Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Особенности аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции (работ, услуг), поставляемой по гособоронзаказу.

12/08/2019 

08 мая 2019 г. утверждены новые Правила аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции работ, услуг), поставляемой по государственному оборонному заказу (постановление Правительства Российской Федерации от 30 апреля 2019 г. № 548).

Новые Правила аккредитации кардинально меняют сложившуюся систему не только аккредитации, но и сертификации СМК предприятий, работающих в области государственного оборонного заказа.

Реклама





Партнеры





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: Пред. 1 ... 9 10 11 12 13 14 15 16 17 18 19 ... 193 След.
Части 5 и 7 Статьи 19, Необходимость согласования модели угроз с ФСТЭК
А разработка модели угроз разве входит в ваши полномочия? Пока этого не сделали те, кто должны, делайте свою, согласовывать не надо, и ждем-с
понимание понятия информационная система персональных данных
Дмитрий, если все делать по букве наших законов, то про защиту можно забыть, у нас делают две системы защиты: одна для регулятора и одна для собственно защиты. В чем-то они пересекаются. И определяется все в конечном итоге объемом выделяемых денег.
[ Закрыто] Акт о вскрытии системного блока аттестованного рабочего места
Обычно создают комиссию по ИБ. Утверждается Положение о комиссии с описанием функционала. Это и вскрытие компов, и уничтожение носителей ПДн/ключевых носителей, классификация ИСПДн и т.д. и т.п.
[ Закрыто] Акт о вскрытии системного блока аттестованного рабочего места
Причем сделайте постоянную комиссию.
[ Закрыто] Акт о вскрытии системного блока аттестованного рабочего места
А вы не пробовали связаться с теми, кто аттестовывал РМ?
Запрос персональных данных третьими лицами, Прокурорская проверка
Контрольная сумма не помешает, но не для фиксации факта передачи, а для однозначности в объеме передаваемой базы.
[ Закрыто] Зарплатный проект, Вопросы по реализации требований ФЗ-152 по зарплатному проекту
На основании этого заявления банк открывает счет и должен заключать договор с вашим работником. Если он этого не делает, то грубо нарушает 115ФЗ, и если это всплывет при проверке ЦБ, то можно и без лицензии остаться. Заявление может передавать кто угодно, а вот карту с ПИН-конвертом работник должен получать лично, либо в офисе банка, либо банк организует "выездной" офис на предприятии, при этом банк идентифицирует клиента и договор подписывается в присутствии сотрудника банка.
[ Закрыто] Зарплатный проект, Вопросы по реализации требований ФЗ-152 по зарплатному проекту
Не знаю, что там у вас за банк (или я что-то не так понял), но между банком и каждым работником вашего предприятия должен быть заключен договор банковского счета, к которому и привязывается карта. В рамках этого договора банк обрабатывает ПДн и защищает их, никакого дополнительного согласия или обязательств банка перед вашим предприятием не нужно, как и обязательств банка по ч.3 ст. 6, эта часть не действует, т.к. вы не поручаете банку обработку.
Вопрос по классификации ИСПДн и снижению затрат на защиту.
Цитата
Руслан пишет:
ПДн из 1С никуда не пердаются.
По крайней мере в налоговую и пенсионный точно передаются.
Вопрос по классификации ИСПДн и снижению затрат на защиту.
Руслан, по крайней мере в налоговую данные выгружаете из 1С. Ну укажите в уведомлении про СКЗИ, вам все равно, а людям приятно :D Техзащита и тем более криптуха не их (РКН) епархия.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
В старые добрые времена чуть ли не на каждую железяку был формуляр, где записывалась вся история (консервация/расконсервация, ввод/вывод из эксплуатации, закрепление за ответственными лицами, неисправности, ремонты, доработки и т.д. и т.п.). Кто мешает завести формуляр ИСПДн?
Документы, определяющие политику в отношении обработки персональных данных
Евгений Цуканов, не надо изобретать велосипед, сделайте отдельный документ "Политика в отношении обработки ПДн". Содержание на 90% то, что вы подаете в уведомлении РКН (за исключением конкретики по СЗИ), 10% - информация для субъекта по запросу ПДн и отзыву согласия (это из ФЗ)
Обязательство о неразглашении ПДн, Немного странный вопрос (дурацкий)
Вопрос , я нигде не расписывался, что обязуюсь выполнять ПДД (УК, КоАП и т.п.), однако в случае нарушения меня накажут. Не зная деталей что-то говорить сложно.
Обязательство о неразглашении ПДн, Немного странный вопрос (дурацкий)
Незнание законов не освобождает от ответственности. Независимо от того, расписывался работник о неразглашении или нет по 152 ФЗ Статья 7. Конфиденциальность персональных данных
Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
Теперь смотрим Трудовой кодекс: Статья 81. Расторжение трудового договора по инициативе работодателя
Трудовой договор может быть расторгнут работодателем в случаях:
в) разглашения охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе разглашения персональных данных другого работника;

И если факт разглашения персональных данных имел место, то увольнение правомочно.
[ Закрыто] право на установку средств защиты
Цитата
Настя пишет:
не получая для себя лицензию и не привлекая сторонних лицензиатов.
А вот про "не привлекая лицензиатов" там ничего не написано. Письмо очень хитрое. В законодательстве нет понятия "собственных нужд" для ТЗКИ (а вот для СКЗИ оно есть). Поэтому письмо можно понимать так, что если не извлекается прибыль, то ЮЛ самостоятельно принимает решение: либо получать лицензию и делать самим, либо привлекать лицензиата.
[ Закрыто] Помогите разобраться с юр. вопросом
Цитата
Гость пишет:
необходимо лишь удовлетворять тем требованиям, которые закреплены в 1119ПП
и в самом 152ФЗ. ст. 19 ч. 2 Обеспечение безопасности персональных данных достигается, в частности:
3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
1119ПП:
4. Выбор средств защиты информации для системы защиты персональных данных осуществляется оператором в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю во исполнение части 4 статьи 19 Федерального закона «О персональных данных».
г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
О сертификации нет ни слова, есть оценка соответствия. Сертификация - один из способов такой оценки. Регуляторы считают, что других способов нет, но это вопрос . К тому же вас никто не заставляет самим сертифицировать СЗИ, покупайте с сертификатом у производителя. В случае проверки головной боли будет меньше.
[ Закрыто] Помогите разобраться с юр. вопросом
Сертификация - оценка соответствия средств защиты информации (или софта например на НДВ) каким либо требованиям (тех. регламентам, тех. условиям, ГОСТам и т.п.).

Для ИСПДн необходимо провести контроль выполнения требований по защите, установленных правительством (1119ПП).
Для гос. информационных систем необходимо провести их аттестацию (по СТРК), для остальных аттестация необязательна.
[ Закрыто] Получение лицензий ФСТЭК на разработку СЗКИ и на ТЗКИ с нуля, Алгоритм и тонкости.
Лицензия ФСТЭК нужна на ТЗКИ не криптографическими методами. По поводу списка - определитесь с видом деятельности, для которого вам нужна лицензия, потом посмотрите необходимые лицензионные требования в 313ПП и добавьте виды деятельности с такими же требованиями.
[ Закрыто] Получение лицензий ФСТЭК на разработку СЗКИ и на ТЗКИ с нуля, Алгоритм и тонкости.
ИМХО лицензия ФСТЭК на ТЗКИ не нужна, только ФСБ
В каком нормативно правовом акте прописано что в организации должен быть АИБ?
1119ПП:
14. Для обеспечения 3-го уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных пунктом 13 настоящего документа, необходимо, чтобы было назначено должностное лицо (работник), ответственный за обеспечение безопасности персональных данных в информационной системе.

Страницы: Пред. 1 ... 9 10 11 12 13 14 15 16 17 18 19 ... 193 След.