Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

SIEM ОТ MCAFEE УСПЕШНО ПРОШЛА СЕРТИФИКАЦИЮ ФСТЭК РОССИИ

01/04/2015

McAfee Security Information and Event Management (версия 9.3) успешно прошла сертификационные испытания, результатом которых стал сертификат соответствия №3353 (от 18 февраля 2015), выданный ФСТЭК России.

Реклама

Партнеры

Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: Пред. 1 2 3 След.
Ответить
RSS
Шаблоны документов, В соответствии см П-1119 по ПДн
Цитата
Василий Андреевич пишет:
Судите по документам по их количеству, а не по наполнению.
Так как четких примеров документов я не увидел - судил по ним не по количеству, а по примерному, на мой взгляд, содержанию, которое следует из названия документа.
:D Мда!!! Если на начальном этапе все делаешь на абум то что же выйдет в конечном счете???!!! :D :o
Цитата
Дмитрий пишет:
сли на начальном этапе все делаешь на абум то что же выйдет в конечном счете???!!!
а с нашим законом о ПДн иначе никак - ведь на самом деле нет никаких методик определения ущерба субъекту. Для кого-то 1000 р - крупный ущерб, а для кого-то 1млн.р. - мелочь. Сейчас ущерб определяет суд. А нам остаётся делать "на обум", по-другому и не назовёшь ;)
Оператор оценить ущерб/вред субъекту не может и обязывать его это делать конечно бред. Мне проще - банк - действуем по ЦБшным стандартам, где оценивается риск для оператора. В банках точно, да и во многих иных организациях внутренним НПА утверждается приемлемый уровень риска - например 1% от капитала в месяц и оцениваются потери организации в случае утечки информации, при этом возмещение вреда субъекту дааалеко не самый большой размер, конечно если эта утечка не привела к краже реальных денег, а этот риск как раз на стороне банков закрывают лучше всего.
Ну а так как требование ФЗ об оценке вреда и его соотношение с принимаемыми мерами делать нужно, то предлагаю такой подход:
Вред субъекту в случае нарушений требований ФЗ:
а)ВР0 отсутствует - no comment;
б) ВР1незначительный - не приводит к судебным разбирательствам и решается "полюбовно";
в) ВР2 существенный - возмещение вреда не превышает допустимый в организации уровень;
г) ВР3 значительный - возмещение превышает принятый уровень;
д) ВР4невосполнимый - приводит к приостановке деятельности или банкротству.
Можно для солидности более детальную градацию.
А далее делаем табличку:



Формально требование выполнено, а в отсутствии методики придраться невозможно.
Вред.JPG (145.54 КБ)
Изменено: Сергей С. - 05.12.2012 09:21:21
Спасибо. Попробую что нибудь такое на ваять в своей организации. :D
Дамы и господа у меня вопрос: При составлении тех-паспорта ИСПДН можно ли включить в одну ИСПД данные о контрагентах (Клиентах) и о работниках? или нужно делать разные ИСПДН?
Цитата
Павел Светлов пишет:
можно ли включить в одну ИСПД данные о контрагентах (Клиентах) и о работниках?
всё зависит от целей обработки ПДн, по ст.5
Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
Цитата
Настя пишет:
Цитата
Павел Светлов пишет:
можно ли включить в одну ИСПД данные о контрагентах (Клиентах) и о работниках?
всё зависит от целей обработки ПДн, по ст.5 Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
А причем тут объединение баз? Никто их не объединяет, а просто называют как одну ИСПДн.
Цитата
Гость пишет:
А причем тут объединение баз? Никто их не объединяет, а просто называют как одну ИСПДн.
да можно, только не объединяя базы между собой
Кто нибудь разрабатывал частное техническое задание на систему защиты персональных данных?
Шаблончик как его оформлять не подскажете где взять? Оно также должно подписываться и утверждаться или его только для себя делаешь, чтобы определиться какие СЗИ внедрять?
У Прозорова в блоге появилась интересная информация про выбор мер и модель угроз: http://80na20.blogspot.ru/2013/02/soiso.html
Да...хорошая мысля.... :D . Взять и прописать в модель угроз, угрозы свойственные типовой ИСПДн.
Так конечно легче, но дороже.
Кстати, у Прозорова в блоге появилась полезная информация по новому Приказу ФСТЭК №21 http://80na20.blogspot.ru/2013/05/21-soiso.html
Гость, спасибо!
.В десять лет — вундеркинд, в двадцать — талант, а за тридцать (...а после тридцати) — посредственность..
.На грош амуниции, на рубль веревок..
.Кто падает сам, тот не плачет..
Добрый день! Скажите в какой ветке форума есть готовые шаблоны документов, не могу найти. Если возможно ссылку?
Buy Previfem Without Prescription http://cialtobuy.com - online pharmacy Acticin With Next Day Delivery
Cytoxan Propecia Sinopsis Propecia Ataxia
Effet Indesirable Baclofene online pharmacy Levitra And Cialis Online
Страницы: Пред. 1 2 3 След.
Ответить
Читают тему (гостей: 2, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку