Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

В России хотят создать мегарегулятора информационной безопасности, взяв пример с США

18/11/2017

В рамках реализации программы «Цифровая экономика» предлагается определить единый госорган, ответственный за требования к средствам информационной безопасности.

Реклама

Партнеры

Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1
RSS
Акт классификации
Уважаемые коллеги! Подскажите такой вопрос. Руководство поставило задачу провести классификацию ИСПДн Компании и документально оформить результаты в акте классификации ИСПДн.
Как я понял, раньше этот вопрос описывался в ПП-781 и в Приказе от 13 февраля 2008 г. N 55/86/20 "Об утверждении порядка проведения классификации информационных систем персональных данных".
Сейчас же действует ПП-1119, в котором говорится про классификацию данных, а не самой ИСПДн.
ПП-781 и Приказ о котором я написал выше утратили силу с выходом ПП-1119.
Собственно вопрос. Как сейчас проводить классификацию ИСПДн. По старому приказу и по старым критериям или как?
Александр, выполнять требования отмененных документов вряд ли нужно ;)

В Постановлении 1119 вводтся не классы ИСПДн, а УРОВНИ ЗАЩИЩЕННОСТИ персональных данных. Соответственно вы должны установить уровень защищенности обрабатываемых у вас перс. данных и оформить все это Актом установления уровней защищенности.
Цитата
AlexG пишет:
Александр, выполнять требования отмененных документов вряд ли нужно ;)

В Постановлении 1119 вводтся не классы ИСПДн, а УРОВНИ ЗАЩИЩЕННОСТИ персональных данных. Соответственно вы должны установить уровень защищенности обрабатываемых у вас перс. данных и оформить все это Актом установления уровней защищенности.
А как его установить если методики определяющие уровни еще не разработаны?
А по уровням никаких методик не будет. Все есть в 1119ПП: определяете тип актуальных угроз (вот по угрозам методика должна появиться, а пока пользуемся действующей), количество ПДн и их тип и устанавливаете соответствующий УЗ
Цитата
Сергей С. пишет:
А по уровням никаких методик не будет. Все есть в 1119ПП: определяете тип актуальных угроз (вот по угрозам методика должна появиться, а пока пользуемся действующей), количество ПДн и их тип и устанавливаете соответствующий УЗ
Нет ну подождите вот к примеру 1 тип НДВ как я определю есть ндв у меня в ос или нет? по тому только признаку что она сертифицирована дак тогда никаких денег нехватит сертифицироваться, а угрозы безопасности по старой методе которая еще на основе 781 утверждалась?
Если ОС (любой софт) не проверялась=сертифицировалась на наличие НДВ, то исходим из того, что угрозы НДВ есть, а вот актуальны ли они - большой вопрос.
А как получить Уровень защищенности если у меня неавтоматизированная обработка? :D
Цитата
Гость пишет:
А как получить Уровень защищенности если у меня неавтоматизированная обработка?
Правильный вопрос не как, а зачем?
Цитата
Гость пишет:
А как получить Уровень защищенности если у меня неавтоматизированная обработка?
Постановление 1119 касается только ИСПДн. Для неавтоматизированной обработки УЗ не определяются.
Страницы: 1
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)