Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Новая версия SIEM-системы КОМРАД: теперь с поддержкой масштабирования и без ограничений на производительность

22/11/2018

Группа компаний «Эшелон» представляет обновленную систему управления событиями информационной безопасности КОМРАД. Новая версия SIEM-системы поддерживает возможность масштабирования и включает ряд новых возможностей.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1
RSS
[ Закрыто ] требуют ли аттестации базы 1С по приказу №17?
Требуют ли аттестации (по приказу ФСТЭК №17 от 11.02.13) базы данных - "1С", которые находятся в отделе кадров и бухгалтерии в муниципальном учреждении?
Федеральный закон «О персональных данных» требует оценивать эффективность прини-маемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных, а не баз данных. По действующему законодательству для оценки эффективности безопасности информационных систем используется аттестация. Однако, для проведения аттестации предприятие должно иметь лицензию на проведение работ по защите конфиденциальной информации.
Можно воспользоваться другой формой оценки эффективности, когда предприятие само-стоятельно доказывает (декларирует), что административные, процедурные и технические меры, принятые на предприятии, соответствуют всем требованиям законодательного уровня РФ по защите персональных данных.
Если надо более подробно, пишите tur@kolch.elcom.ru, тема "Персданные"
Некорректно говорить об информационной системе и принимать во внимание только программную часть. ИС это совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.
Цитата
ruzwim пишет:
Требуют ли аттестации (по приказу ФСТЭК №17 от 11.02.13) базы данных - "1С", которые находятся в отделе кадров и бухгалтерии в муниципальном учреждении?

Нет, не требуется. Муниципальные ИС никаким образом не относятся к ГИС. А уж тем более, бухгалтерия. Читайте ФЗ-149, ст. 13 и далее.

Цитата
Сергей Терехов пишет:
По действующему законодательству для оценки эффективности безопасности информационных систем используется аттестация.
Откуда Вы берете подобную чепуху? В каком нормативном акте сказано, что оценка эффективности это аттестация?! Перестаньте вешать людям лапшу!
Цитата
AlexG пишет:
Откуда Вы берете подобную чепуху? В каком нормативном акте сказано, что оценка эффективности это аттестация?! Перестаньте вешать людям лапшу!
Уважаемый, AlexG, Вы ведете дискуссии на площадках этого форума в прежней Вашей манере поучателя, а жаль.
В соответствии с пп.4 п. 2 статьи 19 Федерального закона «О персональных данных» обеспечение безопасности персональных данных (ПДн) достигается, в том числе, проведением «оценки эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных (ИСПДн)».
Оценка эффективности может проводиться в формах добровольной аттестации по требованиям безопасности информации в системе сертификации ФСТЭК России, а также в других формах, выбираемых оператором ПДн (например, формах приемо-сдаточных испытаний СЗПДн, совместной оценки комиссией, состоящей из представителей Разработчика и Заказчика СЗПДн, и т. д.).
При проведении оценки эффективности принимаемых мер по обеспечению безопасности ПДн необходимо осуществить оценку соответствия ИСПДн организационно-техническим требованиям по безопасности информации и провести испытания средств и систем защиты ИСПДн на соответствие требованиям по защищенности ПДн от угроз безопасности ПДн.
Порядок проведения аттестации ИСПДн регламентируется:
• национальным стандартом РФ ГОСТ РО 0043-003-2012 «Защита информации. Аттестация объектов информатизации. Общие положения»;
• Положением по аттестации объектов информатизации по требованиям безопасности информации, утвержденным председателем Государственной технической комиссии при Президенте Российской Федерации 25 ноября 1994 г.
В соответствии с указанными нормативными документами организации, проводящие аттестацию объектов информатизации, несут ответственность за выполнение возложенных на них функций, обеспечение сохранности государственных и коммерческих секретов, а также за соблюдение авторских прав разработчиков аттестуемых объектов информатизации и их компонентов.
В случае проведения добровольной аттестации проводится разработка дополнительных документов, необходимых для выполнения аттестационных испытаний, включающих в себя технический паспорт, матрицу доступа к ресурсам, описание технологических процессов обработки и защиты ПДн. С целью внедрения процедуры контроля за неизменностью аттестованных ИСПДн разрабатывается и утверждается регламент внесения изменений в состав технических и программных средств ИСПДн.
Цитата
Сергей Терехов пишет:
Оценка эффективности может проводиться в формах добровольной аттестации по требованиям безопасности информации в системе сертификации ФСТЭК России, а также в других формах, выбираемых оператором ПДн (например, формах приемо-сдаточных испытаний СЗПДн, совместной оценки комиссией, состоящей из представителей Разработчика и Заказчика СЗПДн, и т. д.).

Вот если бы Вы сразу так написали, вопросов бы не было. Из Вашего же поста следует, что
Цитата
Сергей Терехов пишет:
По действующему законодательству для оценки эффективности безопасности информационных систем используется аттестация.
. Это ложь. Упомянутое же ниже декларирование неприменимо к системе ЗИ (см. ФЗ "О техническом регулировании").

Положение по аттестации 1994 определяет порядок аттестации, но не обязанность аттестовать ИСПДн. Оно требует обязательной аттестации только объектов, обрабатывающих гос. тайну и управляющих экологически опасными производствами. Упомянутые в нем органы по аттестации не могут аттестовать несекретные системы, кстати. Так что Положение - мимо.
Упомянутый Вами ГОСТ не опубликован и, следовательно, неизвестен простым операторам ПДн (не лицензиатам).
Цитата
AlexG пишет:
Вот если бы Вы сразу так написали, вопросов бы не было. Из Вашего же поста следует, что
Добрый AlexG, почему Вы такой агрессивный. Подумайте, может и другие люди кое-что понимают.А то караул, ложь, лапша. Мы разные и в этом наша сила.
Простите великодушно, погорячился :)
Но Вы уж постарайтесь, прежде чем что-то утверждать, разобраться в вопросе. Я считаю, что вводить людей в заблуждение нехорошо. Они ведь почитают и кинутся аттестовать. А зачем?
Цитата
AlexG пишет:
Но Вы уж постарайтесь, прежде чем что-то утверждать, разобраться в вопросе. Я считаю, что вводить людей в заблуждение нехорошо. Они ведь почитают и кинутся аттестовать. А зачем?
Уввважаемый AlexG. Объясните подробно, в чем я ввел в заблуждение форумчан?
Цитата
Сергей Терехов пишет:
Можно воспользоваться другой формой оценки эффективности, когда предприятие само-стоятельно доказывает (декларирует), что административные, процедурные и технические меры, принятые на предприятии, соответствуют всем требованиям законодательного уровня РФ по защите персональных данных.
И расширенный ответ:
Цитата
Сергей Терехов пишет:
Оценка эффективности может проводиться в формах добровольной аттестации по требованиям безопасности информации в системе сертификации ФСТЭК России, а также в других формах, выбираемых оператором ПДн (например, формах приемо-сдаточных испытаний СЗПДн, совместной оценки комиссией, состоящей из представителей Разработчика и Заказчика СЗПДн, и т. д.).
Цитата
AlexG пишет:
Нет, не требуется. Муниципальные ИС никаким образом не относятся к ГИС. А уж тем более, бухгалтерия. Читайте ФЗ-149, ст. 13 и далее.

17 приказ п 3. Настоящие Требования являются обязательными при обработке информации (Не только ПДн, речь идет о ИОД) в государственных информационных системах, функционирующих на территории Российской Федерации, а также в муниципальных информационных системах, если иное не установлено законодательством Российской Федерации о местном самоуправлении.

Надеюсь ни у кого не возникают вопросы по поводу обязательной аттестации по требованиям 17 приказа.
Изменено: Сергей - 19.10.2015 10:10:39
Цитата
AlexG пишет:
Это ложь. Упомянутое же ниже декларирование неприменимо к системе ЗИ (см. ФЗ "О техническом регулировании").
Уважаемый AlexG/
Цитирую для Вас выдержки из ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ

ИНФОРМАЦИОННОЕ СООБЩЕНИЕ
от 15 июля 2013 г. N 240/22/2637

"По вопросу о форме оценки эффективности принимаемых мер по обеспечению безопасности персональных данных, о форме и содержании материалов оценки эффективности, а также о возможности проведения оценки эффективности при проведении аттестации информационной системы.
В соответствии с пунктом 4 части 2 статьи 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" обеспечение безопасности персональных данных достигается в частности оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных.
В соответствии с пунктом 6 Состава и содержания мер, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. N 21, оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. При этом Составом и содержанием мер, утвержденными приказом ФСТЭК России от 18 февраля 2013 г. N 21, форма оценки эффективности, а также форма и содержание документов, разрабатываемых по результатам (в процессе) оценки, не установлены.
Таким образом, решение по форме оценки эффективности и документов, разрабатываемых по результатам (в процессе) оценки эффективности, принимается оператором самостоятельно и (или) по соглашению с лицом, привлекаемым для проведения оценки эффективности реализованных мер по обеспечению безопасности персональных данных.
Оценка эффективности реализованных мер может быть проведена в рамках работ по аттестации информационной системы персональных данных в соответствии с национальным стандартом ГОСТ РО 0043-003-2012 "Защита информации. Аттестация объектов информатизации. Общие положения". :D
Страницы: 1
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)