Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Особенности аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции (работ, услуг), поставляемой по гособоронзаказу.

12/08/2019 

08 мая 2019 г. утверждены новые Правила аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции работ, услуг), поставляемой по государственному оборонному заказу (постановление Правительства Российской Федерации от 30 апреля 2019 г. № 548).

Новые Правила аккредитации кардинально меняют сложившуюся систему не только аккредитации, но и сертификации СМК предприятий, работающих в области государственного оборонного заказа.

Реклама





Партнеры





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1
Ответить
RSS
Коммерческая тайна
Добрый день.
Подскажите пожалуйста согласно какому документу необходимо рассматривать и анализировать угрозы безопасности и модель нарушителя по коммерческой тайне (Согласно СТР-К пункту 3.8).
Спасибо.
Модель угроз и модель нарушителя, рассматривается, прогнозируется и моделируется в не зависимости от НПА по ИБ. Вы МУ и МН применяете ко всей организации, на которую влияющими воздействиями действуют законы, ПП, УП, отраслевые стандарты и т..д.
Защищаемся вместе и по отдельности.
http://a-makarenko.blogspot.com/
Цитата
Asmodean пишет:
Модель угроз и модель нарушителя, рассматривается, прогнозируется и моделируется в не зависимости от НПА по ИБ. Вы МУ и МН применяете ко всей организации, на которую влияющими воздействиями действуют законы, ПП, УП, отраслевые стандарты и т..д.
Вы немного не поняли вопроса, а то что должно выполняться это и так понятно. Вопрос состоял каким документом(ами) необходимо руководствоваться?
В плане ПДн там все четко и ясно, т.к. имеется базовая модель угроз и методика определения актуальности.
Для защиты других видов охраняемых законом данных ограниченного доступа таких документов нет, МУ и МН для них разрабатывается на основе экспертного анализа. Проводите анализов рисков
Есть методичка ФСТЭК по КТ ДСП, название не помню.
Но опять же, что отнести к КТ - определяете Вы, как защищать КТ - тоже Вы и регуляторов тут нет, хоть западную крипту ставьте, хоть вообще никак не защищайте.
Изменено: Trotsky - 19.06.2012 09:33:17
Насчет крипты вы неправы. Есть ФСБ документ ПКЗ-2005, который определяет применение ГОСТ-криптографии при передаче по открытым каналам информации конфиденциального характера,подлежащей защите в соответствии с законодательством РФ. А коммерческая тайна к такой относится.

Насчет ДСП методички ФСТЭК для КТ не слышал. Надо погуглить, можете уточнить её название?
Цитата
4. Требования Положения ПКЗ-2005 носят рекомендательный характер при разработке, производстве, реализации и эксплуатации:
средств криптографической защиты информации, доступ к которой ограничивается по решению обладателя, пользователя (потребителя) данной информации, собственника (владельца) информационных ресурсов (информационных систем) или уполномоченных ими лиц, не являющихся государственными органами или организациями, выполняющими государственные заказы;
Соответственно, как и СТР-К, только рекомендательный характер.
Цитата
Михаил пишет:
Насчет ДСП методички ФСТЭК для КТ не слышал. Надо погуглить, можете уточнить её название?
Нашёл
Методические рекомендации по технической защите информации, составляющей коммерческую тайну от 25.12.2006 г. (документ ДСП)
Цитата
Trotsky пишет:
4. Требования Положения ПКЗ-2005 носят рекомендательный характер при разработке, производстве, реализации и эксплуатации:
средств криптографической защиты информации, доступ к которой ограничивается по решению обладателя, пользователя (потребителя) данной информации, собственника (владельца) информационных ресурсов (информационных систем) или уполномоченных ими лиц, не являющихся государственными органами или организациями, выполняющими государственные заказы;
А как же п.3:
3. Настоящим Положением необходимо руководствоваться при разработке, производстве, реализации и эксплуатации средств криптографической защиты информации конфиденциального характера в следующих случаях:
если информация конфиденциального характера подлежит защите в соответствии с законодательством Российской Федерации
?
Мое мнение - если вы не относите себя к кредитной организации (для нее необходимо пройти анализ рисков для ВСЕХ выявленных защищаемых информационных активов(причем сгруппированным по типам - БТ КТ Пн), где недопустимый риск - актуальная угроза)
То для обычной организации для ввода режима КТ я бы выполнил требования ФЗ о КТ и ВСЕ! СТР-к вообще под грифом по моему и требований к МУ больше нет нигде, разве что в ПДн.
2Trotsky
Хммм...Для коммерческой тайны есть отдельный ФЗ №98, определяющий необходимость ограничения доступа к ней (п.10). Т.о. основная проблема в данном случае следующая - считать ли режим ограничения доступа к коммерческой тайне устанавливаемым обладателем в соответствии с ФЗ №98 (т.е. имеет место решение обладателя) или считать, что необходимость ограничения доступа к ней уже определена на уровне закона (и тогда о решении обладателя речи идти не может, а все зафиксировано на уровне ФЗ). В первом случае ПКЗ-2005 будет только рекомендацией, а если верна вторая точка зрения, то положения ПКЗ-2005 для коммерческой тайны надо соблюдать (если конечно вообще передача КТ по открытым каналам связи осуществляется). Нужна юридическая консультация.

По поводу методических рекомендаций - спасибо. Что-то я не помню его, почитаю :)
Изменено: Михаил - 20.06.2012 12:23:41
Цитата
Trotsky пишет:
Методические рекомендации по технической защите информации, составляющей коммерческую тайну от 25.12.2006 г. (документ ДСП)
а также "Пособие по организации технической защиты информации, составляющей коммерческую тайну" 2006 (ДСП)
Т.е. если смс не содержат рекламы, то можно слать без всякого согласия? Главное что бы клиент официально предоставил моб.тел. (например указал его в договоре). Я вас правильно понял?
Извиняюсь ответил не в тот пост. Предыдущее сообщение УДАЛИТЬ.
Коллеги, а кто проверяет режим соблюдения КТ кроме ее обладателя? ИМХО защищать ее можно как угодно и чем угодно.
Ну в принципе да, если смотреть с точки зрения отсутствия проверяющих, то наверное можно защищаться как угодно. А вообще, копался с этим вопросом и пришел к такому же выводу - насколько я помню по КТ нет ни ПП, ни приказов ФСТЭК и ФСБ с указанием требований по защите информации, значит защищать их можно как угодно, единственное, что необходимо обеспечить - это режим ограничения доступа к КТ, а чем и как - личное дело владельца (обработчика).
никто не проверяет, разве что если режим не установлен, толком..то в случае судебных разбирательств, вы не сможете взыскать за разглашение никаких денег. а это значит что неполностью или неправильно реализованный режим..считай что нет его..

Ст. 10-13 Закона посвящены охране коммерческой тайны. Общими мерами обеспечения соблюдения конфиденциальности информации являются следующие:
 разработка перечня информации, относящейся к коммерческой тайне;
 разработка положения по коммерческой тайне;
 ограничение и регламентирование доступа к носителям информации;
 определение круга лиц, имеющих права доступа к информации;
 разработка и закрепление правил по регулированию отношений по использованию информации, составляющей коммерческую тайну, в системе трудовых договоров, договоров с контрагентами;
 нанесение на документы, договора, составляющие коммерческую тайну надписи «конфиденциальная информация», при этом необходимо указывать обладателя информации (место нахождения, наименование).
После принятия вышеуказанных мер режим коммерческой тайны считается установленным.

это по меркам закона..а так...у вас должно быть еще помещение для конфиденциальных переговоров..совещаний...тоесть это глушилки и тп.аттестация.и арм тоже для обработки..а то и все арм защищать где перечнем отнесенная к КТ информация обрабатывается..так что не так уж и просто режим реализовать..чтоб не для красивого словца..а чтоб работал он..
одни тока грифы наносить..на бумажки..должны определятся..учет вестись отдельный от общего документооборота..вобщем я сталкивался..гемор тока) хотя если есть что реально стоит защищать...то надо внедрять)
Ну насчет аттестации - это только для госорганов в соответствии с СТР-К, для защиты КТ не в госорганах это все необязательно, главное соблюдение того, что прописано в ФЗ
Страницы: 1
Ответить
Читают тему (гостей: 2, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку