Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Особенности аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции (работ, услуг), поставляемой по гособоронзаказу.

12/08/2019 

08 мая 2019 г. утверждены новые Правила аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции работ, услуг), поставляемой по государственному оборонному заказу (постановление Правительства Российской Федерации от 30 апреля 2019 г. № 548).

Новые Правила аккредитации кардинально меняют сложившуюся систему не только аккредитации, но и сертификации СМК предприятий, работающих в области государственного оборонного заказа.

Реклама





Партнеры





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: Пред. 1 2 3 4 5 6 7 8 9 10 11 ... 193 След.
согласие на обработку ПДн
Цитата
Irren пишет:
Но у нас много филиалов по разным городам и адресам
А кто оператор? Если филиал юрлицо, то он оператор и он должен собирать согласия.
Цитата
Irren пишет:
это считается нарушением?
Нет, не считается.
Биометричекие ПДн, фото, СКУД...
Если на мониторе только фото (без ФИО и проча), то не парьтесь, а то и зеркало к ИСПДн относить придется.
[ Закрыто] Что делать если клиент отказывается подписать согласие на обработку ПДн?
Отдельное согласие на бумаге нужно при передаче в "неадекватные" страны.
Плановая проверка РКН с привлечением МЧС; министерства экономики., Роль привлеченных регуляторов
Руководствуются административными регламентами - смотрите на их сайтах, в них и проверяемые вопросы.
Инструкция пользователя и ответственного пользователя СКЗИ, что написать
А зачем указывать? Это вы на основе этих документов составляете инструкцию пользователю (ответственному пользователю) которой они и руководствуются. Зачем им объемные документы-первоисточники? Пользователю нужен конкретный, адаптированный под вас и достаточно небольшой по объему.
[ Закрыто] Инструкция по восстановлению связи в случае компрометации действующих ключей к СКЗИ
ИМХО тут два аспекта. Если вы лицензиат ФСБ, то обучение должно удовлетворять требованиям 313ПП для штатных специалистов (для большинства - два специалиста с образованием по ИБ или переподготовкой 500/100 часов). Для остальных (пользователей) достаточно внутреннего обучения с регистрацией в журнале.
[ Закрыто] Инструкция по восстановлению связи в случае компрометации действующих ключей к СКЗИ
1. Способ оперативного информирования о компроментации по другому каналу (телефон, СМС, мыло) с подтверждением (кодовое слово) для временной блокировки.
2. Обязанность письменного заявления, лучше не позднее следующего рабочего дня для признания сертификата недействительным.
3. Сроки и порядок генерации новых ключей, сертификатов и их взаимной регистрации.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
А в каком говорится об обязательности? Во всех НПА говорится о СЗИ, прошедших оценку соответствия. Формы этой оценки в законе о техрегулировании, сертификация это только одна из форм. Другие формы (например испытание) обсуждались на форуме, поищите.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
BlueSky, для госов сертифицированные СЗИ обязательны, для остальных - оценка соответствия (есть деньги - покупайте сертифицированные, нет - оценивайте сами). Модель угроз по методике ФСТЭК, НДВ есть в любой системе, только их угроза признается неактуальной (низкая вероятность реализации, минимальный вред субъекту).
п. 2.7. ТТ, возник вопрос)
Приказ о назначении пользователей криптосредств должен быть. А по обязанностям (недавно прошел проверку ФСБ в плане лицензионных требований) - тупо содрал из 313ПП (там где перечень работ/услуг), выбирайте, что вам подходит:
12. Монтаж, установка (инсталляция), наладка шифровальных (криптографических) средств.
13. Монтаж, установка (инсталляция), наладка защищенных с использованием шифровальных (криптографических) средств информационных систем.
14. Монтаж, установка (инсталляция), наладка защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем.
15. Монтаж, установка (инсталляция), наладка средств изготовления ключевых документов.
16. Ремонт шифровальных (криптографических) средств.
17. Ремонт, сервисное обслуживание защищенных с использованием шифровальных (криптографических) средств информационных систем.
18. Ремонт, сервисное обслуживание защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем.
19. Ремонт, сервисное обслуживание средств изготовления ключевых документов.
20. Работы по обслуживанию шифровальных (криптографических) средств, предусмотренные технической и эксплуатационной документацией на эти средства (за исключением случая, если указанные работы проводятся для обеспечения собственных нужд юридического лица или индивидуального предпринимателя).
21. Передача шифровальных (криптографических) средств.
22. Передача защищенных с использованием шифровальных (криптографических) средств информационных систем.
23. Передача защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем.
24. Передача средств изготовления ключевых документов.
25. Предоставление услуг по шифрованию информации, не содержащей сведений, составляющих государственную тайну, с использованием шифровальных (криптографических) средств в интересах юридических и физических лиц, а также индивидуальных предпринимателей.
26. Предоставление услуг по имитозащите информации, не содержащей сведений, составляющих государственную тайну, с использованием шифровальных (криптографических) средств в интересах юридических и физических лиц, а также индивидуальных предпринимателей.
27. Предоставление юридическим и физическим лицам защищенных с использованием шифровальных (криптографических) средств каналов связи для передачи информации.
28. Изготовление и распределение ключевых документов и (или) исходной ключевой информации для выработки ключевых документов с использованием аппаратных, программных и программно-аппаратных средств, систем и комплексов изготовления и распределения ключевых документов для шифровальных (криптографических) средств.
Является ли мат. модель ПДн?
Отпечаток пальца - биометрия. Статья 11. Биометрические персональные данные
1. Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

Вы личность не устанавливаете, посему это не ИСПДн.
[ Закрыто] Иные и специальные категории персональных данных, Что сюда отнести
Иные = не биометрия и не специальные.
Статья 10. Специальные категории персональных данных
1. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни
[ Закрыто] Контролируемая зона
Доступ к интернету и контролируемая зона связаны слабо. Наличие КЗ позволяет сделать неактуальными угрозы ПЭМИН, перехвата информации из внутренней сети, физического НСД, хищения, может еще что упустил
[ Закрыто] П-1119 по ПДн, Постановление от 1 ноября 2012 г. №1119 Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных
Цитата
Alexey пишет:
Должен ли я выполнять требования по обеспечению конфиденциальности для обезличенных данных?
Вроде как нет, но... Нужно обеспечить доступность и целостность. Большой разницы в плане технических мер для целостности и конфиденциальности я не вижу.
[ Закрыто] Передача персональных данных по e-mail, Ответы на запросы
Портал персональных данных Роскомнадзора, электронная форма уведомления:

Порядок подачи уведомления в электронном виде:
После заполнения формы уведомления о намерении осуществлять обработку персональных данных и отправки ее в информационную систему Уполномоченного органа по защите прав субъектов персональных данных, Вам необходимо распечатать заполненную форму, после чего ее подписать и направить в соответствующий территориальный орган Роскомнадзора по месту регистрации оператора.
Я ознакомлен(ознакомлена) с порядком подачи уведомления в электронном виде
Я подтверждаю своё согласие на передачу информации в электронной форме уведомления (в том числе персональных данных) по открытым каналам связи сети Интернет.
Распространение СКЗИ
Цитата
Beds пишет:
етокены с крипто-про
На них есть ключ? То же самое с дистрибутивами. Это все учитывается в бухгалтерии. Вы ведете учет своих ключевых носителей и СКЗи.
Распространение СКЗИ
Вы же сами пишите, что в журнале учитывать надо ключевые документы и носители (опять же - носители ключевой информации). Ну купили вы кучу лицензий на крипто-Про, сигнатуру и т.п., ну продали их потом - где тут ключи?
Лицензирование как обязанность выполнения действий
Гость, вы повнимательней почитайте 313ПП и административный регламент ФСБ. Да, в шапке заявления пишется все виды деятельности (включая разработку и т.п.), НО, далее указываются конкретные номера видов деятельности из Приложения к данному ПП. А там все разделено. Распространения там нет, есть

21. Передача шифровальных (криптографических) средств.
22. Передача защищенных с использованием шифровальных (криптографических) средств информационных систем.
23. Передача защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем.
24. Передача средств изготовления ключевых документов.
Неограниченное количество обработчиков ПДн в соглашении, Допустимо ли неограниченное количество обработчиков ПДн в соглашении
Цитата
Павел пишет:
но можно ли в соглашении
Наверное в согласии? ИМХО можно. Субъект дает согласие, что оператор может поручить обработку ПДн сторонней организации с условием соблюдения требований по их защите.
Проконсультируйте пожайлуста по поводу обработки персональных данных
1. Указывайте 2013, ничего страшного.
2. Срок давности 3 месяца.
3. Места хранения определяете вы. Лучше сейф (железный шкаф), но если ограничен доступ в само помещение, то почему бы и нет (в ящике стола).
Страницы: Пред. 1 2 3 4 5 6 7 8 9 10 11 ... 193 След.