Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Особенности аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции (работ, услуг), поставляемой по гособоронзаказу.

12/08/2019 

08 мая 2019 г. утверждены новые Правила аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции работ, услуг), поставляемой по государственному оборонному заказу (постановление Правительства Российской Федерации от 30 апреля 2019 г. № 548).

Новые Правила аккредитации кардинально меняют сложившуюся систему не только аккредитации, но и сертификации СМК предприятий, работающих в области государственного оборонного заказа.

Реклама





Партнеры





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: Пред. 1 ... 6 7 8 9 10 11 12 13 14 15 16 ... 193 След.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
ФСТЭК, на их сайте
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Цитата
Сергей пишет:
если у вас из 10 бухгалтеров (у всех одинаковая должность "бухгалтер" ;) доступ к ПДн имеют 2-3 человека, тогда такой вариант не пойдет, придется по фамилиям.
Почему же не пройдет. Укажите в перечне должность бухгалтер 10 раз (в перечне напротив должности целесообразно указывать наименование ИСПДн и права (роль) доступа. Если они одинаковы для нескольких человек, то указывать только одинаковые должности с разными правами). Главное - перечень есть и работники знают, что обрабатывают ПДн
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Цитата
Гость пишет:
Если оператор формирует такой акт своими силами, необходимо ли наличие специалиста, имеющего лицензию на ТЗКИ?
Лицензию получает юрлицо и в данном случае она не нужна
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Составьте перечень должностей, допущенных к обработке. К нему - лист ознакомления. Пришел новый работник - расписался в листе.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Про аттестацию нет ни слова ни в ФЗ, ни в подзаконных (за исключением ГИС). Есть только:
- в ФЗ 152: осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;
- в ПП1119: Контроль за выполнением настоящих требований организуется и проводится оператором (уполномоченным лицом) самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанный контроль проводится не реже 1 раза в 3 года в сроки, определяемые оператором (уполномоченным лицом).
21 приказ: Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанная оценка проводится не реже одного раза в 3 года.

Результат контроля/оценки отражается в каком-либо документе. Если сами - Акт, Заключение. Если лицензиат - то можно (но не обязательно) и Аттестат.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
ст. 6 п.
5. обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

В данном случае - трудового договора.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
ИСПДн были до появления 152ФЗ, когда закон приняли, операторам дали время на приведение их в соответствие. Новые же ИСПДн должны соответствовать ФЗ начиная со стадии проектирования.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Было: 3. Информационные системы персональных данных, созданные до 1 января 2011 года, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 июля 2011 года.
Так 1 июля 2011 прошло, вот и убрали в новой редакции.
[ Закрыто] ИСПДн СКУД
Цитата
Владимир пишет:
включить согласие на общедоступность
Обосновать необходимость сделать ПДн общедоступными достаточно сложно, все таки вариант с фото без остальных данных гораздо проще.
[ Закрыто] ИСПДн СКУД
Тогда уберите ФИО (да и остальные данные) из информации на мониторе, оставьте только фото: сам факт что фото выскочило = можно пропускать.
[ Закрыто] ИСПДн СКУД
Снимите мониторы со стен и поставьте их перед мордой лица охранника :) . Защищать как биометрию, обязательно согласие.
Exchange, AD и тестовые среды
Выделять это все как отдельные ИСПДн - лишняя бумага, в плане защиты ведь все делается аналогично с "основной", вернее даже в составе основной. ИСПДн ведь может состоять из подсистем: ИСПДн "Сотрудники" в составе 1С Зарплата и Кадры, АД, 1С Тест.
[ Закрыто] Акт классификации информационных систем персональных данных при новом П-1119, Правильное составление
Цитата
НеДоГость пишет:
к какому уровню защищенности я могу отнести свою ИСПДН, если в ней обрабатываются более 100 000 ПДн субъектов ПДн, не являющихся сотрудниками оператора?
1, 2 или 3 УЗ в зависимости от актуальных угроз и категории ПДн
[ Закрыто] Акт классификации информационных систем персональных данных при новом П-1119, Правильное составление
Цитата
wrestler пишет:
Ваше мнение? Где ошибка в рассуждениях?
Ошибка в том, что 1УЗ включает в себя 2,3 и 4.



Цитата
wrestler пишет:
1. Поскольку используется лицензионное, но не сертифицированное системное ПО, то для ИСПДн актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном ПО, т.е. актуальны угрозы 1-го типа .
2. Поскольку используется лицензионное, но не сертифицированное прикладное ПО, то для ИСПДн актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей прикладное ПО, т.е. актуальны угрозы 2-го типа .
"Это не есть факт, месье Дюк" (с). Использование ПО без сертификата на НДВ означает только, что в нем возможно присутствуют эти НДВ и угроза НДВ. А вот актуальна ли эта угроза? - тут можно поспорить.
[ Закрыто] Акт классификации информационных систем персональных данных при новом П-1119, Правильное составление
Цитата
Михаил пишет:
РКН вправе требовать переделать акты классификации по ПП№1119 только если решение о создании/модификации системы защиты ПД было оформлено после выхода этого ПП
С каких это пор ФСТЭК решает выполнять постановление правительства или нет? Изменился закон, вышло ПП - будьте добры привести свои ИСПДн в соответствие. И уведомление о выполнении новых требований все должны были направить в РКН до 1 января.
Касперский - нужны ли дополнительные траты?
А какая разница в цене? Если небольшая или позволяют средства, то перейдите на сертифицированную при очередном продлении лицензии. Вроде к сертификации антивирусов особо не докапываются.
Специальные ПДн в гимназии
А так как обработка осуществляется без использования средств автоматизации (взяли бумажку у родителей - отдали в поликлинику), то защита - сейф (шкаф с замком) и пара бумажек.
Кто нибудь прикидывал использование Приказа 21 ФСТЭК в своих ИСПДн?
Цитата
Владимир пишет:
А в каком виде должно быть предоставлено данное обоснование?
Например "Технико-экономическое обоснование выбора защитных мер". Делаете таблицу Мера - цена. Обоснование - нет денег - применяем компенсирующие меры.
ЭЛЕКТРОННАЯ ПОДПИСЬ (взамен ЭЦП), вопросы
1. Да
2. Да
3. Обязательно
4. С 1 января 2014 г. информирование будет обязательно, если технически это возможно, то делайте сейчас и включайте в договор.
5. Обязанности клиента по обеспечению ИБ на своей стороне.
6. Случаи и порядок возврата средств клиенту при несанкционированном платеже.
Передача ПДн сотрудников в военно-учетный орган, Военно-учетный стол требует данные, которые у нас не используются
Не все так просто. Закон О воинской обязанности и военной службы предписывает работодателю вести воинский учет в соответствии с Порядком, утвержденным правительством. Этот порядок, в свою очередь, ссылается на Методические рекомендации Генштаба по воинскому учету. А суть такова, что вы должны направить в военкомат сведения из карточки Т2, где как раз есть раздел с составом семьи. Кстати это является основанием обработки ПДн родственников работника без согласия.
Страницы: Пред. 1 ... 6 7 8 9 10 11 12 13 14 15 16 ... 193 След.