Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Особенности аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции (работ, услуг), поставляемой по гособоронзаказу.

12/08/2019 

08 мая 2019 г. утверждены новые Правила аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции работ, услуг), поставляемой по государственному оборонному заказу (постановление Правительства Российской Федерации от 30 апреля 2019 г. № 548).

Новые Правила аккредитации кардинально меняют сложившуюся систему не только аккредитации, но и сертификации СМК предприятий, работающих в области государственного оборонного заказа.

Реклама





Партнеры





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: Пред. 1 ... 8 9 10 11 12 13 14 15 16 17 18 ... 193 След.
[ Закрыто] Прприказ ФСТЭК• №21 от 18.02.2013 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», Замена приказ ФСТЭК от 05.02.2010 №58
По последним данным приказ в минюсте завернули.
Вопрос по 152-ФЗ, статья 19, часть 2, пункт 4
ФЗ: ст. 18.1
К таким мерам могут, в частности, относиться:
осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;
ст. 19: 2. Обеспечение безопасности персональных данных достигается, в частности:
контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
ПП1119:
17. Контроль за выполнением настоящих требований организуется и проводится оператором (уполномоченным лицом) самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанный контроль проводится не реже 1 раза в 3 года в сроки, определяемые оператором (уполномоченным лицом).
Контроль или аудит проводить обязаны. Результаты этого должны быть отражены в каком-либо документе. Акт соответствия обработки ПДн требованиям ФЗ и др. НПА самый нормальный вариант. А для ГИС - только аттестат соответствия.
Как писать Акт обследования ИСПДн?
А с какой целью обследование? Обычно это делают перед приведением в соответствие. По крайней мере ваши НПА в паспорте не отражены.
Как писать Акт обследования ИСПДн?
Задай поиск "Паспорт ИСПДн" - практически все вопросы по обследованию там отражены + наличие внутренних НПА.
[ Закрыто] Акт классификации информационных систем персональных данных при новом П-1119, Правильное составление
Цитата
Дмитрий пишет:
и содержите в штате своего специалиста по защите.
Вот именно специалиста - в единственном числе, на большее нет денег, посему сертифицированные СЗИ покупаются по-возможности (если что-то вообще покупается, то лучше с сертификатом, и то, если разница в цене небольшая). К тому же производитель не дает гарантии продления сертификата (ему это не выгодно) и после окончания срока придется покупать новое.
[ Закрыто] Акт классификации информационных систем персональных данных при новом П-1119, Правильное составление
Или еще как. Например, путем испытаний в ходе опытной эксплуатации с составлением соответствующего акта.
[ Закрыто] Акт классификации информационных систем персональных данных при новом П-1119, Правильное составление
Цитата
Дмитрий пишет:
если применяются СЗИ программные, то они должны иметь сертификат ФСТЭК! Вот в чем главная суть дискусии.
Дмитрий, а где это требование написано? СЗИ должны пройти оценку соответствия, сертификат - один из видов такой оценки.
[ Закрыто] Акт классификации информационных систем персональных данных при новом П-1119, Правильное составление
1. Создаете комиссию по ИБ.
2. Утверждаете Положение о Комиссии, где расписываете функционал: установление УЗ, оценка соответствия требованиям НПА, моделирование угроз, определение комплекса орг. и тех. мер по защите, уничтожение ПДн и ключевых носителей и т.д. и т.п.
3. Вам перед проверкой должны были дать перечень документов, вот их и предоставьте (или срочно сделайте).
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Конечно постоянного хранения. При проверки с вас спросят документ, в котором эти места установлены. Реально проверять вряд ли будут.
Компы учитывайте как вам удобней.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
1. Делаете перечень должностей, допущенных к обработке ПДн и лист ознакомления. Расписаться должен каждый, работа конечно большая, времени уходит много, но "одноразовая". Потом будут расписываться только новенькие при поступлении на работу.
2. К сожалению придется прописывать все места хранения, но это требование только для бумажных носителей.
3. Учитывайте компы/сервера целиком и съемные носители, которые официально предназначены для ПДн.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
То есть относительно юриков это точно не ПДн, по ИП чуть сложнее, но если эти данные есть в открытых источниках(налоговая), то не парьтесь.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Цитата
Евгений пишет:
Организация большая,прийдеться обойти очень много человек,и с каждым побеседовать
Перечень нужен, причем довести по роспись: сотрудник должен по крайней мере знать, что он обрабатывает ПДн + особенности без использования автоматизации (для тех, кто работает с ПДн на бумаге). Если всех обойти достаточно сложно, то "поработайте" с начальниками структурных подразделений, а они доведут под роспись до подчиненных. Это все написать в Приказе об утверждении этого перечня: Ответственному за организацию обработки ПДн довести до начальников. Начальникам - до подчиненных.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
ТК РФ ст. 86 п.8: работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области;

Это не политика, а отдельный документ, который так и называется "Порядок обработки ПДн работников".
[ Закрыто] Как продекларировать соответствие ИСПДн требованиям закона?
Ничего не надо изобретать. Посмотрите документы в регламенте РКН. Там нет явных названий, а только то, что в этих документах должно быть отражено.
[ Закрыто] Как продекларировать соответствие ИСПДн требованиям закона?
Цитата
Дмитрий пишет:
или они должны сами определить соответствие законным требованиям?
Перечень запрашиваемых документов на этом форуме выкладывали и не раз. Определяют они сами, как раз на основании этих документов.
[ Закрыто] Отказ абитуриента дать согласие на обработку ПДн
Цитата
Игорь пишет:
абитуриент откажется дать письменное согласие на обработку Пдн
Воткните согласие в заявление о приеме.
Трансграничная передача ПДн
Возьмите согласие и не парьтесь с адекватностью. СЗИ - зависит от принимающей стороны, в лучшем случае SSL
изменение данных в реестре
Подать заявлении о внесении изменений в реестр.
[ Закрыто] Переоформление лицензии по ТЗКИ
Есть еще на разработку, производство.
[ Закрыто] Переоформление лицензии по ТЗКИ
Цитата
AlexG пишет:
Проще говоря, "старые" лицензии придется переоформлять.
После окончания срока их действия. Только, по-моему, в старых лицензиях вид работ указан также конкретно, только на каждый вид своя лицензия, а в новых все виды перечислены в одной.
Страницы: Пред. 1 ... 8 9 10 11 12 13 14 15 16 17 18 ... 193 След.