Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Особенности аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции (работ, услуг), поставляемой по гособоронзаказу.

12/08/2019 

08 мая 2019 г. утверждены новые Правила аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции работ, услуг), поставляемой по государственному оборонному заказу (постановление Правительства Российской Федерации от 30 апреля 2019 г. № 548).

Новые Правила аккредитации кардинально меняют сложившуюся систему не только аккредитации, но и сертификации СМК предприятий, работающих в области государственного оборонного заказа.

Реклама





Партнеры





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: Пред. 1 ... 183 184 185 186 187 188 189 190 191 192 193
Что может сделать оператор ПДн без получения лицензии на ТЗКИ
Может я как-то сумбурно обосновал, НО: Я НЕ ХОЧУ ОКАЗЫВАТЬ УСЛУГ ПО ТЗКИ, а лицензия предполагает именно это, более того - Я НЕ ИМЕЮ ПРАВА ОКАЗЫВАТЬ УСЛУГИ ПО ТЗКИ, например, банк в соответствии с законом о банках. Сделайте нормальные подзаконные акты, ведь ТЗКИ для себя и услуги по ТЗКИ "две большие разницы", стоимость отличается минимум на порядок.
Что может сделать оператор ПДн без получения лицензии на ТЗКИ
В ОКВЭД нет и защиты ПДн, это все деятельность по обеспечению информационной безопасности. 504 ПП определяет порядок лицензирования деятельности. Причем уважаемое правительство хитрит - пишут "и (или)оказание услуг". Существует лицензия "И ОКАЗАНИЕ УСЛУГ". ИМХО это принуждение к деятельности.
Что может сделать оператор ПДн без получения лицензии на ТЗКИ
Это цитата из ОКВЭД. Обработка данных - группирующая статья. ТЗКИ является деятельностью по обеспечению информационной безопасности и входит в обработку данных - такие у нас законы. Лицензию мы получаем на определенный вид деятельности. Виды деятельности определены в ОКВЭД. Правильно или не правильно - не мне судить. Посмотрите текст любой лицензии - "осуществление мероприятий и оказание услуг по ТЗКИ". Я не собираюсь оказывать услуги. Почему я должен платить за то, что мне не надо и кормить интеграторов. Пока наши законы, а особенно подзаконные акты не будут давать возможность их выполнения с реальными и действительно необходимыми затратами, будем искать способ как их обойти. Сделайте упрощенный порядок лицензирования по ТЗКИ для себя: квалификация (обучение) персонала, сертифицированные ПО и СЗИ, документация - все, для ТЗКИ для собственных нужд больше ничего не нужно - установил, настроил, протестировал + оргмеры.
Что может сделать оператор ПДн без получения лицензии на ТЗКИ
Что есть деятельность :?: Открываем ОКВЭД: 72.30 Обработка данных
Эта группировка включает:
- все стадии обработки данных с применением технического и программного обеспечения потребителя или собственного, включая:
- подготовку и ввод данных
- сканирование документов
- обработку данных
- деятельность, связанную с использованием баз данных: обеспечение возможности доступа к базе данных; поиск данных, их отбор и сортировку по запросам, предоставление отобранных данных пользователям, в том числе в интерактивном режиме (режиме автоматизированной системы)
- web-хостинг (хранение данных в сети Интернет)
- предоставление услуг по автоматическому переводу
- предоставление услуг по обеспечению информационной безопасности вычислительных систем и сетей :!:
Услуги не предоставляем - деятельностью не занимаемся. Для себя - любимых - просто осуществляем мероприятия в соответствии с требованиями ...
[ Закрыто] Защищенный канал связи, Ставится задача организации защищенного канала связи между ЦОД и внешними клиентами
Государство нас нагибает по полной программе! По логике - я должен обеспечить безопасность ПДн, а как и с помощью чего - никого не должно волновать, я частник, виду бизнес на свой страх и риск. В случае утечки ПДн - получи по полной программе, нет утечки - защита соответствует. Да и СЗИ нужны, по большому счету, только для защиты от случайных утечек, "от дурака". Персональные данные, как и любую другую информацию, защитить невозможно! Если они кому-то очень нужны, проще, и, если не дешевле, то надежней, купить или внедрить нужного сотрудника и все, и не заморачиваться с проникновением в ИС. А так получается, если требуют лицензию, принуждение к деятельности.
Кто виноват?
А на каком основании передали? Если основание законное - виновата 3 сторона.
[ Закрыто] Класс испдн в общеобразовательной школе
На бумаге - не ИС, но нужно оформить что-то типа порядка обработки ПДн без использования средств автоматизации в соответствии с ПП 687 (где и как хранить, копировать, кто допущен, кому выдавать и т.д.) Чем ниже класс, тем проще, меньше мер по защите, советую К3, да и реально это так. А зачем вам специальный? Это ведь предполагает разработку моделей угроз и нарушителя. Насколько необходимо вам обеспечивать целостность и доступность? Может достаточно конфиденциальности? Тогда типовая К3. ИМХО - надо делать все по минимуму. Посмотрите статистику проверок РКН. Штрафы - большая редкость, только если не выполнили требования РКН или допустили разглашение ПДН, а так только предписания по устранению недостатков. А они будут в любом случае. Так что сделайте таповую, а когда появится статистика проверок, можно будет и поправить.
[ Закрыто] Класс испдн в общеобразовательной школе
Что касаемо автоматизированной обработки - смотри постановление правительства от 15 сентября 2008 г. N 687. Это ваш случай, когда данные хранятся в информационной системе, а их обработка осуществляется без использования средств автоматизации. А как вы обрабатываете ПДн работников (зарплата, кадры)? Наверняка есть 1С, а это ИСПДН с автоматизированной обработкой, плюс отчетность в налоговую, пенсионный, статистику, ФОМС и т.д.Наверняка тоже в электронном виде.
[ Закрыто] Класс испдн в общеобразовательной школе
Данные о здоровье в компьютер заносить не надо! Храните на бумаге. Национальность тоже можно исключить - в отчете ставьте прочерк, ни кто за это ничего не сделает - субъект ведь может и отказаться предоставить данные, обязательность графы национальность под большим вопросом. Начните с составления перечня ПДн. Уберите лишние - они есть - проверено. Проведите обезличивание, например, в одной базе ФИО и идентификатор, в другой - идентификатор и остальные данные. Соберите согласие с родителей, главное - не требовать лишнего и расписать зачем данные нужны.
Вопросы по определению класса
Нет, это не ИСПДн. Обработка ПДн не ведется.
Разрешение на обработку ПД несовершеннолетнего
Все есть в ГК РФ: родитель-1, до 14 лет - только родитель, от 14 до 18 - может сам при наличии согласия родителя, после 18 - только сам
Разрешение на обработку ПД несовершеннолетнего
см. ветку Недееспособность субъекта ПДн
какой класс ИСПДн, помогите с классом системы
Нашел проект ГОСТа "Менеджмент риска информационной безопасности". Там не плохо все описано, в том числе количественная оценка последствий. http://docs.cntd.ru/document/1200075254
Акт соответствия на ИС
Соответствие ИС требованиям ИБ осуществляется путем аттестации или сертификации ИС. На выходе - аттестат или сертификат соответствия.
Подпись в согласии
Я думаю, что это задел на будущее. Готовится закон об ЭЦП - там будет немного другая классификация цифровых подписей и другие названия.
128-ФЗ для банка, Нужна ли лицензия?
Я не юрист. Тупо читаю 128-фз: Статья 1. Сфера применения настоящего Федерального закона п.2. Действие настоящего Федерального закона не распространяется на следующие виды деятельности:
деятельность кредитных организаций; :!:
Если не указано конкретно (осуществление банковских операций), то есть вся уставная деятельность, в т.ч. и по ТЗКИ. Лицензия ФСТЭК не нужна!А деятельность по защите информации определяется законом "О банках и банковской деятельности" (банк гарантирует сохранение банковской тайны и др. информации).
Есть судебная практика, когда от банка требовали лицензию по отходам, решение в пользу банка именно на основании того, что 128 закон не регулирует деятельность кредитных организаций.
Страницы: Пред. 1 ... 183 184 185 186 187 188 189 190 191 192 193