Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

SIEM ОТ MCAFEE УСПЕШНО ПРОШЛА СЕРТИФИКАЦИЮ ФСТЭК РОССИИ

01/04/2015

McAfee Security Information and Event Management (версия 9.3) успешно прошла сертификационные испытания, результатом которых стал сертификат соответствия №3353 (от 18 февраля 2015), выданный ФСТЭК России.

Реклама

Партнеры

Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: 1 2 3 4 5 6 7 8 9 10 11 ... 194 След.
Согласие на обработку ПДн от представителя
Цитата
Станислав пишет:
Следуя требованиям 152-ФЗ, например, для внесения данных о супруге, нужно само согласие супруга.
или обработка на основании закона. А такой закон есть, называется Трудовой кодекс, статью не помню, суть в том, что работодатель обязан уведомлять родственников о несчастных случаях на производстве, а для этого необходимо иметь персональные данные этих родственников.
Акт уничтожения персональных данных
Дмитрий, вы создаете комиссию для каждого уничтожения? Я уже писал на форуме, проще создать постоянную комиссию по ИБ, разработать Положение об этой комиссии, в котором одним их пунктов - уничтожение. А дальше Акты.
Оценка эффективности принимаемых мер
Орг. часть - тест по ИБ для пользователей.
Тех. часть - тест на проникновение.
Отправка персональных данных через почту
Не противоречит. Почта, по Закону о связи, обязана обеспечить тайну т сохранность.
Необходимость СКЗИ
Применения для чего? (шифрования на диске, защищенный канал, ЭП ...)
Тупые вопросы, которые вы хотели, но боялись спросить, Разное
В данном случае вы направляете Реестр получателей субсидий, который, конечно, содержит персональные данные, НО! Эти данные у Банка есть и он их обрабатывает на законном основании в рамках договора банковского счета, так что никаких актов не надо.
Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Коллеги, вы залезли в какие-то дебри. Между прочим физ. лицо, получившее УЭК тоже получает ЭП, ему тоже создавать ОКЗ? :D Вы получаете ключ шифрования (ЭП) в УЦ. Почитайте на досуге договор с УЦ, там все написано и про компрометацию, и про замену, и про требования по использованию СКЗИ и средствах защиты.
Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Проверяют одного-двух. А требуют всех, чтобы вы не поняли кого.
Защита ПДн в "облаке"
Федеральный закон от 21 июля 2014 г. N 242-ФЗ
"О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях"
1) статью 18 дополнить частью 5 следующего содержания:
"5. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона.";
Настоящий Федеральный закон вступает в силу с 1 сентября 2016 года.

Обработка в облаке = поручение на обработку, все есть в ст. 6.
Защита ПДн в "облаке"
C 15 года (месяц не помню) хранение и обработка ПДн только на территории РФ (см. 152ФЗ с последними изменениями).
Доп. соглашение от провайдера на предоставления списка лиц, Список лиц, использующих пользовательское (оконечное) оборудование провайдера.
Аналогичная ситуация. Присылали как запросы, так и допсоглашения. Ответ в общем то один - в случае запроса пишем, что действующий договор этого не предусматривает и необходимо заключить допник. И требуем включить в допсоглашение:
1. Обязанность предоставления абонентом списка лиц, использующих его пользовательское (оконечное) оборудование.
2. Сроки и периодичность предоставления данного списка.
3. Состав предоставляемой информации.
4. Способ предоставления информации (с использованием защищенных каналов связи в случае передачи информации с использованием информационно-телекоммуникационных сетей общего пользования).
5. Обязанность оператора связи выполнять требования Федерального закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных" и принятых в соответствии с ним нормативных актов.
6. Обязанность оператора связи предоставлять абоненту копии Актов уничтожения персональных данных по истечении сроков их хранения.
Но в любом случае списки можно предоставлять только с согласия ваших работников.
Для операторов связи это еще большая головная боль, чем для нас. Непредоставление списка не является существенным нарушением договора и отключить они не могут, а с них списки требуют. Неофициально просят дать список хоть из 2-3 человек. Проверка достоверности списков не предусмотрена ни со стороны связистов, ни со стороны госорганов. К сожалению, зачастую, наши законы пишут люди не до конца понимающие специфику предмета. Ведь на одном IP абонента могут сидеть несколько тысяч работников, а затевалось все это для контроля интернета со стороны большого брата.
Определение уровня защищенности
1. Модель угроз. Обоснование неактуальности НДВ: лицензия - патчи.
2. Система мотивации - кнут и пряник.
Определение уровня защищенности
Угрозы НДВ закрываются с помощью защиты от НСД :D , чтобы их реализовать, нужно прежде всего получить доступ к телу. + лицензионное СПО, следовательно своевременная установка патчей. + модель нарушителя - исключить внутренних . Получим низкую вероятность реализации угрозы НДВ и 4УЗ.
Использование сертифицированных СЗИ
Коллеги, я привел пример. С остальными аналогично.
Использование сертифицированных СЗИ
Цитата
Артур пишет:
Типа мы пытались заразить АРМ, несанкционировано отключить СЗИ, все успешно прошло?
Есть обычная винда со встроенными средствами защиты от НСД. Есть установки на блокировку после трехкратной ошибки ввода пароля и его смены раз в месяц. Есть оргмеры - политика (правила, инструкция или как угодно названая бумажка) применения паролей: 8 (10,99) символов, верх/низ, цифры буквы спецсимволы; прописан периодический контроль логов на попытки входа. Пытаетесь подобрать пароль, естественно не получилось. Оформляем Акт, что встроенные средства защиты винды соответствуют вашим требованиям к СЗИ от НСД.
Использование сертифицированных СЗИ
А где написано сертифицированные? Прошедшие оценку соответствия. Вот и оцените соответствие сами (например путем испытаний при вводе в эксплуатацию, оформите актом.
Передача ПДн работодателем в медицинские учреждения
ДМС только с согласия
Передача ПДн работодателем в медицинские учреждения
Любая обработка (в т.ч. передача) возможна либо с согласия, либо на основании закона. У вас есть законное основание для передачи ПДн медикам? (например, по ТК работодатель обязан проводить диспансеризацию работников и в рамках этого передает списки медикам, тогда можно)
Организация обработки ПДн в группе компаний
Оператор = работодатель.
Владелец ИС - узнай в бухгалтерии у кого железо и софт на балансе.
Доступ на основании договора (поручения) на обработку ПДн
Утверждение политики в отношении обработки пд, политика vs. положение
Виталий, то, что выкладывается в открытый доступ, отдельный документ, название - буква в букву из ФЗ "Политика ...", а фактически - декларация о том что вы персональные защищаете в соответствии с законом и НПА регуляторов + информация для субъекта, например, по порядку отзыва согласия. Ваши внутренние документы, наоборот, имеют ограниченный доступ. Найти пример открытой политики сейчас не проблема.
Страницы: 1 2 3 4 5 6 7 8 9 10 11 ... 194 След.