Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Особенности аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции (работ, услуг), поставляемой по гособоронзаказу.

12/08/2019 

08 мая 2019 г. утверждены новые Правила аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции работ, услуг), поставляемой по государственному оборонному заказу (постановление Правительства Российской Федерации от 30 апреля 2019 г. № 548).

Новые Правила аккредитации кардинально меняют сложившуюся систему не только аккредитации, но и сертификации СМК предприятий, работающих в области государственного оборонного заказа.

Реклама





Партнеры





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: Пред. 1 ... 164 165 166 167 168 ... 170 След.
RSS
[ Закрыто ] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Еще вопрос.
Есть группа компаний(ГК). Все БД и ИСПДн принадлежат управляющей компании(УК) и УК предоставляет услуги для ГК.
В данном случае кто пишет модель угроз?
И вопрос который мучает меня уже давно.
Нужна ли лицензия по ТЗКИ для написания модели угроз?
Цитата
Сергей Давидян пишет:
Еще вопрос.
Есть группа компаний(ГК). Все БД и ИСПДн принадлежат управляющей компании(УК) и УК предоставляет услуги для ГК.
В данном случае кто пишет модель угроз?
Сергей, модель угроз - проблема Оператора ПДн ИСПДн.
"государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными".
Он (Оператор)может разрабатывать модель самостоятельно (без лицензии). По поводу необходимости лицензии для создания модели угроз сторонней организацией по отношению к Оператору за деньги см. дискуссию в соседней ветке между мной и AlexG.
Цитата
Сергей Давидян пишет:
И вопрос который мучает меня уже давно.

Нужна ли лицензия по ТЗКИ для написания модели угроз?

нет не нужна
Подскажите где взять ГОСТ РО 0043-004? Нужно писать запрос во ФСТЭК?
Цитата
Сергей Терехов пишет:
Цитата
Сергей Давидян пишет:

Еще вопрос.

Есть группа компаний(ГК). Все БД и ИСПДн принадлежат управляющей компании(УК) и УК предоставляет услуги для ГК.

В данном случае кто пишет модель угроз?
Сергей, модель угроз - проблема Оператора ПДн ИСПДн.

"государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными".

Он (Оператор)может разрабатывать модель самостоятельно (без лицензии). По поводу необходимости лицензии для создания модели угроз сторонней организацией по отношению к Оператору за деньги см. дискуссию в соседней ветке между мной и AlexG.

ОК. а если оператор(одна из компаний входящая в ГК) поручает обработку ПДн УК, то в данном случае модель угроз пишет УК или все равно оператор?
Цитата
Сергей пишет:
Подскажите где взять ГОСТ РО 0043-004? Нужно писать запрос во ФСТЭК?
Получить, а точнее, купить копию ГОСТ РО 0043-003-2012 и ГОСТ РО 0043-004-2013 можно в организации ФГУП «СТАНДАРТИНФОРМ». Будьте готовы, что у вас запросят нотариально заверенную копию лицензий ФСТЭК по ТЗКИ. В некоторых случаях также запрашивали копии лицензий ФСБ на работу с гостайной, но это неправомерно - данные ГОСТы не относятся к сведениями, составляющим государственную тайну и применяются для информационных систем, которые могут не содержать гостайну.
Цитата
Сергей Давидян пишет:
ОК. а если оператор(одна из компаний входящая в ГК) поручает обработку ПДн УК, то в данном случае модель угроз пишет УК или все равно оператор?
Тогда Оператор в договоре указывает Обработчику (УК) на необходимость обеспечения безопасности ПДн в соответствии с действующим законодательством.
Сергей, кому юридически принадлежат технические средства (компьютеры, программы...) ИСПДн?
Цитата
Сергей Терехов пишет:
Цитата
Сергей Давидян пишет:

ОК. а если оператор(одна из компаний входящая в ГК) поручает обработку ПДн УК, то в данном случае модель угроз пишет УК или все равно оператор?
Тогда Оператор в договоре указывает Обработчику (УК) на необходимость обеспечения безопасности ПДн в соответствии с действующим законодательством.

Сергей, кому юридически принадлежат технические средства (компьютеры, программы...) ИСПДн?

компьютеры в компаниях принадлежат компаниям, а ПО и сервера принадлежат УК
Цитата
Сергей Давидян пишет:
компьютеры в компаниях принадлежат компаниям, а ПО и сервера принадлежат УК
Если у вас правильно составлен договор Обработчику (УК не определяет цели обработки, состав ПДн..), то, на мой взгляд, проблема обеспечения безопасности лежит на УК.
Возможно ли не ссылаясь на криптографию обеспечить конфиденциальность ПДн (Подходящая под ЗИС. 2 21 приказа) при передаче по сети интернет с площадки на площадку в рамках одной организации?
Изменено: Сергей Давидян - 23.10.2015 12:21:23
Цитата
Сергей Давидян пишет:
Возможно ли не ссылаясь на криптографию обеспечить конфиденциальность ПДн (Подходящая под ЗИС. 2 21 приказа) при передаче по сети интернет с площадки на площадку в рамках одной организации?
ЗИС 2 -Предотвращение задержки или прерывания выполнения процессов с высоким приоритетом со стороны процессов с низким приоритетом. Вы не ошиблись?
Через Интернет - только шифрование. Или физически выделенный канал передачи данных.
Цитата
Сергей Терехов пишет:
Цитата
Сергей Давидян пишет:

Возможно ли не ссылаясь на криптографию обеспечить конфиденциальность ПДн (Подходящая под ЗИС. 2 21 приказа) при передаче по сети интернет с площадки на площадку в рамках одной организации?
ЗИС 2 -Предотвращение задержки или прерывания выполнения процессов с высоким приоритетом со стороны процессов с низким приоритетом. Вы не ошиблись?

Через Интернет - только шифрование. Или физически выделенный канал передачи данных.

Ошибка ЗИС. 3
Только шифрование
у меня два тупых вопроса:
1) Оператор до вступления ПП1119 и Приказа ФСТЭК 21 разработал всю необходимую документацию и внедрил СЗПДн.После выхода новых документов, что он должен сделать?Переделывать все документ? может быть внедрить новые тех.решения?

2) В обществе Администрация и 7 филиалов.На каждом из объектов ИСПДн "Кадры". На каждом объекте под данную ИСПДн выделен свой собственный сервер приложений и СУБД.
Как рассматривать данную ИСПДн?как отдельную ИСПДн или как одну единую ИСПДн?
Цитата
Тимофей Тимофей пишет:
у меня два тупых вопроса:
1) Оператор до вступления ПП1119 и Приказа ФСТЭК 21 разработал всю необходимую документацию и внедрил СЗПДн.После выхода новых документов, что он должен сделать?Переделывать все документ? может быть внедрить новые тех.решения?

2) В обществе Администрация и 7 филиалов.На каждом из объектов ИСПДн "Кадры". На каждом объекте под данную ИСПДн выделен свой собственный сервер приложений и СУБД.
Как рассматривать данную ИСПДн?как отдельную ИСПДн или как одну единую ИСПДн?
Добрый день.
1. В соответствии с пунктом 12 Указа Президента Российской Федерации от 23 мая 1996 г. N 763 "О порядке опубликования и вступления в силу актов Президента Российской Федерации, Правительства Российской Федерации и нормативных правовых актов федеральных органов исполнительной власти" нормативные правовые акты федеральных органов исполнительной власти вступают в силу одновременно на всей территории Российской Федерации по истечении десяти дней после их официального опубликования, если самими актами не установлен другой порядок введения их в действие.
Таким образом, Состав и содержание мер, утвержденные приказом ФСТЭК России от 18 февраля 2013 г. N 21, вступили в действие со 2 июня 2013 г. Требования, утвержденные приказом ФСТЭК России от 11 февраля 2013 г. N 17, вступают в действие с 1 сентября 2013 г.
Исходя из общих принципов норм права по действию во времени, изданные в установленном порядке нормативные правовые акты не имеют обратной силы и применяются к отношениям, возникшим после вступления актов в силу (если иное не установлено федеральными законами).
Учитывая изложенное, информационные системы, аттестованные (прошедшие оценку эффективности) по требованиям защиты информации до вступления в действие Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17, и Состава и содержания мер, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. N 21, повторной аттестации (оценке эффективности) в связи с изданием указанных нормативных правовых актов не подлежат.
2. Исходя из данной Вами информации (не понятны аффилированность юр. лиц, структуры ИСПДн... )- это несколько ИСПДн
Обязательно ли проводить инструктаж по ЗПДн для сотрудников или можно просто ознакамливать с ЛНА?
Нужно ли вести журнал инструктажа?
Цитата
Гость пишет:
Обязательно ли проводить инструктаж по ЗПДн для сотрудников или можно просто ознакамливать с ЛНА?
Нужно ли вести журнал инструктажа?
Если ваша организация желает защищать ПДн, то пользователей ИСПДн надо обучать информационной безопасности. Если она "защищается" от Роскомнадзора", то нужно требовать письменной (или иной) подписи.
Подскажите, пожалуйста...

Согласно п. 5 ст. 19 152-ФЗ:
Цитата
Федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов, иные государственные органы в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки.

Согласно п. 7 ст. 19 152-ФЗ:

Цитата
Проекты нормативных правовых актов, указанных в части 5 настоящей статьи, подлежат согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации.

Вопрос! Что за НПА, для каких ИСПДн их нужно разрабатывать и обязательно ли согласовывать? И вообще разработка таких НПА обязательна?
Цитата
Максим пишет:
Вопрос! Что за НПА, для каких ИСПДн их нужно разрабатывать и обязательно ли согласовывать? И вообще разработка таких НПА обязательна?
Министерство "Рога и копыта", курирующие "колхозы" разрабатывает типовые актуальные угрозы безопасности для подведомственных колхозов. Эти типовые угрозы должны быть согласованы с ФСТЭКом и затем использованы в колхозах. Я думаю, к Вам это не имеет никакого отношения. :)
Страницы: Пред. 1 ... 164 165 166 167 168 ... 170 След.
Читают тему (гостей: 3, пользователей: 0, из них скрытых: 0)