Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Особенности аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции (работ, услуг), поставляемой по гособоронзаказу.

12/08/2019 

08 мая 2019 г. утверждены новые Правила аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции работ, услуг), поставляемой по государственному оборонному заказу (постановление Правительства Российской Федерации от 30 апреля 2019 г. № 548).

Новые Правила аккредитации кардинально меняют сложившуюся систему не только аккредитации, но и сертификации СМК предприятий, работающих в области государственного оборонного заказа.

Реклама





Партнеры





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: Пред. 1 ... 5 6 7 8 9 10 След.
Ответить
RSS
Образцы(шаблоны) основных документов, регламентирующих обработку ПД.
Цитата
Анна пишет:
2) как читать основные меропритяия? например, какие требования будут в подсистеме обеспечения целостности 1 класса при многопольз.режиме с разными правами? ( а)все что для 2 класса с многопольз. разн.правами + дополнительные; или б) такие как для 2 класса с многопольз. и равными правами + доп.) ???

Открываете пункт с К2 многопользовательской с равными правами, смотрите, что написано там и прибавляете то, что значится в "дополнительных".
Четко ведь написано "в подсистеме обеспечения целостности должны проводиться такие же мероприятия, как и в ИСПДн 2 класса с многопользовательским режимом и равными правами доступа пользователей, а также:
должен быть предусмотрен администратор (служба) защиты информации, ответственный за ведение, нормальное функционирование и контроль работы средств защиты информации в составе СЗПДн;
должны использоваться сертифицированные средства защиты.


В итоге:
должна быть обеспечена целостность программных средств в составе СЗПДн, а также неизменность программной среды. При этом целостность средств защиты проверяется при загрузке системы по наличию имен (идентификаторов) компонентов СЗИ, целостность программной среды обеспечивается отсутствием в ИСПДн средств разработки и отладки программ во время обработки и (или) хранения защищаемой информации;
должна осуществляться физическая охрана ИСПДн (устройств и носителей информации), предусматривающая контроль доступа в помещения ИСПДн посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения ИСПДн и хранилище носителей информации, особенно в нерабочее время;
должно проводиться периодическое тестирование функций средств защиты информации в составе СЗПДн при изменении программной среды
и персонала ИСПДн с помощью тест-программ, имитирующих попытки НСД;
должны быть в наличии средства восстановления средств защиты информации в составе СЗПДн, предусматривающие ведение двух копий программных средств защиты, их периодическое обновление и контроль работоспособности;
должны быть проведены мероприятия по обеспечению целостности средств защиты от ПМВ такие же, как и для ИСПДн 3 класса
с однопользовательским режимом;
должно проводиться резервное копирование ПДн на отчуждаемые носители информации;
должны быть проведены мероприятия по обеспечению целостности средств защиты от ПМВ такие же, как и для ИСПДн 2 класса с однопользовательским режимом;
должен быть предусмотрен администратор (служба) защиты информации, ответственный за ведение, нормальное функционирование и контроль работы средств защиты информации в составе СЗПДн;
должны использоваться сертифицированные средства защиты.
Изменено: Роман - 14.12.2009 17:35:23
Цитата
Alekzander пишет:
AHHA

1) меры противодействия == меры защиты, чем выше защита тем ниже опасность... разве не логично? внимательнее читайте методику определения актуальныъ угроз..
ну и каша у вас в голове...

не логично!!!!
опасность - это к каким последствиям может привести реализация угрозы! (методика)
а вот реализуется она или нет это зависит от мер противодействия и учитывается в вероятности реализации. и никаким образом в опасности.
разве не так?
т.е. какую бы мы защиту не поставили, опасность (последствия для субъектов) останется той же, если угроза все-таки будет реализована!
Цитата
Роман пишет:

Открываете пункт с К2 многопользовательской с равными правами, смотрите, что написано там и прибавляете то, что значится в "дополнительных".
Четко ведь написано "в подсистеме обеспечения целостности должны проводиться такие же мероприятия, как и в ИСПДн 2 класса с многопользовательским режимом и равными правами доступа пользователей, а также:
должен быть предусмотрен администратор (служба) защиты информации, ответственный за ведение, нормальное функционирование и контроль работы средств защиты информации в составе СЗПДн;
должны использоваться сертифицированные средства защиты.
как раз и хотела узнать что брать во внимание: для всего 1класса многопольз.и разн.прав написано брать мероприятия из 2класса многопольз.и разн.прав и дополнительные..
а в подсистеме целостности написано "должны проводиться такие же мероприятия, как и в ИСПДн 2 класса с многопользовательским режимом и равными правами доступа пользователей, а также:
должен быть предусмотрен администратор (служба) защиты информации, ответственный за ведение, нормальное функционирование и контроль работы средств защиты информации в составе СЗПДн;
должны использоваться сертифицированные средства защиты."
получается что для подсистемы целостности 2класса многопольз.и разн.прав мы не берем (не учитываем что для конкретного примера они совпадают). Так?
Цитата
Alekzander пишет:
А посмотрите по ГТ. Там исчерпывающий перечень имеется
Очень интересно. что же это за НМД. СТР? Модель ИТР? по моему, там ничего похожего нет
Добрый день!
С интересом прочитал данную тему.
Возник один вопрос? - у Вас у всех сугубо автоматизированная обработка?
Например у меня неавтоматизированная, т.к. действия связанные с обработкой ПДн в программном обеспечении ПЭВМ, а именно использование, уточнение, распространение, уничтожение осуществляются при непосредственном участии человека.
Поэтому некоторые документы абсолютно не нужны.
Мой список пока таков (еще не полный, дополняю согласно перечню док-ов, который требует РКН) :

Приказ об организации работ по защите информации, содержащей ПДн
План мероприятий по защите ПДн
Перечень ПДн (состав ПДн, места хранения, обработки и т.п.)
Приказ о назначение ответственного за обработку и защиту ПДн
Приказ о местах хранения ПДн
Положение об обработке и защите ПДн
Перечень сотрудников допущенных к обработке ПДн
Приказ о создании комиссии
Акт обследования ПДн (определение категории ПДН, признание неавтоматизированной обработ).
Инструкции пользователям участвующим в неавтоматизированной обработке ПДн.
+ добавятся документы необходимые для выполнения требований ПП687.
Цитата
kils пишет:
Например у меня неавтоматизированная, т.к. действия связанные с обработкой ПДн в программном обеспечении ПЭВМ, а именно использование, уточнение, распространение, уничтожение осуществляются при непосредственном участии человека.
Ага, и в базах данных сугубо ручками сортируем и систематизируем :) . Сможете это обосновать - ПП687, но скорее всего не сможете и это уже ПП781. То, что Вы внесли в базу ручками и извлекли из нее - это неавтоматизированная, а вот то, как СУБД управляет данными - это уже без Вашего участия, там она сама, по своим скрытым механизмам, складывает, систематизирует, сортирует и т.д. И такое не только с СУБД, тот же Exel не сохраняет в чистом виде, в котором Вы в него данные внесли, а определенным образом преобразовывает, модифицирует в собственный формат представления данных, только эта работа скрыта от пользователей, и правильно сделано, удобств больше. Вот если сможете обосновать что это неавтоматизированная (читай автоматическая) обработка, тогда вперед и с песней под ПП687. Вот в чем проблема-то :) .
И тогда, все будет так, как должно было бы быть..., даже если будет наоборот...
Цитата
Анатолий М пишет:
Цитата
kils пишет:
Например у меня неавтоматизированная, т.к. действия связанные с обработкой ПДн в программном обеспечении ПЭВМ, а именно использование, уточнение, распространение, уничтожение осуществляются при непосредственном участии человека.
Ага, и в базах данных сугубо ручками сортируем и систематизируем . Сможете это обосновать - ПП687, но скорее всего не сможете и это уже ПП781. То, что Вы внесли в базу ручками и извлекли из нее - это неавтоматизированная, а вот то, как СУБД управляет данными - это уже без Вашего участия, там она сама, по своим скрытым механизмам, складывает, систематизирует, сортирует и т.д. И такое не только с СУБД, тот же Exel не сохраняет в чистом виде, в котором Вы в него данные внесли, а определенным образом преобразовывает, модифицирует в собственный формат представления данных, только эта работа скрыта от пользователей, и правильно сделано, удобств больше. Вот если сможете обосновать что это неавтоматизированная (читай автоматическая) обработка, тогда вперед и с песней под ПП687. Вот в чем проблема-то .

А нам и не нужно вникать во внутренние процессы программного обеспечения) В частности способ сортировки.
Во всяком случае на признание обработки неавтоматизированной, влияет только то, что написано в подзаконных актах (в данном случае это ПП687). И нам важно именно это.
А теперь давайте проанализируем:
нам нужно чтобы такие действия на ПДн, как использование, уточнение, распространение, уничтожение, осуществлялись только при непосредственном участие человека.
Чтобы более было понятней, возьмем определения из ФЗ-152, рассмотрим на примере ворда, екселя, да даже 1С.

использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;

Ключевые фразы "порождающих юридические последствия" и "затрагивающих права", по сути при обработке ПДн, например в том же екселе, ничего подобного и нет. Даже если б и было, то только при непосредственном участие человека.

распространение -действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных)
Тут я думаю все понятно - это например вывод на печать. Согласитесь только при непосредственном участие человека)

Уничтожение - я думаю не будете спорить, что без участия человека в обычном ПО ничего не уничтожается. Или по крайней мере это настраиваемый параметр.

Уточнение (обновление, изменение) - тоже происходит при непосредственном участие человека. Например изменение данных в 1С на основе анализа или коррекция ошибок, ввод недостающих данных.
Цитата
kils пишет:
А нам и не нужно вникать во внутренние процессы программного обеспечения) В частности способ сортировки.
Как это не нужно. На сколько я помню оператор обязан определить цели и способы обработки. Кроме того, программные и аппаратные средства использует оператор, а значит, чтобы попытаться подвести под ПП687, оператор должен точно убедиться, а не совершают ли его средства без его ведома или с его ведома обработку без участия человека.

Цитата
Во всяком случае на признание обработки неавтоматизированной, влияет только то, что написано в подзаконных актах (в данном случае это ПП687). И нам важно именно это.
Так Вы сначала убедитесь и убедите регуляторов, что Ваши средства без Вашего участия никакой обработки не осуществляют. Если Вы в этом не убедитесь, то не сможете принять адекватных мер защиты. А потом отговорки, типа я не знал, что оно еще и без меня обрабатывает и потому что-то случилось с ПД, не прокатят нигде.

Цитата
Ключевые фразы "порождающих юридические последствия" и "затрагивающих права", по сути при обработке ПДн, например в том же екселе, ничего подобного и нет. Даже если б и было, то только при непосредственном участие человека.
А Вы в этом полностью уверены? Я например нет, в результате какого-то сбоя может случиться, что Вам будет начислена большая заработная плата, а потом работодатель, когда это установит, сможет обратиться в суд за взысканием, а это уже юридические последствия. Ну а если недонасчитает, то это нарушаются Ваши права.

Цитата
распространение -действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных)
Тут я думаю все понятно - это например вывод на печать. Согласитесь только при непосредственном участие человека)
Ага, Вы сами у принтера колесики крутите, чтобы лист выползал, а также сами буквочки и символы вписываете от руки :) . Не смешите. Это надо относить не к этому, а к тому, что это ввод или вывод и тогда все нормально, можно считать неавтоматизированной.

Цитата
Уничтожение - я думаю не будете спорить, что без участия человека в обычном ПО ничего не уничтожается. Или по крайней мере это настраиваемый параметр.
Ага, электричество кончилось и безвозвратно повредились файлы базы данных.

Цитата
Уточнение (обновление, изменение) - тоже происходит при непосредственном участие человека. Например изменение данных в 1С на основе анализа или коррекция ошибок, ввод недостающих данных.
И механизмы ОС и ПО здесь совсем не участвуют? То есть Вы их физически ручками впихиваете в файлы.
И тогда, все будет так, как должно было бы быть..., даже если будет наоборот...
Цитата
Анатолий М пишет:
Как это не нужно. На сколько я помню оператор обязан определить цели и способы обработки. Кроме того, программные и аппаратные средства использует оператор, а значит, чтобы попытаться подвести под ПП687, оператор должен точно убедиться, а не совершают ли его средства без его ведома или с его ведома обработку без участия человека.
Да, обязан определить цели и способы обработки. Вы не так меня поняли. " В частности способ сортировки." я имел ввиду программный способ, то что происходит внутри программы, это был ответ касательно вашего
Цитата
Анатолий М пишет:
как СУБД управляет данными - это уже без Вашего участия, там она сама, по своим скрытым механизмам, складывает, систематизирует, сортирует и т.д
Если так глубоко смотреть, то малоли какие процессы происходят с "единичками" и "нолями" когда вы просто набираете ПДн в ворде)
Не нужно путать, обработку непосредственно ПДн и обработку компьютерных 1110001010 .
Цитата
Анатолий М пишет:
Так Вы сначала убедитесь и убедите регуляторов, что Ваши средства без Вашего участия никакой обработки не осуществляют. Если Вы в этом не убедитесь, то не сможете принять адекватных мер защиты. А потом отговорки, типа я не знал, что оно еще и без меня обрабатывает и потому что-то случилось с ПД, не прокатят нигде.
А я убедился. Я же все это делаю на основании норматировного акта - ФЗ152 и ПП687.
Еще раз, не путайте пожалуйста слово "обрабатывает" именно в плане ПДн (когда раз и программа сама стерла ПДн, или сама отправила на печать документ на все принтеры Организации) и плане программного кода, алгоритмов самой программы. Покрайней мере действия описаные в ПП687, программа сама не сделает.
Цитата
Анатолий М пишет:
А Вы в этом полностью уверены? Я например нет, в результате какого-то сбоя может случиться, что Вам будет начислена большая заработная плата, а потом работодатель, когда это установит, сможет обратиться в суд за взысканием, а это уже юридические последствия. Ну а если недонасчитает, то это нарушаются Ваши права.
Да тут я согласен. В этом аспекте нужно предусмотреть дополнительные меры. Например инструкция бухгалтеру, в которой будет указано что она еще раз все перепроверяет, перед уже фактическим начислением ЗП, т.е. нужно еще больше добавить участие человека.
Цитата
Анатолий М пишет:
Ага, Вы сами у принтера колесики крутите, чтобы лист выползал, а также сами буквочки и символы вписываете от руки . Не смешите. Это надо относить не к этому, а к тому, что это ввод или вывод и тогда все нормально, можно считать неавтоматизированной.
И это тоже можно. Но неужели у вас принтер может печатать без непосредственного участия человека?) Надо вставить бумагу в принтер, мышкой нажать Файл-Печать.....
В любом случае, распространение это не только печать конечно же.
Если б программа, например бы каждый час , сама формировала какойто документ с ПДн и автоматически бы отсылала его куданибуть, то тогда да- автоматизированная.
Цитата
Анатолий М пишет:
Ага, электричество кончилось и безвозвратно повредились файлы базы данных.
Давайте не будем доходить до абсурда. Во первых нужно предусмотреть ИБП, а во вторых это уже другое совсем.
Ну если в вашем "неавтоматизированном" ПК, где вы например только печатаете текстовые файлы и все, жесткий диск сломается и данные будет безвозвратно утеряны, это же не значит что это автомазированная обработка)
Цитата
Анатолий М пишет:
И механизмы ОС и ПО здесь совсем не участвуют? То есть Вы их физически ручками впихиваете в файлы.
Поясните пожалуйста? Есть например какието данные субъекта ПДн...адрес и телефон. У субъекта они изменились, мы соответсвенно изменили данные и здесь.

И в заключении - в ФЗ152 и ПП687 есть в принципе все что необходимо. Написано так использование, уточнение, распространение, уничтожение при непосредственном участии человека - неавтоматизированная, значит так. Не вижу повода дальше ставить под сомнение).
Цитата
kils пишет:
Да, обязан определить цели и способы обработки. Вы не так меня поняли. " В частности способ сортировки." я имел ввиду программный способ, то что происходит внутри программы, это был ответ касательно вашего
Если так глубоко смотреть, то малоли какие процессы происходят с "единичками" и "нолями" когда вы просто набираете ПДн в ворде)
Так Вы и обязаны так глубоко смотреть. Если строить эффективную защиту, надо рассматривать все аспекты, а не так, навесили бирюлек и успокоились.

Цитата
Не нужно путать, обработку непосредственно ПДн и обработку компьютерных 1110001010 .
Эдак Вы докатитесь до того, что вообще никакие ПД в автоматизированных системах не обрабатыавются. Не важно представление, важно, что получивший доступ сможет их увидеть, а уж как их представляет для себя система это третий вопрос. Набор нулей и единиц это не зашифрованная информация и восстановлению поддается легко. Вам в законодательных документов четко написано - обязаны. Вот и выполняйте. А учитывать Вы должны все моменты, иначе какой из Вас эксперт. Так вот, то, что программы и техсредства, многие причем, еще и сами обрабатывают данные без участия человека может нанести и ущерб и привести последствия.

Цитата
А я убедился. Я же все это делаю на основании норматировного акта - ФЗ152 и ПП687.
Каким образом Вы убедились, если Вы даже не изучили программное обеспечение и принципы его функционирования? Если Вы не изучили все угрозы, как Вы смогли построить модель угроз? Или Вы и ее не строили? Ну что же, счастливого пути на встречу с регуляторами, они уж Вам быстро объяснят где, что и как функционируют. И поверьте, уж они-то доказать сумеют. Интересно, Вы по защите информации еще какие-нибудь документы изучали помимо ПП687 и 152-ФЗ? Посмотрите РД Гостехкомиссии, ГОСТы и т.д., пообщайтесь с ай-тишниками, программистами, пусть они Вам объяснят как программы функционируют. Если Вы опираетесь на мои слова о том, что по главенству законов ПП687 выше ПП781, то я имел ввиду полностью автоматическую обработку, совсем без участия человека, а не просто автоматизированную.

Цитата
Еще раз, не путайте пожалуйста слово "обрабатывает" именно в плане ПДн (когда раз и программа сама стерла ПДн, или сама отправила на печать документ на все принтеры Организации) и плане программного кода, алгоритмов самой программы. Покрайней мере действия описаные в ПП687, программа сама не сделает.
Уничтожить не сможет? Модицифировать не сможет? Ого, Вы ни разу не сталкивались с такой проблемой? Повезло. Тогда Вас ждет разочарование, это случается, и не так уж и редко.

Цитата

Да тут я согласен. В этом аспекте нужно предусмотреть дополнительные меры. Например инструкция бухгалтеру, в которой будет указано что она еще раз все перепроверяет, перед уже фактическим начислением ЗП, т.е. нужно еще больше добавить участие человека.
Ну организационные меры в любом случае должны быть предусмотрены, вне зависимости от того, по каким документам строите защиту.

Цитата
И это тоже можно. Но неужели у вас принтер может печатать без непосредственного участия человека?) Надо вставить бумагу в принтер, мышкой нажать Файл-Печать.....
Стоит барабан с бумагой и что? Вставить бумагу в принтер - это не обработка ПД, это подготовка принтера к работе или печати, а я говорил о непосредственно печати. Кстати, драйвер принтера тоже обрабатывает информацию при передаче на принтер, преобразовывает он ее в команды принтера, а это уже модификация, причем Вы при этом никак не участвуете, и повлиять не сможете никак. нет, отменить печать попытаться Вы сможете, а вот сам процесс изменить никак.

Цитата
В любом случае, распространение это не только печать конечно же.
Ну об этом и речи нет. Сама по себе печать это не распространение даже, а вот когда напечатанная бумажка куда-то уйдет - это распространение. Все таки не нравится мне такое нечеткое разделение распространения и передачи. В законе о коммерческой тайне такие вещи четко разграничены. Есть передача, а есть распространение. Неужели не могли взять оттуда формулировки наши законописцы.

Цитата
Если б программа, например бы каждый час , сама формировала какойто документ с ПДн и автоматически бы отсылала его куданибуть, то тогда да- автоматизированная.
Достаточно того, что программа сама считает из исходных данных. И считает без участия человека. То, что Вы подготовили ей данные, это поучаствовали, а дальше программа сама.

Цитата
Давайте не будем доходить до абсурда. Во первых нужно предусмотреть ИБП, а во вторых это уже другое совсем.
Дак нет, совсем не другое. Вы обязаны обеспечить безопасность. А электричество очень на это дело влияет. Да и безопасность понятие широкое, это и целостность и доступность и неизменность и т.д. А падение электричества это достаточно частое явление.

Цитата
Ну если в вашем "неавтоматизированном" ПК, где вы например только печатаете текстовые файлы и все, жесткий диск сломается и данные будет безвозвратно утеряны, это же не значит что это автомазированная обработка)
Этот риск другого характера. А вот если он сломается из-за того, что Вы чего-то не предусмотрели, это уже Ваша вина. И что значит неавтоматизированный ПК? ПЭВМ - СВТ - средство автоматизации. О счетах, абаке, листе бумажки в клеточку я не говорил.

Цитата
Поясните пожалуйста? Есть например какието данные субъекта ПДн...адрес и телефон. У субъекта они изменились, мы соответсвенно изменили данные и здесь.
не понял, при чем здесь механизмы ОС и Вы изменили данные?

Цитата
И в заключении - в ФЗ152 и ПП687 есть в принципе все что необходимо. Написано так использование, уточнение, распространение, уничтожение при непосредственном участии человека - неавтоматизированная, значит так. Не вижу повода дальше ставить под сомнение).
Я не спорил о том, что в этих документах уже все есть, но Вы забываете о существовании и третьего - ПП781, а вот он-то и вносит такие коррективы. Повод Вам покажут регуляторы, когда придут с проверкой. Посмотрим как Вы им сможете обосновать :) . Надеюсь нам расскажете?
И тогда, все будет так, как должно было бы быть..., даже если будет наоборот...
Цитата
Анатолий М пишет:
Так Вы и обязаны так глубоко смотреть. Если строить эффективную защиту, надо рассматривать все аспекты, а не так, навесили бирюлек и успокоились.

Я обязан(!) смотреть и строить защиту, только в рамках закона. Если закону достаточно бирюлек, то значит достаточно Остальное - пожалуйста, по моему (вашему) усмотрению.
Помойму сейчас основная цель читателей форума (и не только), построить защиту в соответствие с законом и не более.
Я не говорю сейчас про те ИСПДн, которые без ФЗ152 старались максимально защитить.

Цитата
Анатолий М пишет:
Эдак Вы докатитесь до того, что вообще никакие ПД в автоматизированных системах не обрабатываются. Не важно представление, важно, что получивший доступ сможет их увидеть, а уж как их представляет для себя система это третий вопрос. Набор нулей и единиц это не зашифрованная информация и восстановлению поддается легко. Вам в законодательных документов четко написано - обязаны. Вот и выполняйте. А учитывать Вы должны все моменты, иначе какой из Вас эксперт.

Вы опять меня не так поняли. По поводу защиты от НСД я и не спорил, самом собой должна быть, в соответствии с ФЗ-152 и ПП687. То что написано в данных документах, то и выполняю.


Цитата
Анатолий М пишет:
Так вот, то, что программы и техсредства, многие причем, еще и сами обрабатывают данные без участия человека может нанести и ущерб и привести последствия.

Что значит сами обрабатывают? Если они сами используют, уточняют, распространяют, уничтожают (в терминологии ФЗ152) ПДн это один вопрос. Конечно это не подпадет под ПП687.
В любом случае я не утверждал об отсутствие данных программ. Понятное дело они есть. Только вот где автоматизированная обработка, а где нет, можно судить только по ПП687.


Цитата
Анатолий М пишет:
Каким образом Вы убедились, если Вы даже не изучили программное обеспечение и принципы его функционирования?
Убедился, что использование, уточнение, распространение, уничтожение происходит при непосредственном участие человека. Согласно ПП687 !!
Я с Вами согласен и не спорю, что у любого программного продукта, внутри протекают какие-либо процессы, но это важно если только имеет отношение к нужным нам действиям из ПП687.


Цитата
Анатолий М пишет:
Если Вы не изучили все угрозы, как Вы смогли построить модель угроз? Или Вы и ее не строили? Ну что же, счастливого пути на встречу с регуляторами, они уж Вам быстро объяснят где, что и как функционируют. И поверьте, уж они-то доказать сумеют.
Не строил. Если б я подпадал под ПП781, тогда бы должен был ее сделать.
Вот пускай объясняют. Если не ошибаюсь, в 294-ФЗ описан принцип добросовестности юр. лица, я делал как написано в нормативно-правовых актах. Я не сам придумал эти 4 действия их ПП687. И регуляторы должны будут доказать что они правы.


Цитата
Анатолий М пишет:
Интересно, Вы по защите информации еще какие-нибудь документы изучали помимо ПП687 и 152-ФЗ? Посмотрите РД Гостехкомиссии, ГОСТы и т.д., пообщайтесь с ай-тишниками, программистами, пусть они Вам объяснят как программы функционируют.
Естественно. Руководящие документы ФСТЭКА (да тогда еще гостехкомиссии) по АС (классификация АС, показатели защищенности от НСД и т.п.), СТР, СТР-К и прочие известные всем нормативные документы.

Цитата
Анатолий М пишет:
Уничтожить не сможет? Модицифировать не сможет? Ого, Вы ни разу не сталкивались с такой проблемой? Повезло. Тогда Вас ждет разочарование, это случается, и не так уж и редко.

Вы путаете уничтожение и модификацию, штатно предусмотренную программой и случившуюся в результате какого-нибуть чп, неверного функционирования и т.п. (ваш пример с пропадаением электроэнергии).
Конечно в любом случае нужно предпринимать меры и избегать этого. Но это не значит, что если из-за обесточивания данные пропадут, что это будет автоматизированная обработка. если у вас лист бумаги с ПДн унесет ветром в окно (утрирую конечно), это же не значит автоматизированное распространение. Просто нужно предусмотреть все это. Также как и с ИБП.

Цитата
Анатолий М пишет:
Стоит барабан с бумагой и что? Вставить бумагу в принтер - это не обработка ПД, это подготовка принтера к работе или печати, а я говорил о непосредственно печати.
Пользователь сам нажимает Файл-Печать..указывает кол-во страниц, копий.

Цитата
Анатолий М пишет:
Кстати, драйвер принтера тоже обрабатывает информацию при передаче на принтер, преобразовывает он ее в команды принтера, а это уже модификация, причем Вы при этом никак не участвуете, и повлиять не сможете никак. нет, отменить печать попытаться Вы сможете, а вот сам процесс изменить никак.
И что меняет? ни одного из 4х действия в ПП687 не вижу.
тем более "Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее."

Цитата
Анатолий М пишет:
Ну об этом и речи нет. Сама по себе печать это не распространение даже, а вот когда напечатанная бумажка куда-то уйдет - это распространение. Все таки не нравится мне такое нечеткое разделение распространения и передачи. В законе о коммерческой тайне такие вещи четко разграничены. Есть передача, а есть распространение. Неужели не могли взять оттуда формулировки наши законописцы.

По поводу не достаточной четкости законов я с Вами согласен. Но имеем, то что имеем. И исходить будем из того, что в данный момент прописано в законе.

Цитата
Анатолий М пишет:
Достаточно того, что программа сама считает из исходных данных. И считает без участия человека. То, что Вы подготовили ей данные, это поучаствовали, а дальше программа сама.

Достаточно для его? Нормативный документы определяет эту степень достаточности, еще раз повторю законы нужно читать прямо. Если написано использование, уточнение, распространение, уничтожение и этого она не делает сама в рамках определения этих действий из ФЗ152, то значит то что она считает сама к этом отношения не имеет.
Да еще один важный момент упускаем из ПП687 - "использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов" Тоесть для каждого. получается есть 100 файлов - каждый файл - ПДн субъекта, удаляем по одному - неавтоматизированная обработка, удаляем выделить все - автоматизированная). Я это сам не придумываю, просто читаю закон.

Цитата
Анатолий М пишет:
А вот если он сломается из-за того, что Вы чего-то не предусмотрели, это уже Ваша вина.
Согласен.

Цитата
Анатолий М пишет:
И что значит неавтоматизированный ПК? ПЭВМ - СВТ - средство автоматизации. О счетах, абаке, листе бумажки в клеточку я не говорил.
2. Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.

Я прекрасно понимаю, что с точки зрения логики, у меня не поворачивается языка назвать ПК неавтоматизированным. Но с точки зрения подзаконного акта..получается так.


Цитата
Анатолий М пишет:
не понял, при чем здесь механизмы ОС и Вы изменили данные?
хорошо, какие механизмы ОС Вы имеет ввиду при уточнение ПДн, например в ворде?


Цитата
Анатолий М пишет:
Я не спорил о том, что в этих документах уже все есть, но Вы забываете о существовании и третьего - ПП781, а вот он-то и вносит такие коррективы. Повод Вам покажут регуляторы, когда придут с проверкой. Посмотрим как Вы им сможете обосновать . Надеюсь нам расскажете?

А еще есть ПП512, но если у Вас нету биометрии, Вы про него должны забыть.
Я как добросовестное юридическое лицо, смотрю существующие нормативно-правовые акты.
И вижу, что ФЗ152 - 1. Настоящим Федеральным законом регулируются отношения связанные .....с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.

Потом открываю ПП 687 и читаю что "1. Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее - персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека."

Смотрю ПП781 и нахожу в нем "1. Настоящее Положение устанавливает требования к обеспечению
безопасности персональных данных при их обработке в информационных
системах персональных данных, представляющих собой совокупность
персональных данных, содержащихся в базах данных, а также информационных
технологий и технических средств, позволяющих осуществлять обработку
таких персональных данных с использованием средств автоматизации (далее -
информационные системы)."

Отсюда делаю вывод, что меня интересуют только ФЗ152 и ПП687.
Где я не прав, если это написано в нормативно-правовых актах?

Вы знаете, я уже долгое время пытаюсь в этом разобраться, сначала тоже думал, ну что за бред, как обработка на ПК может быть не автоматизированной...составлял себе план, думал как понизить класс ИСПДн, были мысли обезличить все ПДн, и пр.
Еще раз все перечитал, изучал форумы, пообщался с людьми и понял что в принципе можно подогнать ИСПДн под ПП687.
Я согласен с Вами, что много конечно очень в настоящих законодательных актах не логичного, что много путаницы и прочего. Но данный момент мы имеет такую нормативно-правовую базу.
Цитата
kils пишет:
в 294-ФЗ
А еще в 294-ФЗ есть обязанность юр. лицу подать уведомление если использует телекоммуникационые сети и т.д.
И тогда, все будет так, как должно было бы быть..., даже если будет наоборот...
Доброго времени суток.

Может кто дать рыбу или сказать, что конкретно должно быть в документах: "Положение о защите персональных данных" и "Положение по организации и проведению работ по обеспечению безопасности ПДн при их обработке в ИСПДн".
Эти документы взаимоисключающие?
объясните пожайлуста, что именно писать в "Положении по организации и проведению работ по обеспечению безопасности ПДн при их обработке в ИСПДн"?
есть "Положение о персональных данных в организации", там все общее, вода, а как я себе представляю в "Положении по организации и проведению работ по обеспечению безопасности ПДн при их обработке в ИСПДн" должно быть более четко отражено каким именно образом защищаемся, типа как в "Положение о защите конфиденциальной информации". но точно я не уверен. есть ли где нибудь требования к содержанию данного документа????

Заранее СПБ:-)))
Посмотрите в этой или в одной из других веток форума были ссылки на шаблоны. Что-то подберете себе. Положение о защите и об обработке можете на свой вкус сделать либо одним документом, либо разными.
воду разбавьте конкретикой. В принципе можете из положения по конфиденциальной информации взять, если есть что. ПД - это тоже конфиденциальная информация, только ее владелец - субъект этих ПД и никто более.
И тогда, все будет так, как должно было бы быть..., даже если будет наоборот...
Добрый день! Нигде не могу найти документ, регламентирующий доступ сотрудников в помещения серверной и помещения с коммутационным оборудованием! Может быть кто нибудь подскажет?
Напишите сами, такие документы легко пишутся)

Инструкция по "Назовите как Вам удобнее"

1. Общие положения
Настоящая инструкция определяет порядок доступа в.....

2. Порядок доступа сотрудников в помещения..

В помещения ...допускаются сотрудники согласно утвержденному списку...
или
как Вы сами определить порядок доступа (например по разрешению руководителя)

3. Порядок доступа в помещения уборщиков и сотрудников технических служб

Описываете порядок...например, что в момент уборки в помещении должен присутствовать сотрудник, следящий на уборщицей и т.п.

4. Ответственность.


В прицнипе все.
Некоторое время назад решил разобраться в проблеме разработки ОРД по защите ПДн, первым вопросом стало - а из каких документов собственно должен состоять комплект ОРД по защите ПДн, не найдя конкретных требований к составу и содержанию со стороны законодательства, помимо конечно того списка, что будет проверять Роскомнадзор, начинаем как всегда с конца - с того что будем проверять, а не того что нужно и как разработать. Вот я и решил провести некую аналитическую работу, целью которой было определить каким же должен быть состав ОРД по защите ПДн. За основы были взяты требования, разбросанные по многочисленным документам, регламентирующим защиту персональных данных, а также отраслевым рекомендациям, которые были выпущены в свет в той или иной отрасли.

Результирующий список ОРД документов и итоговые сравнительные таблицы, в том числе и сравнение с рекомендациями Центрального Банка РФ:

http://webfile.ru/4358420
пароль: afominenkov@it.ru

Жду Ваших комментариев и дополнений!
Отличный сайт с доками по ЗИ.
http://www.securitypolicy.ru
Страницы: Пред. 1 ... 5 6 7 8 9 10 След.
Ответить
Читают тему (гостей: 2, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку