Защита Персональных данных - Форум по вопросам информационной безопасности

Уважаемые форумчане, подскажите кто реально сталкивался с вопросом сертифицированного использования ОС Windows 2008 St SP2 и ФСТЭК

1) нужно ли переустанавливать ОС на серверах из какого нибудь дистрибутива специализированного. Если нужно - возможно ли накатить поверх?

2) Какие документы должны присутствовать в организации?

3) Какие существуют способы проверки используемой ОС на предмет ее легитимности по ФСТЭК?

На данный момент помимо этого планируется внедрение от НСД SecretNet или Соболь. Плюс есть сертифицированный антивирусник и система учета и контроля трафика "Трафик Инспектор"

Грубо говоря необходимо защита ПД в бухгалтерии, остальные отделы с ПД не работают

1) Проверьте хэш суммы дистрибутива с которого ставили вин2008 и сертифицированного (у меня по XP совпадали и я лишь kit-ом требуемые автоматически изменил настройки, НО если были установлены не сертифицированные обновления, то скорее всего сносить и обновляться только сертифицированными обновлениями)
2) я бы завёл ТП АС (технический паспорт автоматизированной системы, куда и записывать в т.ч. все установленные сертифицированные программные компоненты и доп. аппаратные плюшки)
3) накладная покупки серт-го дистр-ва (диска), либо подобное при сертификации отданного своего диска.

по ПДн наверно всёже стоит заглянуть на форум ispdn.ru

У вас несколько неопределенный вопрос на счет п. 2

По второму вопросу действительно все смутно: если ничего не начинали еще делать, то тут и предпроектная документация, и технический проект, и пакет орд, и эксплуатационная документация - можете поискать на просторах интернета, вариантов шаблонов хватает (только не стоит забывать править под специфику собственной организации).

По третьему вопросу: вопрос в том, что понимать под "легитимностью по ФСТЭК". Если иметь в виду лицензионность, то в EULA на все версии Windows четко прописано, что подтверждением подлинности лицензии является майкрософтовская наклейка на системном блоке, если же речь идет о _правомерности_ использования данной операционной системы в ИСПДн, то тут вообще вопрос не должен стоять - операционная система не позиционируется как средство защиты и имеет право на существование даже в несертифицированном виде.

Привет всем. Так уж сложилось, что последние несколько лет я занимаюсь информационной безопасность, комплайенсом и вот этим всем. Работал в госах, в средней руки интеграторе, потом кризис. В общем нашел тёплое место безопасника в коммерческой конторе, но руки то помнят.
Ко мне часто обращаются всякие как начинающие, так и уже опытные малые бизнесмены и бизнеследи. Друзья, знакомые и знакомые знакомых. И просят помочь с документальным обеспечение защиты перс.данных и коммерческой тайны. Особенно повально стало в свете обновленных штрафов за нарушения обработки ПДн и их диффиренциации (можно за один раз словить несколько штрафов оптом).
В последнее время расплодилось куча сервисов по генерации документов, много их. Если взять пятерку самых популярных, то в создании двух из них я принимал самое непосредственное участие. Фигня эти сервисы. И дорого, хотя платить там не за что.
Мне надоело рассказывать одно и тоже и я решил сделать этакий справочник с чётким алгоритмом действий. Прям пошаговый. Начало положено, пилю, энтузиазм есть.
Собственно, если кому нужно, пользуйтесь. БЕСПЛАТНО.
https://secfall.ru
Если кто в теме и нашел неточности, пишите в комментах к статьям.

Политика ИБ у вас на мой взгляд перегружена. Её можно сделать по короче обозначив именно высокоуровневые цели руководства. Потребитель документа прежде всего простые люди, до которых нужно донести цели. Им попроще надо.
А конкретику и километровые перечни РД уже можно раскрыть в нижестоящих документах для конкретных участников процесса. (3х 4х уровневый документооборот).

to Dfg
Отчасти согласен с Вами. В данном случае я показываю как построить СОИБ с наименьшим количеством отдельных документов. Такая система не подойдет для больших и(или) разветвлённых организаций. Но у таких организаций уже есть свои безопасники и они справятся сами. А вот для маленьких проще будет сделать дюжину документов, которые охватят все вопросы регулятора. Да, документы будут малость перегружены, но не большим количеством документов и управлять проще.

to Alex
Не хочу показаться грубым, но...
Первым пунктом "СТАРТа" должно идти: "Оцениваем затраты и риски реализации системы ИБ/ЗИ своими силами. Если хватает - выделяем/назначаем сотрудников из своего штата и отправляем их поучиться (хотя бы общим вопросам). Если не хватает (или не можем/умеем оценить) - приглашаем контору-исполнителя, с которой обсуждаем все интересующие вопросы".
И лучше бы вы донесли в явном виде, что "бумажки" - это вторичный продукт, рождающийся из концепции и подхода. Что это всего лишь инструмент описания реализованной политики безопасности. Которую должны выводить, строить и внедрять люди, знающие сам объект защиты и свое ремесло безопасника. И главное подчеркнуть: если контора-интегратор/лицензиат/иные специалисты в первую голову готовят и выдают бумажки, то с такой конторой/специалистами деловые отношения нужно заканчивать при первой же возможности...
В противном случае, imho, весь ваш Проект будет толкать народ (владельцев и операторов КТ/ПДн/иной ИОД) к созданию той самой "нездоровой сенсации", про которую принято сейчас изо всех щелей кричать "ааа! бумажная безопасность!"...

to oko
Нельзя не согласится с Вами, но.. если речь идет именно о реальной безопасности.
А теперь скажите мне, кому нужна реальная безопасность? Если вы придёте в коммерческую контору из 20 человек (максимум), и с оборот в несколько сот миллионов в год (например мелкий застройщик, интернет магазин и пр.) и начнете продавать безопасность по требованиям ФСТЭК+РосКомНадзор+реальная безопасность, то на Вас будут смотреть как на инопланетянина. Защита информации никому не нужна (в нашей стране), нужна защита от регулятора. Не более. Им хватает сисадмина, который настроит домен, файрвол и установит антивирус. Но после Вашего визита вызовут кадровика (или сисадмина, или обоих) и скажут, а проработайте вопрос защиты от роскомнадзора своими силами. Вот для таких случаев и нужны сайты на подобие моего. Те кто хочет закрыть требования регулятора, будут закрывать требования регулятора.

Я создаю шпаргалку, как эти требования закрыть. Ибо платить по 50-200 тысяч за набор универсальных шаблонов в виде вордовских документов- это за гранью добра. Я даю людям то, что они и так возьмут, но заплатив деньги дармоедам.

Я категорически согласен с Вами, что для реальной безопасности нужен реальный специалист в штате или опытный интегратор.

to Alex
То ли меня глючит, то ли форум. Только сейчас увидел ваш ответ...
Рискну напомнить, что благими намерениями выложена дорога в ад (с)
Необученный персонал (читай, те же сисадмин и кадровик) или персонал, не имеющий желания разбираться в другой области знаний/работы (читай, изучать доп.литературу регуляторов по оформлению оных "бумажек"), ничего путного ни "с нуля", ни по шаблонам/шпаргалкам сделать не сможет. А таких фирм и такого персонала много больше, чем хотелось бы...
Ради примера попробуйте объяснить в доступной форме любому кадровику, что такое НДВ (по ПП 1119), от которого зависит классификация ИСПДн, или как составить ЧМУ...
Так что, искренне прошу, не сливайте никакие шаблоны. Иначе, рискуете попасть в ситуацию "врачи vs Internet", когда куча домохозяек, начитавшись в Сети умных статей, самостоятельно себя диагностирует, а после подает в суд на врача, назначившего якобы "неверное лечение с целью личного обогащения". Это может коснуться и вас, и контор, честно выполняющих свою работу по ЗИ/ИБ, и самих фирм-защищающихся-от-регуляторов...
+ тенденция последних лет со стороны регулятора (РКН не предлагать!) - это обеспечение реальной, а не бумажной защиты. Так что еще вопрос, что нужно тем-самым-фирмам в первую голову...

ЗЫ И, кстати, да. Защита в нашей стране нужна. Но ментальность большинства "дельцов" заставляет думать, что "час Ч" никогда не наступит. А тратить бабки на подготовку к нему (тратить бабки на что-то отдаленное в принципе) никому не хочется. Пока оный "час" все-таки не наступает...

ЗЗЫ Лучше запустить глобальный проект по выявлению и "срыву масок" с недобросовестных интеграторов/лицензиатов/специалистов-безопасников. Пользы будет больше...