Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

GDPR: Новые правила обработки персональных данных в EU

15/06/2018

Все слышали о General Data Protection Regulation (GDPR) (Regulation (EU) 2016/679), который вступил в силу 25 мая 2018 года. Штрафы большие и придётся соответствовать. Как и любой официальный документ, он написан сухо и может трактоваться по-разному.

Реклама

Партнеры

Лаборатория кибербезопасности







Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1
Ответить
RSS
Помогите определить уровень защищенности
Доброго времени суток!
Помогите определить УЗ, если:
с помошью медицинского оборудования и специального программного обеспечения проводятся обследования пациентов, и эта информация будет сохраняться в облаках (арендованный виртуальный сервер), передаваться через интернет.
Насколько я знаю, раньше, если имели дело с информацией о состоянии здоровья, это сразу был УЗ-1... сейчас информация как-то размыта. Информация о состоянии здоровья - это специальные категории, и они могут входить в УЗ-1, УЗ-2, УЗ-3 (приказ 1119 ФСТЭК). Еще могу пояснить, что число субъектов будет менее 100000.
Заранее благодарен!!
Угрозы какого типа актуальны ? по таблице же просто выявить УЗ...
Цитата
Святослав пишет:
Угрозы какого типа актуальны ? по таблице же просто выявить УЗ...
В том числе, тут и проблема... Как правильно их учитывать? Софт, как я сказал - самописный. Чем можно пренебречь? Допустим, мы не считаем угрозы системного ПО актуальными. Угрозы прикладного ПО - т.е. нашего софта считать актуальными или нет? Кто даст заключение, есть в них НДв или нет?
Спасибо за ответ!
Актуальной считается угроза, которая может быть реализована в ИСПДн и представляет опасность для ПДн.
Согласно Постановлению Правительства РФ №1119 для ИСПДн различают угрозы трех типов:
· Угрозы 1 типа - связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.
· Угрозы 2 типа - связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.
· Угрозы 3 типа - не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.
Согласно руководящему документу «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля недекларированных возможностей» (Гостехкомиссия России, 1999), недекларированные возможности – это функциональные возможности программного обеспечения, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.
Как правильно определить уровень защищенности ПДн, вы можете узнать из статьи: «Как определить уровень защищенности информационных систем» (https://kontur.ru/articles/1940).
Как спроектировать систему защиты персональных данных и выбрать необходимые средства защиты информации, можно ознакомиться в статье: «Практика. Создание системы защиты персональных данных» (https://kontur.ru/articles/1723).
"Доказательством" отсутствия недекларированных возможностей в ПО считается положительное прохождение сертификации во ФСТЭК по соответствующему уровню. Если системное программное обеспечение (операционная система, к примеру) сертифицирована и время сертификата не закончилось, то угроз 1-го типа нет.
Видимо, для определения отсутствия НДВ в прикладном Вам придется обратиться во ФСТЭК :cry:
Страницы: 1
Ответить
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку