Jump to content
Калькуляторы

Сертификаты ФСТЭК К вопросу о защите персональных данных

Доброго времени суток!

 

> С 2010 года каждая организация, являющаяся оператором персональных данных, обязана заявить о себе и пройти аттестацию. Одним из условий прохождения аттестации является использование сертифицированных программных продуктов в рабочей системе оператора.

 

Возникает вопрос: а кто в реальности использует эти самые сертифицированные продукты? Из того, что мне удалось найти, следует, что сертификаты есть у Windows 2003 и SQL Server 2005, RHEL 4 и DB2 9.1 какой-то древней версии, а так же у мандривы и Alt Linux. Но держать тот же биллинг на этих технологиях вовсе не улыбается...

Share this post


Link to post
Share on other sites
Доброго времени суток!

 

> С 2010 года каждая организация, являющаяся оператором персональных данных, обязана заявить о себе и пройти аттестацию. Одним из условий прохождения аттестации является использование сертифицированных программных продуктов в рабочей системе оператора.

 

Возникает вопрос: а кто в реальности использует эти самые сертифицированные продукты? Из того, что мне удалось найти, следует, что сертификаты есть у Windows 2003 и SQL Server 2005, RHEL 4 и DB2 9.1 какой-то древней версии, а так же у мандривы и Alt Linux. Но держать тот же биллинг на этих технологиях вовсе не улыбается...

Ну первый вопрос - а чего одну и ту же тему сразу в двух топиках поднимать? Для массовости что ли?

Теперь по сути:

сначала смотрим первоисточник

http://www.iso27000.ru/zakonodatelstvo/pos...sonalnyh-dannyh

 

сразу же видим -

"Информационные системы классифицируются государственными органами, муниципальными органами, юридическими или физическими лицами,

организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных

(далее - оператор), в зависимости от объема обрабатываемых ими персональных данных и угроз безопасности жизненно важным интересам

личности, общества и государства."

 

Т.е если у вас 100 данных это одно, а если 100 миллионов, то другое. Соответственно и подходы разные. В одном случае комп без сети и флэшку в сейф, в другом - программно-аппаратный комплекс и боец с автоматом.

 

 

Собственно надо:

Перечень средств защиты информации, подлежащих сертификации в Системе сертификации средств защиты информации по требованиям безопасности информации

 

1. Технические средства защиты информации от утечки по техническим каналам, включая средства контроля эффективности принятых мер защиты информации, основные и вспомогательные технические средства и системы в защищенном исполнении.

2. Средства защиты информации (технические, программные, программно-технические) от НСД, блокировки доступа и нарушения целостности.

3. Средства контроля эффективности применения средств защиты информации.

4. Защищенные программные средства обработки информации.

5. Программные средства общего назначения.

 

Я так понимаю основной сыр бор будет вокруг п.5. Но во первых еще полгода есть, что то глядишь и удумают, так как это касается не только операторов связи, а всех кто так или иначе паспортные данные фиксирует, а их ой как много. Все остальные пункты важны только для большого количество собираемых данных и в основном в распределенных системах.

 

Что же касается еще продуктов с сертификацией то есть http://www.itsec.ru/keywords.php?keyword=7040&from=20, там много чего сертифицированного указано.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this