Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Минюст обязал банки проводить пентесты и аудит кибербезопасности

13/08/2018

Банки обяжут соблюдать новые меры кибербезопасности, среди которых обязательными являются аудит информационной безопасности, различные тестирования на проникновение (пентесты), обязательная сертификация использованного программного обеспечения.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: Пред. 1 ... 3 4 5 6 7 ... 14 След.
RSS
[ Закрыто ] П-1119 по ПДн, Постановление от 1 ноября 2012 г. №1119 Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных
Цитата
AlexG пишет:
Цитата
Tolian пишет:
Вы ничего не путаете? Какой приказ? Разжевывать простые вещи вам никто не будет, учите матчасть. Регулятор направляет письмо. В чем разница между приказом и письмом вы понимаете? Какие слова вы о чем вообще? Есть методики поверок в которых все прописано от и до.
Увжаемый Tolian, вы взялись рассуждать о вещах, о которых имеете весьма смутное представление. Почтайте для начала
Административный регламент исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных.

"46. В приказе о проведении проверки указываются:
Еще давайте проговорим все моменты.

первоначально было:

Владимир пишет:
Окей! Выездная проверка. Вам приходит приказ о подготовке ряда документов, которые необходимо представить регулятору, в котором вышеперечисленный! Вы в ответ на приказ напишите или лучше на словах скажите, что это всего лишь набор слов и не более того!! Желаю вам успехов, в вашем нелегком деле.

Я (оператор) - проверяемая организация правильно? для точности, что б не путаться.
проверяющий - регулятор и т.д.


Что такое выездная и невыездная проверка я не знаю, но это роли никакой не играет.

Владимир пишет:
Вам приходит приказ о подготовке ряда документов, которые необходимо представить регулятору, в котором вышеперечисленный!


Мне плевать на приказы организаций, которым я не подчиняюсь (это по простому по обывательски). Мне присылают приказ он идет в урну сразу. Согласны с этим моим утверждением?


от Регулятора может прийти уведомление о том что такого то числа состоится проверка согласны?


Просто так регулятор не может прийти, в любом случае, должны быть выполнены определенные действия (не важно плановая проверка или не плановая в ФЗ-294 это четко прописано).
Любое отклонение от данной процедуры оспариваются сразу юристами, это уже в сторону. Разве не согласны со мной?


Я как оператор могу допустить проверяющих к себе могу и дать отбой, если проверка не в соответствии с законодательством.


ладно это отступление.


Владимир пишет:
о подготовке ряда документов, которые необходимо представить регулятору, в котором вышеперечисленный!


А есть такой список документов который должен быть? нет если о них четко не говорится в документах (ФЗ, и т.д.), чтоб я представил/разработал документы из списка каких то проверяющих бред ?

Регулятор может проверить выполнение требований, а как это выполнено приказы, инструкции, техническими мерами и т.д. это мое личное право если об этом не говорится в нормативных актах.

Вы согласны что приказы регуляторов это его приказы и они на меня не распространяются?

Приходим к чему что регулятор должен уведомить оператора о проверке, так?

Затем предоставить документы на основании которых он пришел проверять так? В соответствии с чем и на основании чего будет осуществлена проверка (основание проверки расписывать уже нет желания).

Я-оператор могу потребовать данный приказ (о котором ФЗ говорится и в регламенте прописано) о котором писалось, лично по своему усмотрению.
И если хоть какой то из пунктов нарушен я имею право оспорить их действия и не допустить проверку.

Думаете регуляторы отступают от регламентов и методик проверок?

И вы думаете здесь все эти моменты кто то вам должен объяснять?
Tolian, вопрос был не ко мне, но я отвечу:
1. Регуляторы отступают и будут отступать от регламентов. Они - люди, которым свойственно ошибаться в отсутствие зашитых мозгах алгоритмов, и даже трех законов робототехники (кстати, оффтоп, этих законов четыре).

2. Документарная проверка (невыездная) - та, при которой запрашивают документы, подтверждающие выполнение тех или иных положений законов и подзаконных актов. Такими документами могут быть как регламентные, предусмотренные внутренними приказами, инструкциями оператора, так и просто справки, заверенные подписью руководителя. Пример: справка о присвоенном определенной ИСПДн уровню защищенности (из-за чего собственно весь сыр бор), которая может быть также оформлена
И еще раз, существенный вопрос - вопрос трактовки положений законов и подзаконников РКН. Пример - когда судились с РКН, мы доказывали, что ПП РФ №687 не требует наличия перечня лиц, обрабатывающих ПДн без использования средств автоматизации, в виде документа. Правильность позиции определяется судом.
Цитата
Антон пишет:
А если мы только в сентябре провели защиту организации как ИСПДн класса К2, то теперь что - все переделывать в связи с выходом нового Постановления? там то ведь ничего про классы нет, тепреь уровни появились
вот все об этом тоже беспокоятся. Документы придется переделывать по-любому, а вот систему ЗИ - ещё не известно. Есть мнение, что будет преемственность от классов к уровням..
Цитата
Антон пишет:

А если мы только в сентябре
провели защиту организации как ИСПДн класса К2, то теперь что - все переделывать
в связи с выходом нового Постановления? там то ведь ничего про классы нет,
тепреь уровни появились
ст. 25, крайняя:
21. Операторы, которые осуществляли обработку персональных данных до 1 июля 2011 года, обязаны представить в уполномоченный орган по защите прав субъектов персональных данных сведения, указанные в пунктах 5, 71, 10 и 11 части 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2013 года.
А п. 11: сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.

Это предстоит сделать всем.
Цитата
Tolian пишет:
Мне плевать на приказы организаций, которым я не подчиняюсь (это по простому по обывательски). Мне присылают приказ он идет в урну сразу. Согласны с этим моим утверждением?
Это уровень рассуждений малограмотного человека, простите. Спорить, спускаясь на ваш уровень как-то не хочется, да и некогда.
Изменено: AlexG - 08.11.2012 16:17:42
Коллеги, предлагаю прекратить бессмысленную дискуссию, а Trolianу для начала почитать 152ФЗ, про обязанности оператора и права регулятора.
Вроде бы умные люди собрались, а обсуждаите вообще ерунду.
Новое постановление ничего конкретно не меняет в защите ИСПДн, ну конечно если Вы в полной мере отработали и 152 ФЗ и модель угроз для себя составили и написали кучу и еще две кучи внутренних документов по защите ПДн у себя в организации.
Появились местами новые термины, новое звучание старых букв - но пока нет подзаконных актов ФСТЭК и ФСБ - все остается на прежнем уровне и регуляторам (поверте на мем опыте этого хватит)
Проходил проверки на стороне проверяющей организации и ФСТЭКа и ФСБ и Роскомнадзора
Цитата
Tolian пишет:
Цитата
Владимир пишет:
Цитата
Tolian пишет:
Лично на мой взгляд данный пример набор слов и не более того.
Окей! Выездная проверка. Вам приходит приказ о подготовке ряда документов, которые необходимо представить регулятору, в котором вышеперечисленный! Вы в ответ на приказ напишите или лучше на словах скажите, что это всего лишь набор слов и не более того!! Желаю вам успехов, в вашем нелегком деле.
Вы ничего не путаете? Какой приказ? Разжевывать простые вещи вам никто не будет, учите матчасть. Регулятор направляет письмо. В чем разница между приказом и письмом вы понимаете? Какие слова вы о чем вообще? Есть методики поверок в которых все прописано от и до.


Никто почему то из Вас не обратил внимания, что ПП1119 ещё не вступило в силу и прежние документы ещё работают:):):)
Я ничего не путаю, у вас вообще проверка проходила? Приведу пример проведения проверки регулятором, в которой я участвовал. Регулятор высылает в адрес оператора копию приказа о проведении проверки. Приезжают - собирают документы, которые относительно приказа просили предоставить, выписывают акт, в котором отмечают что предоставлено, а что нет и уезжают. Ну да, может быть еще пообщаются с сотрудниками оператора. Это пример РКН. ФСТЭК, естественно проверяет иначе, также была проверка, вот они действуют четко методике, и да, сначала присылают письмо, в котором отмечают, что будет проходить проверка.
Цитата
Tolian пишет:
Не путайте понятия, не проверяющий, а письмо от руководителя организации (регулятора) о том, что такого то числа будет проведена такая то проверка на основании того то .... в ходе проверки будет проверено то то, на основании того то. Приказ регулятора мне как проверяемому, по барабану. Он распространяется на проверяющих, в котором им руководитель их организации приказывает проверить то то и то то, не мне, а им и распространяется на них, а не на меня. Я как проверяемый могу дать им разрешение на проверку могу послать и не пустить их, это вам понятно?
Не подходите ко всему формально! не забывайте в какой стране вы живете. По-барабану, да не по-барабану. В приказе четко написано что будет проверять регулятор для достижения целей проверки, т.е. вы будете знать к чему именно быть готовым. Приказ приходит не по запросу. А то, что вы можете не пустить их, так тут уж нарушаете требования 152 ФЗ, ст.18.1, п.4. Это вам понятно?
Цитата
Сергей С. пишет:
Коллеги, предлагаю прекратить бессмысленную дискуссию, а Trolianу для начала почитать 152ФЗ, про обязанности оператора и права регулятора.
Поддерживаю :)
Предлагаю воспользоваться таблицей
[img]g:\Доки\Табл ПП-1119.jpg[/img]
Так все-таки делать сейчас модель угроз или нет? Собиралась сделать как Бог даст модель и класс присвоить, чтобы хоть бумага какая-никакая была, и потом в новом уведомлении тоже спрашивают какой класс. А теперь теряюсь...
Предлагаю воспользоваться таблицей
Цитата
Наталья пишет:
Собиралась сделать как Бог даст модель и класс присвоить, чтобы хоть бумага
какая-никакая была, и потом в новом уведомлении тоже спрашивают какой класс. А
теперь теряюсь...
Делайте МУ, мектодические рекомендации ФСТЭК и ФСБ по формированию МУ никто не отменял (и не отмянят, может подкорректируют с упором на НДВ), по модели устанавливайте уровень защищенности (комиссия - Акт: провели обследование следующих ИСПДн, обрабатываются следующие ПДн..., количество субъектов ..., актуальны угрозы ... типа, становили ... уровень защищенности.)
Цитата
Наталья пишет:
Собиралась сделать как Бог даст модель и класс присвоить, чтобы хоть бумага
какая-никакая была, и потом в новом уведомлении тоже спрашивают какой класс. А
теперь теряюсь...
Делайте МУ, методические рекомендации ФСТЭК и ФСБ по формированию МУ никто не отменял (и не отмянят, может подкорректируют с упором на НДВ), по модели устанавливайте уровень защищенности (комиссия - Акт: провели обследование следующих ИСПДн, обрабатываются следующие ПДн..., количество субъектов ..., актуальны угрозы ... типа,
установили ...уровень защищенности)
походу стекляшка оставила фстэк без работы. эт же надо так было документ написать :)
При установлении уровней защищенности от НСД для ИСПДн (по новому ПП-1119) рекомендую воспользоваться табличкой

http://files.mail.ru/ZDD38M.
Скачать файл Табл ПП-1119.jpg

Всё получается достаточно просто. См. стрелки.
По горизонтали желтым цветом и символом "&" выделены две и более ячеек таблицы,
которые объединяют "условие". Например, " Динь &" и " & дон" означает "Динь и дон".
Слева приведены требования к уровням 1-4 (от 4 до 1 с учетом поглощения)!!!!!
Буду рад если пригодится табличка!!!!!
Цитата
Владимир пишет:
Надежда на то, что отпадет необходимость применения сертифицированных СЗИ покинула нас)))
Я тоже опечалилась, очень рассчитывала на этот "лучик света..." в проекте-увы! А еще странно и абсурдно,что согласно новому ПП необходимо защищать общедоступные ПДн, зачем???
Цитата
Гость пишет:
согласно новому ПП необходимо защищать общедоступные ПДн, зачем???
Кроме конфиденциальности есть еще целостность и доступность, возьмите, к примеру, Сландо или ИРР, если не будет доступа или негодяй "испортит" контактную информацию?
Здравствуйте!
1 Вопрос по поводу сертифицированных СЗИ для 4-го уровня защищенности. "Использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз. " Можно ли, говоря об общедоступных данных, не применять сертифицированные СЗИ, если угрозу сделать неактуальной. За "доступность и целостность" отвечают разработчики информационных ресурсов, на которых эти данные размещаются с согласия субъекта. Если нет, тогда скажите как обеспечить целостность Сайту организации "обязательно сертифицированными" МЭ или СЗИ НСД?
2. Вопрос для уточнения (не могу до конца определиться). Если в ИСПДн данные и сотрудников и НЕ сотрудников - она является "... информационной системой, обрабатывающей персональные данные субъектов персональных данных, не являющихся сотрудниками оператора..."? Объединение вообще возможно? или в одном документе описывать одельно по сотрудникам и отдельно по НЕ сотрудникам? ...но... у меня одна ИСПДн и я не могу ее разбить... (не вдаваясь в "теоретические" возможности.... "Практически" нет возможности разделить ИСПДн. Как быть?
Заране спасибо:)
Страницы: Пред. 1 ... 3 4 5 6 7 ... 14 След.
Читают тему (гостей: 4, пользователей: 0, из них скрытых: 0)