нужд соответственно лицензия не нужна.

Ссылка на комментарий
Поделиться на другие сайты

Заархивировано

Эта тема находится в архиве и закрыта для дальнейших ответов.


×
×
  • Создать...