Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Особенности аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции (работ, услуг), поставляемой по гособоронзаказу.

12/08/2019 

08 мая 2019 г. утверждены новые Правила аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции работ, услуг), поставляемой по государственному оборонному заказу (постановление Правительства Российской Федерации от 30 апреля 2019 г. № 548).

Новые Правила аккредитации кардинально меняют сложившуюся систему не только аккредитации, но и сертификации СМК предприятий, работающих в области государственного оборонного заказа.

Реклама





Партнеры





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: Пред. 1 ... 6 7 8 9 10 11 12 13 14 15 16 ... 34 След.
Можно ли считать обработку ПДн в Excel, как ИСПДн????, Можно ли считать обработку ПДн в Excel, как ИСПДн????
Цитата
Tolian пишет:
Miksin, тогда как юрист расскажи как между собой соотносятся термины Информационная система Автоматизированная система и что же такое Автоматизированная информационная система smile:) smile:) smile:)
Информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее
обработку информационных технологий и технических средств.
Автоматизированная система - система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.
АС(с БД)=ИС+персонал, грубо говоря.
АИС - от лукавого.
Изменено: Trotsky - 12.03.2012 11:56:10
Можно ли считать обработку ПДн в Excel, как ИСПДн????, Можно ли считать обработку ПДн в Excel, как ИСПДн????
Опять же я не юрист, но,
как статья с заголовком "Переводы, иные производные произведения. Составные произведения", может быть отнесена к БД в нашем понимании? ИМХО сфера действия статьи не соотносится с нашим контекстом, юриста бы в тему.
Можно ли считать обработку ПДн в Excel, как ИСПДн????, Можно ли считать обработку ПДн в Excel, как ИСПДн????
Цитата
Гость05 пишет:
Тротски, походу вы не разу не проходили проверку РКН, у них мнение таково: данные в ворд, эксель обрабатываются при помощи СВР=> автоматизированная обработка=> ИСПДн со всеми вытекающими...
Сколько управлений, столько и мнений. Ни 1 прецедента по word-excel ещё не было, официальных ответов ЦА я не видел, так что любое мнение имеет право на существование, если его можно доказать.
Можно ли считать обработку ПДн в Excel, как ИСПДн????, Можно ли считать обработку ПДн в Excel, как ИСПДн????
Цитата
AlexG пишет:
А пока вы заносите данные на флэшку - это не обработка в ИСПДн?
Это автоматизированная обработка, повторюсь, гвоздь в определении базы данных.
Составлять частную модель угроз для файлика с датами рождения сотрудников(для поздравления), это через чур.
Можно ли считать обработку ПДн в Excel, как ИСПДн????, Можно ли считать обработку ПДн в Excel, как ИСПДн????
Цитата
Denis пишет:
У нас есть ПДн работников и они хранятся в Excel, обрабатываются и передаются. Можно ли считать это ИСПДн? Исходя из определния ИСПДн - ПДн обрабатываемые в базах данных, а Excel это не база данных. Но с другой стороны ПДн есть и они обрабатываются на компе, а значит это автоматизированная обработка, как в током случае поступать?
Весь вопрос в определении базы данных. Я лично это ИСПДн не считаю и советую такие файлы переносить на флешки и хранить их в сейфе.
Сбор информации о системе, А именно имя, архитектура, тактовая частота процессора, версия ОС, разрядность ОС, .net версия
Цитата
Sks пишет:
А галочка будет являться юридически значимой??? Допустим, в случае с согласием на обработку ПДн галочка не "работает".
Не знаю будет ли, но тот же dr.web просит поставить галочку на отправку сведений о найденных вирусах, перед скачиванием бесплатного cureit`а. Та же ситуация и с браузерами, да и многим ПО.
Как ввести в документооборот предприятия Концепцию информационной безопасности?, приказом руководителя или как?
Если у Вас такой случай, то наверняка должна быть инструкция по делопроизводству. Разницы между вводом в действие 2 документов 2 приказами или 1 приказом нет, так даже удобней, если необходимо бегать и собирать визы согласования. Пишите 1 приказ и либо делаете документы приложениями, либо подписываете УТВЕРЖДЕН приказом директора ХХХ от ___ №____. Можете инструкцию по делопроизводству в Минкультуры посмотреть для примера.
Как ввести в документооборот предприятия Концепцию информационной безопасности?, приказом руководителя или как?
Концепция как правило формируется для орг-ций, имеющих сеть филиалов или подконтрольных орг-ций, региональных управлений. Так сказать генеральная линия партии по ИБ. Если у Вас рядовая орг-ция, то переписывать концепцию смысла не имеет, ИМХО, т.к. документ будет нерабочий. Вот положение об ИБ или политика ИБ - более подробный и работоспособный вариант. Повторюсь, что слепо следовать метод. рекомендациям, особенно Минздравсоцразвития не стоит.
Изменено: Trotsky - 12.03.2012 09:46:54
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Цитата
Борис пишет:
Можно ли с этого компьютера ходить в интернет (на этот сайт, например)?
Можно ли к этому компьютеру подключаться по RDP с домашнего компьютера?
ИСПДн - это определенный сегмент сети, когда Вы подключаетесь по удаленке, получается вход в ИС с незащищенного АРМ. Если по РД, то это 58 приказ ФСТЭК, п.2.7, налагающий дополнительные защитные меры, при таком взаимодействии.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Цитата
AlexG пишет:
оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
Поэтому обработчик не определяет цель и состав ПДн, это делает оператор.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Цитата
Настя пишет:
Так вот, всё-таки удивляет, зачем им было заявляться в качестве оператора, ведь по закону можно было бы обрабатывать ПДн без уведомления РКН?
Они ведь и ПДн работников обрабатывают, да и других подводных камней может быть много.
На одноклассниках не зарегистрирован, но возможно в профиле отображаются не все данные, которые вводятся клиентами, возможно там есть ещё и какие то уровни конфиденциальности, как вконтакте.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Цитата
Настя пишет:
2. ФЗ 152, ст.22 п.2 4) сделанных субъектом персональных данных общедоступными Тогда зачем "Одноклассники" регались как оперторы, ведь пользователь своей регистрацией на сайте подтверждает своё согласие на их общедоступность?
Где это написано? :|
Цитата
Настя пишет:
7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем. Где есть определение этих государственных автоматизированных информационных систем?
Тут
Цитата
Настя пишет:
1. Оператор А передаёт юр. лицу Б персональные данные субъектов оператора А на обработку на основании согласия субъекта на обработку, в котором указано это лицо Б. Обязано ли лицо Б в таком случае быть оператором (быть зарег-ным в РКН в качестве оператора)??
Оператором быть не обязано, а обработчиком - может быть.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Цитата
Гость пишет:
Это понятно, что модель угроз будет типовая, но возможно с какими-то отклонениями, адаптированными под нас. Да и можно ткнуть носом в готовую/типовую модель угроз для ИСПДн К2? Ну а по самому вопросу, насчет выбранных средств защиты можно что-то сказать на базе имеющегося опыта? Ведь, насколько я понимаю, набор методов защиты для ИСПДн одного класса примерно одинаков, следовательно, можно на основании представленной мною информации дать какие советы или я ошибаюсь?
Что такое типовая модель угроз? Отписка для регулятора на 10 страницах? Модель угроз - это анализ угроз для конкретного учреждения и уязвимостей на нём присутствующих, по которому строится система защиты. Вам предлагают аппаратно-программные решения, это конечно серьёзно, но сможете ли Вы их поддерживать? Всегда можно обойтись и программными средствами, которые выйдут значительно дешевле.
Изменено: Trotsky - 29.02.2012 15:24:49
Бухгалтерские сервисы в интернете
А где Вы видите сложности в аттестации ИСПДн, частично расположенной вне РФ?
Бухгалтерские сервисы в интернете
Аттестую Вашу ИСПДн по телефону, защищу от злоумышленников красочным аттестатом соответствия. Обращайтесь.
Вопрос относительно плана мероприятий по обеспечению защит ПДн., Составлять ли план по каждой ИСПДн или общий?
План мероприятий - не абстрактный документ, составляться он должен на основе моделей угроз и заключений внутренних/внешних аудитов. Вот актуальна для Вас кража системных блоков, т.к. первый этаж, нет охраны, ну и т.д., значит и вписываете в план мероприятий установку сигнализации/решеток/охрану/сторожа ночного/прятать СБ в подвал под замок, мало ли что ещё :)
Типовой план мероприятий - бред несусветный.
Модель угроз(зарубежный опыт)
Если для Вас модель угроз - документ, разрабатываемый на основе Базовой..., то естественно у буржуев, Вы такого не найдете. Вы даже на наши ГОСТы, переделанные из ISO посмотрите, там именно оценка рисков.
Понижение категории ИСПДн, как правильно?
Цитата
Александр В. пишет:
Еще бы найти где-то проверенных спецов... может кто-то порекомендует? Или нормальную литературу, помимо наших законов smile:)
В каком регионе Вы находитесь?
Жалоба на организацию-лицензиат
Если была проведена "такая" аттестация - жалуйтесь во ФСТЭК, тогда может быть зашевелятся, можете предварительно предупредить лицензиата о подаче жалобы, желательно директора. И если не секрет, что за лицензиат?
Утечка через учтённые внешние носители информации, Утечка через учтённые внешние носители информации
Цитата
Счастный Дмитрий пишет:
Можно использовать служебные носители Секрет (www.prosecret.ru). В рамках АС Секрет используется как флешка, за пределами АС - не монтируется даже на уровне устройства.
А лицензии и сертификаты ФСТЭК и ФСБ у Вас есть?
Страницы: Пред. 1 ... 6 7 8 9 10 11 12 13 14 15 16 ... 34 След.