Как стать автором
Обновить
2
Карма
0
Рейтинг

Пользователь

  • Подписчики
  • Подписки

Мифы о 152-ФЗ, которые могут дорого обойтись оператору персональных данных

В идеале нужно документально разграничить обязанности. Как пример:
  1. Банк — оператор
  2. Коллекторы — контрагенты и в своем роде тоже оператор
  3. Ребята программисты — просто поставщики ПО (если другое отдельно не прописано).

Как будет происходить взаимодействие банка с коллекторами, зависит от договоренностями последних, будь то ГОСТ крипта (VIPNet, Континент, КриптоПРО), СЗИ от НСД и т.д. Соответственно и ответственность ложится на них, а ребята программисты могут только подстраиваться под требования (встраивать крипту и т.д.).
P.S.
У банков есть свои требования окромя 21 приказа ФСТЭК

Мифы о 152-ФЗ, которые могут дорого обойтись оператору персональных данных

Добрый день.
Скажите, есть ли упоминание на что должна быть пройдена процедура оценки соответствия. В плане сертификации все понятно, профили защиты и прочие требования к СЗИ.

Мифы о 152-ФЗ, которые могут дорого обойтись оператору персональных данных

Про вопрос о «коллекторах». Схема проста, команде ничего не будет, если они не оператор, а только «поставщики» ПО. Вот в том случае если все крутится на их базе/облаке то смотрим Миф 2

Мифы о 152-ФЗ, которые могут дорого обойтись оператору персональных данных

Если не храните то менее 100к, угрозы 3 типа, Спец категория — УЗ-3. Только обязательно пропишите в ОРД что и как вы удаляете.

Мифы о 152-ФЗ, которые могут дорого обойтись оператору персональных данных

В место поля ФИО укажите поле Псевдоним, в место даты рождения дату крещения руси и т.д.
И в конце галочку, что заполнявший внес заведомо вымышленные данные, которые не имеют ничего общего с реальностью.

Мифы о 152-ФЗ, которые могут дорого обойтись оператору персональных данных

Да вполне. Менее 100к субъектов при 3 типе угроз, как раз выводят вас на УЗ-3. Только учитывайте одно, сбор это 5 тысяч, а сколько храните?

Оптимизация производительности apache2

Взять Apache, выкинуть из него все что можно, поставить php-fpm. Зачем?
Я думал будет рассказ про тюниг конфига под конкретное железо и задачи, а так: apt-get install nginx php-fpm и поехали

Непобедимая армада Garmin

Спасибо, за ответ. Я как раз думаю над переходом с пеблов на Vivoactive 3. Если не возражаете, задам еще пару вопросов. Как отображаются смайлики, и вылетают ли уведомления на экран? Из Вашего ответа я понял что сообщения в отельном «виджете», или они показываются и потом сами пропадают, а wathface уже показывает (если умеет) сколько чего пришло и т.д или как?

Непобедимая армада Garmin

Расскажите подробней про отображение уведомлений как выглядит, проматывается нет и т.д.

Опыт внедрения криптошлюзов ViPNet в ЕРИС

Пожалуйста
СТРК
5.8. Защита информации при межсетевом взаимодействии
5.8.1. Положения данного подраздела относятся к взаимодействию локальных сетей, ни одна из которых не имеет выхода в сети общего пользования типа Internet.

5.8.2. Взаимодействие ЛВС с другими вычислительными сетями должно контролироваться с точки зрения защиты информации. Коммуникационное оборудование и все соединения с локальными периферийными устройствами ЛВС должны располагаться в пределах КЗ.

5.8.3. При конфигурировании коммуникационного оборудования (маршрутизаторов, концентраторов, мостов и мультиплексоров) и прокладке кабельной системы ЛВС рекомендуется учитывать разделение трафика по отдельным сетевым фрагментам на производственной основе и видам деятельности предприятия.

5.8.4. Подключение ЛВС к другой автоматизированной системе (локальной или неоднородной вычислительной сети) иного класса защищенности должно осуществляться с использованием МЭ, требования к которому определяются РД Гостехкомиссии России «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации».

5.8.5. Для защиты конфиденциальной информации при ее передаче по каналам связи из одной АС в другую необходимо использовать:

· в АС класса 1Г — МЭ не ниже класса 4;

· в АС класса 1Д и 2Б, 3Б — МЭ класса 5 или выше.

Если каналы связи выходят за пределы КЗ, необходимо использовать защищенные каналы связи, защищенные волоконно-оптические линии связи либо сертифицированные криптографические средства защиты.

P.S. Текстовка взята из гугла, но смысл на сколько я помню не менялся с того времени как читал оригинал.

Опыт внедрения криптошлюзов ViPNet в ЕРИС

Логика регулятора в данном вопросе очень проста.
1) Есть выход сети за пределы контролируемой зоны, значит будьте любезны МЭ, если у вас сеть то железный МЭ, если единичный АРМ или сервер можно софтовым обойтись (привет ФСТЭК)
2) Если за пределы КЗ вы передаете конф. инф. то будьте любезны шифровать (привет ФСБ)
Так что наличие/отсутствие интернета ни о чем не говорит.

Опыт внедрения криптошлюзов ViPNet в ЕРИС

Интересно Вы конечно оправдали выбор ViPNet. Искусственно ввели двух игроков, использование которых заведомо невозможно, они же кроме как СКЗИ нужно еще и МЭ. А так как:
Не предполагалась установка дополнительного ПО на компьютеры радиологического кабинета, потому что зачастую для взаимодействия с радиологическим оборудованием требуются очень специфические и старые версии операционных систем и специального программного обеспечения

то от сюда Тыц следует что только ПАКи подходят.

Мифы про инфраструктуру в облаке: с какой неграмотностью мы сталкиваемся в России каждый день

Часто заказчик приходит и говорит, что у него важные данные. И ему нужна аттестация по определённому классу. Например, по 1К. И выкатывает требования для такой инфраструктуры. Во-первых, 1К не используется много лет. Во-вторых, вполне может оказаться, что у него данные третьей категории, и просто он об этом не знает, потому что кто-то либо некомпетентен, либо не умеет правильно оформлять документы, либо решил перестраховаться. Бывает, что юрист вооружается набором мифов и их уверенно отстаивает.

Ну и где тут миф? Во-первых, почему Вы решили что систем (не данных, у данных/информации по 17 приказу ФСТЭК бывает только уровень значимости, а по ППРФ 1119 нет классов есть категории УЗ-1 — УЗ-4) К1 (а не 1К) не бывает? Во-вторых, «Уровень значимости информации определяется степенью возможного ущерба для обладателя информации (заказчика) и (или) оператора» а значит не Вам решать насчет класса ИС. Ну и в третьих расскажите как у Вас дела обстоят с классами К2 и К3?

История создания домашнего облака. Часть 2. Создание сервера — настройка LAMP в Debian

Apache и Nginx – это пара веб-серверов с открытым исходным кодом, на которых построено порядка 55% серверов во всего мира

Тут как всегда не учитывается процент, когда Nginx стоит перед Apache в качестве прокси

Кто в медицине ИСПДн в соответствие с законом приводил, тот в цирке не смеётся

А зачем используется ViPNet Клиент на шлюзе, ViPNet координатор ведь и есть шлюз или его возможностей не хватает?

«ВКонтакте» и «Одноклассники» снизили лимит на фоновое прослушивание музыки до 30 минут в сутки

Эти моменты решались кешированием своего плейлиста, который выпилили еще до введения ограничения по времени.

Поиск документов в сетевых шарах и файловых помойках

Жаль, спасибо за ответ.

Поиск документов в сетевых шарах и файловых помойках

Ambar затягивает к себе все файлы и хранит у себя

Получается если помойка на терабайт, надо еще терабайт на Ambar выдать?

Реверс-инжиниринг вредоносного мошеннического скрипта

ctr+w достаточно, хром давно не блокирует закрытие страницы при алерте из onbeforeunload. До недавнего времени была возможность обновить страницу из onbeforeunload и вылетал алерт по типу «хотите ли покинуть данную страницу», сейчас тоже пофиксили.

Гигабитный ГОСТ VPN. TSS Diamond

У основных игроков на рынке есть гигабитные решения, вопрос цены.
С полгода назад тестировали младшие модели, прошивка сырая, через «удобный» WEB интерфейс делается далеко не все, часто приходится лезть в консоль. WEB интерфейс частенько падает, и много не доработок. К примеру если master шлюз (VPN сервер) упал/умер/сгорел то клиента вы из режима slave вы уже никогда не выведете (только пере прошивка) и таких мелочей много. Общее мнение если ViPNet или Континент хоть как то напоминает Enterprise решение, то диамонд больше смахивает на proof of concept, да работает, да имеет место жить, но пилить его еще долго.

Информация

В рейтинге
Не участвует
Зарегистрирован
Активность