Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

SIEM ОТ MCAFEE УСПЕШНО ПРОШЛА СЕРТИФИКАЦИЮ ФСТЭК РОССИИ

01/04/2015

McAfee Security Information and Event Management (версия 9.3) успешно прошла сертификационные испытания, результатом которых стал сертификат соответствия №3353 (от 18 февраля 2015), выданный ФСТЭК России.

Реклама

Партнеры

Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: Пред. 1 2 3 4 5 6 След.
Ответить
RSS
Подключение информационной системы к сетям общего пользования, Есть или нет?
По поводу флешек договора не нужно: если они операторы ПДн, пусть сами и отвечают за их безопасность по дороге к вам. А вот когда эти ПДн попадают к вам, вы обязаны сделать вот что:
(ст.18, п.3) "Если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных частью 4 настоящей статьи, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:
1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя;
2) цель обработки персональных данных и ее правовое основание;
3) предполагаемые пользователи персональных данных;
4) установленные настоящим Федеральным законом права субъекта персональных данных;
5) источник получения персональных данных."

В п.4 этой же статьи указаны исключения, и если вы под них не попадаете, придется уведомлять субъекта.
AlexG, позвольте с вами не согласится. Эта статья относится к оператору ПДн, а в данном случае организация является лицом, которому оператор поручил обработку ПДн и не является оператором этих ПДн, а все заморочки с согласиями, уведомлениями или ненужностью согласий проблема того, кто эти ПДн предоставляет. ч.4 ст. 6 Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.
Есть мнение, что Контур-Экстерн является внешней системой - системой передачи данных, и защитой информации в ней занимается её владелец.
В банковских стандартах (методических рекомендациях) есть такое понятие: информационные системы, в отношении которых оператор не определяет защитные меры. Это как раз те системы, меры защиты которых определил их владелец, с него и спрос.
Позвольте продолжить разговор, но в несколько ином ракурсе, что ли. Можно ли считать Контур-Экстерн ИСПДн? Дело в том, что из вышестоящей организации пришла команда провести соответствующий комплекс мероприятий, поскольку через К-Э отправляются ПДн в налоговую. У нас в организации в 1С Предприятие, аттестована как ИСПДн установленным порядком. С одного рабочего места (гл/бух) отправляются отчеты через К-Экс. Т.е.ПДн обрабатываются, хранятся в ИСПДн 1С на ПК гл/бух и с этого же ПК отправляются. Информация заносится через экранные формы на сервер Контур-Экстерн, там происходит проверка и прием. Если следовать определению ИСПДН: ""информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств", ПДн хранятся на сервер Контур-Экстерн. Значит - не ИСПДн? По аналогии - раньше из той же ИСПДн 1С выгружали отчеты на дискету (флешку) и несли в налоговую. Сейчас эту роль выполняет Контур-Экстерн как система электронного документооборота.
Если я не прав, подскажите.
Вы не являетесь оператором ПДн, обрабатываемых в К-Э, а предоставляете ПДн оператору (налоговой) в соответствии с законом. К-Э является ИСПДн, в отношении которой оператор (вы) не определяет защитные меры. То, что вы должны сделать в плане защиты должна установить налоговая (прописать в соглашении о присоединении к системе сдачи отчетности).
Сергей. Из вышенаписаного следует, что все программы предоставления отчетности, будь то AStral, K-Э и т.д, являются ИСПДн но меры зашиты для них описывает организация которой эти отчеты преднозначены...и нам остается только выполнить эти требования? А в перечень ИСПДн работающих в организации такие программы включать нужно? В них ведь едино разово вводятся ПДн...передаются и в этой программе не хранятся.

Это уже по моему не ИСПДн. Так?
информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
Пдн в этих программах хранятся (архив всего, что вы отправляли, ведется), является ли это базой данных? Скорее да, это некое систематизированное (хотя бы по дате) собрание данных, хотя тут можно поспорить, а терминологические споры регулятор выиграет. Я такие системы включил в перечень отдельным разделом: ИСПДн, в отношении которых оператор не определяет защитных мер (обозвать можно как угодно: ИСПДн, в отношении которых организация не является оператором ПДн (собственником этих ИСПДн).
Изменено: Сергей С. - 31.08.2012 11:29:26
wh0cd687235 Synthroid Price female viagra
wh0cd304513 generic synthroid
wh0cd585139 effexor generic tadalafil best price furosemide online
buy cialis online
where to buy cialis over the counter
cialis online prescription
cialis 5mg
buy cialis over the counter
Buy Cialis Over The Counter
cialis over the counter
buy cialis online
found here
Страницы: Пред. 1 2 3 4 5 6 След.
Ответить
Читают тему (гостей: 3, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку