Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Минюст обязал банки проводить пентесты и аудит кибербезопасности

13/08/2018

Банки обяжут соблюдать новые меры кибербезопасности, среди которых обязательными являются аудит информационной безопасности, различные тестирования на проникновение (пентесты), обязательная сертификация использованного программного обеспечения.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1 2 След.
Ответить
RSS
Журналы, которые должен вести специалист по ЗИ
Доброго времени суток!

Подскажите, пожалуйста, какие журналы должен вести специалист по ЗИ?


1. Журнал поэкземплярного учета СКЗИ
2. Журнал учета отчуждаемых машинных носителей
3. Журнал регистрации запросов и обращений субъектов ПДн
4. Журнал планов проведения мероприятий \ отчет по итогам

Какие еще журналы нужны?
Есть ли формы, которые строго определены?
Журнал должен быть сшит?
Насколько я знаю, определенных требований к формам нет - придумываете сами, сшит/не сшит - то же самое. Я бы еще добавил журнал ознакомления работников с локальными актами оператора в области обработки и защиты персональных данных (положения, инструктажи, приказы и т.д.)
Разумеется, забыл написать, про журнал ознакомления. Он тоже имеется.
Спасибо за ответ.
Это получается, что у всех свои виды журналов?
Можно-ли найти информацию, по тому, что определенной формы нет?
Плюс эти журналы просто могут быть в виде листков скрепленных А4?
Цитата
Шекспир пишет:
Можно-ли найти информацию, по тому, что определенной формы нет?
Невозможно найти информацию по тому, что определенная форма есть. Нигде не сказано, какие журналы должны вестись. Исключение - журналы по криптосредствам. См. "Типовые требования по обеспечению безопасности перс. данных при помощи криптосредств ...." ну и ПКЗ-2005, если я не ошибаюсь.
Т.е. получается всего 5 журналов, правильно я понимаю?

Если придут с проверкой, все эти журналы будут просматриваться ими?
Еще нужно, как минимум, журнал учета инцидентов информационной безопасности (или нарушения безопасности ПДн), Журнал учета результатов периодического контроля безопасности ПДн. Могут спросить журнал учета (выдачи, смены) паролей, Журнал учета (размещения) технических средств ИСПДн и другие.
Учтите, что, помимо журналов, нужно Положение о защите и масса инструкций.....

Почитайте форум, здесь об этом много говорилось.
Комплект ОРД имеется. Не очень понятно с журналами и где их брать, то что вы перечислили. Даже не только где брать, а как узнать какие вообще должны быть.
Цитата
AlexG пишет:
Журнал учета результатов периодического контроля безопасности.
Не имеется ли в виду, просто отчет по результатам проведения мероприятий?

Цитата
AlexG пишет:
журнал учета инцидентов информационной безопасности (или нарушения безопасности ПДн)
Он в принципе должен быть, если инцидентов не случалось?
Цитата
AlexG пишет:
журнал учета (выдачи, смены) паролей
Где можно посмотреть форму?


Спасибо!
Цитата
Шекспир пишет:
Не имеется ли в виду, просто отчет по результатам проведения мероприятий?
Отчет, акты проведения проверок и т.п.
Цитата
Шекспир пишет:
Он в принципе должен быть, если инцидентов не случалось?
Пусть будет. Кашу маслом не испортишь.
Цитата
Шекспир пишет:
Где можно посмотреть форму?
Форма произвольная. №п/п, дата выдачи пароля, кому выдан (на какой машине установлен), период действия, дата смены пароля.
Или что-то в этом роде, как вам удобно.
Вот только причём здесь "должен вести специалист по ЗИ"? Все эти журналы заводит, ведёт учёт и несёт ответственность не специалист по ЗИ, а лица, ответственные за ведение таких журналов. Если на Вас как на специалиста по ЗИ официально возложены эти функции, то да, Вы и ведёте их. А вообще, к примеру за "Журнал регистрации запросов и обращений субъектов ПДн" отвечает назначенное Лицо, ответственное за организацию обработки ПДн в огранизации (обычно начальник отдела кадров), "Журнал поэкземплярного учета СКЗИ", а также ключей к ним, документации и т.д. - отвественный пользователь данных СКЗИ, Журнал учета отчуждаемых машинных носителей - лица, использующие данные носители. И т.д. в том же духе. Если Вас не назначили ни Лицом ни пользователем ни иным отвественным лицом, то Вы ничего не имеете права вести. А только указать на необходимость наличия данных журналов.
Да, кстати, насчёт типовых форм. Для СКЗИ (криптосредств) они есть в приложении к Типовым требованиям по орг. и обесп. функционирования шифровальных средств..., утверждённых ФСБ 21.02.2008 г. №149/6/6-622.
Спасибо за ответы!

1. Журнал поэкземплярного учета СКЗИ - Администратор безопасности
2. Журнал учета отчуждаемых машинных носителей - Администратор безопасности
3. Журнал регистрации запросов и обращений субъектов ПДн - Отвественный за обработку
4. Журнал планов проведения мероприятий \ отчет по итогам - Менеджер по безопасности
5. Журнал учета инцидентов информационной безопасности - Менеджер по безопасности
6. Журнал учета (выдачи, смены) паролей - Администратор безопасности
7. Журнал ознакомления с инструкциями - Менеджер по безопасности

Посмотрите, пожалуйста, вроде такие журналы должны быть и ответственные за них?

Прошу прощения за такие вопросы, это для меня новое.

И еще вопрос;
"Работникам отдела информационных технологий присвоить роль Администратор безопасности персональных данных" по 1119 должно быть подразделение. Можно ли не весь отдел, а только определенных лиц написать в скобках?
Цитата
Шекспир пишет:

"Работникам отдела информационных технологий присвоить роль
Администратор безопасности персональных данных" по 1119 должно быть
подразделение. Можно ли не весь отдел, а только определенных лиц написать в
скобках?
Подразделение должно быть, если уровень защищенности 1. Вряд ли у вас УЗ-1. В остальных случаях достаточно сотрудника.
Именно 1 у нас, что тогда? Допускается перечисление?
Вряд ли. В постановлении четко написано "подразделение". Выделите из состава отдела 3 человека, назовите их "группа по защите ПДн" или как-то еще, и вперед :)
Хорошо, а можно ли так сделать:

"Ответственность за обеспечение безопасности персональных данных возложить на отдел...", а "работникам отдела (ФИО, ФИО...) присвоить роль Администратора безоп. ПДн?
Знающие люди, ответьте, пожалуйста. Допускается ли сделать так?
Цитата
Шекспир пишет:
Хорошо, а можно ли так сделать:

"Ответственность за обеспечение безопасности персональных данных возложить на отдел...", а "работникам отдела (ФИО, ФИО...) присвоить роль Администратора безоп. ПДн?
И прописать все это в Положении об отделе и должностных инструкциях работников - пожалуйста.
Разве функционал роли надо прописать в ДИ? Приказа о присвоении таких ролей недостаточно?
Ведь в комплекте ОРД всё прописано, кто и за что отвечает.
Или я совсем что-то не то несу?
Вы назначили приказом админа Пупкина, он за это расписался, все Ок. Через 2 недели он уволился, пришел новый чел. - опять приказ? Гораздо проще загнать все это в ДИ и Положение об отделе и забыть как страшный сон :) .
Регулятора, поверьте, это более устроит.
Сергей, спасибо, понял.
А что Вы можете сказать, на счет моего поста №11?
Или для каждой организации это индивидуально?
Страницы: 1 2 След.
Ответить
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку