Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Минюст обязал банки проводить пентесты и аудит кибербезопасности

13/08/2018

Банки обяжут соблюдать новые меры кибербезопасности, среди которых обязательными являются аудит информационной безопасности, различные тестирования на проникновение (пентесты), обязательная сертификация использованного программного обеспечения.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: 1 2 3 4 5 6 7 8 9 10 11 ... 193 След.
[ Закрыто] Согласие на обработку ПДн от представителя
Цитата
Станислав пишет:
Следуя требованиям 152-ФЗ, например, для внесения данных о супруге, нужно само согласие супруга.
или обработка на основании закона. А такой закон есть, называется Трудовой кодекс, статью не помню, суть в том, что работодатель обязан уведомлять родственников о несчастных случаях на производстве, а для этого необходимо иметь персональные данные этих родственников.
[ Закрыто] Акт уничтожения персональных данных
Дмитрий, вы создаете комиссию для каждого уничтожения? Я уже писал на форуме, проще создать постоянную комиссию по ИБ, разработать Положение об этой комиссии, в котором одним их пунктов - уничтожение. А дальше Акты.
[ Закрыто] Оценка эффективности принимаемых мер
Орг. часть - тест по ИБ для пользователей.
Тех. часть - тест на проникновение.
[ Закрыто] Отправка персональных данных через почту
Не противоречит. Почта, по Закону о связи, обязана обеспечить тайну т сохранность.
Необходимость СКЗИ
Применения для чего? (шифрования на диске, защищенный канал, ЭП ...)
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
В данном случае вы направляете Реестр получателей субсидий, который, конечно, содержит персональные данные, НО! Эти данные у Банка есть и он их обрабатывает на законном основании в рамках договора банковского счета, так что никаких актов не надо.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Коллеги, вы залезли в какие-то дебри. Между прочим физ. лицо, получившее УЭК тоже получает ЭП, ему тоже создавать ОКЗ? :D Вы получаете ключ шифрования (ЭП) в УЦ. Почитайте на досуге договор с УЦ, там все написано и про компрометацию, и про замену, и про требования по использованию СКЗИ и средствах защиты.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Проверяют одного-двух. А требуют всех, чтобы вы не поняли кого.
Защита ПДн в "облаке"
Федеральный закон от 21 июля 2014 г. N 242-ФЗ
"О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях"
1) статью 18 дополнить частью 5 следующего содержания:
"5. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона.";
Настоящий Федеральный закон вступает в силу с 1 сентября 2016 года.

Обработка в облаке = поручение на обработку, все есть в ст. 6.
Защита ПДн в "облаке"
C 15 года (месяц не помню) хранение и обработка ПДн только на территории РФ (см. 152ФЗ с последними изменениями).
[ Закрыто] Доп. соглашение от провайдера на предоставления списка лиц, Список лиц, использующих пользовательское (оконечное) оборудование провайдера.
Аналогичная ситуация. Присылали как запросы, так и допсоглашения. Ответ в общем то один - в случае запроса пишем, что действующий договор этого не предусматривает и необходимо заключить допник. И требуем включить в допсоглашение:
1. Обязанность предоставления абонентом списка лиц, использующих его пользовательское (оконечное) оборудование.
2. Сроки и периодичность предоставления данного списка.
3. Состав предоставляемой информации.
4. Способ предоставления информации (с использованием защищенных каналов связи в случае передачи информации с использованием информационно-телекоммуникационных сетей общего пользования).
5. Обязанность оператора связи выполнять требования Федерального закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных" и принятых в соответствии с ним нормативных актов.
6. Обязанность оператора связи предоставлять абоненту копии Актов уничтожения персональных данных по истечении сроков их хранения.
Но в любом случае списки можно предоставлять только с согласия ваших работников.
Для операторов связи это еще большая головная боль, чем для нас. Непредоставление списка не является существенным нарушением договора и отключить они не могут, а с них списки требуют. Неофициально просят дать список хоть из 2-3 человек. Проверка достоверности списков не предусмотрена ни со стороны связистов, ни со стороны госорганов. К сожалению, зачастую, наши законы пишут люди не до конца понимающие специфику предмета. Ведь на одном IP абонента могут сидеть несколько тысяч работников, а затевалось все это для контроля интернета со стороны большого брата.
[ Закрыто] Определение уровня защищенности
1. Модель угроз. Обоснование неактуальности НДВ: лицензия - патчи.
2. Система мотивации - кнут и пряник.
[ Закрыто] Определение уровня защищенности
Угрозы НДВ закрываются с помощью защиты от НСД :D , чтобы их реализовать, нужно прежде всего получить доступ к телу. + лицензионное СПО, следовательно своевременная установка патчей. + модель нарушителя - исключить внутренних . Получим низкую вероятность реализации угрозы НДВ и 4УЗ.
Использование сертифицированных СЗИ
Коллеги, я привел пример. С остальными аналогично.
Использование сертифицированных СЗИ
Цитата
Артур пишет:
Типа мы пытались заразить АРМ, несанкционировано отключить СЗИ, все успешно прошло?
Есть обычная винда со встроенными средствами защиты от НСД. Есть установки на блокировку после трехкратной ошибки ввода пароля и его смены раз в месяц. Есть оргмеры - политика (правила, инструкция или как угодно названая бумажка) применения паролей: 8 (10,99) символов, верх/низ, цифры буквы спецсимволы; прописан периодический контроль логов на попытки входа. Пытаетесь подобрать пароль, естественно не получилось. Оформляем Акт, что встроенные средства защиты винды соответствуют вашим требованиям к СЗИ от НСД.
Использование сертифицированных СЗИ
А где написано сертифицированные? Прошедшие оценку соответствия. Вот и оцените соответствие сами (например путем испытаний при вводе в эксплуатацию, оформите актом.
Передача ПДн работодателем в медицинские учреждения
ДМС только с согласия
Передача ПДн работодателем в медицинские учреждения
Любая обработка (в т.ч. передача) возможна либо с согласия, либо на основании закона. У вас есть законное основание для передачи ПДн медикам? (например, по ТК работодатель обязан проводить диспансеризацию работников и в рамках этого передает списки медикам, тогда можно)
Организация обработки ПДн в группе компаний
Оператор = работодатель.
Владелец ИС - узнай в бухгалтерии у кого железо и софт на балансе.
Доступ на основании договора (поручения) на обработку ПДн
Утверждение политики в отношении обработки пд, политика vs. положение
Виталий, то, что выкладывается в открытый доступ, отдельный документ, название - буква в букву из ФЗ "Политика ...", а фактически - декларация о том что вы персональные защищаете в соответствии с законом и НПА регуляторов + информация для субъекта, например, по порядку отзыва согласия. Ваши внутренние документы, наоборот, имеют ограниченный доступ. Найти пример открытой политики сейчас не проблема.
Страницы: 1 2 3 4 5 6 7 8 9 10 11 ... 193 След.