Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Новая версия SIEM-системы КОМРАД: теперь с поддержкой масштабирования и без ограничений на производительность

22/11/2018

Группа компаний «Эшелон» представляет обновленную систему управления событиями информационной безопасности КОМРАД. Новая версия SIEM-системы поддерживает возможность масштабирования и включает ряд новых возможностей.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: Пред. 1 ... 3 4 5 6 7 ... 14 След.
RSS
[ Закрыто ] П-1119 по ПДн, Постановление от 1 ноября 2012 г. №1119 Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных
Цитата
AlexG пишет:
Цитата
Tolian пишет:
Вы ничего не путаете? Какой приказ? Разжевывать простые вещи вам никто не будет, учите матчасть. Регулятор направляет письмо. В чем разница между приказом и письмом вы понимаете? Какие слова вы о чем вообще? Есть методики поверок в которых все прописано от и до.
Увжаемый Tolian, вы взялись рассуждать о вещах, о которых имеете весьма смутное представление. Почтайте для начала
Административный регламент исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных.

"46. В приказе о проведении проверки указываются:
Еще давайте проговорим все моменты.

первоначально было:

Владимир пишет:
Окей! Выездная проверка. Вам приходит приказ о подготовке ряда документов, которые необходимо представить регулятору, в котором вышеперечисленный! Вы в ответ на приказ напишите или лучше на словах скажите, что это всего лишь набор слов и не более того!! Желаю вам успехов, в вашем нелегком деле.

Я (оператор) - проверяемая организация правильно? для точности, что б не путаться.
проверяющий - регулятор и т.д.


Что такое выездная и невыездная проверка я не знаю, но это роли никакой не играет.

Владимир пишет:
Вам приходит приказ о подготовке ряда документов, которые необходимо представить регулятору, в котором вышеперечисленный!


Мне плевать на приказы организаций, которым я не подчиняюсь (это по простому по обывательски). Мне присылают приказ он идет в урну сразу. Согласны с этим моим утверждением?


от Регулятора может прийти уведомление о том что такого то числа состоится проверка согласны?


Просто так регулятор не может прийти, в любом случае, должны быть выполнены определенные действия (не важно плановая проверка или не плановая в ФЗ-294 это четко прописано).
Любое отклонение от данной процедуры оспариваются сразу юристами, это уже в сторону. Разве не согласны со мной?


Я как оператор могу допустить проверяющих к себе могу и дать отбой, если проверка не в соответствии с законодательством.


ладно это отступление.


Владимир пишет:
о подготовке ряда документов, которые необходимо представить регулятору, в котором вышеперечисленный!


А есть такой список документов который должен быть? нет если о них четко не говорится в документах (ФЗ, и т.д.), чтоб я представил/разработал документы из списка каких то проверяющих бред ?

Регулятор может проверить выполнение требований, а как это выполнено приказы, инструкции, техническими мерами и т.д. это мое личное право если об этом не говорится в нормативных актах.

Вы согласны что приказы регуляторов это его приказы и они на меня не распространяются?

Приходим к чему что регулятор должен уведомить оператора о проверке, так?

Затем предоставить документы на основании которых он пришел проверять так? В соответствии с чем и на основании чего будет осуществлена проверка (основание проверки расписывать уже нет желания).

Я-оператор могу потребовать данный приказ (о котором ФЗ говорится и в регламенте прописано) о котором писалось, лично по своему усмотрению.
И если хоть какой то из пунктов нарушен я имею право оспорить их действия и не допустить проверку.

Думаете регуляторы отступают от регламентов и методик проверок?

И вы думаете здесь все эти моменты кто то вам должен объяснять?
Tolian, вопрос был не ко мне, но я отвечу:
1. Регуляторы отступают и будут отступать от регламентов. Они - люди, которым свойственно ошибаться в отсутствие зашитых мозгах алгоритмов, и даже трех законов робототехники (кстати, оффтоп, этих законов четыре).

2. Документарная проверка (невыездная) - та, при которой запрашивают документы, подтверждающие выполнение тех или иных положений законов и подзаконных актов. Такими документами могут быть как регламентные, предусмотренные внутренними приказами, инструкциями оператора, так и просто справки, заверенные подписью руководителя. Пример: справка о присвоенном определенной ИСПДн уровню защищенности (из-за чего собственно весь сыр бор), которая может быть также оформлена
И еще раз, существенный вопрос - вопрос трактовки положений законов и подзаконников РКН. Пример - когда судились с РКН, мы доказывали, что ПП РФ №687 не требует наличия перечня лиц, обрабатывающих ПДн без использования средств автоматизации, в виде документа. Правильность позиции определяется судом.
Цитата
Антон пишет:
А если мы только в сентябре провели защиту организации как ИСПДн класса К2, то теперь что - все переделывать в связи с выходом нового Постановления? там то ведь ничего про классы нет, тепреь уровни появились
вот все об этом тоже беспокоятся. Документы придется переделывать по-любому, а вот систему ЗИ - ещё не известно. Есть мнение, что будет преемственность от классов к уровням..
Цитата
Антон пишет:

А если мы только в сентябре
провели защиту организации как ИСПДн класса К2, то теперь что - все переделывать
в связи с выходом нового Постановления? там то ведь ничего про классы нет,
тепреь уровни появились
ст. 25, крайняя:
21. Операторы, которые осуществляли обработку персональных данных до 1 июля 2011 года, обязаны представить в уполномоченный орган по защите прав субъектов персональных данных сведения, указанные в пунктах 5, 71, 10 и 11 части 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2013 года.
А п. 11: сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.

Это предстоит сделать всем.
Цитата
Tolian пишет:
Мне плевать на приказы организаций, которым я не подчиняюсь (это по простому по обывательски). Мне присылают приказ он идет в урну сразу. Согласны с этим моим утверждением?
Это уровень рассуждений малограмотного человека, простите. Спорить, спускаясь на ваш уровень как-то не хочется, да и некогда.
Изменено: AlexG - 08.11.2012 16:17:42
Коллеги, предлагаю прекратить бессмысленную дискуссию, а Trolianу для начала почитать 152ФЗ, про обязанности оператора и права регулятора.
Вроде бы умные люди собрались, а обсуждаите вообще ерунду.
Новое постановление ничего конкретно не меняет в защите ИСПДн, ну конечно если Вы в полной мере отработали и 152 ФЗ и модель угроз для себя составили и написали кучу и еще две кучи внутренних документов по защите ПДн у себя в организации.
Появились местами новые термины, новое звучание старых букв - но пока нет подзаконных актов ФСТЭК и ФСБ - все остается на прежнем уровне и регуляторам (поверте на мем опыте этого хватит)
Проходил проверки на стороне проверяющей организации и ФСТЭКа и ФСБ и Роскомнадзора
Цитата
Tolian пишет:
Цитата
Владимир пишет:
Цитата
Tolian пишет:
Лично на мой взгляд данный пример набор слов и не более того.
Окей! Выездная проверка. Вам приходит приказ о подготовке ряда документов, которые необходимо представить регулятору, в котором вышеперечисленный! Вы в ответ на приказ напишите или лучше на словах скажите, что это всего лишь набор слов и не более того!! Желаю вам успехов, в вашем нелегком деле.
Вы ничего не путаете? Какой приказ? Разжевывать простые вещи вам никто не будет, учите матчасть. Регулятор направляет письмо. В чем разница между приказом и письмом вы понимаете? Какие слова вы о чем вообще? Есть методики поверок в которых все прописано от и до.


Никто почему то из Вас не обратил внимания, что ПП1119 ещё не вступило в силу и прежние документы ещё работают:):):)
Я ничего не путаю, у вас вообще проверка проходила? Приведу пример проведения проверки регулятором, в которой я участвовал. Регулятор высылает в адрес оператора копию приказа о проведении проверки. Приезжают - собирают документы, которые относительно приказа просили предоставить, выписывают акт, в котором отмечают что предоставлено, а что нет и уезжают. Ну да, может быть еще пообщаются с сотрудниками оператора. Это пример РКН. ФСТЭК, естественно проверяет иначе, также была проверка, вот они действуют четко методике, и да, сначала присылают письмо, в котором отмечают, что будет проходить проверка.
Цитата
Tolian пишет:
Не путайте понятия, не проверяющий, а письмо от руководителя организации (регулятора) о том, что такого то числа будет проведена такая то проверка на основании того то .... в ходе проверки будет проверено то то, на основании того то. Приказ регулятора мне как проверяемому, по барабану. Он распространяется на проверяющих, в котором им руководитель их организации приказывает проверить то то и то то, не мне, а им и распространяется на них, а не на меня. Я как проверяемый могу дать им разрешение на проверку могу послать и не пустить их, это вам понятно?
Не подходите ко всему формально! не забывайте в какой стране вы живете. По-барабану, да не по-барабану. В приказе четко написано что будет проверять регулятор для достижения целей проверки, т.е. вы будете знать к чему именно быть готовым. Приказ приходит не по запросу. А то, что вы можете не пустить их, так тут уж нарушаете требования 152 ФЗ, ст.18.1, п.4. Это вам понятно?
Цитата
Сергей С. пишет:
Коллеги, предлагаю прекратить бессмысленную дискуссию, а Trolianу для начала почитать 152ФЗ, про обязанности оператора и права регулятора.
Поддерживаю :)
Предлагаю воспользоваться таблицей
[img]g:\Доки\Табл ПП-1119.jpg[/img]
Так все-таки делать сейчас модель угроз или нет? Собиралась сделать как Бог даст модель и класс присвоить, чтобы хоть бумага какая-никакая была, и потом в новом уведомлении тоже спрашивают какой класс. А теперь теряюсь...
Предлагаю воспользоваться таблицей
Цитата
Наталья пишет:
Собиралась сделать как Бог даст модель и класс присвоить, чтобы хоть бумага
какая-никакая была, и потом в новом уведомлении тоже спрашивают какой класс. А
теперь теряюсь...
Делайте МУ, мектодические рекомендации ФСТЭК и ФСБ по формированию МУ никто не отменял (и не отмянят, может подкорректируют с упором на НДВ), по модели устанавливайте уровень защищенности (комиссия - Акт: провели обследование следующих ИСПДн, обрабатываются следующие ПДн..., количество субъектов ..., актуальны угрозы ... типа, становили ... уровень защищенности.)
Цитата
Наталья пишет:
Собиралась сделать как Бог даст модель и класс присвоить, чтобы хоть бумага
какая-никакая была, и потом в новом уведомлении тоже спрашивают какой класс. А
теперь теряюсь...
Делайте МУ, методические рекомендации ФСТЭК и ФСБ по формированию МУ никто не отменял (и не отмянят, может подкорректируют с упором на НДВ), по модели устанавливайте уровень защищенности (комиссия - Акт: провели обследование следующих ИСПДн, обрабатываются следующие ПДн..., количество субъектов ..., актуальны угрозы ... типа,
установили ...уровень защищенности)
походу стекляшка оставила фстэк без работы. эт же надо так было документ написать :)
При установлении уровней защищенности от НСД для ИСПДн (по новому ПП-1119) рекомендую воспользоваться табличкой

http://files.mail.ru/ZDD38M.
Скачать файл Табл ПП-1119.jpg

Всё получается достаточно просто. См. стрелки.
По горизонтали желтым цветом и символом "&" выделены две и более ячеек таблицы,
которые объединяют "условие". Например, " Динь &" и " & дон" означает "Динь и дон".
Слева приведены требования к уровням 1-4 (от 4 до 1 с учетом поглощения)!!!!!
Буду рад если пригодится табличка!!!!!
Цитата
Владимир пишет:
Надежда на то, что отпадет необходимость применения сертифицированных СЗИ покинула нас)))
Я тоже опечалилась, очень рассчитывала на этот "лучик света..." в проекте-увы! А еще странно и абсурдно,что согласно новому ПП необходимо защищать общедоступные ПДн, зачем???
Цитата
Гость пишет:
согласно новому ПП необходимо защищать общедоступные ПДн, зачем???
Кроме конфиденциальности есть еще целостность и доступность, возьмите, к примеру, Сландо или ИРР, если не будет доступа или негодяй "испортит" контактную информацию?
Здравствуйте!
1 Вопрос по поводу сертифицированных СЗИ для 4-го уровня защищенности. "Использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз. " Можно ли, говоря об общедоступных данных, не применять сертифицированные СЗИ, если угрозу сделать неактуальной. За "доступность и целостность" отвечают разработчики информационных ресурсов, на которых эти данные размещаются с согласия субъекта. Если нет, тогда скажите как обеспечить целостность Сайту организации "обязательно сертифицированными" МЭ или СЗИ НСД?
2. Вопрос для уточнения (не могу до конца определиться). Если в ИСПДн данные и сотрудников и НЕ сотрудников - она является "... информационной системой, обрабатывающей персональные данные субъектов персональных данных, не являющихся сотрудниками оператора..."? Объединение вообще возможно? или в одном документе описывать одельно по сотрудникам и отдельно по НЕ сотрудникам? ...но... у меня одна ИСПДн и я не могу ее разбить... (не вдаваясь в "теоретические" возможности.... "Практически" нет возможности разделить ИСПДн. Как быть?
Заране спасибо:)
Страницы: Пред. 1 ... 3 4 5 6 7 ... 14 След.
Читают тему (гостей: 2, пользователей: 0, из них скрытых: 0)