Организационные проблемы. Указ президента N611
Модератор: Модераторы
Сообщений: 18
• Страница 2 из 2 • 1, 2
Harry33 » 09 ноя 2004, 14:02
elavar
Занялся поиском и вот что нашел
Вопрос: Есть госучереждение, в нем АС, в которой обрабатывается конфиденциальная информация. Необходимо аттестовать на соответсвие требованиям СТР-К... Можно ли такую АС подключать к сетям общего пользования, например, интернет? и чем руководствоваться в решении данного вопроса? В СТР-К в разделе "Защита информации при межсетевом взаимодействии" написано, что "положение данного раздела относятся к взаимодействию локальных сетей, ни одна из которых не имее выхода в сети общего пользования типа Internet"... а чем руководствоваться если имеет? Спасибо.
Ответ:
Подключение таких АС к общим сетям необходимо осуществлять с учетом требований Указа Президента РФ №1189 дсп. Основным его требованием является невключение средств подключаемых АС в состав средств общих сетей. Т.е. IP-адреса Вашей сети не должны входить в адресное пространство общих сетей.
Средство, обеспечивающее разделение адресов при подключении АС к общим сетям,
http://www.gtk.lissi.ru/showfaq.phtml?FaqID=37
Занялся поиском и вот что нашел
Вопрос: Есть госучереждение, в нем АС, в которой обрабатывается конфиденциальная информация. Необходимо аттестовать на соответсвие требованиям СТР-К... Можно ли такую АС подключать к сетям общего пользования, например, интернет? и чем руководствоваться в решении данного вопроса? В СТР-К в разделе "Защита информации при межсетевом взаимодействии" написано, что "положение данного раздела относятся к взаимодействию локальных сетей, ни одна из которых не имее выхода в сети общего пользования типа Internet"... а чем руководствоваться если имеет? Спасибо.
Ответ:
Подключение таких АС к общим сетям необходимо осуществлять с учетом требований Указа Президента РФ №1189 дсп. Основным его требованием является невключение средств подключаемых АС в состав средств общих сетей. Т.е. IP-адреса Вашей сети не должны входить в адресное пространство общих сетей.
Средство, обеспечивающее разделение адресов при подключении АС к общим сетям,
http://www.gtk.lissi.ru/showfaq.phtml?FaqID=37
Знания, которые нельзя применить - бесполезны
Teodor » 09 ноя 2004, 19:53
| Цитата (elavar @ 9.11.2004 - 10:52) | ||||
| Да, действительно, проблема в необходимости защиты именно персональных данных, которые определил ни собственник, ни директор - их определило государство. Если бы защтщаемая информация была секретной или организация была бы государственной, то вопросов бы не было.
Существует такой документ, как СТР-К. [...] Осталось выполнить условия 611 указа. Т.е. нужно разделить локальную сеть на две - в одной есть возможность работы в интернет и получение электронной почты, во второй нет. Вопрос в том, как обеспечить такое разделение. [...] Каким же образом налоговая и пенсионный фонд разворачивает такую масштабную незаконную деятельность? [...] [/quote] Вопросов и нет. Смотрим Федеральный закон Об информации, информатизации и защите информации. Статья 11. Информация о гражданах (персональные данные) 1. Перечни персональных данных, включаемых в состав федеральных информационных ресурсов, информационных ресурсов совместного ведения, информационных ресурсов субъектов Российской Федерации, информационных ресурсов органов местного самоуправления, а также получаемых и собираемых негосударственными организациями, должны быть закреплены на уровне федерального закона. Персональные данные относятся к категории конфиденциальной информации. Обрати внимание на последний абзац. В нем четко прописано, что персональные данные являются конфиденциальной информацией. Далее, смотрим что такое персональные данные. На это есть Трудовой кодекс, Статья 85. Персональные данные работника - информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. Смотрим СТР-К п. 2.2. Требования и рекомендации настоящего документа распространяются на защиту: • информации о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющей идентифицировать его личность (персональные данные) (В соответствии с Федеральным законом "Об информации, информатизации и защите информации" режим защиты персональных данных должен быть определен федеральным законом. До его введения в действие для установления режима защиты такой информации следует руководствоваться настоящим документом., за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.) Т.е. п.2.3 к персональным данным не имеет никакого отношения. Ну а дальше следует Указ N611 По поводу пенсионного фонда. Ничего незаконного там нет. В закрытой сети ты шифруешь файл с данными, сбрасываешь его на дискету и т.п., садишься за машину с эл. почтой, аттачишь его и посылаешь. Никаких проблем.
Harry33, спасибо.
В фразе: "Т.е. IP-адреса Вашей сети не должны входить в адресное пространство общих сетей." с сайта Компании "ЛИССИ" содержится ответ на все мои неразрешенные вопросы. Теперь попытаюсь эту фразу донести местным официальным блюстителям решений ГТК... 
Teodor, не понял твоего обоснования непричастности пункта 2.3 СТР-К к персональным данным. То, что персональные данные являются конфиденциальной информацией, ни кто не оспаривает - уж слишком часто именно это мелькает в разных законах. Фокус в том, что на частнм предприятии режим защиты конфиденциальной информации определяется частником. А СТР-К - это только рекомендации (а не требования) для частников, согласно пункта 2.3 этого же СТР-К. Вот если бы получить обоснование, что и режим защиты персональных данных у частников жестко определен... К стати, ни где нет четкого перечня, что именно относится к персональным данным. Хоть это и не моя лично головная боль, но боюсь, что на многие подобные вопросы мне придется отвечать (в плане - разгребать чужие ляпы). По какой именно информации из частной жизни гражданина можно "идентифицировать его личность"? Где именно можно провести линию между частной жизнью и служебной информацией? Боюсь, что номера служебных телефонов и списки адресов внутренней электронной почты могут попасть в разряд "персональных данных". Я уж молчу про автоматические поздравлялки с днем рождения (дата рождения), автоматическое перенаправление телефонных вызовов (на личный телефон), справочники адресов ремнотного персонала для диспетчеров (текущий домашний адрес или где найти, включая рестораны) и т.д. и т.п. А с пенсионным фондом и налоговой проблемы: требуется не только шифрование (что можно сделать и в закрытой сети), но и электронная цифровая подпись. Для работы ЭЦП требуется прямое подключение к удостоверяющему центру. Причем, зачастую, в реальных IP (уж молчу про "налоговую отчетность через Интернет", где даже браузер нужен Internet Explorer). Это, получается, противозаконно. Хотя всегда можно выход найти (с соответствующим увеличением возни и проблем). Может все-таки разрешить не полную физическую изоляцию сетей?
|