Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

ЦОД ядра системы «Мир» построен на Эльбрусах и Рубиконах

18/02/2018

С момента провозглашения курса на импортозамещение замена зарубежных продуктов и решений, формирующих ИТ-инфраструктуру российских предприятий, на отечественные разработки стала одной из постоянно обсуждаемых тем.

Реклама

Партнеры

Лаборатория кибербезопасности



Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: Пред. 1 2 3
Ответить
RSS
Классификация специальных ИСПДн
Цитата
iv@n пишет:
Цитата
Stas Lutatovsky пишет:
А что это за закрытый перечень? Перечень документов требуемых при проверке РКН?
• учредительные документы Оператора;
• копия уведомления об обработке персональных данных;
• положение о порядке обработки персональных данных;
• положение о подразделении, осуществляющем функции по организации защиты персональных данных;
• должностные регламенты лиц, имеющих доступ к персональным данным;
• план мероприятий по защите персональных данных;
• план внутренних проверок состояния защиты персональных данных;
• приказ о назначении ответственных лиц по работе с персональными данными;
• типовые формы документов, предполагающие или допускающие содержание персональных данных;
• журналы, реестры, книги, содержащие персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится Оператор, или в иных аналогичных целях;
• договоры с субъектами персональных данных, лицензии на виды деятельности, в рамках которых осуществляется обработка персональных данных;
• выписки из ЕГРЮЛ, содержащие актуальные данные на момент проведения мероприятия по контролю (надзору);
• приказы об утверждении мест хранения материальных носителей персональных данных;
• письменное согласие субъектов персональных данных на обработку их персональных данных (типовая форма);
• распечатки электронных шаблонов полей, содержащие персональные данные;
• справки о постановке на балансовый учет ПЭВМ, на которых осуществляется обработка персональных данных;
• заключения экспертизы ФСБ России, ФСТЭК России об оценке соответствия средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке (проверяется только наличие данных документов);
• приказ о создании комиссии и акты проведения классификации информационных систем персональных данных (проверяется только наличие данных документов);
• журналы (книги) учета обращений граждан (субъектов персональных данных);
• акт об уничтожении персональных данных субъекта(ов) персональных данных (в случае достижения цели обработки);
• иные документы, отражающие исполнение Оператором требований законодательства Российской Федерации в области персональных данных.
Это и есть перечень документов, требуемых при проверке РКН? А откуда он взялся? В четверокнижии я его не видел?
PS Имеет смысл открыть отдельный топик по этому вопросу?
Изменено: Stas Lutatovsky - 22.10.2009 13:46:26
Цитата
Stas Lutatovsky пишет:
Это и есть перечень документов, требуемых при проверке РКН? А откуда он взялся? В четверокнижии я его не видел?
По-моему в блоге у Лукацкого этот список был. А взялся он просто: РКН опубликовал результаты проверок, где указывал в ходе проверки у оператора обнаружили отсутствие следующих документов... и далее по списку. Затем народ с разных проверок списки объединил и получился обощенный.
Цитата
Гость пишет:
А взялся он просто: РКН опубликовал результаты проверок, где указывал в ходе проверки у оператора обнаружили отсутствие следующих документов...
А если при проверке РКН обнаружит у меня отсутствие флюрографии? На каком основании РКН вообще требует эти документы?
Цитата
Stas Lutatovsky пишет:
Это и есть перечень документов, требуемых при проверке РКН? А откуда он взялся? В четверокнижии я его не видел?
PS Имеет смысл открыть отдельный топик по этому вопросу?
ДА, это примерный перечень документов, требуемых при проверке РКН. Взял я его на сайте одного из регуляторов, точно не помню давно было.
Это перечень документов из п.77.3.2 проекта административного регламента проведения проверок, есть на сайте rsoc.ru
Цитата
Гость пишет:
Это перечень документов из п.77.3.2 проекта административного регламента проведения проверок, есть на сайте rsoc.ru
Спасибо, хоть какая-то ясность появилась. Только одно непонятно - получается РКН штрафует операторов на основании неутвержденного проекта своего внутреннего документа?
Список запрашиваемых документов неоправданно обширен. И еще эта фразочка: "иные документы, отражающие исполнение Оператором требований законодательства Российской Федерации в области персональных данных" - это же раздолье для произвола и коррупции. Будем надеяться, что в окончательном варианте регламента ее не будет.
Обсуждение административного регламента проведения проверок лучше перенести в отдельную тему
http://lukatsky.blogspot.com/2009/10/blog-post_23.html
Цитата
Stas Lutatovsky пишет:
И еще эта фразочка: "иные документы
Таких бланкетных норм в регламенте полно, как проект будет через минюст проходить - неизвестно.

В регламенте есть п. 23 и п.75, т.е. получается, что вопросы обеспечения безопасности персональных данных при их обработке в ИСПДн находятся вне компетенции Роскомнадзора, однако это противоречит списку запрашиваемых документов.
Цитата
Гость пишет:
http://lukatsky.blogspot.com/2009/10/blog-post_23.html
Ссылку не поправите? Что-то не открывается :(
Ссылка правильная, на blogspot.com какие-то проблемы, остальные блоги тоже не открываются, например pers-data.blogspot.com
Цитата
Гость пишет:
Я считаю, что неверно, так как в документе трех по классификации (вроде бы в нем) сказано, что к специальным относятся информационные системы, в которых необходимо обеспечивать хотя бы еще одну безопасность кроме конфиденциальности. То есть целостность, например, или защиту от уничтожения... Обеспечение доступности никак к безопасности не относится.


Чуть подправлю, согласно определению Информационная безопасность состоит из 3-х основных качественных характеристик = Конфиденциальность, Целостность, ДОСТУПНОСТЬ. + 2-е дополнительные качественные характеристики = учёт, неотрекамость/аппелируемость.

ДОСТУПНОСТЬ напрямую относится к информационной безопасности - это основная качественная характеристика безопасности информации.
Страницы: Пред. 1 2 3
Ответить
Читают тему (гостей: 4, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку