Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

GDPR: Новые правила обработки персональных данных в EU

15/06/2018

Все слышали о General Data Protection Regulation (GDPR) (Regulation (EU) 2016/679), который вступил в силу 25 мая 2018 года. Штрафы большие и придётся соответствовать. Как и любой официальный документ, он написан сухо и может трактоваться по-разному.

Реклама

Партнеры

Лаборатория кибербезопасности







Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1
RSS
[ Закрыто ] Недокументированные возможности в прикладном / системном ПО
Прошу прощения, если схожий вопрос уже обсуждался.
В случае наличия в составе ИСПДн недокументированных возможностей в прикладном / системном ПО, требуется ли предпринимать какие-либо действия по "документации", или оставляем все как есть и устанавливаем аттестованную защиту (антивирус и т.п.)
Спасибо!
Цитата
Елена пишет:
В случае наличия в составе ИСПДн недокументированных возможностей в прикладном / системном ПО, требуется ли предпринимать какие-либо действия по "документации", или оставляем все как есть и устанавливаем аттестованную защиту (антивирус и т.п.)
Недокументированные возможности могут содержаться не в составе ИСПДн, а в программном обеспечении ИСПДн.
Самым главным "действием" является оценка актуальности угроз наличия НДВ в ПО. Наличие такого рода актуальных угроз повлияет на выбор мер по защите персональных данных (в соответствии с документом, который вскоре будет утвержден). Если неактуальны, защищать ПДн все равно нужно, но требования к мерам защиты будут мягче. Поэтому, пользуясь методическими документами ФСТЭК, лучше сделать их неактуальными.

По поводу "устанавливаем аттестованную защиту" - для защиты ПДн нужно применять сертифицированные (а не аттестованные) СЗИ.
AlexG, да, я оговорилась) Конечно, в составе ПО. Значит, с "недокументированными возможностями" можно ничего не делать, верно? Далее ставим сертифицированную защиту и...
Как быть с оценкой соответствия средств защиты информации?
в продолжение: думается, что ее проводит лицензиат РКН по ТЗКИ, или я ошибаюсь?
Хочется спросить, обязательна ли аттестация АРМ и помещений?
Благодарю!
Цитата


Елена пишет:
Значит, с "недокументированными возможностями" можно ничего не делать, верно? Далее ставим сертифицированную защиту и...
Как быть с оценкой соответствия средств защиты информации?

в продолжение: думается, что ее проводит лицензиат РКН по ТЗКИ, или я ошибаюсь?
Хочется спросить, обязательна ли аттестация АРМ и помещений?
Благодарю!

Судя по проекту нового рук. документа (см. на сайте ФСТЭК), с угрозами НДВ "можно ничего не делать", просто само их наличие предъявляет более высокие требования к мерам по защите ПДн.

Оценка соответствия СЗИ проводится в форме их сертификации. Т.е. Ваша задача - применять только сертифицированные СЗИ.

Лицензиаты РКН здесь не при чем. Деятельность по ТЗКИ лицензирует ФСТЭК. Лицензиаты ФСТЭК могут, если на то будет Ваше желание, построить Вам систему защиты ПДн и аттестовать ее. Но атестация ИСПДн - дело добровольное и вряд ли стоит этим заниматься.

Аттестация АРМ и помещений в любом случае не требуется (если конечно, у Вас, кроме перс. данных, нет еще какой-нибудь "служебной тайны" )
AlexG, спасибо огромное! Все предельно ясно)
Страницы: 1
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)