Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Особенности аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции (работ, услуг), поставляемой по гособоронзаказу.

12/08/2019 

08 мая 2019 г. утверждены новые Правила аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции работ, услуг), поставляемой по государственному оборонному заказу (постановление Правительства Российской Федерации от 30 апреля 2019 г. № 548).

Новые Правила аккредитации кардинально меняют сложившуюся систему не только аккредитации, но и сертификации СМК предприятий, работающих в области государственного оборонного заказа.

Реклама





Партнеры





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: 1 2 След.
Роли и ответственность при планировании безопасности информационной системы, их распределение среди должностных лиц организации
Доброго дня,
читаю публикацию NIST 800-18 по планированию безопасности ИТ систем. Не очень понятно распределение ролей и ответственности. Порекомендуете другие публикации по теме? Возможно, есть ГОСТ или РД.
Категории информации
Доброго дня,
какой регулятор или закон у нас определяет методику классификации\категорирования информации?

Каковы критерии классификации: по уровням конфиденциальности, ценности, правам доступа, срокам хранения?

Кто какие критерии использует и чего требует закон\регулятор?
нормативная база по ПДн
Доброго дня,
есть ли у кого актуальная иерархическая схема нормативных документов в области ПДн?
например, в корне - 152-ФЗ, от него идут Постановления Правительства, ниже - требования регуляторов.
Изменено: Александр - 04.05.2012 13:13:33
Обслуживающий персонал ИСПДн, кто эти люди?
Доброго времени суток,
кто является обслуживающим персоналом ИСПДн?
На мой взгляд - это лица, имеющие доступ к ИСПДн, но не занимающиеся обработкой ПДн в ходе бизнес-процесса.

Это системный администратор,
администратор СУБД
инженер по ремонту и обслуживанию оргтехники
Администратор ИСПДн (???) - насчет него сомнения.

При этом работники, допущенные в контролируемую зону ИСПДн не считаются (уборщицы и водители)
Изменено: Александр - 17.11.2011 13:16:39
регламенты по обработке ПДн
Доброго времени суток,
с целью закрепления во внутренних организационных документах порядка обработки и защиты разрабатывается "Положение об обработке и защите ПДн", в котором есть ссылки более частные документы - регламенты, требования безопасности при обработке ПДн.
Ясно, что Положение декларирует общие принципы обработки, защиты, ответственность и права. А вот по составу и содержимому частных документов - вопрос.
Думаю написать регламент сбора, регламент уничтожения, регламент передачи 3 лицам, регламент действий в случае нештатных ситуаций, регламент проведения мероприятий по контролю безопасности.
Основанием для допуска к обработке ПДн является подписание "Требований безопасности". Что туда можно вписать?
Изменено: Александр - 16.06.2011 09:35:34
[ Закрыто] Запросы со стороны субъектов
Доброго дня,
какие сведения может содержать запрос со стороны субъекта? Нужно будет проверить их корректность перед формированием ответа на запрос
оценка опасности угроз
Здравствуйте,
С методичке ФСТЭК две фразы противоречат друг другу
1. При оценке опасности на основе опроса экспертов (специалистов в области защиты информации) определяется вербальный показатель опасности для рассматриваемой ИСПДн
2. ...если реализация угрозы может привести к незначительным негативным последствиям для субъектов персональных данных

в первой фразе опасность угроз для оператора (фирмы), во 2й - для субъекта ПДн (клиента)

Так для кого опасность подсчитывать?

Логика подсказывает, что для оператора ПДн - организации-обработчика
Изменено: Александр - 16.05.2011 11:24:17
анализ защищенности
Здравствуйте,
мне не понятен один из параметров защищенности:
"По объему ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки"
что значит предварительная обработка? обезличивание что ли?
Если "обработку" понимать как термин, то как мы можем передать ПДн сторонним пользователям ИСПДн (другим организациям на основании договора) не произведя "сбор" ПДн, что УЖЕ является обработкой.
пожар, - термический фактор природного или техногенного воздействия?
Доброго дня,
пожар - термический фактор природного или техногенного воздействия?
По-моему в офисе - скорее всего техногенного (короткое замыкание)
Социальная инженерия: кто источник угрозы?, тот кто "разводит" или пользователь ИСПДн, которого "разводят" ?
Здравствуйте,
При использовании соц инженерии кто является источником угрозы?
Моё мнение: источник угрозы - соц инженер, а не пользователь ИСПДн, которого провоцируют на нарушение правил обработки ПДн.
Другие мнения есть?
сертифицирован ли ФСТЭК пакет Office 2010?
Здравствуйте,

сертифицирован ли ФСТЭК пакет Office 2010 :?:
Источники угроз
Доброго дня.
Для каждого типа угроз - свои источники:
для НСД - внутренние нарушители, вредоносное ПО, закладки
для утечки по тех каналам - внешние нарушители
для спец воздействий (химического, радиационного, электромагнитного)- ??? природные или техногенные инциденты?

Например: скачок напряжения вырубил сетевое оборудование.
Результат - нарушение доступности ПДн
Источник угрозы - ???
Аудиторы 1С и модель нарушителя
Здравствуйте, являются ли аудиторы 1С вероятными нарушителями? Или их отнести к контролирующим органам, наряду с налоговой и Роскомнадзором, угрозы от которых моделировать не стоит.
Список лиц, допущенных к обработке ПДн
Доброго дня.
Указывать ли в списке лиц, допущенных к обработке ПДн:
- администратора, обеспечивающего защиту ИСПДн
- уполномоченный персонал разработчиков ИСПДн (программист 1С - аутсорсер) ?
Моделирование угроз
Добрый день,
считать ли угрозой нарушения доступности ПДн приостановку деятельности организации по результатам проверки Роскомнадзором?
[ Закрыто] Частная модель угроз, указыать ли меры противодействия?
Доброго дня,
нужно ли в частной модели угроз указывать меры противодействия каждой угрозе?
Ведь все равно следом будет разрабатываться Техническое задание на создание СЗПДн, в котором будут указаны организационные и технические средства защиты.
Контролируемая зона
Доброго дня,
сложность с определением КЗ: есть коридор и кабинеты, входная дверь коридора контролируется видеокамерой.
клиенты могут бесконтрольно ходить по коридору, однако при входе в кабинет - контролируются работниками.
Повторю: вход в коридор контролируется видеокамерой.
Определил, что коридор не является КЗ, а кабинеты - являются.
Ваше мнение?
Регламент обработки ПДн
Доброй пятницы, коллеги
В своем Регламенте, помимо прочего, обозначил уровни ответственности (роли) участников процесса обработки ПДн. Например, работники, допущенные к обработке, несут ответственность перед непосредственным руководителем. Руководитель - перед Ответственным за организацию обработки, а ответственный - перед РКН.
Вопрос: какие процессы взаимодействия между ними могут возникнуть помимо:
- предоставление/ограничение доступа работнику к ПДн
- реагирование на запросы субъектов/РКН
- контроль выполнения правил обработки Пдн
- порядок устранения выявленных нарушений
[ Закрыто] Форма запроса субъекта ПДн
Доброго дня,
Ст.14 п.7 содержит список сведений, которые может запросить субъект.
Не понятно, что имеется в виду под "порядком осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом",
который может запросить субъект.
То есть оператор обязан расписать процедуру защиты своих прав субъекту ПДн? В какие сроки и в каком порядке, куда ему обращаться по поводу нарушений?


Самому Закон почитать не судьба?
регламент реагирования на запросы
Доброго времени суток,
примерного шаблона не найдется ли?
Страницы: 1 2 След.