Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Особенности аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции (работ, услуг), поставляемой по гособоронзаказу.

12/08/2019 

08 мая 2019 г. утверждены новые Правила аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции работ, услуг), поставляемой по государственному оборонному заказу (постановление Правительства Российской Федерации от 30 апреля 2019 г. № 548).

Новые Правила аккредитации кардинально меняют сложившуюся систему не только аккредитации, но и сертификации СМК предприятий, работающих в области государственного оборонного заказа.

Реклама





Партнеры





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: Пред. 1 ... 11 12 13 14 15 След.
RSS
[ Закрыто ] СТО БР ИББС, Вопросы для тех кто руководствуется отраслевыми стандартами в защите
Я согласен что можно сделать план мероприятий - и это хорошо но трудоемко.
Проще установить порядок контроля, и ответственное подразделение в общих словах - результат - ст.18.1. выполнена: осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора; Под аудитом соответствия - проведение самооценки уровня ИБ (там и программа и план и ответственные...)
Николай, пишут, что вроде должно быть и то и другое.. хотя я вот не буду план мероприятий делать)
Снова у меня вопрос, спасибо тем кто отвечает.
Итак внедряя стандарты БР приказом - они становятся обязательными.
Но вот в них есть документы - так называемые - Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Далее идет название - либо это Регламент, либо Методика, либо Требования.
Так раз это все же рекомендации - они носят рекомендательный характер поидее?
Николай,
Я так понимаю, что требования стандартов обязательны, а как их реализовать - вы можете придумать сами или воспользоваться специально написанными для этого рекомендациями.
AlexG,
Ну да, вы правы - самооценка уровня информационной безопасности делается только для требований СТО БР ИББС-1.0. Рекомендации - возможный процесс реализации некоторых требований.
На сайте cbr.ru в разделе информационная безопасность было ранее документов побольше! Самое главное там лежало так называемое письмо шести, о том что Стандарты БР согласованы с регуляторами и пользоваться можно ими, если не ими то документами регуляторов!Письмо еще действующее?
Цитата
new пишет:
На сайте cbr.ru в разделе информационная безопасность было ранее документов побольше! Самое главное там лежало так называемое письмо шести, о том что Стандарты БР согласованы с регуляторами и пользоваться можно ими, если не ими то документами регуляторов!Письмо еще действующее?
Письмо действующее, но оно потеряло свою актуальность в связи с вступлением в силу новой версии закона год назад.
Тогда и ПП781 и ПП687 потеряли свою актуальность, причем последнее по всей видимости останется с нами на долго!
Всем привет, вышло новое П-1119 по ПДн, а значит стандарты БР в области ПДн более не действуют?
Основные исполнители проектов этих нормативных правовых документов - Федеральная служба безопасности Российской Федерации (далее - ФСБ России) и Федеральная служба по техническому и экспортному контролю (далее – ФСТЭК России) заявляют о намерении сохранить
преемственность подходов к обеспечению безопасности персональных данных
и подтверждают возможность использования действующих документов по
обеспечению безопасности персональных данных
, в том числе отраслевого
комплекса документов в области стандартизации Банка России "Обеспечение
информационной безопасности организаций банковской системы Российской
Федерации" (далее – Комплекс БР ИББС) до вступления в действие
постановлений Правительства Российской Федерации, устанавливающих
уровни защищенности и требования к защите персональных данных
.
Николай, вы уж ссылочку то на пп выкладывайте
Сергей С., учту.
Даже если это ПП обсуждается в другой теме, так удобнее. Теперь по теме СТО. По большому счету и раньше классификация по СТО не совпадала с трехглавым, и ничего, прокатывало на основании письма 6. Хотя теперь классифицировать по УЗ придется. Тут другой вопрос - есть отраслевая МУ, в которой про НДВ ни слова, есть уровни информационной инфрастуктуры: уровень ОС, уровень СУБД и уровень приложений. И еще интересная штука: 5.2. Отраслевая модель угроз содержит систематизированный перечень актуальных угроз безопасности ПДн при их обработке в ИСПДн, источников актуальных угроз безопасности ПДн, уровней реализации угроз безопасности ПДн, типов материальных объектов среды обработки ПДн (далее - актуальные угрозы безопасности ПДн).
Актуальная угроза безопасности ПДн - угроза безопасности ПДн, риск реализации которой не является допустимым для организации БС РФ по результатам проведения оценки рисков нарушения безопасности персональных данных, обрабатываемых в ИСПДн.
Все таки актуальность определяет банк самостоятельно в рамках оценки рисков ИБ, вот там про НДВ можно и написать (в смысле минимальный риск=неактуальная угроза).
Кому интересно - задавайте вопросы, хотя поидее тема уже избита и "привязана" к своему региону(т.к. точки зрения у регуляторов не совпадают).
В этом году наша кредитная организация прошла проверку РКН: нарушений не выявлено! :)
Поздравляю
Сергей С., спасибо
Николай, а можете дать список документов, которые требует РКН?
Конкретного перечня у нас не требовали - необходимо было предоставить документы оператора, подтверждающие выполнение требований ФЗ-152, 781-П и т.п.
В общем то, названия ведь могут отличаться. Проверка проходила по принципу - а это требование у вас выполнено - где? а это где? а документы подтверждающие уничтожение ПДн, по достижении целей обработки и т.п.
Цитата
Николай пишет:
Конкретного перечня у нас не требовали
а какие доки вы им показывали? что должно быть (хотя бы минимум документов)?
Что мы показывали:
Положение по обработке и защите ПДн (+ листы ознакомления с ним работников, осуществляющих непосредственный доступ к ПДн)
Положение по обработке ПДн работников (+ подтверждение ознакомления работников с этим положением (требование ТК РФ))
Инструкция по организации учета, хранения использования и уничтожения матер. носителей информации (+ листы уничтожения документов, содержащие ПДн, которые достигли целей обработки:) )
Показывали Журнал мониторинга и контроля (который в том числе включает проверку по ПДн, это на основании внутреннего положения)
Показывали программу обучения сотрудников, положение по обучению и журнал прохождения обучения.
Описание технологического процесса обработки ПДн только в ИСПДн.
Ну и соответственно они смотрели личные дела и т.п. + смотрели остальные документы (приказ о назначении ответственного за обработку и т.д.)
Всем доброго времени суток.
Хотелось бы получить совет по вопросу повышения осведомленности сотрудников вопросам информационной безопасности.
Согласно СТО БР ИББС мы разработали программу повышения осведомленности, положение, тесты к программе - как результат контроля. В программу были включены основные моменты - "что такое информация ограниченного доступа - какая у нас есть что нужно делать и когда нужно делать, как выбирать пароли, куда лезть куда не лезть, когда закрывать кабинет, когда лочить комп итп", грубо говоря - вода водой, но для обычного работника это очень даже НОВО.
Теперь, согласно 382-П ЦБ РФ:
2.12.1. Оператор по переводу денежных средств, банковский платежный агент (субагент), являющийся юридическим лицом, оператор услуг платежной инфраструктуры обеспечивают повышение осведомленности работников в области обеспечения защиты информации:
по порядку применения организационных мер защиты информации;
по порядку использования технических средств защиты информации.
Здесь требуется обучение узконаправленное, что лучше - разработать новую программу, или переучить всех, изменив старую и включить в нее требования 382-П.?
Кто то уже работал в этом направлении?
Страницы: Пред. 1 ... 11 12 13 14 15 След.
Читают тему (гостей: 6, пользователей: 0, из них скрытых: 0)