Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Особенности аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции (работ, услуг), поставляемой по гособоронзаказу.

12/08/2019 

08 мая 2019 г. утверждены новые Правила аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции работ, услуг), поставляемой по государственному оборонному заказу (постановление Правительства Российской Федерации от 30 апреля 2019 г. № 548).

Новые Правила аккредитации кардинально меняют сложившуюся систему не только аккредитации, но и сертификации СМК предприятий, работающих в области государственного оборонного заказа.

Реклама





Партнеры





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: Пред. 1 ... 9 10 11 12 13 ... 15 След.
Ответить
RSS
СТО БР ИББС, Вопросы для тех кто руководствуется отраслевыми стандартами в защите
Фамилия, инициалы - максимум К4, но сам журнал я бы зарегестрировал в банке, а в договоре обязанность обеспечить его сохранность и ведение естественно. Так обеспечивается контроль порядка физического доступа - вы контролируете свой журнал.
Если к4 - то обезличенные, если обезличенные - как субъекта аутентифицировать - по пропуску - где ФИО место работы, фото (которое еще под биометрию типа попасть может, ну это другая тема), опять же можно проверить еще и паспорт! Значит ПДн обрабатываются может на бумаге и К4 но для идентификации субъекта ВИЗУАЛЬНО К3! Вот в чем дело....
Николай, не мешайте все в кучу. Ведение журнала - невтоматизированная обработка, просто учет кому когда выдан ключ. А вот основание выдачи - визуальная сверка фото в пропуске/паспорте с мордой лица - одна операция, поиск ФИО этой морды лица в списке допущенных к телу ключу - другая, и сильно заморачиваться по этому поводу ИМХО не стоит.
Я понимаю - то, что обработка без использования средств автоматизации знаю, и то, что категория в журнале к4, но вот на пропуске и при предъявлении паспорта к3, а следовательно, если сотрудник охраны получает(использует) ПДн визуально - он их обрабатвыет, и он является 3 лицом. Я конечно понимаю - но начитавшись, РКН способен думаю так предъявить!
Единственное - субъект сам предъявляет пропуск или паспорт => следовательно своей волей и в своем интересе!;)
Цитата
Николай пишет:
если сотрудник охраны получает(использует) ПДн визуально - он их обрабатвыет, и он является 3 лицом.
Цель обработки - идентификация человека. После достижения цели ПДн должны быть уничтожены. Предлагаю всем охранникам периодически делать лоботомию, или гильотина на худой конец :D
А вы не замечали у продавцов в магазине (и много еще где, причем бывает и с фото) бейджики: Фамилия, имя, должность и все мы эти ПДн визуально обрабатываем :o
Изменено: Сергей С. - 20.04.2012 12:41:53
Интересует вопрос - при организации защищенного канала, при передачи информации ограниченного доступа, не содержащих сведения составляющие государственную тайну используются СКЗИ...это анонс

При обработке инф.ограниченного доступа, кредитная организация должна обеспечивать конфиденциальность - т.е. использовать защищенный канал, грубо говоря использовать шифрование при передачи по сетям связи общего пользования.
Есть методические рекомендации ФСБ, в которых говорится:
7) Для обеспечения безопасности персональных данных при их обработке в
информационных системах должны использоваться сертифицированные в системе
сертификации ФСБ России (имеющие положительное заключение экспертной
организации о соответствии требованиям нормативных документов по безопасности
информации) криптосредства.
Однако эти рекомендации содержат ТРЕБОВАНИЯ только к ИСПДн.
Как известно в кредитных организациях АБС реализующие БплатежныйТП не относятся к ИСПДн.
Тоесть поидее можно использовать 3DES/AES
Однако по СТО БР ИББС:
7.7.2. Для обеспечения безопасности необходимо использовать СКЗИ, которые:
-сертифицированы уполномоченным государственным органом либо имеют разрешение
ФСБ России.
Тоесть, не обязательно иметь сертификат ФСБ и использовать ГОСТ 28147-89, можно использовать циску например, но получить на это разрешение ФСБ при обработке информации ограниченного доступа не входящей в ИСПДн?
Алексей Лукацкий выложил в своем блоге ссылки на проекты требований ЦБ по ИБ в НПС.
Документ почти 80 страниц.
Цитата
Николай пишет:
Интересует вопрос - при организации защищенного канала, при передачи информации ограниченного доступа, не содержащих сведения составляющие государственную тайну используются СКЗИ...это анонс

При обработке инф.ограниченного доступа, кредитная организация должна обеспечивать конфиденциальность - т.е. использовать защищенный канал, грубо говоря использовать шифрование при передачи по сетям связи общего пользования.
Есть методические рекомендации ФСБ, в которых говорится:
7) Для обеспечения безопасности персональных данных при их обработке в
информационных системах должны использоваться сертифицированные в системе
сертификации ФСБ России (имеющие положительное заключение экспертной
организации о соответствии требованиям нормативных документов по безопасности
информации) криптосредства.
Однако эти рекомендации содержат ТРЕБОВАНИЯ только к ИСПДн.
Как известно в кредитных организациях АБС реализующие БплатежныйТП не относятся к ИСПДн.
Тоесть поидее можно использовать 3DES/AES
Однако по СТО БР ИББС:
7.7.2. Для обеспечения безопасности необходимо использовать СКЗИ, которые:
-сертифицированы уполномоченным государственным органом либо имеют разрешение
ФСБ России.
Тоесть, не обязательно иметь сертификат ФСБ и использовать ГОСТ 28147-89, можно использовать циску например, но получить на это разрешение ФСБ при обработке информации ограниченного доступа не входящей в ИСПДн?
Кто что думает?
А что тут думать - получайте разрешение ФСБ и работайте.
Сергей С.
:)
Если честно, то не понятно, что они имеют в виду под разрешением. Возможно это разрешение на ввоз иностранной криптографии, по любому узнать можно только в ФСБ.
Вопрос в следующем. В СТО есть указание, что отдел ИБ и УИТ должны иметь разных кураторов, назначенных из числа руководства. Как быть в случае, если ОИБ и УИТ подчинены напрямую Председателю Правления Банка?
Цитата
knyaz пишет:
ОИБ и УИТ подчинены напрямую Председателю Правления Банка?
Подчиненность и кураторство - две больших разницы: ОИБ курирует один член правления (вице-президент, зам. председателя), УИТ - другой, главное оформить это приказом/решением.
Спасибо!
Изменено: knyaz - 31.05.2012 10:40:41
З.Ы. У меня куратор является одновременно председателем комиссии по ИБ. (комиссия постоянно действующая, есть положение о комиссии, где прописаны обязанности, права и полномочия - очень удобно, не надо к шефу бегать с текучкой типа акта уничтожения, председатель утвердил и все)
Возник ещё один вопрос с распределением ролей. Какие роли вообще согласно стандарту надо назначать сотрудникам отдела ИБ?

У меня пока получилось так:
  • Администратор ИБ ИС
  • Администратор ИБ ИСПДн
  • Администратор ИБ АБС
  • Администратор ИБ СКЗИ
  • Аналитик ИБ (оценка рисков)
Под ИС в данном случае я подразумеваю системы, не относящиеся к ИСПДн и системам осуществляющим банковские технологиеческие платёжные процессы(АБС)
knyaz, Вроде на выходе новый стандарт ЦБ по распределению ролей, вот-вот должен появиться, может стоит подождать?
Да вот сам не знаю. Потихонечку драть начинают. :(
Потихонечку не страшно :) Переключите внимание, например на требования по НПС.
Страницы: Пред. 1 ... 9 10 11 12 13 ... 15 След.
Ответить
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку