Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Минюст обязал банки проводить пентесты и аудит кибербезопасности

13/08/2018

Банки обяжут соблюдать новые меры кибербезопасности, среди которых обязательными являются аудит информационной безопасности, различные тестирования на проникновение (пентесты), обязательная сертификация использованного программного обеспечения.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: Пред. 1 2 3
RSS
[ Закрыто ] Классификация специальных ИСПДн
Цитата
iv@n пишет:
Цитата
Stas Lutatovsky пишет:
А что это за закрытый перечень? Перечень документов требуемых при проверке РКН?
• учредительные документы Оператора;
• копия уведомления об обработке персональных данных;
• положение о порядке обработки персональных данных;
• положение о подразделении, осуществляющем функции по организации защиты персональных данных;
• должностные регламенты лиц, имеющих доступ к персональным данным;
• план мероприятий по защите персональных данных;
• план внутренних проверок состояния защиты персональных данных;
• приказ о назначении ответственных лиц по работе с персональными данными;
• типовые формы документов, предполагающие или допускающие содержание персональных данных;
• журналы, реестры, книги, содержащие персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится Оператор, или в иных аналогичных целях;
• договоры с субъектами персональных данных, лицензии на виды деятельности, в рамках которых осуществляется обработка персональных данных;
• выписки из ЕГРЮЛ, содержащие актуальные данные на момент проведения мероприятия по контролю (надзору);
• приказы об утверждении мест хранения материальных носителей персональных данных;
• письменное согласие субъектов персональных данных на обработку их персональных данных (типовая форма);
• распечатки электронных шаблонов полей, содержащие персональные данные;
• справки о постановке на балансовый учет ПЭВМ, на которых осуществляется обработка персональных данных;
• заключения экспертизы ФСБ России, ФСТЭК России об оценке соответствия средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке (проверяется только наличие данных документов);
• приказ о создании комиссии и акты проведения классификации информационных систем персональных данных (проверяется только наличие данных документов);
• журналы (книги) учета обращений граждан (субъектов персональных данных);
• акт об уничтожении персональных данных субъекта(ов) персональных данных (в случае достижения цели обработки);
• иные документы, отражающие исполнение Оператором требований законодательства Российской Федерации в области персональных данных.
Это и есть перечень документов, требуемых при проверке РКН? А откуда он взялся? В четверокнижии я его не видел?
PS Имеет смысл открыть отдельный топик по этому вопросу?
Изменено: Stas Lutatovsky - 22.10.2009 13:46:26
Цитата
Stas Lutatovsky пишет:
Это и есть перечень документов, требуемых при проверке РКН? А откуда он взялся? В четверокнижии я его не видел?
По-моему в блоге у Лукацкого этот список был. А взялся он просто: РКН опубликовал результаты проверок, где указывал в ходе проверки у оператора обнаружили отсутствие следующих документов... и далее по списку. Затем народ с разных проверок списки объединил и получился обощенный.
Цитата
Гость пишет:
А взялся он просто: РКН опубликовал результаты проверок, где указывал в ходе проверки у оператора обнаружили отсутствие следующих документов...
А если при проверке РКН обнаружит у меня отсутствие флюрографии? На каком основании РКН вообще требует эти документы?
Цитата
Stas Lutatovsky пишет:
Это и есть перечень документов, требуемых при проверке РКН? А откуда он взялся? В четверокнижии я его не видел?
PS Имеет смысл открыть отдельный топик по этому вопросу?
ДА, это примерный перечень документов, требуемых при проверке РКН. Взял я его на сайте одного из регуляторов, точно не помню давно было.
Это перечень документов из п.77.3.2 проекта административного регламента проведения проверок, есть на сайте rsoc.ru
Цитата
Гость пишет:
Это перечень документов из п.77.3.2 проекта административного регламента проведения проверок, есть на сайте rsoc.ru
Спасибо, хоть какая-то ясность появилась. Только одно непонятно - получается РКН штрафует операторов на основании неутвержденного проекта своего внутреннего документа?
Список запрашиваемых документов неоправданно обширен. И еще эта фразочка: "иные документы, отражающие исполнение Оператором требований законодательства Российской Федерации в области персональных данных" - это же раздолье для произвола и коррупции. Будем надеяться, что в окончательном варианте регламента ее не будет.
Обсуждение административного регламента проведения проверок лучше перенести в отдельную тему
http://lukatsky.blogspot.com/2009/10/blog-post_23.html
Цитата
Stas Lutatovsky пишет:
И еще эта фразочка: "иные документы
Таких бланкетных норм в регламенте полно, как проект будет через минюст проходить - неизвестно.

В регламенте есть п. 23 и п.75, т.е. получается, что вопросы обеспечения безопасности персональных данных при их обработке в ИСПДн находятся вне компетенции Роскомнадзора, однако это противоречит списку запрашиваемых документов.
Цитата
Гость пишет:
http://lukatsky.blogspot.com/2009/10/blog-post_23.html
Ссылку не поправите? Что-то не открывается :(
Ссылка правильная, на blogspot.com какие-то проблемы, остальные блоги тоже не открываются, например pers-data.blogspot.com
Цитата
Гость пишет:
Я считаю, что неверно, так как в документе трех по классификации (вроде бы в нем) сказано, что к специальным относятся информационные системы, в которых необходимо обеспечивать хотя бы еще одну безопасность кроме конфиденциальности. То есть целостность, например, или защиту от уничтожения... Обеспечение доступности никак к безопасности не относится.


Чуть подправлю, согласно определению Информационная безопасность состоит из 3-х основных качественных характеристик = Конфиденциальность, Целостность, ДОСТУПНОСТЬ. + 2-е дополнительные качественные характеристики = учёт, неотрекамость/аппелируемость.

ДОСТУПНОСТЬ напрямую относится к информационной безопасности - это основная качественная характеристика безопасности информации.
Страницы: Пред. 1 2 3
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)