Снова перс-анальные данные

Ты неуч. Был и остаёшься.

Передача ПД никак не связана с каналами связи, шифрованием и т.п. Это целиком вопрос нормативного документооборота.

Да… самого главного то я не понимаю… ну допустим такой кейс, будет ли нарушением подобная ситуация?

Нарушением чего?

закона о защите ПД?

Ну так прочитай этот закон. А к нему ещё нормативы ФСТЭК, порядок работы с ПД в организации, свою должностную инструкцию.

«Почитать» вот это все у меня ушло несколько дней, и такой подробности я тогда не вынес, а столкнулся сейчас.

Кроме того если я буду советоваться со своим поставщиком услуг ИБ, он просто предложит купить очередное ненужно с нагрузкой по обслуживанию за сотни нефти, реально устал от этого развода…

Вот что мне накинули:

Допустимо и без шифрования, если модель угроз позволяет. Не владея ситуацией по оценки рисков сложно этот вопрос комментировать.

то есть если я «правильно» составлю модель угроз, то «непосодють», согласишься с таким утверждением?

Если ты хочешь что-то понимать, то без знания 152-ФЗ и приказа ФСТЭК России 21 тебе не обойтись.

А чтобы их понимать неминуемо обучение.

А ещё есть смежное законодательство, которое тоже влияет на техническую составляющую, например 515-ФЗ.

Не получится, вот так взять и сказать можно или нельзя. Но практика такова, что если по документа можно, то хоть плайн текстом гоняй, а если нельзя, то и шифрование не засчитывается.

если я «правильно» составлю модель угроз

Тебе про это на каждый твой вопрос по ПД отвечают.

У твоей компании есть юрист? Вот с ним и говори.

Что тебе мешает везде TLS использовать? Это хорошая практика.

Это не к юристам, а к безопасникам. Они должны определить вектора угроз и методы предотвращения утечек. Нет безопасника в штате, наймите внешнего. Ну или аудит хотя бы закажите.

Все сложно, мой друг, я не хочу об этом говорить, разработчикам православных криптосредств разрешено грабить заказчика

Думаешь у протестантов не грабят? Тут уж либо отваливаешь бабки специалисту, либо потом встреваешь на нехилые штрафы за нарушения.

У тебя есть лицензия? Иначе КоАП РФ Статья 13.13. Незаконная деятельность в области защиты информации Для должностных лиц - от двух тысяч до трех тысяч рублей с конфискацией средств защиты информации или без таковой

Вообще-то связана. Смотри во ФСТЭКовскую нормативку.

Если он - сотрудник оператора, то не требуется.

Не смотря на то, с сутийной частью первого комментария я не согласен, ты был, есть и будешь безграмотным неучем. Читай 21 приказ до просветления.

от двух тысяч до трех тысяч рублей с конфискацией средств защиты информации

Воу-воу, вот это штрафы! Да ещё и libtls отберут!

А сотрудник оператора может вот так вмешиваться? Вроде как аттестаты соответствия должны быть на каждый чих, на компы, на помещение, есть ответственный за ИБ, есть админ. Ну хотя бы формально.

Как вмешиваться? Компании-оператору ПДн, для того, что бы обеспечивать безопасность «своих» ПДн, лицензия на ТЗКИ не нужна.

Аттестация ИСПДн уже не требуется, причем - давно.

Вы вообще кто, что входит в ваши должностные обязанности, наносят ли расходы фирмы на исполнение законов ущерб вашему личному карману? Ощущение что вы пытаетесь заняться чем-то посторонним.

У нас право не прецендентное, а «суд» избирательный. Так что все, что нельзя тотально контролировать по сути разрешено.

Что тебе мешает везде TLS использовать? Это хорошая практика.

Это очень дорого. Другое дело TLS termination на load balancer’е, а от него уже данные голышом бегают.

представь что я своих обязанностей никогда не видел, и мне не пофигу… у нас полно чего нужно обновить… там сям, по железу, оборудованию… а некоторые проекты чисто социальную нагрузку несут… ну и надо на них сэкономить… без потери качества конечно.

поверь, это не от хорошей жизни… все эти изгиляния

ущерб вашему личному карману

я сейчас занят только работой, и ищу куда прикладывать усилия, да материальную выгоду уже ощущаю… начальство оценило…

я уже много раз писал что у нас на фирме народу мало, и каждый работает на нескольких должностях в принципе…

я тут думаете байки травлю? я пытаюсь понять, так ли не решаемы наши проблемы.

кому то развлечение читать, и говорить что я тупой, а кто то хорошие советы дает… я же не только на ЛОР советуюсь

Все эти законы они не о технических средствах вообще. Они о том, кто должен иметь или не иметь доступ к каким данным и что с ними имеет или не имеет. Если к твоим коммутаторам не должны иметь доступ люди, которые не должны иметь доступ к ПД, то никакое шифрование не нужно. Можешь хоть на плазму во всю стену выводить ПД и озвучивать синтезатором голоса.

Если среда недоверенная как интернет, то шифрование нужно.

Это общие правила. У некоторых организаций могут быть свои локальные правила или их деятельность особо регулируется. Тогда задавать вопросы на ЛОРе не имеет смысла, их надо задавать юридическому отделу.

Надо изучить все релевантные законы и акты и ответить на вопросы.

1. Есть ли там ПРЯМОЕ указание на то, что конкретно эти данные и должны быть защищены с помощью конкретно шифрования. Если там сказано просто «защищены» это не считается. Тетрадка с записями в комнате под замком де юре защищена ровно в той же степени, что и файл зашифрованный AES. Если там прямо явно написано, что любые сетевые пакеты надо шифровать каким-то конкретным алгоритмом, то надо шифровать и именно этим алгоритмом. Иначе нет.

2. Имеют ли официальный (а не путем выбивания двери) доступ в помещение с сетевыми кабелями (если имеют доступ к серверам, то проблема технически нерешаема и можно забить) люди, от которых по закону ты должен инфу защищать. Если да, надо зашифровать.

3. Ничего шифровать не надо, если на оба вопроса ответ отрицательный.

У него там не микросервисы, а 1С-ка какая-нибудь и TLS там оверхеда не добавит

я тут думаете байки травлю?

Нет, но вы лезете не в свое дело. То, что вас сейчас волнует - это задача для менеджмента, для юристов, для безопасников. Если таковых на фирме нет и именно вам до зарезу нужно решить вопрос - вы должны назубок знать юридическую часть вопроса и писать официальные запросы тем, кто вас в случае чего будет проверять на исполнение 152-ФЗ. Потому что грань между «сделать как насоветовали на форуме» и «не сделать вообще» - очень размыта. У проверяющих всегда свой взгляд на то, как это должно быть. В результате дилетантского подхода вы можете нанести фирме ущерб куда больший, чем ожидаемая экономия. Не хотите заказывать реализацию под ключ - закажите хотя бы аудит на соответствие 152-фз профессионалам (хотя неизвестно будет ли это дешевле). Начните же по любому с того, что найдите знакомых в родственных компаниях, где все это реализовано и срисуйте у них техническую часть и главное - внутреннюю нормативную документацию.

У него там не микросервисы, а 1С-ка какая-нибудь и TLS там оверхеда не добавит

В том-то и дело, что мы не знаем деталей, можно набрасывать любые варианты, которые подходят под описание проблемы.

не в свое дело

у меня есть диплом об окончании курсов повышения квалификации, в котором сказано что я имею право осуществлять деятельность в сфере защиты информации…

другое дело что я получил его в июне, и в процессе что то читал, а потом было большое «ничто» и знания выветриваются…

я просто себя в этой профессии не вижу… мне противно с этим дело иметь… это знаешь на что похоже? это все время быть кому то помехой, требовать денег не пойми на что (то что свободно распространяется и работает, использовать нельзя, в от из за наличия бумажки ФСТЭК, оно становится неподъемным по цене) и самое главное что кругом все нарушаетя, и всем пофигу… а ты должен за это отвечать… в итоге все сведется к написанию бумажек. на мой взгляд бесполезная работа… максимум на что я претендую… это соблюдать культуру ИБ. вот и советуюсь

Вы не советуетесь, вы ноете не по существу. Это обычная рутинная работа с документами. Ее надо сделать максимально быстро и эффективно и забыть. А вы мало того, что намерены изобретать велосипед, так еще и непохоже, чтобы вы прилагали усилия к изучению того, что нужно для велосипедосоздания. Забудьте про свои курсы, вам тут все твердят - у вас вопрос в первую очередь организационно-бумажный и лишь во вторую - технически-шифровальный.

у меня есть диплом об окончании курсов повышения квалификации, в котором сказано что я имею право осуществлять деятельность в сфере защиты информации

где сдавал?

я просто себя в этой профессии не вижу

и кем хочешь быть?

в итоге все сведется к написанию бумажек. на мой взгляд бесполезная работа

первый год работаешь штоле?

допустимо ли передавать персональные данные в пределах коммутатора без шифрования

Сразу на берегу. Например может быть частный случай - внутренняя сеть, без доступа извне - МВД, суды федеральные / мировые, ФНС... Или же сеть доступна извне по факту или как то это регулируется? Вопросов столько, что вот так с ходу и без подготовки, на мой взгляд, ответить сложно.

У нас право не прецендентное, а «суд» избирательный.

Ну как сказать, это сложно. Потому что например есть такой аспект, как - практика верховного суда и вот тут возникают некоторые мысли.

Думаешь у протестантов не грабят?

Да и у католиков ни чуть не лучше. А про евреев я вообще молчу.

если канал связи идет внутри периметра контролируемого доступа - то не нужно, например.

На это и намекнул. Но видимо - уже не актуально)

Читаю, все читаю…

Ну тогда хоть вкратце нужно пояснить по теме)

Тому что есть вообще такой вариант, как - ПАК «Соболь» и с ним ещё всё будет интересней. Используется он, ну например - городская администрация, отдел мобилизационной политики.

я тут думаете байки травлю?

А то. Я как-то по приколу собирал в комменте к юзеру список твоих городов и похождений — стер пару лет назад, слишком много противоречий находится среди бреда и цирка.

собирал в комменте к юзеру список твоих городов и похождений

Нуничоси, да я легенда ))))

стер пару лет назад

я бы почитал

слишком много противоречий находится среди бреда и цирка

ну у меня же написано: «Все записи данного аккаунта являются художественным вымыслом»