Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Особенности аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции (работ, услуг), поставляемой по гособоронзаказу.

12/08/2019 

08 мая 2019 г. утверждены новые Правила аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции работ, услуг), поставляемой по государственному оборонному заказу (постановление Правительства Российской Федерации от 30 апреля 2019 г. № 548).

Новые Правила аккредитации кардинально меняют сложившуюся систему не только аккредитации, но и сертификации СМК предприятий, работающих в области государственного оборонного заказа.

Реклама





Партнеры





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: 1 2 3 4 След.
веб сервис
Суть простая, есть база данных персональных данных на сервере SQL, который работает с сервером 1С предприятие. Хотим привязать к сайту компании, который находится на внешнем сервере веб сервис по выводу задолженности. Так же имеется вебсервер IIS который должен связывать сайт и нашу базу данных, на который приходит скрипт запроса от сайта, а дальше он обращается к серверу 1С уже непосредственно в сети.
Вопрос, что еще необходимо для обеспечения безопасности, не с точки зрения выполнения законов, а конкретно для минимизации вероятности ущерба.
ЭП электронная отчетность
Такой вопрос:
Организация хочет хранить Счет-фактуры в электронном виде утвержденном ФНС, подписанной ЭЦП. Допустим мы подписали мы все документы и убрали в архив, через год или два налоговая приходит и запрашивает документы у нас, а у нас той ЭЦП нет.
Как налоговая будет проверять подлинность ЭЦП, срок которой истек уже?
Ищу ИБ специалиста на аутсорс
Обратитесь к собственным юристам за разъяснением. На сколько я помню, по законодательству вы обязаны подавать в газету или другие СМИ объявление о проведении тендера.
Изменено: Андрей - 19.10.2011 08:52:27
Что бы вы хотели улучшить в ISPDN.RU, Дальнейшее развитие
1. На главной странице сайта не видно верхнее меню, черный текст сливается с темно-синим фоном.
2. Отслеживайте пожалуйста старые баннеры и убирайте их своевременно, до сих пор висит реклама Инфоберег 11-16 сентября 2012 года.
Система обнаружения вторжений
То что в МЭ они не сертифицированы это понятно, точно так же как и про регуляторов. 58 приказ перечитываю как раз.
Спасибо за ответ.
Система обнаружения вторжений
Не так давно защищал диплом по разработке системы защиты одного предприятия, сейчас на этом предприятии работаю и вот заказали обследование наших ИСПДн... Нам обследовали, написали за нас всю документацию и выдали рекомендации.. Тут я вспомнил про свой диплом. Так как когда писал его, руководитель указывал на то, что у меня в системе не было системы обнаружения вторжений. А аутсорсеры про такую даже не упоминают.
Вопрос собственно вот в чем в ИСПДн к2 необходима такая система или достаточно будет встроенной в МЭ?
[ Закрыто] Ф3 153, ст. 22 Уведомление об обработке ПДн, пункт 7.1
Тут имеется в виду не аутсорсер, который обеспечивает защиту ПДн, а фирма, которой поручили обработку ПДн. Допустим ваша организация имеет большую базу потребителей. И вы вместо того, чтоб купить печатный станок, поручили сторонней организации печатать счета для этих потребителей. Соответственно вы передаете ПДн в цифровом формате, а уж сторонняя организация печатает их и получает все ПДн на бумажном носителе. Тем самым производит смешанный тип обработки ПДн. Но на сколько я помню, на такой финт ушами нужно согласие субъектов.
ПД физ. лица при заключении договора
Ну да, согласие о общедоступности должно быть. Это я просто не озвучил...
Просто моя организация сейчас работает с аутсорсерами в сфере защиты информации. И те юр лица не считают причастными к ПДн. В частности контактные данные глав организаций они считают общедоступными, ведь по факту можно найти организацию и минимальные данные о ней в сети на основе общедоступности.
ПД физ. лица при заключении договора
Люди, вы о чем говорите?? Представитель юр лица, это общедоступная информация. По крайней мере ГенДир точно.
Возьмем допустим случай со входом в здание(у кого есть пропускной режим думаю поймет). На входе должен быть телефон и телефонная книга с номерами, фамилиями сотрудников. Либо же бюро пропусков(на очень крупных). А если ФИО и рабочие телефоны спокойно лежат на пропускной, то они уже стали общедоступными.
[ Закрыто] Разглашение информации ПДн, УК РФ ст 137, Уголовная ответственность за информацию полученную из баз данных или интернета
Цитата
Гость пишет:
Хм, а если рассматривать другой вопрос, в нашей фирме по договору предоставили базы для обработки, но мы не знаем как получились эти базы, например если база незаконная- мы так же понесем ответственность? другой вопрос можно путем внесение в договор определенного пункта , например, " клиент обязан предоставить базы полученные законным путем и тд " перенести всю ответственность на заказчика, а так же и другие вопросы, нужно ли уведомлять субъекта о прекращении обработки пд в этом случае ?

На сколько я помню, при получении базы данных, вы обязаны уведомить владельцев ПДн, об обработке ПДн. И вот тут можно свалить всю ответственность на тех, кто дал вам базу. Так как в письме вы указываете, кто и с какой целью вам передал данные. Если кто-то из уведомленных лиц будет обращаться к вам или в РКН, то показываете договор с той фирмой, которая передала вам данные(кстати в договоре должен быть специальный пункт о передаче ПДн). Если в ходе жалоб будет выяснено, что ПДн собраны нелегально, то вы ответственность не будете нести, так как проверить достоверность вы лично не можете. И все что в ваших силах для обеспечения закона, вы сделали..
ГИБДД разглашает нарушителям персональные данные жалующихся
Судя по всему, они имеют на это право, закрепленное законодательством и по этому не виноваты. Другое дело, что действительно могут возникнуть случаи мести, но анонимными доносы быть не должны, а то начнется полный хаос, все начнут стучать друг на друга из-за малейших нарушений. Можно изменить форму подачи заявки, допустим ФИО и паспортные данные, без указания адреса прописки и проживания(если гаишникам будет надо вызвать человека, то они с легкостью его найдут, по прописке)
Компания поглотившая более мелкую хочет ПДн всех сотрудников, но, фактически мы разные юр лица
Если компания оформлена как филиал, то головной офис вправе иметь сведения СВОИХ сотрудников и ни о какой передачи третьим лицам нет. Если же компания вошла в состав холдинга и является автономным предприятием, то тут нужно согласие работников.
[ Закрыто] Сервер: Windows 2008 St. и 1С.Предприятие, На что необходимо иметь сертификат
На сколько знаю, 1С защищает по 3-му классу. Либо можно купить сертифицированную ОСь, которая тоже по 3-му классу, но тут надо учитывать, что не только на сервер, но и на все локальные машины в сети придется устанавливать сертифицированные ОСи. А можно взять обычную лицензионную винду, обычную 1Ску и купить средства от НСД, МЭ и при необходимости средства шифрования. И в любом случае придется сертифицированный антивирус брать.
[ Закрыто] А нужна ли ИСПДн???, Есть требование к ее созданию
Цитата
Алексей пишет:
Согласен с автором, что теперь стало не совсем понятно. Раньше такую обработку, где нет базы данных, а есть только набор неструктурированных данных в неких файликах, можно было легко подвести под неавтоматизированную обработку с соответствующими требованиями, т.к. оператор осуществляет все действия с ПДн каждого субъекта так как бы он обрабатывал его в ручную. А теперь нельзя. Компьютер есть - все автоматизированная. А все требования по защите данных при автоматизированной обработке привязаны к ИСПДн (а точнее к классам). Да в законе есть требования все равно защищать (об этом никто не спорит), но не понятно как? Я тоже как и автор обратил внимание на эту особенность. Надеюсь в новых подзаконниках учтут этот момент.
А что вам допустим мешает объединить несколько файлов в одну БД и ИСПДн? Или допустим каждый файл классифицировать как отдельную ИСПДн?
[ Закрыто] А нужна ли ИСПДн???, Есть требование к ее созданию
Автор, а кто вам сказал, что документ MS office не может быть ИСПДн(или у вас сотрудники ведут файлы неизвестного никому расширения, и кроме вашей фирмы никто в мире не имеет подобного приложения для открытия уникальных фалйов??)? Возьмем тот же самый Exel. У одного документа может быть очень много строчек и столбцов, в которых обрабатываются ПДн(макросы и формулы никто не отменял, а это делает обработку более автоматизированной, хотя исходя из определения автоматизированной обработки, наличие компьютера, это уже автоматизированная обработка). А помимо строк и столбцов в таком документе может быть множество листов.
Теперь немного определений:
База данных — некоторый набор перманентных (постоянно хранимых) данных, используемых прикладными программными системами какого-либо предприятия.
ИСПДн - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Подводя итоги, что мы имеем: файлы Exel`я(или любые другие файлы) можно смело назвать базами данных. Эти файлы обрабатываются на компах, следовательно они автоматически попадают под определение ИСПДн, если в них обрабатываются ПДн.
Бухгалтерия, зарплата и все все все...
Свое ООО открывать сейчас не выгодно ради таких целей, так как надо большой капитал. 3 Класс защищается 2 способами:1 сертифицированная винда. 2 Специальная 1Ска с сертификатом защиты.
Класс ПДн?, Паспортные данные без ФИО
То что вы пытаетесь сделать, это понятно. Попробуйте разбить не на 2, а на 3 или 4 ИСПДн и тогда точно все будут К4. Но вот удобно ли будет работать с такими ИСПД?
Класс ПДн?, Паспортные данные без ФИО
Гость, повторюсь. Если я вам дам свой телефон и адрес, то вы все равно не сможете меня однозначно идентифицировать без официального документа с фото. И спорить мы тут можем об этом до посинения. От сюда можно сделать простой вывод, что защищать надо только копии официальных документов с ПДн, но вот закон выходит намного дальше.

Я вот лично вас не понимаю, с тем, что регуляторы вам сказали о К4 вы согласны и оспариваете тут другую точку зрения, а с тем что, тот же регулятор сказал про К2 вы не согласны и пытаетесь тут узнать, почему же это не К4... Если вы придерживаетесь мнения регулятора, то следуйте их словам. Я высказал свое мнение по этому поводу.
Если вы хотите услышать почему К2, то вероятнее всего совокупность: адрес, телефон и всех остальных данных...
Изменено: Андрей - 24.05.2011 13:26:31
Класс ПДн?, Паспортные данные без ФИО
AlexSSP, если вдаваться в дебри закона и вопроса про идентификацию, то тут можно дойти до того, что без паспорта или любого другого документа с фотографией однозначно сказать ничего нельзя. По такому же приницпу можно сказать, что телефон и адрес не позволяют идентифицировать субъект, даже в совокупности всего вышеозвученного точно сказать кто перед тобой нельзя, если у тебя нет официального документа, подтверждающего личность. Но это уже субъективное мнение и проблема юридического характера.
Класс ПДн?, Паспортные данные без ФИО
Чтоб не морочить вам голову, уберите просто мыло из первой базы во вторую и будет у вас 2 базы по К4. Если с этим согласится ФСТЭК. Ведь если они признают ИСПДн не типовыми, то меры защиты и каналы утечки определять будут они.
Страницы: 1 2 3 4 След.