В предыдущем посте Сертификация средств защиты и персональные данные не хватало конкретики в вопросе сертификации как таковой.
В этот раз изложу не свое виденье вопроса, а выдержки из законов ведущие к тезису, что Сертификация — есть единственная форма оценки соответствия средств защиты требованиям по защите информации.
Статья получилась немного сумбурная, но, надеюсь, понятная.
Читать полностью »
Метка «152-фз»
Почему оценка соответсвия средств защиты информации и есть сертификация
2013-11-06 в 13:39, admin, рубрики: 152-фз, информационная безопасность, персональные данные, сертификация сзи по тзи, Софт, метки: 152-фз, персональные данные, сертификация сзи по тзиСертификация средств защиты и персональные данные
2013-11-06 в 7:32, admin, рубрики: 152-фз, информационная безопасность, персональные данные, сертификация сзи по тзи, метки: 152-фз, персональные данные, сертификация сзи по тзи Сертификация средств защиты информации вызывала, вызывает и будет вызывать огромное количество вопросов у IT-люда. И к сожалению не только у него: сами «законотворцы» и «методикоделы» не всегда толком могут ответить на вопрос о сертификации. Тут можно выделить пожалуй два подвопроса:
1. Что «хотят» контролирующие органы (ФСТЭК, ФСБ, Роскомнадзор) — далее «КО»;
2. А что «хочет» закон и методики.
Частично написано в ответ на Защита информации и сертификация. Если нет разницы — зачем платить больше?, где, считаю, не совсем корректно представлено текущее положение дел… хотя взгляд на него излагаю из личного опыта общения с КО, сертифицирующими органами, клиентами и опытом внедрения систем защиты.
Читать полностью »
Как Сбербанк распространяет ваши личные данные
2013-09-29 в 18:42, admin, рубрики: 152-фз, информационная безопасность, персональные данные, Сбербанк, метки: 152-фз, персональные данные, Сбербанк Я дал знакомому номер моей карты, чтобы он мог перевести мне деньги.
Знакомый сделал перевод и получил квитанцию.
В его квитанции оказались указаны мои паспортные данные (см. скан квитанции под катом).
Я сообщил о проблеме на странице www.facebook.com/sberbank, получил рекомендацию написать на адрес zabota@sberbank.ru
17 сентября я отправил на этот адрес описание истории и вопрос:
«Сообщите пожалуйста, почему и как в квитанции оказались мои паспортные данные и, таким образом, произошла передача моих персональных данных третьему лицу?»
Прошло почти 2 недели, никакого ответа я так и не получил, поэтому начинаю размещение открытых сообщений.
Я считаю, что важно, чтобы максимальное количество клиентов Сбера узнало о том, как банк относится к их личным данным.
Читать полностью »
Способ выполнить требования 152-ФЗ №1: Системный интегратор
2012-06-28 в 10:12, admin, рубрики: 152-фз, Анализ и проектирование систем, защита персональных данных, информационная безопасность, персональные данные, метки: 152-фз, защита персональных данных, персональные данные 
Многие не знают, что есть несколько способов выполнить требования закона №152-ФЗ «О персональных данных». Все они различаются порой кардинальным образом: стоимостью, сложностью и временем реализации.
Один из специалистов нашей команды Б-152 решил поведать вам о первом способе: обращении к системному интегратору и работе с ним.
Читать полностью »
Мифы о защите персональных данных в облаке
2012-05-23 в 11:19, admin, рубрики: 152-фз, Блог компании КРОК, виртуализация, гипервизор, защита персональных данных, информационная безопасность, облако, сертификация, метки: 152-фз, виртуализация, гипервизор, защита персональных данных, облако, сертификация 
В последнее время часто поднимаются вопросы о возможности обработки и защиты персональных данных в «облаках» в соответствии с ФЗ №152 «О персональных данных». Всё это зачастую напоминает обсуждение мифов, поэтому рискну изложить свой взгляд на проблему защиты ИСПДн в облаках и попробую ответить на основные вопросы.
Примерный список вопросов таков:
- Можно ли, в принципе, размещать информационные системы персональных данных (ИСПДн) в «облаке» с учетом требований регулирующих органов по защите информации?
- Какими свойствами должно обладать «облако», чтобы его можно было использовать для построения информационных систем персональных данных (ИСПДн)?
- Что необходимо учесть оператору ПДн, решившему перенести свои информационные ресурсы в «облако»?
- Возможно ли аттестовать ИСПДн, размещенную в публичном «облаке»?
- Какие задачи по обеспечению ИБ возлагаются на облачного провайдера?
- Какие существуют гарантии того, что конкурент, размещенный в том же «облаке» по соседству, надежно отделен и не сможет атаковать, находясь внутри «облака»?
- От чего зависит ИСПДн какого класса можно построить в конкретном «облаке»?