Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Особенности аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции (работ, услуг), поставляемой по гособоронзаказу.

12/08/2019 

08 мая 2019 г. утверждены новые Правила аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции работ, услуг), поставляемой по государственному оборонному заказу (постановление Правительства Российской Федерации от 30 апреля 2019 г. № 548).

Новые Правила аккредитации кардинально меняют сложившуюся систему не только аккредитации, но и сертификации СМК предприятий, работающих в области государственного оборонного заказа.

Реклама





Партнеры





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1 2 3 4 5 ... 15 След.
Ответить
RSS
СТО БР ИББС, Вопросы для тех кто руководствуется отраслевыми стандартами в защите
Вопрос: Мне нужно определить в документах подход к отнесению АБС к ИСПДн, куда его засунуть, Можно ли в ПОЛОЖЕНИЕ по защите ПДн? как то не канает... опять же нужно описать порядок проведения классификации и критерии классификации, ну это можно в классификации описать в принципе!
Николай, у меня в политике ИБ
Спасибо!Если засовывать в политику то ее придется всю менять!( это конечно будет, но надеюсь что не сейчас
Можете в Порядке классификации, тоже к месту.
Спасибо, пишу Порядок классификации, вопрос такой, категории в банке немного другие:
•персональные данные, отнесенные в соответствии с Федеральным законом “О персональных данных” к специальным категориям персональных данных;
•персональные данные, отнесенные в соответствии с Федеральным законом “О персональных данных” к биометрическим персональным данным;
•персональные данные, которые не могут быть отнесены к специальным категориям персональных данных, к биометрическим персональным данным, к общедоступным или обезличенным персональным данным;
•персональные данные, отнесенные в соответствии с Федеральным законом “О персональных данных” к общедоступным или обезличенным персональным данным.

в документе я могу указать эти категории, то что все ИСПДн относятся к специальным, и сами классы испдн.
1. Классификация в кредитной организации не проводится с объемом обрабатываемых персональных данных? (ну или может не проводиться)
2. Нужно ли рассматривать пункты 9,10,11,12,13 В Приказе 3-х при проведении классификации и составления порядка проведения классификации у себя?
3. Таким образом, в сто не определенного порядка и я классифицировать могу сам как хочу, и должен выполнить только требования сто, или же я должен просто переделать порядок классификации ФСБ ФСТЭК... просто поменяв категории в нем и определенно сказав что ИСПДн специальная, а все остальные требования выполнить?
Таким образом по сути вопрос то получился такой - я должен определить критерии классификации ИСПДн,это обязательное требование, какие они должны быть?
РС БР СТО-2.3
5.2. В соответствии с действующим стандартом СТО БР ИББС-1.0 все ИСПДн организаций БС РФ относятся к специальным. ИСПДн организации БС РФ классифицируются на основе категорий обрабатываемых в ИСПДн персональных данных. Выделяются следующие основные классы ИСПДн:
ИСПДн обработки специальных категорий персональных данных (далее – ИСПДн-С);
ИСПДн обработки биометрических персональных данных (далее – ИСПДн-Б);
ИСПДн обработки персональных данных, которые не могут быть отнесены к специальным категориям персональных данных, к биометрическим персональным данным, к общедоступным или обезличенным (далее – ИСПДн-И);
ИСПДн обработки общедоступных и (или) обезличенных персональных данных (далее – ИСПДн-Д).

Критерий - категория ПДн. Стандарты с регуляторами согласованы. Хотя в свете изменений 152 все поплывет.
Изменено: Сергей С. - 19.08.2011 08:42:35
Но ИСПДн так же ведь присваиваются классы ?
• класс 1 (К1) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных;
• класс 2 (К2) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;
• класс 3 (К3) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;
• класс 4 (К4) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных.
Этого ведь не сказано в СТО
Если вы приняли решение о введении СТО, то и классифицируйте по СТО, если нет - по документам регуляторов.
Цитата
Николай пишет:
Все понял спасибо! Что то плохо почитал РС БР ИББС-2.3-2010
А разве СТО требует защиту только ПДн?
СТО требует защиту всех информационных активов, в том числе и ПДн.
Цитата
Сергей С. пишет:
Если вы приняли решение о введении СТО, то и классифицируйте по СТО, если нет - по документам регуляторов.
совет замечательный!

Вы уже пробовали заполнить (отправить) уведомление в РКН с классами ИСПДн-х?
и куда Вас послали?
Пробовал и отправил, не только уведомление но и Подтверждение соответствия. И классификация: Специальная ИСПДн-И. Вопросов не возникло.
Изменено: Сергей С. - 19.08.2011 10:34:27
Цитата
Сергей С. пишет:
Пробовал и отправил, не только уведомление но и Подтверждение соответствия. И классификация: Специальная ИСПДн-И. Вопросов не возникло.

номер в реестре операторов не подскажете?
можно в личную почту.
Подтверждение соответствия отправляется в ЦБ.
А как отправить уведомление если мы там уже имеемся но к стандартам то только недавно присоеденились.
А ЦБ направляет копии подтвеждения в РКН, ФСТЭК и ФСБ. Хотя наша местная ФСБ запросила подтверждение напрямую.
Николай, на сайте РКН есть рыба: Информационное письмо о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных. Заполняйте и укажите, что классификация проведена по СТО, присвоен класс такой-то.
Нашел, точно, думаете стоит вносить изменения сейчас или все же подождать подзаконников ведь СТО тоже изменится?, может и там уровни защищенности появятся!)
Я бы подождал. Сейчас будет формироваться план проверок на 12 год, лучше не свтиться лишний раз.
Вопрос такой, составляю документ - Положение по обработке и защите персональных данных, в нем я должен указать - Для каждой ИСПДн цель обработки, Испдн у меня одна и я пишу что перечень персональных данных ИСПДн "такой то", целью которых является ... в приложении N. У меня одна ИСПДн, но есть еще персональные данные которые обрабатываются в АБС реализующие банковские платежные технологические процессы.
я должен в этом же положении для каждой цели обработки перональных данных указать объем и содержание персональных данных.
Соответственно пишу второй подпункт, перечисляю цель оставшуюся и говорю что перечень такой - то, таким образом положение охватит все цели обработки персональных данных, а так же весь объем обрабатываемых персональных данных, где пользователи смогут ознакомиться с таким положением, которые имеют доступ к ним!
Страницы: 1 2 3 4 5 ... 15 След.
Ответить
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку