Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Особенности аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции (работ, услуг), поставляемой по гособоронзаказу.

12/08/2019 

08 мая 2019 г. утверждены новые Правила аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции работ, услуг), поставляемой по государственному оборонному заказу (постановление Правительства Российской Федерации от 30 апреля 2019 г. № 548).

Новые Правила аккредитации кардинально меняют сложившуюся систему не только аккредитации, но и сертификации СМК предприятий, работающих в области государственного оборонного заказа.

Обучение

010. Администрирование SIEM-системы КОМРАД.
21 - 22 ноября 2019 года

Применение системы защиты Secret Net Studio.
25 - 27 ноября 2019 года

016.3. Администрирование комплекса средств защиты и Astra Linux Directory в Astra Linux SE 1.6.
2 - 4 декабря 2019 года

016.4. Администрирование Astra Linux SE 1.6: работа в смешанных сетях.
5 - 9 декабря 2019 года

002. Техническая защита информации. Способы и средства защиты информации от несанкционированного доступа.
16 - 20 декабря 2019 года

Реклама





Партнеры





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Форум » Общие вопросы по информационной безопасности
Страницы: Пред. 1 ... 11 12 13 14 15 След.
RSS
[ Закрыто ] СТО БР ИББС, Вопросы для тех кто руководствуется отраслевыми стандартами в защите
#261
11.09.2012 12:43:59
Я согласен что можно сделать план мероприятий - и это хорошо но трудоемко.
Проще установить порядок контроля, и ответственное подразделение в общих словах - результат - ст.18.1. выполнена: осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора; Под аудитом соответствия - проведение самооценки уровня ИБ (там и программа и план и ответственные...)
E-mail
#262
11.09.2012 14:19:23
Николай, пишут, что вроде должно быть и то и другое.. хотя я вот не буду план мероприятий делать)
E-mail
#263
19.09.2012 07:28:30
Снова у меня вопрос, спасибо тем кто отвечает.
Итак внедряя стандарты БР приказом - они становятся обязательными.
Но вот в них есть документы - так называемые - Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Далее идет название - либо это Регламент, либо Методика, либо Требования.
Так раз это все же рекомендации - они носят рекомендательный характер поидее?
E-mail
#264
19.09.2012 09:17:53
Николай,
Я так понимаю, что требования стандартов обязательны, а как их реализовать - вы можете придумать сами или воспользоваться специально написанными для этого рекомендациями.
E-mail
#265
19.09.2012 11:16:20
AlexG,
Ну да, вы правы - самооценка уровня информационной безопасности делается только для требований СТО БР ИББС-1.0. Рекомендации - возможный процесс реализации некоторых требований.
E-mail
#266
19.09.2012 13:34:55
На сайте cbr.ru в разделе информационная безопасность было ранее документов побольше! Самое главное там лежало так называемое письмо шести, о том что Стандарты БР согласованы с регуляторами и пользоваться можно ими, если не ими то документами регуляторов!Письмо еще действующее?
 
#267
20.09.2012 05:31:15
Цитата
new пишет:
На сайте cbr.ru в разделе информационная безопасность было ранее документов побольше! Самое главное там лежало так называемое письмо шести, о том что Стандарты БР согласованы с регуляторами и пользоваться можно ими, если не ими то документами регуляторов!Письмо еще действующее?
Письмо действующее, но оно потеряло свою актуальность в связи с вступлением в силу новой версии закона год назад.
E-mail
#268
21.09.2012 05:16:29
Тогда и ПП781 и ПП687 потеряли свою актуальность, причем последнее по всей видимости останется с нами на долго!
 
#269
06.11.2012 07:03:48
Всем привет, вышло новое П-1119 по ПДн, а значит стандарты БР в области ПДн более не действуют?
Основные исполнители проектов этих нормативных правовых документов - Федеральная служба безопасности Российской Федерации (далее - ФСБ России) и Федеральная служба по техническому и экспортному контролю (далее – ФСТЭК России) заявляют о намерении сохранить
преемственность подходов к обеспечению безопасности персональных данных
и подтверждают возможность использования действующих документов по
обеспечению безопасности персональных данных, в том числе отраслевого
комплекса документов в области стандартизации Банка России "Обеспечение
информационной безопасности организаций банковской системы Российской
Федерации" (далее – Комплекс БР ИББС) до вступления в действие
постановлений Правительства Российской Федерации, устанавливающих
уровни защищенности и требования к защите персональных данных.
E-mail
#270
06.11.2012 08:59:41
Николай, вы уж ссылочку то на пп выкладывайте
E-mail
#271
06.11.2012 11:08:23
Сергей С., учту.
E-mail
#272
06.11.2012 11:30:12
Даже если это ПП обсуждается в другой теме, так удобнее. Теперь по теме СТО. По большому счету и раньше классификация по СТО не совпадала с трехглавым, и ничего, прокатывало на основании письма 6. Хотя теперь классифицировать по УЗ придется. Тут другой вопрос - есть отраслевая МУ, в которой про НДВ ни слова, есть уровни информационной инфрастуктуры: уровень ОС, уровень СУБД и уровень приложений. И еще интересная штука: 5.2. Отраслевая модель угроз содержит систематизированный перечень актуальных угроз безопасности ПДн при их обработке в ИСПДн, источников актуальных угроз безопасности ПДн, уровней реализации угроз безопасности ПДн, типов материальных объектов среды обработки ПДн (далее - актуальные угрозы безопасности ПДн).
Актуальная угроза безопасности ПДн - угроза безопасности ПДн, риск реализации которой не является допустимым для организации БС РФ по результатам проведения оценки рисков нарушения безопасности персональных данных, обрабатываемых в ИСПДн.
Все таки актуальность определяет банк самостоятельно в рамках оценки рисков ИБ, вот там про НДВ можно и написать (в смысле минимальный риск=неактуальная угроза).
E-mail
#273
07.12.2012 11:07:22
Кому интересно - задавайте вопросы, хотя поидее тема уже избита и "привязана" к своему региону(т.к. точки зрения у регуляторов не совпадают).
В этом году наша кредитная организация прошла проверку РКН: нарушений не выявлено! :)
E-mail
#274
07.12.2012 11:24:29
Поздравляю
E-mail
#275
07.12.2012 11:33:38
Сергей С., спасибо
E-mail
#276
10.12.2012 10:55:12
Николай, а можете дать список документов, которые требует РКН?
 
#277
11.12.2012 05:37:51
Конкретного перечня у нас не требовали - необходимо было предоставить документы оператора, подтверждающие выполнение требований ФЗ-152, 781-П и т.п.
В общем то, названия ведь могут отличаться. Проверка проходила по принципу - а это требование у вас выполнено - где? а это где? а документы подтверждающие уничтожение ПДн, по достижении целей обработки и т.п.
E-mail
#278
13.12.2012 11:36:03
Цитата
Николай пишет:
Конкретного перечня у нас не требовали
а какие доки вы им показывали? что должно быть (хотя бы минимум документов)?
E-mail
#279
21.12.2012 05:26:56
Что мы показывали:
Положение по обработке и защите ПДн (+ листы ознакомления с ним работников, осуществляющих непосредственный доступ к ПДн)
Положение по обработке ПДн работников (+ подтверждение ознакомления работников с этим положением (требование ТК РФ))
Инструкция по организации учета, хранения использования и уничтожения матер. носителей информации (+ листы уничтожения документов, содержащие ПДн, которые достигли целей обработки:) )
Показывали Журнал мониторинга и контроля (который в том числе включает проверку по ПДн, это на основании внутреннего положения)
Показывали программу обучения сотрудников, положение по обучению и журнал прохождения обучения.
Описание технологического процесса обработки ПДн только в ИСПДн.
Ну и соответственно они смотрели личные дела и т.п. + смотрели остальные документы (приказ о назначении ответственного за обработку и т.д.)
E-mail
#280
11.02.2013 07:11:46
Всем доброго времени суток.
Хотелось бы получить совет по вопросу повышения осведомленности сотрудников вопросам информационной безопасности.
Согласно СТО БР ИББС мы разработали программу повышения осведомленности, положение, тесты к программе - как результат контроля. В программу были включены основные моменты - "что такое информация ограниченного доступа - какая у нас есть что нужно делать и когда нужно делать, как выбирать пароли, куда лезть куда не лезть, когда закрывать кабинет, когда лочить комп итп", грубо говоря - вода водой, но для обычного работника это очень даже НОВО.
Теперь, согласно 382-П ЦБ РФ:
2.12.1. Оператор по переводу денежных средств, банковский платежный агент (субагент), являющийся юридическим лицом, оператор услуг платежной инфраструктуры обеспечивают повышение осведомленности работников в области обеспечения защиты информации:
по порядку применения организационных мер защиты информации;
по порядку использования технических средств защиты информации.
Здесь требуется обучение узконаправленное, что лучше - разработать новую программу, или переучить всех, изменив старую и включить в нее требования 382-П.?
Кто то уже работал в этом направлении?
E-mail
 
Страницы: Пред. 1 ... 11 12 13 14 15 След.
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)