Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Особенности аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции (работ, услуг), поставляемой по гособоронзаказу.

12/08/2019 

08 мая 2019 г. утверждены новые Правила аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции работ, услуг), поставляемой по государственному оборонному заказу (постановление Правительства Российской Федерации от 30 апреля 2019 г. № 548).

Новые Правила аккредитации кардинально меняют сложившуюся систему не только аккредитации, но и сертификации СМК предприятий, работающих в области государственного оборонного заказа.

Реклама





Партнеры





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: Пред. 1 2 3 4 5 6 7 8 9 10 11 ... 193 След.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Цитата
Dist пишет:
Учетный номер носителя.
Укажите б/н, то бишь без номера, или прочерк в графе.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Vitaly Bondarew, позвольте с вами не согласиться. Вопрос стоял о соответствии СЗИ 152 закону. Автор немного не корректно его поставил. ФЗ не требует сертификации, только оценку соответствия. Так что СЗИ с любым сертификатом (ФСБ, МО, Газпром и т.п.) вполне годятся. А ФСБ сертифицирует не только криптуху.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Маришка, определите для себя требуемый уровень защиты, уж на антивирус точно придется раскошелится ;)
Остальное - встроенными, ну и основное внимание оргмерам - чем больше бумаги, тем спокойнее жизнь
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Политика одна. А работников и клиентов лучше разделить. Положение по работникам - требование ТК РФ, и проверить его может не только РКН, но и трудовая инспекция.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Я бы прошелся по моделированию угроз: кто и когда, в конце концов, будет делать отраслевые модели, а уж в существующих (действующих) методиках от ФСТЭК и ФСБ тумана хватает. Интересная тема (пересекается с определением актуальных угроз) это вред субъекту.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Armen Ashotovich, вы возьмите с клиента согласие на обработку ПДн, в котором напишите, что клиентом получено согласие лиц, указанных в анкете.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
А кто, кроме вас, может знать какое нужно оборудование, особенно для производства? Паяльник? Токарный станок? 3д принтер?
Передача ПДн внутри одного почтового сервера
Цитата
Xenobius пишет:
У предприятия есть филиалы, расположенные в разных городах.
Арендуйте защищенный канал у провайдера.
Передача ПДн внутри одного почтового сервера
А в нормативных документах конкретно ничего нет - информация должна быть защищена, и тут, как в анекдоте, возможны два варианта (точнее три):
1. Защита самой информации - кроме шифрования иных способов нет.
2. Защита канала - фактически оргмеры, расположение в КЗ, пропускной режим, видеонаблюдение и т.п.
3 = 1+2.
В вашем случае, возможно, достаточно 2.
[ Закрыто] Отказ абитуриента дать согласие на обработку ПДн
Р. Забирова, у вас есть какие-то правила или положения об обучении для бюджетников? Достаточно добавить пункты:
1. Данные правила являются публичной офертой (договором), акцепт которой осуществляется путем подачи Заявления, а вступление в силу с даты Приказа о зачислении.

2. ВУЗ имеет право осуществлять обработку (в том числе предоставление третьим лицам с целью выплаты стипендии) ПДн: ФИО, .......

Да и согласие можно включить в текст Заявления - хочешь учиться - подписывай.
Тут другой подводный камень - для абитуриента, не достигшего 18 лет согласие должны давать родители, а после 18 - брать у него самого.
[ Закрыто] CRM как ИСПДн и юридические проволочки вопроса, Как работает законодательство в отношении CRM систем? И почему не все получают лицензию (или не говорят об этом)
1. Цель обработки определяете не вы, а клиент. Вы оператор в отношении ПДн своих работников и обработчик (лицо, которому оператор (клиент) поручил обработку в отношении ПДн, предоставленных клиентом).
4. Заявка на что? Клиент в договоре определяет защитные меры, которые вы должны выполнить, вот и выполняйте. По большому счету 1119ПП к вам не относится, вы же не оператор. Тут и (5) - модель угроз опять же головная боль клиента.
[ Закрыто] CRM как ИСПДн и юридические проволочки вопроса, Как работает законодательство в отношении CRM систем? И почему не все получают лицензию (или не говорят об этом)
1. Оператор ПДн в любом случае заказчик и ответственность перед субъектами несет он. Вы несете ответственность перед заказчиком в рамках договора (=поручения) на обработку.
2. Заказчик обязан получить согласие от субъектов на передачу вам ПДн для обработки.
3. В договоре должны быть прописаны защитные меры, которые вы должны выполнить.
4. Откуда вылезла аттестация? Вы коммерческая структура и никакой аттестации не требуется. Сами оцениваете и составляете акт.
5. Откуда вылез УЗ1? Если в модели угроз уйти от НДВ (угрозы 1 и 2 типа), то 1 уровень отпадает вовсе, а 2 - при количестве субъектов более 100000, но это ведь в одной ИСПДн, а кто вам мешает создать их несколько, отдельно для каждого клиента?
[ Закрыто] Акт классификации информационных систем персональных данных при новом П-1119, Правильное составление
Irina, фото в анкете никакого отношения к ИСПДн не имеет, это обработка без использования средств автоматизации, про биометрию и спецкатегории можно забыть. Угрозы НДВ(1 и 2 типа) признать не актуальными, сами пишете, что даже в случае утечки вреда нет, да и вероятность того, что кто-то будет ломать контору со штатом 15 человек стремится к нулю, дешевле купить эту фирму с потрохами. Так что легко выходите на 4 УЗ.
[ Закрыто] Передача персональных данных по e-mail, Ответы на запросы
Можно
[ Закрыто] Передача персональных данных по e-mail, Ответы на запросы
Сведения об умерших для некоторых намного важнее, чем о живых - бизнес огромный. У вас есть положение об обработке и защите ПДн? Желательно это положение согласовать в этом комитете (все равно читать не будут) и прописать в нем передачу ПДн по защищенным каналам (требование 21/17 приказов). А потом посылать (отсылать) к этому документу.
УЗ_3 и АУ_3, Необходимость сертифицированных средств средств
Александр Тимощенко, все, что нужно применять, указано в 21 приказе ФСТЭК. Раз вы не гос, то сертифицированные СЗИ не обязательны, достаточно оценки соответствия.
информационное письмо
Это зависит от рода деятельности вашего работодателя. В любом случае напишите ответ, что уведомление не требуется в соответствии с ч.2 ст.22 ФЗ 152, так как вы обрабатываете ПДн ... (а далее обоснование из ФЗ). На первое время прокатит, по крайней мере ответ будет. А дальше смотрите нужно ли действительно уведомлять, если да, то пошлете уведомление позже.
Разграничение прав доступа, защита от НСД
Цитата
Beds пишет:
как разграничивать доступ внутри этой программы?
Сертифицированными должны быть СЗИ, программы для обработки могут иметь (а могут и не иметь) механизм ролей или разграничения доступа. Если данные критичны, то программы без разграничения доступа лучше не использовать, или все пользователи будут иметь равные права, что тоже допустимо, тогда навесных СЗИ достаточно.
Персональные данные - это
Цитата
Дмитрий пишет:
а значит это не ПДн, а значит и 152 ФЗ применять тут не нужно.
Как раз это ПДн, и защищать их нужно. Другое дело что их нужно сделать общедоступными собрав согласия с сотрудников. А целостность и доступность обеспечивать надо.
Отправка К1 по электронной почте.
Или получите ответ, что угроза перехвата ПДН по открытому каналу неактуальна.
Страницы: Пред. 1 2 3 4 5 6 7 8 9 10 11 ... 193 След.