Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

В России хотят создать мегарегулятора информационной безопасности, взяв пример с США

18/11/2017

В рамках реализации программы «Цифровая экономика» предлагается определить единый госорган, ответственный за требования к средствам информационной безопасности.

Реклама

Партнеры

Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1
RSS
Обязательна ли сертификация
Здравствуйте! Возникла пара вопросов, на которые затрудняюсь найти ответ...
1. Обязательна ли сертификация (аттестация) в качестве оценки соответствия ИСПДн 1,2,3 классов требованиям к безопасности персональных данных ?
2. К какому классу отнести перс. данные содержащие: ФИО, паспортные данные, дом. адрес, инн, банковские реквизиты в их совокупности? (получены для исп. договора)

Спасибо!
Пардон, возможно, тему следовало бы разместить на "Лицензирование при обработке персональных данных"
Хотелось дополнить. Мы - обычная такая комм. организация, а потому вообще нужно ли нам что-нибудь аттестовывать, получать лицензию?
Елена, оценка соответствия необходима для средств защиты информации, которые вы используете. Аттестация ИСПДн не обязательна. Лицензия по ТЗКИ нужна однозначно, только если вы оказываете услуги по защите информации. Обычная такая комм. организация обычно обрабатывает "иные" категории ПДн (не специальные, не биометрические - те что вы указали), категории субъектов - работники и клиенты (контрагенты). Далее определяйтесь с типом актуальных угроз (если НДВ для вас не актуальны(а это скорее всего так), то третий тип угроз. После устанавливайте уровень защищенности по 1119ПП и реализуйте защитные меры.
Сергей С., Спасибо!
Через 3 тип угроз пришла к 4б уровню защищенности.
Получается, если свод ПДн (ФИО, паспортные данные, дом. адрес, инн, банковские реквизиты) мы отнесли по Приказу №55 к категории 3, а по нпд к категории 1 (т.к. договоры заключены с физ., юр. лицами из разных регионов страны, менее 1000), то это класс К2, верно?
Елена, классов больше нет, уровни защищенности.
Сергей С., а как же п. 15 Приказа от 13 февраля 2008 года "ПОРЯДОК
ПРОВЕДЕНИЯ КЛАССИФИКАЦИИ ИНФОРМАЦИОННЫХ СИСТЕМ
ПЕРСОНАЛЬНЫХ ДАННЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ"?
Читайте заголовок приказа:
В соответствии с пунктом 6 Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденного Постановлением Правительства Российской Федерации от 17 ноября 2007 г . N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" (Собрание законодательства Российской Федерации, 2007, N 48, часть II, ст. 6001), приказываем:
Так вот это постановление (а соответственно и приказ) утратило силу с выходом 1119ПП , по нему и действуем: устанавливаем уровень защищенности, а после выхода приказа ФСТЭК (ждем со дня на день) реализуем защитные меры.
Сергей С., т.е. приведенной таблицей не придется никогда руководствоваться. Подскажите, пожалуйста, правильно ли думаю, что новый приказ отправит в прошлое Приказы №55 и 58?

Вы меня просветили, спасибо!
Цитата
Елена пишет:
новый приказ отправит в прошлое Приказы №55 и 58?
Ну не совсем. В преамбуле проекта приказа ФСТЭК написано, что он распространяется на вновь создаваемые или модернизируемые ИСПДн, для тех, у кого уже все сделано "по-старому", они продолжают действовать.
Цитата
Сергей С. пишет:
Ну не совсем. В преамбуле проекта приказа ФСТЭК написано, что он распространяется на вновь создаваемые или модернизируемые ИСПДн, для тех, у кого уже все сделано "по-старому", они продолжают действовать.
Т.е. на вновь создаваемые (в моем случае) положения 55 и 58 распространяться не будут?
Вам все по новым НПА.
Подскажите пожалуйста, согласно проекту нового приказа ФСТЭК (который готовится к выходу в связи с ПП1119) он будет действовать для вновь создаваемых ИСПДн или модернизируемых. Что это значит? Что такое вновь создаваемые или модернизируемые? Организация в которой я работаю провела только часть мероприятий по защите ПДн по "старым" нпа. Все переделывать? Заранее спасибо!
Андрей, если ваша система защиты ПДн введена в эксплуатацю (по вашим внутренним документам) ДО принятия новых НПА, то она должна соответствовать "старым" требованиям. Если она модернизируется (переделывается, дополняется, и т.п., т.е. в нее вносятся документально оформленные изменения), либо если вы вводите в эксплуатацию новую СЗПДн ПОСЛЕ принятия новых НПА, ваша система должна соответствовать этим самым новым документам.
AlexG, Спасибо за разъяснения!
Не согласен с мнением Alexа. Читаем информационное письмо ФСТЭК от 20 ноября 2012 г. № 240/24/4669. Там сказано, цитирую "Предполагается, что нормативный правовой акт ФСТЭК России, устанавливающий состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, будет применяться к информационным системам персональных данных, для которых решение о создании системы защиты информации будет принято после вступления в силу указанного нормативного правового акта." Т.е. если вы начали работы по старым НПА и впроцессе их осуществления вышло ПП№1119, вы имеете право продолжать свои работы по старым требованиям.
Цитата
Михаил пишет:
Не согласен с мнением Alexа. Читаем информационное письмо ФСТЭК от 20 ноября 2012 г. № 240/24/4669. Там сказано, цитирую "Предполагается, что нормативный правовой акт ФСТЭК России, устанавливающий состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, будет применяться к информационным системам персональных данных, для которых решение о создании системы защиты информации будет принято после вступления в силу указанного нормативного правового акта." Т.е. если вы начали работы по старым НПА и впроцессе их осуществления вышло ПП№1119, вы имеете право продолжать свои работы по старым требованиям.
Я согласен с мнением Михаила, но когда к Вам придет проверка, а Ваша система защищена по старым НПА, какими НПА будет пользоваться данная проверка. Если решение было принято до вступления в силу ПП№1119, и вы успели сделать часть документов, но не успели внедрить средства защиты, то советую провести корректировку данных документов. Если же система внедрена и функционирует, провести оценку эффективности мер.
Страницы: 1
Читают тему (гостей: 3, пользователей: 0, из них скрытых: 0)