Страницы

Если вы поставили ViPNet..

Допустим, для связи с ПФР/Налоговой/Казначейством/удалённым офисом вы поставили ViPNet/Континент.. 
Что же вам нужно сделать, чтобы использовать это СКЗИ для пересылки перс.данных в соответствие с требованиями ФСБ?

Типовой набор средств защиты для ИСПДн

Для соответствия требованиям нормативных документов по защите перс.данных, каждая ИСПДн должна обладать следующим набором средств защиты информации - СЗИ (взят из 58 приказа ФСТЭК):
  • Средства управления доступом регистрации и учёта, обеспечения целостности;
  • Средства межсетевого экранирования;
  • Средства обнаружения вторжений;
  • Средства антивирусной защиты;
  • Средства анализа защищённости;
  • Средства защиты каналов связи - если имеется факт передачи ПДн за пределы контролируемой зоны;
  • Средства шифрования - если нет охранной сигнализации или круглосуточного дежурства, если ПДн хранятся на ноутбуке, который периодически покидает пределы контролируемой зоны и т.д.
Все указанные категории средств защиты должны иметь соответствующие сертификаты ФСТЭК и ФСБ (именно по таким категориям вас попросят предъявить заверенные копии сертификатов при проверке). 
Допускается использовать комплексные СЗИ. Например антивирус с межсетевым экраном и модулем обнаружения вторжений. Однако в таком случае продукт должен иметь соответствующие сертификаты: и по классу СВТ, и по классу МЭ, и как "средство обнаружения вторжений". 
Вот пример подбора средств защиты для многопользовательской ИСПДн К2 из 1 АРМ:

Как потерять лицензию ФСТЭК по ТЗКИ

Не секрет, что лицензия ФСТЭК на деятельность по ТЗКИ является ключевым требованием в 100% работ по защите информации. Поэтому потерять ее даже временно - большая трагедия для компании.
А как же такое может произойти?
Рассмотрим подробнее....

Сбербанк, Интернет и ПДны

Сегодня оставлял жалобу на Сбербанк через их сайт (есть там неприметный красненький конвертик). На последнем шаге с меня ультимативно потребовали следующее согласие:
Направляя данное Обращение, я даю свое согласие ОАО "Сбербанк России" на обработку, в том числе автоматизированную, своих персональных данных в соответствии с Федеральным законом от 27.07.2008 № 152-Ф3 "О персональных данных". Указанные мною персональные данные предоставляются в целях рассмотрения настоящего Обращения и исполнения договорных обязательств, а также разработки банком новых продуктов и услуг и информирования меня об этих продуктах и услугах. Банк может проверить достоверность предоставленных мною персональных данных, в том числе с использованием других услуг и заключения новых договоров. Согласие предоставляется с момента подписания настоящего Обращения и действительно в течение пяти лет. По истечении указанного срока действие согласия считается продлённым на каждые следующие пять лет при отсутствии сведений о его отзыве.
Вот ведь как получается: пришел чтобы пожаловаться, а в результате навечно отдал свои персональные данные для рассылки мне спама и предложений получить "самый выгодный кредит" (не говоря уж о загадочных "других услугах" и "новых договорах").
И ведь такое позволяет себе самый крупный банк с самой большой базой персональных данных. Что уж говорить об исполнении норм 152-ФЗ другими операторами...