Category: it

Комп

База визиток


Данные с визиток турагентов выставили на продажу ФИО For sale

 

Неожиданная тема для обсуждения в туристических кругах всплыла по итогам выставок, отгремевших в Москве в марте. Многие получили на e-mail рассылку от информационно-маркетинговой компании «Семь ветров», предлагавшей приобрести у них свежую базу данных с контактами 7798 туркомпаний. «...В базу данных включены только свежие туркомпании посетители, по всем этим компаниям забиты свежие контактные данные (как ФИО, так и e-mail). По полю город Вы сможете делать разбиение по необходимым Вам городам и регионам», - указано в рассылке. Сведения были аккумулированы на основе визитных карточек, которые менеджеры агентств раздавали во время MITT и «Интурмаркет».

 


Комп

Общественный интерес vs конфиденциальность всех подряд ПДн

Новости PRM.RU:
Роскомнадзор заинтересовался сайтом о погибших в «Хромой лошади»

Роскомнадзор заинтересовался сайтом о погибших в «Хромой лошади»
 
Владимир Макин. Фото PRM.RU.

Как рассказал начальник отдела по защите прав субъектов персональных данных и надзора за информационными технологиями УФС по надзору в сфере связи, информтехнологий и массовых коммуникаций по Пермскому краю Владимир Макин, письменного согласия на размещение этой информации не было. А это информация, которую нельзя размещать без согласия.

«Мы нашли частный сайт, там размещены фотографии и имена погибших, — уточнил Владимир Макин. — Мы написали администратору сайта с требованием снять эту информацию, до сих пор она не снята. Но я и не получил уведомления, что письмо прочитано. Сегодня мы снова напишем».


Комп

Опять про передачу ПДн приставам

МИНИСТЕРСТВО СВЯЗИ И МАССОВЫХ КОММУНИКАЦИЙ РОССИЙСКОЙ ФЕДЕРАЦИИ

ФЕДЕРАЛЬНАЯ СЛУЖБА ПО НАДЗОРУ В СФЕРЕ СВЯЗИ,
ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И МАССОВЫХ КОММУНИКАЦИЙ

 

27.02.2010

Управление Роскомнадзора по Кировской области провело проверку ГУ Центр занятости населения города Кирова на предмет соответствия обработки персональных данных требованиям законодательства Российской Федерации.

            В ходе проверки были выявлены нарушения обязательных требований:  на основании письменного соглашения персональные данные безработных граждан передавались ГУ ЦЗН города Кирова  Управлению Федеральной службы судебных приставов по Кировской области без уведомления и получения согласия субъектов персональных данных, а также при отсутствии иных законных оснований; разработанная  ГУ ЦЗН  города Кирова форма согласия субъекта персональных данных не соответствует требованиям законодательства; ГУ ЦЗН города Кирова нарушаются обязательные требования при обработке персональных данных, полученных от третьих лиц; ГУ ЦЗН города Кирова не соблюдаются условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.

            По результатам проверки выдано четыре предписания об устранении выявленных нарушений. Материалы проверки направлены в Прокуратуру Кировской области для принятия решения о возбуждении дела об административном правонарушении по ст. 13.11 КоАП РФ.


294-ФЗ не спасет операторов ПД от внеплановых проверок Роскомнадзора в 2010 году ?

Даже не знаю, как начать.
Приятного мало в имеющейся точке зрения, которая недавно
была до меня доведена.

294-ФЗ:
ч.4 ст.1:
Особенности организации и проведения проверок при осуществлении....
контроля в области обращения и защиты информации....
в части, касающейся вида, предмета, оснований проверок и сроков их проведения, могут устанавливаться другими федеральными законами.

ч.5 ст.27:
До 1 января 2011 года положения настоящего Федерального закона, устанавливающие порядок организации и проведения проверок в части, касающейся вида, предмета, оснований проверок и сроков их проведения, не применяются при осуществлении государственного контроля (надзора), указанного в части 4 статьи 1 настоящего Федерального закона.
(в ред. Федерального закона от 27.12.2009 N 365-ФЗ)

Ключевое слово здесь "обращение", имхо.
Обращение - движение - распространение - обработка.
Выводы напрашиваются определенные..
Комп

Linux сертифицированный ФСТЭК (продолжение)

 

Предыдущий анонс сертифицированных ОС


Red Hat Business Partner
Сертифицированный Red Hat Enterprise Linux

Совместными усилиями компаний IBM, Red Hat и VDEL два варианта операционной системы Red Hat Enterprise Linux 4 были сертифицирована на всех аппаратных платформах компании IBM и имеет оценочный уровень доверия ОУД4 (усиленный) и уровень контроля отсутствия недекларированных возможностей НДВ4 согласно руководящему документу Гостехкомиссии (ФСТЭК) России. Сертифицированы варианты RHEL4 AS и RHEL4 WS. Первый из них ориентирован на сервера, второй - на узлы вычислительных кластеров. В соответствии с этими задачами были определены компоненты, входящие в сертифицированные версии.
Сертификат в формате pdf
 
 

 Защищённая операционная система реального времени QNX (изделие КПДА.00002-01)

Изделие КПДА.00002-01 является защищённым средством вычислительной техники (СВТ), которое может быть использовано при создании автоматизированных систем (АС), имеющих класс защищённости до 1Б включительно.
Разрешительные документы:
-
Сертификат соответствия № 906 ФСТЭК России по 3 классу защиты от несанкционированного доступа (НСД) и 2 уровню контроля отсутствия недекларированных возможностей (НДВ)
- Заключение на соответствие требованиям информационной безопасности №11 Минобороны РФ

 

Полное название программного продукта — Программная платформа масштаба предприятия ЯНУКС 3.0.
 

Требования безопасности изложены в так называемом Задании по безопасности. Класс сертификации — третий усиленный и расширенный уровень доверия (ОУД3+) — допускает создание автоматизированных систем до класса 1Г защищенности. Cертификат ФСТЭК № 1651 от 23 августа 2008 г.
Комп

Linux сертифицированный ФСТЭК


ALT Linux 4.0  Desktop Professional

ALT Linux 4.0 Desktop Professional — Сертификат соответствия №1649 от 23 июля 2008.

ALT Linux 4.0 Server Edition
ALT Linux 4.0 Server Edition (сертифицированный дистрибутив GNU/Linux) — Сертификат соответствия №1501 от 8 ноября 2007.

ALT Linux 4.0 Desktop Professional также как и ALT Linux 4.0 Server Edition сертифицированы Федеральной службой по техническому и экспортному контролю (ФСТЭК России):
  • Классификация по уровню контроля отсутствия недекларированных возможностей (НДВ) — 4 уровень.
  • Показатели защищенности от несанкционированного доступа к информации (СВТ) — по 5 классу защищенности.
Сертифицированный ФСТЭК Mandriva 2008 Spring Powerpack
Дистрибутив Mandriva 2008 Spring Powerpack предназначен для создания офисной рабочей станции или небольшого сервера.

Дистрибутив сертифицирован ФСТЭК России, сертификат №1766 от 27 января 2009 года,


Сертифицированный ФСТЭК Mandriva Flash 2008.1 (на 4GB USB накопителе)
Дистрибутив сертифицирован ФСТЭК России, сертификат №1766 от 27 января 2009 года,

Сертифицированный ФСТЭК Mandriva Corporate Server 4.0 Update 3

 

Дистрибутив Mandriva Corporate Server 4.0 Update 3 сертифицирован ФСТЭК России, сертификат №1766 от 27 января 2009 года
 

  • • по 5 классу для СВТ («Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (Гостехкомиссия России, 1992)
  • • по 4 уровню контроля НДВ («Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999).
Итого возможность применения до 3Б/2Б/1Г включительно и соответственно К3 (однопользовательская и многопользовательская с равными правами доступа)/К2 (многопользовательская с разными правами доступа) 
я, мне

Вордовский файл с ПДн -- ИС?

Вышел у меня забавный разговор с одним безопасником. Пытался его убедить в очевидном, что текстовый файл, ровно как и табличка с данными не попадает под действие ФЗ-152, ибо не является информационной сиситемой. В то время как картотека в отделе кадров или регистратуре поликлиники -- таки да.

Нашел определение В ФЗ-149, что информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.

Теперь встал вопрос про базу данных. Я-то помню про набор данных, связанных отношениями и прочее. А вот официального толкования, кроме как в Гражданском Кодексе (ужасное, применительно к авторскому праву) не нашел. Только ГОСТ 24.205-80 Система технической документации на АСУ. База данных - часть внутримашинной информационной базы, представляющая совокупность массивов (файлов, сегментов и т. д.) и выделенная для реализации определенных функции АСУ.

Как определить базу данных, коллеги?
Комп

ИСПДн ФМС


ГИСМУ
Удостоверяющий центр

Комп

Вот и выполняй требования по защите от ПЭМИН ;)

По требованию Управления Роскомнадзора в здании Департамента здравоохранения г. Москвы отключен незаконно эксплуатировавшийся генератор шума
Управление Роскомнадзора по Москве и Московской области провело в июне внеплановое мероприятие по контролю законности использования генератора шума, принадлежащего Департаменту здравоохранения города Москвы и создававшего помеху работе базовой станции сотовой связи ОАО «МСС».

В здании Департамента здравоохранения города Москвы по адресу: Москва, Оружейный пер., д.43 использовался генератора шума без разрешения на использование радиочастот или радиочастотных каналов и без регистрации.

В соответствии с ч.1 и ч.2 статьи 13.4 КоАП РФ должностное лицо Департамента, ответственное за законное использование генератора шума, привлечено к административной ответственности. Генератор шума отключен в ходе проверки.

Это уже второй случай претензий по генераторам шума за текущий год.

Согласно документу ФСТЭК "Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных"

4. Мероприятия по техническому обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных
4.5. В ИСПДн 1 и 2 классов должны быть реализованы мероприятия по защите ПДн от утечки за счет побочных электромагнитных излучений и наводок.

Таким образом оператору ПДн, имеющему ИСПДн К1/К2 следует иметь (не исключаю, что список будет расширяться):
- 1 или 3 лицензии ФСБ (при использовании СКЗИ)
- лицензию ФСТЭК на ТЗКИ
- регистрацию, как оператора ПДн в Роскомнадзоре (если есть обработка ПДн, не подпадающая под п.2 ст.22 152-ФЗ 2006)
- разрешение на использование радиочастот или радиочастотных каналов от Роскомнадзора
- регистрацию СЗИ по ПЭМИН в Роскомнадзоре
Комп

ИСПДн - АИС "Льготники" в Новосибирске


Объявлен открытый аукцион на предоставление услуги по сопровождению автоматизированной информационной системы "Единый реестр граждан, пользующихся льготами в городе Новосибирске" (АИС "Льготники") и каналов передачи необходимой информации.

Кроме того, исполнитель должен обеспечить защиту баз данных и работу с персональными данными в защищенном режиме, а также гарантировать проведение консультаций пользователей по вопросам, связанным с эксплуатацией АИС "Льготники".

Лимит финансирования составляет 3 949 280 рублей.

Документы аукциона:
1. Объявлен как аукцион, а на деле тендер.
2. Требования к лицензиям:
- Наличие лицензии на предоставление услуг в области шифрования.
- Наличие лицензии на предоставление услуг связи
А где лицензия на ТЗКИ?!?
3. Обслуживаемое ОПО, ППО не указаны
4. Предъявленные в ТЗ требования по защите информации:
4.1. Требования к защите информации
4.1.1. Требования к защите информации от несанкционированного доступа.
Ограничить несанкционированный доступ к данным АИС «Льготники» следующими средствами:
Административными и организационными. Создать физически защищённые помещения, в которых будет осуществляться размещение серверного и коммуникационного оборудования системы и средств обеспечения её бесперебойной работы.
Административными программными средствами операционной системы к отдельным её компонентам и приложениям.
Административными программными средствами системы управления базами данных (СУБД) ограничить доступ к данным системы в соответствии с предусмотренными в положениях и инструкциях по эксплуатации ролями пользователей.
Административными программными средствами прикладной части АИС «Льготники» ограничить доступ к функциям системы.
Специальным программным обеспечением и индивидуальными ключами (флеш-картами) для обеспечения работы с персональными данными в защищенном режиме.
Осуществлением передачи информации по каналам связи и хранения резервных копий данных системы с применением сертифицированных средств криптографической защиты: электронной цифровой подписи и шифрования.

4.1.2. Требования к обеспечению сохранности информации при авариях.
Перечень событий, при которых обеспечивается сохранность информации в АИС «Льготники»:
Выключение электропитания в сетях общего пользования. Стабильность питания должна быть обеспечена устройствами резервного питания, обеспечивающими требуемые показатели по уровню, качеству, бесперебойности электропитания системы, в соответствии с регламентами обеспечения бесперебойной работы АИС «Льготники».
Выход из строя серверного оборудования в результате механического повреждения его компонентов. Сохранность данных должна быть обеспечена проведением резервного копирования данных, хранящихся в системе, в соответствии с регламентом.
При наступлении событий, связанных с физическим уничтожением серверного оборудования АИС «Льготники» в целом, либо отдельных его частей, восстановление системы должно осуществляться в сроки и в порядке, определяемыми соответствующими регламентами. В качестве источников информации для восстановления данных должны служить резервные копии данных, дистрибутивы АИС «Льготники», операционной системы, СУБД Oracle и прочего ПО, задействованного при реализации АИС «Льготники».

7. Назначение прав доступа
Права доступа в информационной сети мэрии назначаются системным администратором на основании служебной записки организации пользователя в адрес организации, сопровождающей АИС в эксплуатации и на основании выполняемой пользователем функций. Для получения доступа к работе в АИС «Льготники» пользователь должен быть зарегистрирован в качестве пользователя информационной сети мэрии. При увольнении сотрудника организация пользователя обязана в день увольнения уведомить организацию, сопровождающую АИС в эксплуатации, об исключении уволенного из списка пользователей.
Назначение, ограничение и удаление прав доступа к АИС «Льготники» в части данных департамента и его территориальных органов осуществляется с применением раздела «Пользователи АИС» пункта «Системное администрирование» главного меню сотрудником департамента, определенным руководством департамента ответственным за назначение прав доступа к АИС «Льготники».

8. Создание резервных копий БД и ПО.
АИС «Льготники» должна эксплуатироваться в режиме оперативного резервирования БД. Полный экспорт данных в качестве резервирования выполняется не реже одного раза в неделю. Дистрибутивы программного обеспечения должны записываться на внешний носитель после каждой модернизации в день ввода в эксплуатацию ПО. При этом в архиве должны храниться дистрибутивы, подготовленные после всех модернизаций ПО.
Резервное копирование БД осуществляется программными средствами СУБД Oracle, дистрибутивы создаются системными программными средствами.