Loreweil

Для какого вида деятельности? Если речь идет о технической защите информации, то слова «аккредитация» и «сертификация» оба неправильны. Вам нужно проходить процедуру лицензирования. Требования к соискателю лицензии написаны в постановлении правительства № 79.

Фокус с арендой измерительного оборудования сейчас вообще не пройдет. Объясняю почему. Раньше лицензии ФСТЭК на ТЗКИ выдавались на 5 лет. Брать оборудование в аренду необходимо на срок действия лицензии. Сейчас лицензии бессрочные. Соответственно бессрочный договор аренды с вами никто не заключит, поэтому оборудование придется приобретать. Помимо оборудования придется немного раскошелиться на официальные издания ГОСТов, СНИПов и других регламентирующих документов. Также у вас должно быть аттестованное помещение по требованиям безопасности информации и аттестованное автоматизированное рабочее место (то бишь компьютер), а тк своей лицензии на ТЗКИ у вас нет, то придется отстегнуть лицензиатам за работу, плюс оборудовать помещение и аттестуемый компьютер средствами защиты информации (иначе не пройдете аттестацию). Есть определенные требования к образованию персонала. В общем, читайте 79е постановление.

Если нужна реальная защита, то тоже начните с модели угроз и модели нарушителя. И начинайте нейтрализовывать актуальные угрозы.
Актуальна угроза перехвата информации в сетях общего пользования? Шифруем трафик.
Актуальна угроза слива БД инсайдерами? Организуйте защиту от несанкционированного доступа.
Актуальна угроза что кто-то через окно в бинокль увидит на мониторе важную информацию? Разверните мониторы в офисе спиной к окнам или используйте жалюзи. Эта угроза не актуальна? Опишите почему.

и т. д.

Если делать все по фен-шую, то должна быть разработана куча регламентирующих документов.
В целом ваша последовательность действий в плане тех защиты такая:
— разрабатываете модель угроз, в которой определяете актуальные угрозы;
— исходя из типа угроз (я считаю, что в 99% случаев он третий) по постановлению правительства № 1119 устанавливаете уровень защищенности ИСПДн;
— берете приказ ФСТЭК № 21 и выбираете меры согласно УЗ, который Вы определили, там большое поле для действия, есть базовые меры, есть компенсирующие, можете вообще придумать свои меры, доказав «экономическую нецелесообразность» применения мер из приказа ФСТЭК. Главное чтобы меры (технические и организационные) нейтрализовывали актуальные угрозы;
— обратите внимание, что если ваша организация коммерческая, то вам не обязательно использовать сертифицированные средства защиты (в приказе ФСТЭК написано что-то типа «сертифицированные СЗИ применяются в случае, если это необходимо для нейтрализации актуальных угроз»). Для гос контор просто использование СЗИ определено дополнительно некоторыми другими нормативными актами, поэтому им никуда не деться, но если вы — коммерсы и можете нейтрализовать свои угрозы штатным средствами ОС (идентификация и аутентификация пользователей средствами AD например) или с помощью свободного ПО (squid и тд), то и флаг вам в руки!

Что касается «бумажной» защиты ПДн, то тут все целиком в 152-ФЗ написано. У вас должны быть назначены ответственные лица, определен перечень лиц, допущенных к работе с перс данными, разработано положение о работе с перс данными, ряд инструкций (парольная, антивирусная защита и тд), ряд журналов…

С такой орфографией лучше ничего не писать. Вообще. Никогда.

Явное нарушение 152-ФЗ. Если вы не давали согласие на то что ваши ПДн можно считать общедоступными, то оператор персональных данных (в данном случае — ваш работодатель) должен обеспечить конфиденциальность таких данных. Одним из требований ФСТЭК является разворачивание мониторов, на которых отображаются ПДн тылом к дверям, а также использование жалюзи на окнах, тк это визуальный канал утечки персданных. Даже если абстрагироваться от юридического балабольства, это серьезная уязвимость, поскольку такие данные, полученные злоумышленником открывают широкие горизонты для использования методов социальной инженерии.

Во-первых, ViPNet Client и SSEP прекрасно живут вместе. Ставили, гоняли, проверяли, конфликтов не было.
Во-вторых, требования ФСТЭК по защите ИСПДн скоро изменятся с выходом 21го приказа (сейчас проходит согласование в Минюсте), там предполагается уход от обязательных требований и большей привязки СЗПДн к Модели угроз. Советую дождаться выхода этого приказа, должен уже вот-вот появиться и уже строить свою защиту в соответствии с ним.

Меняйте аппарат, когда ваш старый аппарат перестает отвечать вашим потребностям. Я сменил свой Glofish на Samsung Galaxy S3, потому что стало жутко неудобно возиться со стилусом, да и сами стилусы постоянно терялись, а найти подходящий стилус в продаже становилось все труднее и труднее. Хотя сам старый смарт работал как и раньше, и еще неизвестно сколько проработал бы. В общем, основная мысль такая — скорее всего ваш аппарат «морально» устареет быстрее, чем износится электроника.

В большинстве случаев это паранойя. Что касается длины пароля, то важна не столько его длина, сколько его энтропия, многие брутфорсы в первую очередь пробегаются по словарям наиболее часто встречаемых паролей и, например пароль AlbertEinshteinIsTheBestScientistEver111 взломать гораздо легче, чем Qhj4bnN5fD.
Кстати, во многих крупных организациях давно решают эту проблему введением двухфакторной аутентификации, то есть сложный длинный пароль хранится на электронном USB-ключе или смарт-карте, доступ к которым, в свою очередь, осуществляется с помощью шестизначного цифрового пин-кода. Получается юзеру чтобы войти в систему нужно иметь USB-ключ и знать пин-код. Из плюсов: отпадает нужда в запоминании диких паролей, смена реального пароля проходит безболезненно для юзера (пин-код ведь можно оставить прежним), так как пароль не вводится с клавиатуры и нет необходимости записывать его на бумажку и прятать под клавиатуру, то снижается риск компрометации пароля. Из минусов: при утере ключа может понадобиться какое-то время на его восстановление, а в некоторых случаях и бумажная волокита (написать заявление на начальника отдела IT и тд).

Все правильно выше заметили, у нас как всегда в законодательстве что-то напишут, а как это делать — непонятно. С угрозами НДВ вышло так же как и с тем, что операторы ПДн должны определять величину ущерба субъектам ПДн при нарушении конфиденциальности этих самих ПДн, а как определять эту величину ущерба, никакой методики и в помине нет.

Про угрозы НДВ как уже сказали, разрабатывайте модель нарушителя и модель угроз, последовательно обосновывая неактуальность этих угроз. Например, если берем внутреннего нарушителя, пишем, что у вас разработана организационно-распорядительная документация, все сотрудники, допущенные к обработке ПДн подписали соглашение о неразглашении, проводятся периодически мероприятия по контролю соблюдения конфиденциальности ПДн, а если и найдется инсайдер, то у нас есть СЗИ от НСД, которые фиксируют все действия пользователей в своих журналах. Что касается внешнего нарушителя, обосновывать можно как раз оцененным вредом и ценностью ваших ПДн. Мол, ваша ИСПДн не интересна зарубежным спецслужбам или криминальным группировкам, поэтому никто не будет за большие деньги нанимать хакера, которые знает все уязвимости нулевого дня, да к тому же у вас есть фаерволлы, сетевые сканеры, вы вовремя устанавливаете самые последние патчи и тд.

1. Сейчас нет обязательного требования письменного согласия, есть просто «согласие», то есть вам нужно каким-то образом доказать факт получения согласия регулятору. Конечно в этом плане письменное согласие снимает все вопросы. Можно конечно реализовать галочку «Я согласен», но отправитель не может давать согласие за получателя на обработку его ПДн.
2. Согласие не требуется для осуществления почтовых отправлений, но это по-моему не ваш случай. Хотя можно попробовать доказать, что эти данные у вас не хранятся. Тут как раз необходимы детали, в которые вы не стали вдаваться =)
3. На различных конференциях представители РКН на вопросы о персональных данных отправляемых через веб-формы заявляют что такая информация не является персональными данными, так как никак нельзя проверить ее достоверность. И действительно, откуда вы знаете, что человек, который сказал вашей веб-форме что он Иван Иванов на самом деле Иван Иванов?
4. Поскольку вопрос действительно неординарный, я бы вам посоветовал позвонить в ваше региональное отделение РКН и узнать их мнение по этому вопросу. Как показывает практика, регулятор всегда идет на встречу операторам, желающим сделать все как надо. Ну, хуже точно не будет, тем более рассказывать что конкретно за проект им не нужно, нужно лишь описать ситуацию в общих чертах.