redrum Опубликовано 15 апреля, 2009 · Жалоба Доброго времени суток! > С 2010 года каждая организация, являющаяся оператором персональных данных, обязана заявить о себе и пройти аттестацию. Одним из условий прохождения аттестации является использование сертифицированных программных продуктов в рабочей системе оператора. Возникает вопрос: а кто в реальности использует эти самые сертифицированные продукты? Из того, что мне удалось найти, следует, что сертификаты есть у Windows 2003 и SQL Server 2005, RHEL 4 и DB2 9.1 какой-то древней версии, а так же у мандривы и Alt Linux. Но держать тот же биллинг на этих технологиях вовсе не улыбается... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
roling Опубликовано 15 апреля, 2009 · Жалоба Доброго времени суток! > С 2010 года каждая организация, являющаяся оператором персональных данных, обязана заявить о себе и пройти аттестацию. Одним из условий прохождения аттестации является использование сертифицированных программных продуктов в рабочей системе оператора. Возникает вопрос: а кто в реальности использует эти самые сертифицированные продукты? Из того, что мне удалось найти, следует, что сертификаты есть у Windows 2003 и SQL Server 2005, RHEL 4 и DB2 9.1 какой-то древней версии, а так же у мандривы и Alt Linux. Но держать тот же биллинг на этих технологиях вовсе не улыбается... Ну первый вопрос - а чего одну и ту же тему сразу в двух топиках поднимать? Для массовости что ли?Теперь по сути: сначала смотрим первоисточник http://www.iso27000.ru/zakonodatelstvo/pos...sonalnyh-dannyh сразу же видим - "Информационные системы классифицируются государственными органами, муниципальными органами, юридическими или физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных (далее - оператор), в зависимости от объема обрабатываемых ими персональных данных и угроз безопасности жизненно важным интересам личности, общества и государства." Т.е если у вас 100 данных это одно, а если 100 миллионов, то другое. Соответственно и подходы разные. В одном случае комп без сети и флэшку в сейф, в другом - программно-аппаратный комплекс и боец с автоматом. Собственно надо: Перечень средств защиты информации, подлежащих сертификации в Системе сертификации средств защиты информации по требованиям безопасности информации 1. Технические средства защиты информации от утечки по техническим каналам, включая средства контроля эффективности принятых мер защиты информации, основные и вспомогательные технические средства и системы в защищенном исполнении. 2. Средства защиты информации (технические, программные, программно-технические) от НСД, блокировки доступа и нарушения целостности. 3. Средства контроля эффективности применения средств защиты информации. 4. Защищенные программные средства обработки информации. 5. Программные средства общего назначения. Я так понимаю основной сыр бор будет вокруг п.5. Но во первых еще полгода есть, что то глядишь и удумают, так как это касается не только операторов связи, а всех кто так или иначе паспортные данные фиксирует, а их ой как много. Все остальные пункты важны только для большого количество собираемых данных и в основном в распределенных системах. Что же касается еще продуктов с сертификацией то есть http://www.itsec.ru/keywords.php?keyword=7040&from=20, там много чего сертифицированного указано. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
