Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

В России хотят создать мегарегулятора информационной безопасности, взяв пример с США

18/11/2017

В рамках реализации программы «Цифровая экономика» предлагается определить единый госорган, ответственный за требования к средствам информационной безопасности.

Реклама

Партнеры

Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: Пред. 1 ... 166 167 168 169 170
Ответить
RSS
Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Подскажите как проверяют форумы на сохранность персональных данных? Ведь они при регистрации спрашивают и полные имена, мобильные телефоны.
Добрый день.
Скажите пожалуйста, на сколько необходима модель угроз?
У меня нет КЗ и установлена УЗ4, нужна ли мне модель угроз?
Добрый день.
Скажите пожалуйста, на сколько необходима модель угроз?
У меня нет КЗ и установлена УЗ4, нужна ли мне модель угроз?
Добрый день!
в нашей организации есть центральный офис и 18 отделений, которые работают по vpn с серверами расположенными в центральном офисе.
В связи с чем у меня вопрос как организовывать ИСПДн. Модель угроз я составила.
Вопрос как делать технический паспорт? на все отделения один паспорт или на каждое отделение свой?
Я ведь правильно понимаю, что контролируемая зона определяется для каждого отделения отдельно?
Поделитесь практикой при такой системе.
Может кто знает какие документы нужно готовить в единичном экземпляре(помимо приказов, актов и частной модели угроз) а какие нужно готовить комплектом на каждое отделение.
Добрый день уважаемые коллеги с моим вопросом наверное в эту ветку,помогите пожалуйста разобраться! Если мы операторы,пользователи ИСПД (не владельцы этих систем) нужно ли указывать эти системы в Перечне информационных систем персональных данных? Если владелец не выдвигает требований к защите должны ли мы сами разрабатывать модель угроз и принимать меры к защите?
Цитата
Гость пишет:
Не могу найти однозначный ответ. Помогите плиз! Если хранить ПДн на сервере РФ и отправлять копию для хранения на сервер за пределы РФ - это будет в рамках законодательства?

Федеральный закон от 27.07.2006 N 149-ФЗ (ред. от 06.07.2016) "Об информации, информационных технологиях и о защите информации"
Статья 16 п.1 пп. 7

Статья 16. Защита информации
1. Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:
7) нахождение на территории Российской Федерации баз данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации.

!!! Все возможные меры в направлении нахождения всех серверов с ПДн в России должны быть приняты.
------------
PS не ленитесь читать законы и гуглить...
Цитата
Наталья пишет:
Добрый день!

в нашей организации есть центральный офис и 18 отделений, которые работают по vpn с серверами расположенными в центральном офисе.

В связи с чем у меня вопрос как организовывать ИСПДн. Модель угроз я составила.

Вопрос как делать технический паспорт? на все отделения один паспорт или на каждое отделение свой?

Я ведь правильно понимаю, что контролируемая зона определяется для каждого отделения отдельно?

Поделитесь практикой при такой системе.

Может кто знает какие документы нужно готовить в единичном экземпляре(помимо приказов, актов и частной модели угроз) а какие нужно готовить комплектом на каждое отделение.

Если одно юр. лицо, то можно сделать 1 техпаспорт. Если много юр. лиц, то читайте:
Иточник: https://lukatsky.blogspot.ru/2016/04/blog-post_21.html
Цитата
Алексей пишет:
Добрый день уважаемые коллеги с моим вопросом наверное в эту ветку,помогите пожалуйста разобраться! Если мы операторы,пользователи ИСПД (не владельцы этих систем) нужно ли указывать эти системы в Перечне информационных систем персональных данных? Если владелец не выдвигает требований к защите должны ли мы сами разрабатывать модель угроз и принимать меры к защите?
Уважаемый Алексей. Судя по Вашему вопросу, Ваша организация поручила обработку ПДн Обработчику, которому принадлежат информационные системы. В таком случае, в договоре с Обработчиком необходимо указать все требования к защите, которые Обработчик обязан выполнить.Т.е. ваша задача как Оператора сформулировать адекватные требования. :)
Цитата
Гость пишет:
Добрый день.
Скажите пожалуйста, на сколько необходима модель угроз?
У меня нет КЗ и установлена УЗ4, нужна ли мне модель угроз?

Уважаемый Гость. ЧМУ нужна, чтобы понять, какие угрозы актуальны для ваших ИСПДн. Теоретически, если не разработана ЧМУ, то необходимо применять все меры, предписанные 21 (или 17) приказом ФСТЭК. Далее, без моделирования достаточно затруднительно доказать, что системное и прикладное ПО не содержат недекларированных возможностей, а без этого доказательства уровень защищенности не может быть четвертым, как у Вас..









Здравствуйте. Прошёлся по темам на форуме по вопросу определения типа угроз, и немного впал в ступор. Вот есть у нас НДВ. Есть 3 типа (СПО, ППО и не относящееся к ним). С первого взгляда всё логично: проблемы с Windows - НДВ первого типа. Проблемы с Word - второй тип, проблемы с недобросовестным персоналом - третий тип. А в чём же тогда трудности, и какой алгоритм анализа для отнесения угрозы к одному из трёх типов. Я не специалист, и мне это нужно для понимания того, как безопасники определяют тип угрозы. Спрашиваю, потому что в интернете многие говорят, что непонятно как раскидать НДВ по типам угроз. Так в чём трудности?
Всем добрый день!
Тупы вопросы - это как раз мой случай)
Руководство требует, чтобы сотрудники подразделения ИТ, имеющие права локального администратора, были включены в список сотрудников, имеющих право на обработку ПНД. МОтивируют это тем, что, например, они могут выполнять переност данных пользователя с одного ПК на другой (при заменен ПК), а эти данные могут содержать в себе ПНД. Насколько это правомерно? На мой взгляд, к обработке ПНД это не имеет никакого отношения, тем болле, что они могут даже не понимать, содержат файлы ПНД или нет. И если все-таки это считается обработкой ПНД, то какие правовые последниствия это может иметь для сотрудников?
Добрый день!
Есть компьютер на котором локально установлена 1С кадры. Компьютер не в сети, из-за лохматого документа (приказа от 2007г.) местной администрации. Прекрасно понимаю, идет обработка ПДн. Но должна ОС получать обновления, 1С должна получать обновления, да и доступ к серверу должен же быть у компьютера, например к документам в локальной сети. Как объяснить руководству, что необходимо подключить рабочую станцию к локальной сети. Ведь у Windows 7, 1С есть сертификат ФСТЭК.
Страницы: Пред. 1 ... 166 167 168 169 170
Ответить
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку