Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

GDPR: Новые правила обработки персональных данных в EU

15/06/2018

Все слышали о General Data Protection Regulation (GDPR) (Regulation (EU) 2016/679), который вступил в силу 25 мая 2018 года. Штрафы большие и придётся соответствовать. Как и любой официальный документ, он написан сухо и может трактоваться по-разному.

Реклама

Партнеры

Лаборатория кибербезопасности







Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: Пред. 1 2
RSS
[ Закрыто ] Нужна ли лицензия на составление документации?, Помогите разобраться в более юридическом вопросе.
Цитата
AlexG пишет:
Этапы проектирования объекта в ЗИ определены ГОСТ Р 51583-2014. Там нет ни про модель угроз, ни про политику. Более того, и политика, и положение о ЗИ, и модель угроз - это все внутренние документы оператора. Даже если кто-то сделает их за него (в порядке консалтинга, скажем), подписывать их все равно будет оператор (а не консультант и не лицензиат). В любом случае делается вид, что их разработал сам оператор, а не кто-то со стороны.
AlexG, Вы не хотите выстроить цепочку этапов (стадий)создания СЗИ ИСПДн, в которой появляется ЧМУ, попробую сделать я в контексте нашей дискуссии.
На стадии формирования требований к АС выполняются следующие работы (раздел 6.3.1) ГОСТа "..разработку модели угроз безопасности информации применительно к конкретным вариантам функционирования АСЗИ".
Применительно к ИСПДн по терминологии ФСТЭК "частная модель угроз".
Экий, Вы, батенька, упрямый.
Причем здесь пункт 6.3.1? Какое отношение он имеет к проектированию? Проектирование начинается с пункта 6.6. Все, что идет до него, не является проектированием. Вы читать-то умеете?!
По-Вашему, как только я вошел в помещение, где расположена ИСПДн, я уже начал проектировать?
Цитата
AlexG пишет:
Экий, Вы, батенька, упрямый.
Причем здесь пункт 6.3.1? Какое отношение он имеет к проектированию? Проектирование начинается с пункта 6.6. Все, что идет до него, не является проектированием. Вы читать-то умеете?!
По-Вашему, как только я вошел в помещение, где расположена ИСПДн, я уже начал проектировать?
Экий, ВЫ батенька, опускаетесь на уровень мелких оскорблений.
Еще раз для умеющих читать ГОСТы:
6.1. Создание системы защиты информации АСЗИ обеспечивается следующим комплексом работ:
Формирование требований к системе ЗИ ИСЗИ
 Разработка (проектирование) системы ЗИ ИСЗИ
 ….
6.2. Формирование требований организуется заказчиком и осуществляется разработчиком…
6.3. на стадии «Формирования требований» … выполняются следующие работы:
 ….
Определение актуальных угроз безопасности
Разработку модели угроз…
Вы по-прежнему утверждаете, что при создании АСЗИ можно формировать требования, осуществляемые разработчиком,т.е. "исходные данные" для дальнейших этапов создания АСЗИ, без наличия лицензии на ТЗКИ (и криптографию)?
Вы утверждаете, что без этих лицензий Вы имеете право создавать систему технической защиты АС?
Пункт 6.6. процитируйте, будьте так добры.

Формирование требований выполняется ДО начала проектирования (проектировать еще нечего). Требования формулируются, включаются в ТЗ, и уже ПОСЛЕ ЭТОГО начинается проектирование. Почитайте же ГОСТ в конце-то концов.
Требования предъявляет ЗАКАЗЧИК, и лицензия ему не нужна.

Вы по-прежнему утверждаете, что для того, чтобы произвести осмотр условий эксплуатации ИС (помещения), мне требуется лицензия ФСТЭК?
Цитата
AlexG пишет:
Пункт 6.6. процитируйте, будьте так добры.

Формирование требований выполняется ДО начала проектирования (проектировать еще нечего). Требования формулируются, включаются в ТЗ, и уже ПОСЛЕ ЭТОГО начинается проектирование. Почитайте же ГОСТ в конце-то концов.
Требования предъявляет ЗАКАЗЧИК, и лицензия ему не нужна.

Вы по-прежнему утверждаете, что для того, чтобы произвести осмотр условий эксплуатации ИС (помещения), мне требуется лицензия ФСТЭК?
AlexG, спасибо, что не намекаете на мой короткий ум!
1.Успокойтесь, для осмотра условий эксплуатации (беглым взглядом) лицензии не надо.
2. В предыдущем сообщении я выделил для Вас жирным шрифтом, что по ГОСТу заказчик организует формирование требований по защите, а исполнитель (разработчик)осуществляет (так как заказчик не обязан разбираться в информационной безопасности и лицензии у него нет).
3. По-Вашему, для Вас исходные данные может подготовить оператор по мойке полов, а Вы затем спроектируете на основе этих требований систему защиты ИСПДн!
Позвольте, как это для осмотра не надо?? Разве это не этап (по-Вашему) формирования требований? Разве это не работа? Как же без лицензии??

Если разработчик будет за заказчика определять требования, заказчик просто останется без штанов.
Цитата
AlexG пишет:
Позвольте, как это для осмотра не надо?? Разве это не этап (по-Вашему) формирования требований? Разве это не работа? Как же без лицензии??

Если разработчик будет за заказчика определять требования, заказчик просто останется без штанов.
AlexG,
1.Я процитировал Вам этапы, стадии, работы из Госта, это по нашему и по Вашему
2.В отношении штанов. Вы от логики перешли к эмоциям, следовательно Ваша аргументация исчерпана.
Умеющие читать форумчане поймут Ваше "не парьтесь". Всего доброго.
Вы уж не валите с больной головы на здоровую.
Цитировать пункт 6.6. ГОСТа Вы не решились. Жаль, все бы стало ясно.

Хорошо, спросим по -другому: каким по счету этапом работ по защите информации в АСЗИ является проектирование? И какие работы предшествуют проектированию?
Цитата
AlexG пишет:
Вы уж не валите с больной головы на здоровую.
Цитировать пункт 6.6. ГОСТа Вы не решились. Жаль, все бы стало ясно.

Хорошо, спросим по -другому: каким по счету этапом работ по защите информации в АСЗИ является проектирование? И какие работы предшествуют проектированию?
Уважаемый AlexG.
Видимо, для доказательства того, что разработчику модели угроз при создании системы защиты ПДн в ИСПДн не требуется лицензии на ТЗКИ Вы хотите с моей помощью построить следующую логическую цепочку.
1. В ГОСТе указаны этапы работ:
1.1 Формирование требований
1.2 Разработка (проектирование)
1.3 Внедрение
1.4 Сопровождение
2.Разработка модели угроз проводится на этапе 1.1 Формирование требований
3.ПП о лицензировании предусматривает обязательность лицензии при проектировании в защищенном исполнении средств и систем автоматизации
4. Вывод:Для разработки частной модели угроз в ИСПДн лицензия не требуется.
Если бы Вы были юрист (но Вы отметили, что Вы безопасник), то я бы включился в полемику.
Отвечаю безопаснику. Напоминаю, что в основе построения систем защиты информации находится понятие "риск", включающее в себя оценку вероятности (или частоты) угрозы, потенциал нарушителя, уязвимости защищаемой системы и ущерб обладателю информации. В терминах ФСТЭК - это актуальная угроза безопасности, совокупность которых образуют частную модель угроз безопасности для конкретной ИСПДн. Если угроза признана "экспертом" по моделированию не актуальной, на самом деле являющаяся таковой, то CЗИ будет плохим. Если угроза будет признана актуальной, на самом деле таковой не являющейся, то это "деньги на ветер". Поэтому, еще раз подчеркиваю, стандарт указывает, что заказчик организует процесс формирования требований, а разработчик их формирует. Таким образом, этап формирования требований, на котором доминирующую роль играет моделирование угроз, является по выражению Вл. Ленина архиважным. И вряд ли манипулирование понятиями (я считаю, что в ПП проектирование - это весь комплекс работ по созданию защищенных систем) при нестыковке НПА достойно для безопасника в советах "не партесь". Мой совет Леонтьеву, подумайте и вычлените из своих предложений те услуги, которые подпадают под лицензировании.
Я во многом не согласен с этим ПП, но мое не согласие не означает, что я или Леонтьев не получит административное или уголовное правонарушение, если не париться. .
Как работает правоприменительная практика, я отлично знаю. При желании прокуратура легко прикрывает фирму даже с тремя лицензиями. И что Вы предлагаете делать?

Вопрос: определены ли в нормативной базе требования к специалистам (экспертам), занимающихся моделированием угроз? Уровень их образования, специальность, стаж и т.д.? Где написано, кого можно, а кого нельзя привлекать к моделированию? Пожалуйста, не Ваши размышления, а пункт документа. На основании какого документа я не могу включить в комиссию уборщицу? Название, пункт?

Цитирования пункта 6.6. ГОСТа я, увы, не дождался. Остаюсь при своем мнении: моделирование угроз ПРЕДШЕСТВУЕТ проектированию и это определено ГОСТ, все остальное - Ваши фантазии.

Успехов Вам в сфере ИБ. ;)
Уважаемый AlexG,
1.конечно при разработке системы защиты для (к примеру, действующей ИСПДн) вначале исследуют (определяют...) ее текущее состояние защищенности сопоставляя действующие в ней меры и средства защиты информации с потенциальными опасностями нарушения информационной безопасности, информацией о которых владеет разработчик системы защиты на момент разработки. А затем выбирают (проектируют) меры и средства защиты, полностью нейтрализующие или частично компенсирующие угрозы. Я не смею с Вами по этому вопросу спорить, так как никогда не придерживался другого мнения.
2. Так как в отличие от Вас я понимаю "проектирование" в ПП в смысле "разработка", то необходимым, но не достаточным условием по мнению регулирующих органов за деньги можно привлекать лиц, имеющих лицензию, для получения которой надо иметь в штате или дипломированных специалистов или прошедших переподготовку в области информационной безопасности.
3.Предприятие на свой страх и риск, разрабатывая систему защиты собственными силами, т.е. для собственных нужд, может поручить моделирование угроз уборщице.
Но потом при самодекларировании (вместо аттестации)соответствия мер и средств защиты требованиям оно должно убедить регуляторов, что все требования выполнены.
:) :D
Хорошо, открою Вам тайну. Лицензия на проектирование требуется тогда, когда организация разрабатывает юридически значимые проектные документы (не Модель и не Политики, а технорабочий проект, эскизный проект и т.д.), а так же документы по результатам испытаний АС. Всё. Остальное - это уже Ваши домыслы и предположения.

Про "самодекларирование" это Вы тоже придумали, почитайте ФЗ-184. Там упоминается "декларирование соответствия", но к ИБ оно не применимо.
олее того: если система не подлежит обязательной аттестации, то никакой регулятор не приедет ее проверять в виду отсутствия полномочий. Не надо пугаться каждого шороха.
Ребят, очень интересный получился спор, но все же скажите по факту.
Получается, я могу оформить ИП и в предмете договора с другими компаниями указывать как "Составление организационно-распорядительной документации" или что-то в таком духе, главное чтобы не фигурировало понятие ПД, верно?
Гость, мое мнение: можете. Более того, вы можете даже указать, что составляете ОРД по ПДн. Главное, чтобы не упоминались слова типа "проектирование", "испытания", "контроль защищенности" и т.п.
Но чтобы не дразнить гусей регуляторов, формулируйте более обще: не документы по обработке и безопасности ПДН, а, скажем, "Документы, регламентирующие выполнение требований законодательства в области ПДн". Пользуйтесь великим и могучим русским языком. ;)
Цитата
AlexG пишет:
Хорошо, открою Вам тайну. Лицензия на проектирование требуется тогда, когда организация разрабатывает юридически значимые проектные документы (не Модель и не Политики, а технорабочий проект, эскизный проект и т.д.), а так же документы по результатам испытаний АС. Всё. Остальное - это уже Ваши домыслы и предположения.
Уважаемый AlexG. Какой же Вы, батенька, надменный и любитель поучать (последний раз так реагирую на Ваш стиль ведения дискуссий, извините). Видимо я сейчас буржуин, а ВЫ Мальчиш- Кибальчиш?
Конечно, Вы очередной раз правы, указав, что надо употреблять вместо «самодекларация» «декларация соответствия». Но меня интересует и, надеюсь, тысячу других, заходящих на эту ветку, убедительное изложение, что можно, а что надо поостеречься, взявшись за защиту ПДн в качестве бизнеса.
Так вот, на мой взгляд, аудитория этой ветки не представители системных интеграторов, занимающихся информационной безопасностью: этот вопрос их не интересует, так с лицензиями от ФСТЭК и ФСБ и Министерства Обороны у них все в порядке.
Я думаю, поле деятельности для таких как Леонтьев – это малый и, может быть, средний бизнес, когда количество компьютеров в ИСПДн не превышает один-два десятка. На этих предприятиях (это не банки, не пенсионный фонд, не Ростелеком, а это хлебокомбинат, АТП, магазинчики и.д.) в качестве кандидата на пост администратора безопасности можно выбрать бухгалтера или, в лучшем случае, юрисконсульта) нужна ОРД, чтобы «защититься» от Роскомнадзора и повысить свой культурно-безопасный уровень и техническая защита в виде межсетевого экрана с подсистемой предотвращения вторжений, антивируса, подсистемы управления доступом для защиты от несанкционированного доступа, подсистему дублирования и восстановления информации. Здесь смешон разговор об эскизном проекте, технорабочем и т.д.
Каким видом деятельности из перечисленного без нарушения законодательства могут заняться такие полезные как Леонтьевы. Если Вы нам это растолкуете, честь Вам и хвала и мое искреннее отдельное спасибо.
Я прошу прощения у администрации форума и размещаю длинный «типовой» состав документов, составленный одной из уважаемых фирм. Аргументируйте господин AlexG, что может делать Леонтьев, а что нет.
Состав организационно-распорядительной документации по защите персональных данных
Название Содержание Ответ г-на AlexG
Приказ
«О создании рабочей группы по приведению информационных систем персональных данных в соответствие с требованиями Федерального Закона «О персональных данных» Назначает рабочую группу по организации работ по обеспечению безопасности персональных данных, ее обязанности, полномочия, сроки.
Приложение 1. Состав рабочей группы
Приложение 2. План мероприятий по защите персональных данных
Приказ
«О создании комиссии по классификации информационных систем персональных данных» Назначает Комиссию по классификации информационных систем персональных данных, ее обязанности, полномочия, сроки.
Приложение 1. Состав Комиссии
Приказ
«Об утверждении актов классификации информационных систем персональных данных» Утверждает и вводит в действие акты классификации информационных систем персональных данных.
Приложения: Акты классификации
Приказ
«Об утверждении частной модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных» Утверждает и вводит в действие «Частную модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных»
Приложение 4.1.Определение уязвимостей ИСПДн
Приложение 4.2. «Частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных»
Приложение 4.3 . «Модель нарушителя»
Приложение 4.4 . «Политика безопасности»
Приложение 4.5. «Политика безопасности для опубликования»
Приложение 4.6. «Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения X-го уровня защищенности»
Приказ
«О введении в действие перечня обрабатываемых персональных данных, перечня информационных систем персональных данных и перечня подразделений и сотрудников, допущенных к работе с персональными данными». Утверждает и вводит в действие Перечень обрабатываемых персональных данных, Перечень информационных систем персональных данных, Перечень подразделений и должностей, допущенных к работе с персональными данными, Дополнения в Перечень конфиденциальной информации, а так же определяет ответственность должностных лиц.
Приложение 1. Перечень обрабатываемых персональных данных.
Приложение 2. Перечень информационных систем персональных данных.
Приложение 3. Перечень подразделений и должностей, допущенных к работе с персональными данными.
Приложение 4. Дополнения в Перечень конфиденциальной информации.
Приказ
«Об организации работ по обеспечению безопасности персональных данных» Утверждает и вводит в действие внутренние документы по организации работ и обеспечению безопасности персональных данных.
Приложение 1 к Приказу. «Положение об обработке персональных данных».
Приложение 1. к Положению об обработке персональных данных. Форма Ответа субъекту персональных данных об обрабатываемых персональных данных (о наличии персональных данных)
Приложение 2. к Положению об обработке персональных данных. Форма Уведомления субъекта персональных данных об исключении из обработки или исправлении неверных персональных данных, а также данных, обрабатываемых с нарушением требований законодательства.
Приложение 3 к Положению об обработке персональных данных. Форма Согласия на обработку персональных данных.
Приложение 4 к Положению об обработке персональных данных. Форма Согласия на внесение персональных данных в общедоступные источники.
Приложение 5 к Положению об обработке персональных данных. Форма Запроса субъекта персональных данных об обрабатываемых персональных данных.

Приложение 6 к Положению об обработке персональных данных. Форма Запроса субъекта персональных данных об исключении из обработки или исправлении неверных персональных данных.
Приложение 7 к Положению об обработке персональных данных. Форма Отзыва согласия на обработку персональных данных.

Приложение 8 к Положению об обработке персональных данных. Форма Уведомления субъекта персональных данных об изменении персональных данных.
Приложение 9 к Положению об обработке персональных данных. Форма Запроса третьих лиц на доступ к обрабатываемым персональным данным.

Приложение 10 к Положению об обработке персональных данных. Форма Ответа на запрос третьих лиц на доступ к обрабатываемым персональным данным.
Приложение 11 к Положению об обработке персональных данных. Форма Журнала учета обращений

Приложение 12 к Положению об обработке персональных данных. Форма Журнала учета электронных носителей персональных данных.

Приложение 13 к Положению об обработке персональных данных. Форма Акта уничтожения носителей персональных данных

Приложение 14 к Положению об обработке персональных данных. Форма журнала учета проверок, проводимых органами государственного контроля (надзора), органами муниципального контроля.
Приложение 2 к Приказу. Положение об организации и обеспечении защиты персональных данных.
Приложение 1 к Положению об организации и обеспечении защиты персональных данных. Форма Заявки на предоставление доступа к ИСПДн
Приложение 2 к Положению об организации и обеспечении защиты персональных данных. Форма Журнала учета средств защиты информации, эксплуатационной и технической документации к ним

Приложение 3 к Положению об организации и обеспечении защиты персональных данных. Форма Журнала учета средств криптографической защиты информации, эксплуатационной и технической документации к ним, ключевых документов.
Приложение 4 к Положению об организации и обеспечении защиты персональных данных. Форма Журнала периодического тестирования средств защиты информации.
Приложение 5 к Положению об организации и обеспечении защиты персональных данных. Форма Журнала учета мероприятий по защите информации.
Приложение 3 к Приказу. Дополнения разделы трудовых договоров о конфиденциальности.
Приложение 4 к Приказу. Дополнения в должностные инструкции лиц участвующих в обработке персональных данных.
Приложение 5 к Приказу. Инструкции пользователям информационных систем персональных данных.
Приложение 6 к Приказу. Инструкции администраторам безопасности информационных систем персональных данных.
Приложение 7 к Приказу. Инструкция по действию в случае компрометации ключевой информации.
Приложение 8 к Приказу. План внутренних проверок состояния защиты персональных данных

Приложение 9 к Приказу. Перечень мест хранения материальных носителей персональных данных.
Приложение 10 к Приказу. Перечень мест хранения ПДн
Приложение 11 к приказу. Правила доступа в помещения
Приложение 12 к приказу. Перечень лиц, допущенных в помещения
Приложение 13 к приказу. Инструкция ответственного за организацию работ
Форма Акта внедрения средств защиты информации Форма Акта соответствия
Приложение 1. Настройки СЗИ
Приказ
«О назначении комиссии по декларированию соответствия информационных систем персональных данных требованиям безопасности» Определяет состав комиссии по проведению декларирования соответствия информационных систем персональных данных требованиям безопасности
Приложение 1. Состав комиссии
Приложение 2. Акт соответствия информационной системы персональных данных требованиям по безопасности
Пояснительная записка Пояснительная записка к типовому проекту
Просите, Сергей Терехов, но я очень не люблю голословных постов. Сказали - будете готовы аргументировать. Свои соображения я не раз высказывал выше: обследование, формирование требований - все это предшествует проектированию и таковым не является. Я ссылался на ГОСТ, в котором ясно написано, какие этапы предшествуют проектированию (оно начинается с пункта 6.6., который Вы так не хотели цитировать).

На мой взгляд, почти все документы можно спокойно делать без лицензии (тем более, документы, никак не относящиеся к защите).
Исключения:
- Приложение 4.1.Определение уязвимостей ИСПДн (могут пришить контроль защищенности, особенно если это инструментальный поиск).
- Пояснительная записка к проекту (это уже из комплекта проектной док-ции. Кстати, а где сам проект?)
- возможно, Приложение к Положению об организации и обеспечении защиты персональных данных. Форма Журнала учета мероприятий по защите информации. (перечень работ и услуг по лицензии ФСБ гораздо шире, чем по ФСТЭК, но все-таки, саму форму акта я бы делал без лицензии, тем более, что эта форма и так определена методичкой ФСБ).

Пункт «О назначении комиссии по декларированию соответствия информационных систем персональных данных требованиям безопасности» на мой взгляд, безграмотен: декларирование соответствия неприменимо к системам защиты информации (см. ФЗ "О техническом регулировании").

Желаете возразить - пожалуйста, только, чур, не "я уверен", а с опорой на нормативку.
Цитата
AlexG пишет:
Приложение 4.1.Определение уязвимостей ИСПДн (могут пришить контроль защищенности, особенно если это инструментальный поиск)
Уважаемый AlexG.
У меня, конечно, есть вопросы. Вы относите определение уязвимостей действующей ИСПДн на предпроектном этапе разработки СЗИ ИСПДн к деятельности, подпадающей под лицензирование (цитирую «могут пришить контроль защищенности, особенно если это инструментальный поиск»).
1. Но на том же предпроектном этапе разработки СЗИ уязвимость только одна из слагаемых определения актуальной угрозы, эксплуатирующую эту уязвимость. Так как Вы очень склонны к формализованной точке зрения напомню, что определение того актуальна ли некая угроза по действующей методике ФСТЭК основывается (некоторые детали для простоты опущены) на:
a. Наличии угрозы, наличие источника угрозы, вероятности (или частоты) реализации угрозы
b. Наличии уязвимости, на которую может воздействовать источник данной угрозы (наличие уязвимости еще не доказывает актуальность угрозы)
c. Наличии ощутимого ущерба (негативных последствий) у субъекта ПДн в результате реализации угрозы.
Следуя Вашей логике и выводу о том, что определение уязвимостей требует лицензирования (и здесь я солидарен с Вами и это утверждаю с самого начала дискуссии), то, если быть последовательным, более серьезная деятельность по разработке модели угроз (если можно так выразиться одноранговая деятельность) тем более может быть «пришита» компетентными органами к деятельностью по оценке защищенности или иначе контролю.
2. Как Вы считаете, термин «проектирование» в стандарте и термин «проектирование» в ПП имеют одно и то же содержание? И если Вам не трудно, укажите официальное определение понятия проектирование, принятое в области ИБ.
Цитата
AlexG пишет:
Пункт «О назначении комиссии по декларированию соответствия информационных систем персональных данных требованиям безопасности» на мой взгляд, безграмотен: декларирование соответствия неприменимо к системам защиты информации (см. ФЗ "О техническом регулировании").

Желаете возразить - пожалуйста, только, чур, не "я уверен", а с опорой на нормативку.
Цитирую для Вас выдержки из ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ

ИНФОРМАЦИОННОЕ СООБЩЕНИЕ
от 15 июля 2013 г. N 240/22/2637

"По вопросу о форме оценки эффективности принимаемых мер по обеспечению безопасности персональных данных, о форме и содержании материалов оценки эффективности, а также о возможности проведения оценки эффективности при проведении аттестации информационной системы.
В соответствии с пунктом 4 части 2 статьи 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" обеспечение безопасности персональных данных достигается в частности оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных.
В соответствии с пунктом 6 Состава и содержания мер, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. N 21, оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. При этом Составом и содержанием мер, утвержденными приказом ФСТЭК России от 18 февраля 2013 г. N 21, форма оценки эффективности, а также форма и содержание документов, разрабатываемых по результатам (в процессе) оценки, не установлены.
Таким образом, решение по форме оценки эффективности и документов, разрабатываемых по результатам (в процессе) оценки эффективности, принимается оператором самостоятельно и (или) по соглашению с лицом, привлекаемым для проведения оценки эффективности реализованных мер по обеспечению безопасности персональных данных.
Оценка эффективности реализованных мер может быть проведена в рамках работ по аттестации информационной системы персональных данных в соответствии с национальным стандартом ГОСТ РО 0043-003-2012 "Защита информации. Аттестация объектов информатизации. Общие положения".
Страницы: Пред. 1 2
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)