Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

SIEM ОТ MCAFEE УСПЕШНО ПРОШЛА СЕРТИФИКАЦИЮ ФСТЭК РОССИИ

01/04/2015

McAfee Security Information and Event Management (версия 9.3) успешно прошла сертификационные испытания, результатом которых стал сертификат соответствия №3353 (от 18 февраля 2015), выданный ФСТЭК России.

Реклама

Партнеры

Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: Пред. 1 2 3 4 След.
Ответить
RSS
Какие документы проверяет РКН при проверке?
ЧТо касается ПФО, то сейчас проходит проверка в одной крупой компании, РКН запросил такие документы:
-договора заключенные между оператором и субъектами ПДн,
-Приказ о создании комиссии по классификации ИСПДн,
-Акты классификации ИСПДн,
-Правила обработки ПДн ( в соответствии с п3. пп687),
-Должностные регламенты лиц ответственных за защиты ПДн,
-Утвержденный список лиц обрабатывающих ПДн,
-Приказ о назначении ответственных лиц по работе с ПДн,
-Документ с перечнем мер, необходимых для обеспечения условий соблюдения сохранности ПДн, и исключения несанкционированного доступа к ним,
-Приказ о назначении комиссии по уничтожению документов с ПДн,
-Акты об уничтожении ПДн,
-Журналы учета,
-Договора оператора с третьими лицами на обработку ПДн,
-копия шаблона содержания ПДн определенные оператором,
-скриншоты процедуры обработки ПДн в ИСПДн.

процедура проверки проходит таким способом, позвонили попрасили предоставить такие то документы, потом через пару дней попрасили предоставить еще документы, на днях должны явиться лично в организацию, что то смотреть, ну а как все начиналось, пришел начальник отдела по защите прав субъектов ПДн, по нашей области, собрал всех начальников отдела и прочитал лекцию о необходимости защиты ПДн и о ответственности :) :)
Вообщем, задала вопрос в другой теме - но потом вспомнила, что можно и тут опубликовать.
Будем рады, если сможем помочь, правда в каждом из регионов, как я поняла, есть свои фишки.
Итак,
учредительные доки
копия уведомления или справка о причинах непредоставления
положение об обработке
положение о подразделении, осуществляющем функции по организации защиты ПД (?) (у нас контора 2 буха+кадровик + 10 менеджеров без доступа в ИСПДн - хватит ли ответственного за организацию???)
должностные регламенты лиц, имеющих доступ и (или) осуществляющих обработку ПД;
план мероприятий по защите ПД
план внутренних проверок состояния защиты ПД
приказ о назначении ответсвенных лиц по работе с ПД
типовые формы документоы в ПД
журналы по однократному пропуску на территорию
договоры с субъектами персональных данных, лицензии на виды деятельности, а рамках которых осуществляется обработка ПД (??? таинственный пункт, который наверно все таки состоит из 2 пунктов)
договоры с 3-ми лицами, на основании которых этим третьим лицам поручается обработка ПД
выписка из ЕГРЮЛ
приказы об утверждении мест хранения материальных носителей персональных данных
письменное согласие на обработку ПД (типовая форма)
распечатки электронных шаблонов полей, содержащие ПД (???)
справки о постановке на балансовый учет ПЭВМ, на которых осуществляется обработка ПД (???)
заключение экспертизы ФСБ России, ФСТЭК России (проверяется только наличие данных документов) (??? у нас К3 - ничего ведь не надо?)
приказ о создании комиссии и акты проведения классификации ИСПДн (проверяется только наличие данных документов - значит, в суть смотреть не будут???)
журналы учета обращений субъектов ПД
акт об унитожении ПД (в случае достижения цели обработки)
документ, определяющий политику оператора в отношении обработки ПД, а также сведения об организации неограниченногго доступа к указанному документу (??? разместитть в офисе продаж в уголке потребителя и издать об этом приказ?
Где ??? - там есть вопросы. Буду рада, если поможете найти правильный ответ!
Эти доки у нас запросили, уведомление пришло за 10 календарных дней до проверки
Проанализировала три списка документов, требуемых РОСКОМНАДЗОРом при проверках (два из этой темы,представлены выше, один официальный вот отсюда:http://66.rsoc.ru/p7598/p7966/)
И выделила документы, которые фигурируют наиболее часто. Получилось примерно так:
•Уведомление об обработке ПДн;
•Локальные акты оператора (Положения об обработке ПДн);
•Письменное согласие субъектов на обработку их ПДн;
•Приказ о создании комиссии и акты проведения классификации ИСПДн;
•Документы, подтверждающие уничтожение оператором персональных данных субъектов персональных данных по достижении цели обработки (приказ, акты);
•Приказ о назначении сотрудников, ответственных за обработку персональных данных либо;
•Приказ о назначении сотрудников, имеющих доступ к ПДн;
•Обрабатываемые персональные данные: копия (распечатка) шаблона полей персональных данных, заверенная руководителем (доверенным лицом);
•Журнал обращений граждан;
•Типовые формы документов, предполагающие или допускающие содержание персональных данных;
•Договоры оператора, затрагивающие обработку ПДн;
•Должностные регламенты сотрудников, осуществляющих обработку ПДн;
•Приказ о хранении носителей персональных данных

В связи с этим возник вопрос - как закрепить перечень типовых документов, содержащих ПДн и не загнать себя при этом в ловушку типа "ПДн в документе есть, а перечнем он не предусмотрен...", ведь всех вариантов предусмотреть невозможно?
Подскажите следующее.
Вот, в посте выше написано, что РКН требует предоставление приказа о хранении материальных носителей.
Что имеется ввиду под "материальными носителями"?
Бо бумажным документам понятно. Нужен приказ, типа кадровые документы хранятся в сейфе в таком то месте.
А по электронным носителям? Особенно если внешние не используются, а только винты на РС и серверах?
Судя по статьям, к примеру в Википедии, жесткие диски, установленные в компьютерах - материальные носители информации, что в общем то верно. Так что под этим понимает РКН? Издать приказ, что жесткие диски хранятся в компах, где они установлены? Да еще и учет материальных носителей вроде как требуют. Как учитывать эти винты? Вскрывать системные блоки и переписывать серийники винтов? А потом учитывать, что такой то жесткий диск стоит на определенном компьютере?
Ваше мнение?
Если комп не опломбирован (гарантия или аттестован), то вскрывать, лепить наклейку на винт и учитывать в журнале. Если опломбирован, то наклейку на системник, а учитывать или винт (если в доках на комп есть его номер) или СБ целиком.
Цитата
Сергей С. пишет:
Если комп не опломбирован (гарантия или аттестован), то вскрывать, лепить наклейку на винт и учитывать в журнале.
А что мешает обойтись без наклеек и учитывать по серийнику?
Цитата
Сергей пишет:
Как учитывать эти винты? Вскрывать системные блоки и переписывать серийники винтов? А потом учитывать, что такой то жесткий диск стоит на определенном компьютере? Ваше мнение?
У нас эту сферу регулируют два приказа: один об опломбировании системников, другой о хранении материальных носителей (бумажных доков, дисков, флешек и съемных жестких).
Хотелось бы все-таки услышать мнение форумчан по поводу перечня типовых документов:)
Изменено: Ирина - 01.12.2011 13:10:47
Цитата
Ирина пишет:
В связи с этим возник вопрос - как закрепить перечень типовых документов, содержащих ПДн и не загнать себя при этом в ловушку типа "ПДн в документе есть, а перечнем он не предусмотрен...", ведь всех вариантов предусмотреть невозможно?
Не написано же "исчерпывающий перечень". Обычно кидают трудовой договор, формы док-ов из личных дел, анкеты, Т-2, справки, договора с клиентами и т.д.
С какой целью Роскомнадзор требует должностные инструкции ответственных за обработку персональных данных и должностные инструкции лиц, обрабатывающих персональные данные?
Закон обязывает нас там что-то прописать?
Цитата
Saama пишет:
Закон обязывает нас там что-то прописать?
Закон, ст. 22.1: 4. Лицо, ответственное за организацию обработки персональных данных, в частности, обязано:
1) осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
2) доводить до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
3) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.
и 781ПП: 14. Лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании списка, утвержденного оператором или уполномоченным лицом.
Да, но при чем здесь:
а. должностные инструкции работников, обрабатывающих ПД
б. должностные инструкции ответственных лиц - эти обязанности, я, например, могу написать в приказе - иначе зачем тогда вообще приказ?
Цитата
Saama пишет:
а. должностные инструкции работников, обрабатывающих ПД
А как вы подтвердите правомочность допуска работников к обработке ПДн? Только ДИ, где написано, что он обработывает такие-то ПДн с такой-то целью, особо выделить, если обработка ПДн без использования средств автоматизации (687ПП).
Цитата
Saama пишет:
б. должностные инструкции ответственных лиц - эти обязанности, я, например, могу написать в приказе - иначе зачем тогда вообще приказ?
Приказ для назначения в соответствии с законом, можете написать в приказе, тогда к ДИ ответственного приложите приказ. Обосновать можно, что ответственный сегодня кадровик, завтра юрист, послезавтра сисадмин и писать в ДИ нет смысла, а если есть подразделение ИБ или конкретный работник, то тогда прописать в ДИ.
Сергей С.,
Правомочноcть допуска я подтвержу Листками допуска.
Правильно ли я Вас понимаю, что Вы считаете, что Должностные Инструкции регулятор запрашивает для того чтобы посмотреть, имеет ли сотрудник, занимающий определенную должность, доступ к ПД? В принципе доступ можно оформить и другими документами, и как правило так и делается, особенно доступ к электронным системам - они же могут меняться, добавляться и т.д.
Почитайте 53 пост:
Цитата
доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей
А эти обязанности прописаны как раз в ДИ.
Сергей С.,
Спасибо, я эту фразу даже истолковать так и не могла! Получается, что регулятор не доверяет списку работников, который составил Оператор, подозревая, что он мог предоставить слишком широкий доступ, поэтому должен еще посмотреть должностные инструкции,чтобы удостовериться, что по должностным обязанностям действительно необходим доступ....
интересно, как он это будет оценивать в каждом конкретном случае))
Цитата
Saama пишет:
регулятор не доверяет списку работников, который составил Оператор
Доверяет, но проверяет, это же проверка в конце концов, так же как смотрит перечень обрабатываемых ПДн и цель, выискивает избыточные и т.д. и т.п.
У меня такой вопрос возник.
Допустим, такая ситуация.
Оператор ПДн обрабатывает ПДн не у себя, а поручает на внешний хостинг (например, VSD).
Этот сервис подразумевает, что заказчик может устанавливать любое ПО (даже ОС) на выделяемом сервере.
Допустим, в договоре с хостером прописано, что он гарантирует разграничение доступа к ресурсам заказчика, т.е. никто левый их получить не сможет.
А оператор установил какие-либо сертифицированные СЗИ (естесственно, только программные) на сервер по требованиям ИБ ПДн.

И тут приходит регулятор с проверкой. РКН, ФСТЭК - не важно.
Как он (регулятор) будет выполнять оценку соответствия требованиям по безопасности ПДн, если у оператора кроме бумажек ничего и нет?
Изменено: Настя - 04.12.2012 14:49:48
А разве проверяют (уж РКН точно) что-то кроме бумажек? В свое время после установки электронного замка Соболь (по-моему под 2000) постоянно выскакивал синий экран - пришлось снять плату, а считыватель с проводом уходящим за системный блок оставил. Проверка прошла успешно. :D
Цитата
Сергей С. пишет:
А разве проверяют (уж РКН точно) что-то кроме бумажек?
не знаю, вот и хотела спросить, может у кого недавно была проверка подскажут..
Страницы: Пред. 1 2 3 4 След.
Ответить
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)
Форма ответов
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.