Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Особенности аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции (работ, услуг), поставляемой по гособоронзаказу.

12/08/2019 

08 мая 2019 г. утверждены новые Правила аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции работ, услуг), поставляемой по государственному оборонному заказу (постановление Правительства Российской Федерации от 30 апреля 2019 г. № 548).

Новые Правила аккредитации кардинально меняют сложившуюся систему не только аккредитации, но и сертификации СМК предприятий, работающих в области государственного оборонного заказа.

Реклама





Партнеры





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: Пред. 1 ... 10 11 12 13 14 15 След.
RSS
[ Закрыто ] СТО БР ИББС, Вопросы для тех кто руководствуется отраслевыми стандартами в защите
Дорогие друзья.
Дошло дело дл "Мониторинга и контроля защитных мер" (Групповой показатель М21) СТО.
Толи я устал уже доки клепать, толи уже в отпуск пора - не могу понять что - здесь и к чему, может кто нибудь подольет керосинчику в огонь?)
Добрый день, вопрос: Как оформить ввод в эксплуатацию новой ИСПДн, если мы купили только лицензии(не полностью программный продукт, как и основная масса организаций). Бухгалтерия не разрешает вводить в эксплуатацию стандартным способом, т.к. ИСПДн не поставлено на баланс, то и ввести в эксплуатацию НЕЛЬЗЯ. Может кто подскажет существуют ли "акты ввода в действие"или что-то подобное?
Может так подойдет:
1. Можно сделать ТЗ на ИСПДн
2. Описать технологический процесс обработки информации
3. Можно написать Тех паспорт ИСПДн.
4. Всякие инструкции пользователи и админа и т.п.
5. Приказ о вводе в эксплуатацию ИСПДн, в котором сослаться на вышеперечисленные доки.
Спасибо, что-то подобное сделаю)))
Скажите пожалуйста, могт ли меня заставить регистрировать личные flash носители в журнале???
Ведь по всей логике политики ИБ - съемные носители выносить нельзя, на которых хранится защищаемая информация - а здесь личный ("домашний носитель"), это МОЕ!хочу выношу хочу нет.
А это зависит от политики вашей организации, однозначно могут запретить использовать личные съемные носители, как организационно, так и технически. А так могут разрешить использовать для работы хоть личные ноутбуки, хоть айпэды, хоть флэшки, и если порядок их использования предполагает регистрацию, то уж извините.
Есть у кого-нибудь рыба документа, устанавливающего правила приобретения, разработки и обслуживания (сопровождения) программного обеспечения, используемого в деятельности Организации, а также обслуживание технических средств?
makolian@yandex.ru
Спасибо!
Цитата
Николай пишет:
правила приобретения, разработки и обслуживания (сопровождения) программного обеспечения
обслуживание технических средств?
Все в политике ИБ, буквально пара строк:
Обслуживание ПО и ТС в соответствии с техдокументацией.
Приобретение и разработка под контролем (при участии) службы (лица) ИБ.
Может ближе к Политике управления изменениями (что-то похожее было на Bankir)
Изменено: Николай - 18.07.2012 05:35:59
Цитата
Николай пишет:
ближе к Политике управления изменениями
Ну текущее обслуживание ПО и ТС к изменениям мало подходит, а можно и там и там.
Вопрос к в тему:Тупые вопросы
Ну там бардак и поэтому пишу здесь.

Звонят мне и говорят - можно я пароль по почте отправлю - нет конечно.

А потом задумался - с юридической стороны (не берем во внимание ознакомление работников с внутренними документами) - информация бывает:
1. Общедоступная
2. Ограниченного доступа

Пароль к общедоступной информации не относится => это информация ограниченного доступа - значит я должен отнести ее к коммерческой тайне чтоли?)))

С ГОСТа
защищаемая информация: Информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации
Вроде подходит но к ФЗ- об информации инф.техн и ЗИ не особо

В общем то прошу разъяснений на эту тему...
Спасибо!
Пароль, это не совсем информация, а способ/метод защиты иной информации, которая как раз подпадает под ФЗ. И использование этого способа защиты от НСД предполагает сохранение этого пароля в тайне.
Рассуждения по поводу того, когда выйдет новый СТО БР ИББС Здесь
Написал заметку по поводу ПДн:
http://stobribbs.blogspot.com/2012/07/blog-post.html
Жду комментов :)
Спасибо, уважаемые коллеги.
Николай, что-то не то с блогом.
Всмысле не оставить коммент, или нечитаемо?
Скопирую все сюда:
Всем привет - скоро ухожу в отпуск - после него будет немного времени и проверка РКН. Мы внедряем стандарты ЦБ (БР ИББС) но думаю проверять будут на общих основаниях.

Многие выкидывают перечень разработанных документов для защиты ПДн - и получается список у кого аж из 100 документов, вот и я решил посмотреть что у нас есть - и возможно получить от ВАС комментарии - рекомендации к доработке!

Итак - сначала определили информационные активы:
1. План реализации требований СТО БР ИББС, в котором ПДн заняли лишь малую часть.
2. Положение по обработке и защите ПДн - там перечень (состав) ПДн, основные требования, принципы и условия обработки Пдн, Типовая форма согласия,Перечень должностей, имеющих непосредственный доступ к ПДн, форма листка о прохождении ознакомления с данным положением.
3. Приказ о проведении ознакомления с вышеупомянутым положением.
4. Регламент обработки запросов субъектов ПДн и(или) РКН.
5. Приказ о назначении ответственных лиц за проведение работ по ответам на запросы.
6. Приказ о вводе в действие отраслевой частной МУ
7. Параллельно 6-му документу проведена оценка рисков мо методике ЦБ (это что то типа Методики определения актуальных угроз ФСТЭК)
8. Сделан документ - перечень АБС, в которых обрабатываются ПДн(из этих АБС выделены ИСПДн - кто не знает в СТО - АБС реализующие банковские платежные технологические процессы не относятся к ИСПДн)
9. Делаем Порядок проведения классификации и Составляем Приказ о комиссии и акт классификации ИСПДн (она у нас одна - остальные АБС реализующие БПТБ)
10. После вышеперечисленных действий создал отдельный План приведения Банка в соответствие требованиям ФЗ-152, где назначал ответственных структурные подразделения - для того чтобы они привели документы в порядок (типовые формы и т.п.), почитали доки и при необходимости нашли ошибки, результат - отправили Изменения в уведомление, самооценка ИБ Ит.д.
11. Согласно плану (10 пункт) созданы:
11.1. Приказ о назначении ответственного за организацию обработки Пдн
11.2. Инструкция Администратора ИСПДн
11.3. Инструкция пользователя ИСПДн
11.4. Описание технологического процесса (в котором описаны и СЗИ и остальные правила)
11.1;11.2;11.3 ссылаются друг на друга - а также ссылается на Положение по использованию антивирусной защиты, разработанной на основании требований СТО и 1 плана,Положение по организации парольной защиты, включает права и обязанности пользователей и администратора.
11.5. Инструкция по организации учета хранения, ипользования и уничтожения материальных носителей информации

Отдельно:
Положение по обработке персональных данных работников (согласно требованиям ТК РФ)

+ сделано положение по обучению и повышению осведомленности в области ИБ - программа обучения (включающая информацию о ПДн) - Журнал подтверждает обучение(прохождение теста) + ознакомление с внутренними НПА в области ИБ.

Сделана Политика обнаружения и реагирования на инциденты ИБ - если Хоть в ПДн хоть в БТ или КТ - инцидент - регистрация его в журнале - классификация и разбирательство в зависимости от класса.

Добавлены на сайт - политика в отношении обработки ПДн

+ еще некоторые мелочи

Мне кажется недостает документов по контролю состояния обработки ПДн - Конечно есть Положение по мониторингу и контролю защитных мер, но оно охватывает защитные меры АБС не являющихся ИСПДн
(Не делал ТЗ... т.к. обязательным не является)

Что то я может не озвучал - т.к. писал сходу - задавайте вопросы - комментируйте,критикуйте(только не порядок действий))) ), вместе разберемся, может чем-либо обменяемся.
Изменено: Николай - 30.07.2012 13:19:21
Не увидел или пропустил документа определяющего места хранения информации. Больше на первый взгляд замечаний по составу документов быть не должно.
Павильно ли у тебя организован документооборот и выполняются ли инструкции? Соответсвует ли уведомление в РосКомНадзор настоящему положению дел. И самое главное - выполняются ли все требования указанные в твоих документах.
Ну и конечно подготовь ответы, ос ссылками на статьи ФЗ разрещающее тебе обрабатывать ПДн без согласия субъекта.
Вроде все написал, надеюсь помог.
Цитата
Александр ??? пишет:
Не увидел или пропустил документа определяющего места хранения информации.

Инструкция по организации учета хранения, ипользования и уничтожения материальных носителей информации:
Но в ней в общих словах - типа в местах исключающих доступ 3-х лиц, искл. хищение итд
РКН будет проверять невзирая на СТО по своему. Судя по практике проверок, РКН уделяет большое внимание неавтоматизированной обработке, посему в списке/перечне должностей (или отдельно) выделить тех, кто осуществляет обработку на бумаге, и обязательно ознакромить их с этим фактом :) , ну и согласен с Александром - приказом "назначить" места хранения, чуть ли не инвентарные номера шкафов/сейфов по каждому подразделению. Еще раз посмотрите согласия (нет ли избыточных), бумажные формы с ПДн (те же кредитники могут сведения о судимости воткнуть в какой - нибудь анкете), сразу готовьте обоснование для обработки ПДн родственников (выгодоприобретатели, ТКРФ - Т2)
Страницы: Пред. 1 ... 10 11 12 13 14 15 След.
Читают тему (гостей: 2, пользователей: 0, из них скрытых: 0)