[бумажки][не нужно]бюрократия

есть так же моменты, что при определенной важности документы - должна хранится бум. копия/либо распечатка

> 1) какого хрена вообще?

как бы закон, ничего не поделаешь

2) где достать этот самый пакет документов, хотя бы образец. наши заказали его сторонней организации, но пакет, видимо, придется допиливать нам (то есть МНЕ)

http://zpdn-day.ru/

в принципе это подходит всем, допиливать надо в соответствии с внутренним документооборотом

3) вправе ли поручить работодатель пункт «2» сисадмину, тем более аникейщику?

да

кто-нибудь, кто проходил через этот бюрократический АДЪ, расскажите пожалуйста, как это было у вас. ато так не хочется этой лабудой заниматься, тем более перед отпуском.

http://ispdn.ru/forum/

1) Россия же!

2) На федеральных сайтах пошукать?

3) А ему вообще пофиг: на кого хочет, на того и спихнет. Не нравится - увольняйся :)

Кстати, выбор ОС, я так понимаю, теперь только из «белого списка»? Т.е. мастдай, да древние дистрибутивы?

Что-то я не понял, закон всё-таки о защите персональных данных - или о расхищении оных?

Это просто очередной распил.

значит, фтопку гос-организации

Негосударственные тоже доить будут.

сильно сомневаюсь. когда наши сотрудницы постбальзаковского возраста слышат что-то, где есть словосочетания типа «модель угроз», «защита информации», у них начинается жуткий баттхерт.

Что есть «белый список»?

наши заказали его сторонней организации, но пакет, видимо, придется допиливать нам (то есть МНЕ)

это ещё одно доказательство того, что ты работаешь не там, где надо, и не тем, кем надо. А надо работать в той организации, которой заказали «роспил», и тем, кто будет делить распиленные денежки.

они не должны этого слышать. Или у вас в ИТ- и sec-отделах сотрудницы постбальзаковского возраста? Вообще это возможно, хотя такие сотрудники - редкость, т.к. обычно они уже все выросли из этих должностей в должности повыше.

Сертифицированные ФСТЭК'ом ОСи.

То есть Mandriva 2008 и МСВС?

Зависит от категории персональных данных

Еще Альт, какая-то старая Шапка и что-то еще (не помню точно).

Судя по тому, что в «списке» есть мастдай, о защите никто и не думает. Распил чистой воды.

На дисках ИТС, которые идут с подпиской 1С 8, по-моему информация. По крайней мере пошаговый конструктор положения о защите персональных данных точно был

>Судя по тому, что в «списке» есть мастдай, о защите никто и не думает

И чем Windows не угодил?

Как-то с понятиями «защита» и «безопасность» эта фиговина не дружит :)

// точнее, дружит, если админ - не эникейщик, но юзвери в таком случае взбунтуются...

>с понятиями «защита» и «безопасность»

Если я правильно помню, в случае когда требуется сертифицированная ОС, комп не то что к инету не может быть подключен, доступ сотрудников к нему должен быть анально ограничен, кроме нескльких лиц, типа кадровика, начальника. ФСБшники требуют чуть ли не свинцом патчкорд заливать, чтоб при передаче по сети данных их нельзя было перехватить с улицы

>Как-то с понятиями «защита» и «безопасность» эта фиговина не дружит :)

Сертификация сводится к просмотру исходного кода на предмет закладок и технологических отверстий

где есть словосочетания типа «модель угроз», «защита информации», у них начинается жуткий баттхерт.

Не парься так сильно. От тебя требуется создать механизм защиты данных. Типа, для бальзаковских женщин бумажку написать.
- 2 раза стрил вверх
- ентер
- стрил вниз
- ентер
- qwerty
- ентер

И подписать у вышестоящего начальства. Все. От сисадмина больше ничего не требуется.

Сертификация сводится к просмотру исходного кода на предмет закладок и технологических отверстий

Никто на сертификацию исходный код не предоставляет. Сказки это. Тем более просматривать миллионы строк на предмет закладок никто не будет. Это работа на года.

>оступ сотрудников к нему должен быть анально ограничен

++

чуть ли не свинцом патчкорд заливать

++

Впрочем, есть некоторый нюанс

С плановой проверкой приходит РосКомНадзор. Они не имеют права смотреть ИС предприятия - они только посмотрят бумажки, нет ли там ошибок вида «жи-ши-пиши-с-и» и немного посерьезнее.

Проверка ИС, ЕМНИП, будет в том случае, если на тебя прямой донос придет - дескать Вася Корпорейшн светит моими персональными данными. Тогда, если сильно не повезет, может наведаться ФСТЭК - тогда готов вазелин.

Есть варианты, когда в гости придет ФСБ - тут проще сразу в окно прыгать, выпотрошат все.

И да, не надо забивать на эти документы - нарваться на «приостановление деятельности» вполне реально.

какого хрена вообще?

а ты, ТС, думал можно у людей за просто так отбирать личную информацию и распоряжаться ею в своих целях? Или хранить ее так, что ею воспользуются совершенно левые люди. Вот закажешь ты в сексшопе «Black Governer» какой-нибудь, заведешь там карту постоянного покупателя, а база хоп - и утекла к веселым молодым людям. А в базе твой телефончик - задолбаешься ведь отбиваться.

Т.е. сертификаторы читали исходники мастдая? Ой да ладно...

>Никто на сертификацию исходный код не предоставляет

а вот, ЕМНИП, в регламентах всегда было указано, что предоставляют. Уже поменяли?

< а ты, ТС, думал можно....

я имел в виду-каким боком тут вообще технический специалист?

Этим занимается «офицер безопасности». В вашей конторе есть такой? Если нет, то решением начальства, ЕМНИП, эти обязанности могут быть возложены на имеющийся штат. Обычно за это доплачивают - потому что люди сутками сидят над законами и читаю «истории успеха».

Это физически невозможно.

Исходники мастдая у спецслужб давно есть

Ну, мелкомягкие же предоставляли исходники ХП, а вот читали или нет, это только у них выпытываь

в регламентах всегда было указано, что предоставляют. Уже поменяли?

Я просто не слышал чтобы кто-то предоставлял. Типа, дело гиблое в код смотреть. И за сертификацию сырцов совсем другие деньги.

Жуткий попадос с этими персональными данными. Теперь, в теории, придётся всю инфраструктуру (включая биллинг итп) переделывать.

На практике лучше для вида поставить демонстрационный комп с мандривой. Особенно смешно то что поддержка мандривы 2008 закончилась. Ну и непонятно можно ли скачать дистр из инета или обязательно нужно купить в магазине(от 150баксов за коробку) чтобы была наклейка.

А ведь там ещё есть разные классы защиты информации...

Я уже вижу в будущем вакансии типа «нужен администратор мандривы». Вот это, тля, будущее.

Ксати, на сколько сложно сертифицировать дистр? Кто этим может заниматься? Можно было бы скинуться и пропихнуть хот

я имел в виду-каким боком тут вообще технический специалист?

Разработать защищенную технологию работ. Кто лучше сисадмина это должен знать.
Начать с физического доступа к серверам, бакапам, печатным копиям...

Это длится не один день и даже не один месяц(обычно). Это раз

У ФСТЭК\ФСБ есть прорва контор, которые лицензированы и сертифицированы, с квалифицированным персоналом(как минимум несколько человек =)). То есть ресурсы есть. Это два.

Для подобных вещей есть(и вроде как уже давно) соответствующий инструментарий. Это три.

>Теперь, в теории, придётся всю инфраструктуру (включая биллинг итп) переделывать.

Очень и очень вряд ли. Обычно удается выкрутиться. Классы и Категории кастуются только так, главное в руках держать текст закона.

И четыре: в реальности все более прозаично и решается n-й суммой денег, за которую могут любую бумажку нарисовать.

Для слабеньких категорий - именно так и не иначе. Для высоких - видимо нет, раз для некоторых классов до сих пор нет ни одной софтины, хотя попытки были неоднократные. Instant fail

вроде с грифом СС так - обработка разрешена, но не существует ПО, которое бы прошло сертификацию. Считать можно, но нечем.

какого хрена вообще?

В целом это полезно. В том числе и для самих предприятий. Что-то вроде информационного кашрута :)

кто-нибудь, кто проходил через этот бюрократический АДЪ

Ну это у вас в Эрэфии умудрились превратить это в ад. На самом деле, ничего такого кошмарного в самой идее защиты личных данных нет.

Очень и очень вряд ли

конечно все будут выкручиваться, но по закону вся инфраструктура которая учавствует в обработке персональных данных должна работать на «мандривах».

>я имел в виду-каким боком тут вообще технический специалист?

А как работают с этими самыми данными? 99,9% - на компьютерах. Установить нужное ПО, настроить доступ, разграничить права, сделать защищённую сеть... Казалось бы причём здесь айтишник?

>На практике лучше для вида поставить демонстрационный комп с мандривой. Особенно смешно то что поддержка мандривы 2008 закончилась

Слабо представляю в категории K1 что-то кроме Windows, RHEL и чего-нибудь отечественного. Насколько я знаю после каждого апдейта нужно проводить повторную сертификацию

может это так нигде не упоминается сертификация ИСО 9000:20**???

Насколько я знаю после каждого апдейта нужно проводить повторную сертификацию

Вполне возможно.

Интересно, скоро ли заставят покупать сертифицированное железо? Уже поползновения были...

Мне вот больше интересно:
У меня три сервера на генте+40 машин с убунтой.
В качечстве бд под персональные данные используется mysql дремучей версии и не менее дремучий фронтенд.(третья категория ПД)
Как мне теперь всё это сертифицировать?
Обновляемся раз в неделю....
При этом похоже по закону наличие бумажки о сертификации не снимает с меня ответственности за утечки из-за дырок.

Как мне теперь всё это сертифицировать?

Так об этом и тред. В нашей стране нельзя быть «чистым» на 100% даже если сильно захотеть.

по закону наличие бумажки о сертификации не снимает с меня ответственности за утечки из-за дырок.

это как суд решит.

> а вот, ЕМНИП, в регламентах всегда было указано, что предоставляют. Уже поменяли?

Даже если предоставят и его просмотрят, это еще не гарантирует, что закладок нет.

1) Россия же!

http://en.wikipedia.org/wiki/Data_Protection_Directive
http://en.wikipedia.org/wiki/Information_privacy_law