Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Особенности аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции (работ, услуг), поставляемой по гособоронзаказу.

12/08/2019 

08 мая 2019 г. утверждены новые Правила аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции работ, услуг), поставляемой по государственному оборонному заказу (постановление Правительства Российской Федерации от 30 апреля 2019 г. № 548).

Новые Правила аккредитации кардинально меняют сложившуюся систему не только аккредитации, но и сертификации СМК предприятий, работающих в области государственного оборонного заказа.

Реклама





Партнеры





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: Пред. 1 ... 11 12 13 14 15 След.
Ответить
RSS
СТО БР ИББС, Вопросы для тех кто руководствуется отраслевыми стандартами в защите
Сергей С., Мое мнение (и мнение руководства) - работники имеющие непосредственный доступ к ПДн могут обрабатывать их автоматизированным и неавтоматизированным способом, перечень должностей есть, отдельно выделять из них - их же не вижу особого смысла, по местам хранения - приказ - исходя из 13 Пункта пп687? - разве нельзя обойтись без него...
Цитата
по местам хранения - приказ - исходя из 13 Пункта пп687? - разве нельзя обойтись без него...
Николай, а вы уверены что РКН придет один? По моим сведеньям прокуратура четко следит за наличием данного приказа.
Я думаю вы понимаете что все зависит от проверяющего и уровня каффе за углом :)
Цитата
Николай пишет:
работники имеющие непосредственный доступ к ПДн могут обрабатывать их автоматизированным и неавтоматизированным способом
Это должно быть явно, не просто перечень лиц/должностей допущенных к "телу", а указать "как автоматизированной, так и неавтоматизированоой обработке". А по местам хранения - напишут, что не установлены, и доказывай потом, что в пункте 99.17 Положения о ПДн что-то там написано. Проверять будут в основном документы и отсутствие такого приказа лишний повод выйти в поле, а там могут еще чего накопать.
Роскомнадзор сам в своём положении указывает лишь перечень должностей и не расписывает пофамильно:
http://rsoc.ru/chamber-of-commerce/personal-data/p502/
Интересуют пункты требований СТО БР ИББС:
Определение (коррекция) в документах Банка процедуры периодического контроля всех реализованных программно-техническими средствами функций (требований) по обеспечению ИБ платежной (неплатежной) информации.

Определение (коррекция) процедуры восстановления всех реализованных программно-техническими средствами функций по обеспечению ИБ платежной (неплатежной) информации.
Э
то аж 4 частных показателя, которые уж сильно влияют на оценку группового, описывать что делать с каждой защитной мерой - и как ее восстанавливать? или можно отвертеться в общих словах?
P.S. Буду благодарен за текст)
Спасибо.
Ну не с каждой защитной мерой, а только программно-техническими. План контроля обеспечения ИБ: периодичность в соответствии с ЭД на СЗИ или установить самим (если в ЭД нет): контрольное суммирование и всякие сканеры, ревизоры, пентесты. По восстановлению: порядок резервного копирования и хранения дистрибутивов, восстановление (сроки и ответственных)можно отразить в Плане ОНВД.
Сергей С.,понял вас, однако вопрос конкретнее - у меня есть положение о мониторинге и контроле защитных мер вцелом(не содержит полного объема пока, но уже действующая 1-я редакция) - в нем можно сделать пункт - Процедура контроля и восстановления реализованных программно-техническими средствами функций... и в общих словах написать что "изредка" контролировать "ВСЕ" и записывать результаты в журнал - восстановление как вы сказали
Либо второй вариант - контролировать конркретно такие защитные программно-технические функции так - конкретно такие так, такие так и перечень "таких" должен составлять все реализованные П-Т ср-и функции ИБ?
Изменено: Николай - 07.08.2012 13:25:02
Сомневаюсь насчет конкретики, в случае изменения программ/железа придется переделывать. В положении описать все вообщем, так сказать методику, подход (в соответствии с ЭД, требованиями НД, планом контроля и т.п.). Конкретику, например, в годовом плане контроля, который и утверждать можно на более низком уровне (председатель комиссии по ИБ).
Здравствуйте - подскажите - Банку нужно брать согласия с клиентов, которые пользуются услугами western union? (и при переводах денежных средств в иностранные банки осуществляется ли там передача ПДн - или происходит просто поступление денежных средств на счет?)
Вопрос!
Для того, чтобы организации БС РФ доказать достижение ею высокого уровня ИБ, согласно стандартов ЦБ (БР ИББС) нужно провести внешний аудит.
Кто проводит внешний аудит согласно стандартам СТО БР ИББС? (сколько примерно это стоит)
Что выдают по завершению аудита?
Цитата
Николай пишет:
Для того, чтобы организации БС РФ доказать достижение ею высокого уровня ИБ, согласно стандартов ЦБ (БР ИББС) нужно провести внешний аудит.
Или самооценку, обязательного требования по внешнему аудиту нет.
Цитата
Николай пишет:
Кто проводит внешний аудит согласно стандартам СТО БР ИББС? (сколько примерно это стоит)
Лучше заказать аудит у членов ABISS, конкретные фирмы на сайте. Стоит дорого - в зависимости от размера банка (объема аудита), наличия филиалов, оперо, пунктов и т.п. (порядка 300 тыр. для маленького регионального банка с 1 филиалом).
Выдают все по СТО БР 1.2
Цитата
Николай пишет:
Вопрос!

Для того, чтобы организации БС РФ доказать достижение ею высокого уровня ИБ, согласно стандартов ЦБ (БР ИББС) нужно провести внешний аудит.

Кто проводит внешний аудит согласно стандартам СТО БР ИББС? (сколько примерно это стоит)

Что выдают по завершению аудита?

Специалисты говорят, что в стандарте СТО БР ИББС нет жесткого требования по выбору внешнего аудитора. Руководства Банка само делает выбор, какую фирму привлекать. В пользу говорят узнаваемость, репутация наличие лицензии по ТЗКИ. Еще учитывается наличие сертифицированных аудиторов в системе ABBIS и членство в этой организации.
По стоимости порядка 500 тысяч рублей и выше, зависит от многих факторов.
По завершению выдают 1.Отчет (объемный документ)2.Заключение 3.Шаблоны ЦБ (не точно). По желанию Сертификат.
Евгений, согласен что нет жесткого требования к выбору внешнего, конкретного аудитора.

Сергей С., вы утверждаете что нет требования к проведению внешнего аудита - тоесть либо внешний аудит, либо например самооценка.
Тогда как поднять уровень самоценки ИБ до рекоммендуемого, если групповой показатель - Аудит (М23) будет равен - 0. Есть только 1 выход, ИМХО - определить этот показатель неоцениваемым, он не будет влиять на результат самооценки, однако... можно ли так сделать? и нужно ли?
Если частный показатель предназначен для оценки требований, которые не относятся к деятельности организации или на момент оценки не являются актуальными для организации, что документально зафиксировано во внутренних документах организации, то данный частный показатель определяется как неоцениваемый (должна быть заполнена графа "н/о" - нет оценки) и не учитывается в формировании дальнейших результатов оценки. При этом необходимо выполнить процедуру нормировки коэффициентов значимости оставшихся частных показателей ИБ в рамках группового показателя.
Если в рамках группового показателя все входящие в него частные показатели определены как неоцениваемые, указанный групповой показатель также определяется как неоцениваемый и не учитывается в формировании дальнейших результатов оценки. В этом случае групповой показатель не учитывается в формулах расчета для EV (см. разделы 7, 8, 9) с соответствующей корректировкой в формулах расчета количества оцениваемых групповых показателей.
Цитата
Сергей С. пишет:
е относятся к деятельности организации или на момент оценки не являются актуальными для организации, что документально зафиксировано во внутренних документах организации
Тоесть любой банк может отказаться от внешнего аудита ИБ, как объяснить такой отказ?
А у вас требуют объяснения? Скажите, что дорого, а это действительно так, а самооценку вы делаете не менее объективно, квалификация "оценщиков" высокая. Ну и не надо стремиться искуственно выйти на высокий уровень, ну будет, к примеру, 0.5, за это вас не расстреляют и лицензию не отзовут. Наметите план совершенствования ИБ, через три года очередная самооценка - 0.75 - прогресс :) и т.д.
Перечень организаций банковской системы Российской Федерации, направивших в Банк России уведомление о принятии решения о введении в действие Комплекса БР ИББС
http://www.cbr.ru/credit/gubzi_docs/
Если сведения точные - всего Банков около 1000 в России => половина внедряет СТО!
Цитата
Николай пишет:
Если сведения точные
Не точные, уже более года как приняли стандарт и документы в ЦБ отправлял, а в списке нет.
Нужен совет!
РКН требует:"План внутренних проверок состояния защиты ПДн" согласно ст.18.1 ФЗ-152
Я в Положение включил пункт: "проверки состояния защиты персональных данных, в том числе персональных данных, обрабатываемых в информационных системах персональных данных, не реже одного раза в год. Результаты заносятся в Журнал ..."
Что же в нем написать - мне приходит в голову - например для ИСПДн - сотрудники ознакомлены под роспись с инструкциями для работы в ИСПДн. СЗИ настроены согласно эксплуатационной докумментации. может что-то еще?) или поконкретнее о том что написал!)
По идее составляется план мероприятий по защите ПДн, который включает организационные, физические, технические и контролирующие мероприятия, сроки их выполнения и ответственное лицо.
А план внутр. проверок - это так сказать выдержка из Плана мероприятий, сюда вносятся только контролирующие мероприятия, сроки и ответственные.
Страницы: Пред. 1 ... 11 12 13 14 15 След.
Ответить
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку