Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Минюст обязал банки проводить пентесты и аудит кибербезопасности

13/08/2018

Банки обяжут соблюдать новые меры кибербезопасности, среди которых обязательными являются аудит информационной безопасности, различные тестирования на проникновение (пентесты), обязательная сертификация использованного программного обеспечения.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1
RSS
Акт классификации
Уважаемые коллеги! Подскажите такой вопрос. Руководство поставило задачу провести классификацию ИСПДн Компании и документально оформить результаты в акте классификации ИСПДн.
Как я понял, раньше этот вопрос описывался в ПП-781 и в Приказе от 13 февраля 2008 г. N 55/86/20 "Об утверждении порядка проведения классификации информационных систем персональных данных".
Сейчас же действует ПП-1119, в котором говорится про классификацию данных, а не самой ИСПДн.
ПП-781 и Приказ о котором я написал выше утратили силу с выходом ПП-1119.
Собственно вопрос. Как сейчас проводить классификацию ИСПДн. По старому приказу и по старым критериям или как?
Александр, выполнять требования отмененных документов вряд ли нужно ;)

В Постановлении 1119 вводтся не классы ИСПДн, а УРОВНИ ЗАЩИЩЕННОСТИ персональных данных. Соответственно вы должны установить уровень защищенности обрабатываемых у вас перс. данных и оформить все это Актом установления уровней защищенности.
Цитата
AlexG пишет:
Александр, выполнять требования отмененных документов вряд ли нужно ;)

В Постановлении 1119 вводтся не классы ИСПДн, а УРОВНИ ЗАЩИЩЕННОСТИ персональных данных. Соответственно вы должны установить уровень защищенности обрабатываемых у вас перс. данных и оформить все это Актом установления уровней защищенности.
А как его установить если методики определяющие уровни еще не разработаны?
А по уровням никаких методик не будет. Все есть в 1119ПП: определяете тип актуальных угроз (вот по угрозам методика должна появиться, а пока пользуемся действующей), количество ПДн и их тип и устанавливаете соответствующий УЗ
Цитата
Сергей С. пишет:
А по уровням никаких методик не будет. Все есть в 1119ПП: определяете тип актуальных угроз (вот по угрозам методика должна появиться, а пока пользуемся действующей), количество ПДн и их тип и устанавливаете соответствующий УЗ
Нет ну подождите вот к примеру 1 тип НДВ как я определю есть ндв у меня в ос или нет? по тому только признаку что она сертифицирована дак тогда никаких денег нехватит сертифицироваться, а угрозы безопасности по старой методе которая еще на основе 781 утверждалась?
Если ОС (любой софт) не проверялась=сертифицировалась на наличие НДВ, то исходим из того, что угрозы НДВ есть, а вот актуальны ли они - большой вопрос.
А как получить Уровень защищенности если у меня неавтоматизированная обработка? :D
Цитата
Гость пишет:
А как получить Уровень защищенности если у меня неавтоматизированная обработка?
Правильный вопрос не как, а зачем?
Цитата
Гость пишет:
А как получить Уровень защищенности если у меня неавтоматизированная обработка?
Постановление 1119 касается только ИСПДн. Для неавтоматизированной обработки УЗ не определяются.
Страницы: 1
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)