redrum Posted April 15, 2009 Posted April 15, 2009 Доброго времени суток! > С 2010 года каждая организация, являющаяся оператором персональных данных, обязана заявить о себе и пройти аттестацию. Одним из условий прохождения аттестации является использование сертифицированных программных продуктов в рабочей системе оператора. Возникает вопрос: а кто в реальности использует эти самые сертифицированные продукты? Из того, что мне удалось найти, следует, что сертификаты есть у Windows 2003 и SQL Server 2005, RHEL 4 и DB2 9.1 какой-то древней версии, а так же у мандривы и Alt Linux. Но держать тот же биллинг на этих технологиях вовсе не улыбается... Вставить ник Quote
roling Posted April 15, 2009 Posted April 15, 2009 Доброго времени суток! > С 2010 года каждая организация, являющаяся оператором персональных данных, обязана заявить о себе и пройти аттестацию. Одним из условий прохождения аттестации является использование сертифицированных программных продуктов в рабочей системе оператора. Возникает вопрос: а кто в реальности использует эти самые сертифицированные продукты? Из того, что мне удалось найти, следует, что сертификаты есть у Windows 2003 и SQL Server 2005, RHEL 4 и DB2 9.1 какой-то древней версии, а так же у мандривы и Alt Linux. Но держать тот же биллинг на этих технологиях вовсе не улыбается... Ну первый вопрос - а чего одну и ту же тему сразу в двух топиках поднимать? Для массовости что ли?Теперь по сути: сначала смотрим первоисточник http://www.iso27000.ru/zakonodatelstvo/pos...sonalnyh-dannyh сразу же видим - "Информационные системы классифицируются государственными органами, муниципальными органами, юридическими или физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных (далее - оператор), в зависимости от объема обрабатываемых ими персональных данных и угроз безопасности жизненно важным интересам личности, общества и государства." Т.е если у вас 100 данных это одно, а если 100 миллионов, то другое. Соответственно и подходы разные. В одном случае комп без сети и флэшку в сейф, в другом - программно-аппаратный комплекс и боец с автоматом. Собственно надо: Перечень средств защиты информации, подлежащих сертификации в Системе сертификации средств защиты информации по требованиям безопасности информации 1. Технические средства защиты информации от утечки по техническим каналам, включая средства контроля эффективности принятых мер защиты информации, основные и вспомогательные технические средства и системы в защищенном исполнении. 2. Средства защиты информации (технические, программные, программно-технические) от НСД, блокировки доступа и нарушения целостности. 3. Средства контроля эффективности применения средств защиты информации. 4. Защищенные программные средства обработки информации. 5. Программные средства общего назначения. Я так понимаю основной сыр бор будет вокруг п.5. Но во первых еще полгода есть, что то глядишь и удумают, так как это касается не только операторов связи, а всех кто так или иначе паспортные данные фиксирует, а их ой как много. Все остальные пункты важны только для большого количество собираемых данных и в основном в распределенных системах. Что же касается еще продуктов с сертификацией то есть http://www.itsec.ru/keywords.php?keyword=7040&from=20, там много чего сертифицированного указано. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.