Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Особенности аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции (работ, услуг), поставляемой по гособоронзаказу.

12/08/2019 

08 мая 2019 г. утверждены новые Правила аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции работ, услуг), поставляемой по государственному оборонному заказу (постановление Правительства Российской Федерации от 30 апреля 2019 г. № 548).

Новые Правила аккредитации кардинально меняют сложившуюся систему не только аккредитации, но и сертификации СМК предприятий, работающих в области государственного оборонного заказа.

Реклама





Партнеры





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: 1 2 3 4 5 6 7 8 9 10 11 ... 35 След.
Обеспечение ИБ в ИС Федерального значения
Цитата
Гость пишет:
А если это еще и ГИС, весь перечень действий согласно Приказу 17 и 21?
Именно так. Только в этом случае надо смотреть, грубо говоря, какие требования выше, те и выполнять.
Обеспечение ИБ в ИС Федерального значения
Цитата
Адрей Черемных пишет:
Имеется некая Федеральная информационная система. Сотрудникам моей Организации предоставили доступ в данную систему для внесению данных. Какие мероприятия должен я провести в части обеспечения ИБ? И должен ли я вообще что то проводить, ведь по сути я не являюсь Оператором ИС
Вы являетесь оператором ИС. Соответственно, выполняете полный перечень действий согласно ФЗ-152 (если это касается персональных данных).
Как обеспечить УЗ-1 ПДн на Windows?
Цитата
Сергей Терехов пишет:
Но как-то Вы бесцеремонно оценили вред не известных Вам ПДн в Ромашке, как низкий!
Да, ведь мы говорим скорее всего о 98% организаций, в которых ПДн не оценить по-другому (это не администрация президента, не ГИС с данными онкобольных или больных СПИД и т.д.)
Как обеспечить УЗ-1 ПДн на Windows?
Цитата
Сергей Терехов пишет:
Если сертификата нет и применяется не проверенная копия СПО, то необходимо для отказа от актуальности найти какие-то вразумительные доводы
Естественно.
ПП1119, п.7: Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда...

Стоимость реализации угрозы в разы превышает стоимость информации. Возможный вред от нарушения свойств безопасности ПДн оценивается как низкий.

Далее по методике ФСТЭК:

либо
маловероятно – отсутствуют объективные предпосылки для
осуществления угрозы (например, угроза хищения носителей информации лицами, не имеющими легального доступа в помещение, где последние хранятся);

либо
низкая вероятность – объективные предпосылки для реализации угрозы существуют, но принятые меры существенно затрудняют ее реализацию (например, использованы соответствующие средства защиты информации);

ИТОГО угроза неактуальна.

Или вы реально верите, что именно для ООО "Ромашка" злоумышленники проведут такую схему внедрения программной закладки? Подговорят всех возможных производителей системного ПО, у которого Ромашка может купить Винду? Чтобы украсть базу данных клиентов? :D
Чья ИСПДн
(Б) является оператором ИСПДн бухгалтерии, кадров и налогов.
Если в (А) не ведётся никакая работа с ПДн помимо указанных систем, т.е. работа с клиентами, например, то да, (А) обрабатывает ПДн без использования средств автоматизации. Но такого ни разу не встречала на практике.
СЕРТИФИКАЦИЯ СЗИ
Цитата
Сергей Терехов пишет:
Нет. Средства защиты информации персональных данных должны иметь сертификат соответствия, выданного государственным органом (ФСТЭК или ФСБ).
Всё-таки нет.

ФЗ 27.12.2002 № 184-ФЗ "О техническом регулировании"

Статья 20. Формы подтверждения соответствия

1. Подтверждение соответствия на территории Российской Федерации может носить добровольный или обязательный характер.
2. Добровольное подтверждение соответствия осуществляется в форме добровольной сертификации.
3. Обязательное подтверждение соответствия осуществляется в формах:
принятия декларации о соответствии (далее - декларирование соответствия);
обязательной сертификации.

4. Порядок применения форм обязательного подтверждения соответствия устанавливается настоящим Федеральным законом.
модель угроз персональных данных
Цитата
Сергей Терехов пишет:
Но ФСТЭК еще требует уточнения адаптированного набора мер, т.е. добавления в него мер, нейтрализующих актуальные угрозы из ЧМУ и не присутствующие в адаптированном наборе.
Я это просто не стала добавлять дабы не грузить человека информацией)
модель угроз персональных данных
Цитата
Гость пишет:
как вы думаете я могу сделать модель угроз за неделю на две программы?
Две модели угроз за неделю сделать реально. Только на какие "2 программы"?
Оператор ИС=Оператор ИСПДн
Цитата
Гость пишет:
Спасибо, а в ИС типа клиент банк или ИС для отправки отчетности в ПФР, ФСС кто будет являться оператором ИСПДН и кто должен указывать их в реестре Роскомнадзора, разрабатывать модели угроз.

Здесь Оператором будет та организация, которая использует ИС (т.к. определяет цели и состав ПДн).

Например, ООО "Одуванчик" купило Контур.Бухгалтерию.
ООО - это оператор ИСПДн для отправки отчетности.
ООО в своём уведомлении в РКН указывает ИСПДн "Контур.Бухгалтерия".
Обновление антивирусного ПО в АС класса К3
Цитата
Алексей Соколов пишет:
Нет не ГИС. У нас локальная ЛВС без выхода в интернет. Систему, да, определяли по этому приказу
Если не ГИС, то вы должны определить не класс, а УЗ по 21-му приказу ФСТЭК.
Обновление антивирусного ПО в АС класса К3
Цитата
Алексей Соколов пишет:
На предприятии определили класс системы К3.
Добрый день!
У вас ГИС? По Приказу ФСТЭК № 17 определяли?
Журнал учета процедур резервного копирования
Этот журнал совсем не обязателен.
Договор заключен одним человеком, но фигурируют в нём ещё 3.
Я НАШЛА!!!)))

ГК РФ
Глава 50
. Действия в чужом интересе без поручения
Статья 980. Условия действий в чужом интересе
1. Действия без поручения, иного указания или заранее обещанного согласия заинтересованного лица в целях предотвращения вреда его личности или имуществу, исполнения его обязательства или в его иных непротивоправных интересах (действия в чужом интересе) должны совершаться исходя из очевидной выгоды или пользы и действительных или вероятных намерений заинтересованного лица и с необходимой по обстоятельствам дела заботливостью и осмотрительностью.
2. Правила, предусмотренные настоящей главой, не применяются к действиям в интересе других лиц, совершаемым государственными и муниципальными органами, для которых такие действия являются одной из целей их деятельности.

Статья 981. Уведомление заинтересованного лица о действиях в его интересе
1. Лицо, действующее в чужом интересе, обязано при первой возможности сообщить об этом заинтересованному лицу и выждать в течение разумного срока его решения об одобрении или о неодобрении предпринятых действий, если только такое ожидание не повлечет серьезный ущерб для заинтересованного лица.
2. Не требуется специально сообщать заинтересованному гражданину о действиях в его интересе, если эти действия предпринимаются в его присутствии.

Статья 982. Последствия одобрения заинтересованным лицом действий в его интересе
Если лицо, в интересе которого предпринимаются действия без его поручения, одобрит эти действия, к отношениям сторон в дальнейшем применяются правила о договоре поручения или ином договоре, соответствующем характеру предпринятых действий, даже если одобрение было устным.
Изменено: Анастасия - 28.08.2015 15:40:47
Договор заключен одним человеком, но фигурируют в нём ещё 3.
Спасибо, я так понимаю, что некоторые понятия закона, если они явно не определены, можно толковать как угодно)))
Договор заключен одним человеком, но фигурируют в нём ещё 3.
Выгодоприобретатель - это кто?
Опять же нигде не написано, кто это.
Я так понимаю, понятие выгодоприобретателя связано с получением денежной/имущественной/правовой выгоды. Но не с получением како-то услуги....
Договор заключен одним человеком, но фигурируют в нём ещё 3.
Всем привет!

Ситуация: в путешествие едет семья из 4 человек, договор заключает только 1 человек, и он же дает согласие на обработку своих персональных данных.
Что с остальными тремя? Нужно ли брать у них согласия 1) если это взрослые 2) если среди них есть ребенок .

Мне кажется, что в этом случае согласие субъектов (несовершеннолетних в том числе) брать не нужно, т.к. это условие попадает под п.5 ч.1 ст.6 ФЗ "О персональных данных": "5) обработка персональных данных необходима для...заключения договора по инициативе субъекта персональных данных".

Как обстоят дела на самом деле?

Пыталась обосновать с точки зрения представительства этим человеком интересов других, но ничего похожего в ГК не нашла.
[ Закрыто] Обработка по поручению или на основе договора, Особенности понимания приказа №21 ФСТЭК
Цитата
Денис Барков пишет:

Денис, в абзаце 1 статьи 2 речь идёт о том, что безопасность обеспечивает оператор или, если между оператором и каким-то другим лицом был заключен договор-поручение (по ч.3 ст.6 ФЗ-152), то это другое лицо. Лицензии на ТЗКИ тут никакой не надо, речь идёт об обычной обработке и защите в соответствии с законом 152.

А во 2-м абзаце имеется в виду, что оператор или другое лицо, которое обрабатывает ПДн по поручению, может нанять специализированную организацию, которая за деньги приведёт ИСПДн в соответствие с законом 152. Вот такой организации лицензия нужна. Правильно написал SOKOL, такая организация получает прибыль от этой деятельности.
[ Закрыто] Договор между фирмой и банком по зарплатному проекту. Нет поручения.
Сегодня на вебинаре Емельянникова задала ему этот вопрос.
Ответ:
обработка ПДн работников в рамках зарплатного проекта не является поручением на обработку, это договор на оказание услуг.
Можно ли признать угрозы 3-го типа неактуальными?
Татьяна, ИСПДн должна относиться к какому-то УЗ в любом случае.
В Модели угроз нужно обосновать неактуальность угроз (например, малый вред от реализации угрозы + принятие субъектом персональных данных рисков от реализации угрозы), тогда вам не нужно будет реализовывать меры защиты для этих неактуальных угроз.
Может ли представлять интересы работодателя стороннее лицо в трудовом споре?
Цитата
Dmitry S. пишет:
Добрый день!

В ст. 88 ТК РФ написано:
При передаче персональных данных работника работодатель должен соблюдать следующие требования:
не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных настоящим Кодексом или иными федеральными законами

Может быть, стоит поискать основания для передачи в этом направлении (в законах касаемо судебной и процессуальной деятельности)?
Роскомнадзор вам прислал ответ?
Страницы: 1 2 3 4 5 6 7 8 9 10 11 ... 35 След.