Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Минюст обязал банки проводить пентесты и аудит кибербезопасности

13/08/2018

Банки обяжут соблюдать новые меры кибербезопасности, среди которых обязательными являются аудит информационной безопасности, различные тестирования на проникновение (пентесты), обязательная сертификация использованного программного обеспечения.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: 1 2 След.
Операционная система, Операционная система
Как минимум антивирус, ну и в зависимости от того лан с доменом ли у вас или нет может потребоваться сертификация сервера
Настройка ОС Windows, Защита ИСПДн средствами ОС
1. Сначала купить сертифицированную ОС
2. потом как сказал Vladislav S
[ Закрыто] Согласие в образовательных учреждениях
вот поэтому на сколько я знаю большенство вузов в нашем городе берет согласия
[ Закрыто] Согласие в образовательных учреждениях
Во-первых, в согласие должно быть указана возможность такой передачи
Во-вторых, В договоре с третьей стороной, согласно Ст.6 п.3. необходимо указать "...обязано соблюдать принципы и правила обработки...В поручении указан перечень действий с перс данными...указано на обязанность соблюдать..."
[ Закрыто] Согласие в образовательных учреждениях
Родилось наверно важное замечание:
То что мы имеем право обрабатывать ПДн согласно ФЗ "Об образовании" и ст.6 ФЗ-152. НО...Согласно ст.8 п.1 "...В общедоступные источники персональных данных с письменного согласия субъекта персональных данных...". Таким образом, даже если обработка осуществляется согласно ФЗ, это не дает право делать ПДн общедоступными
[ Закрыто] Согласие в образовательных учреждениях
Сергей, спасибо, еще раз перечитаю Закон "об образовании", "О высшем и послевузовском..." в контексте ЗПДн
[ Закрыто] Согласие в образовательных учреждениях
К сожалению нельзя, нас проверяет Рособрнадзор, а там к таким шалостям строго. Есть шаблоны, в рамках которых мы должны действовать.

Общедоступность: в вузе выставляются для абитуриентов в обязательном порядке рейтинги, включающие ФИО, группа, специальность и т.д. для преподавателей на сайте - ФИО, публикации, должность и т.д.
Изменено: Роман - 14.10.2011 16:18:17
[ Закрыто] Согласие в образовательных учреждениях
Договор с банком точно был, наверно не помните:)
По юристу совсем сложность...уж больно безграмотен
Замечания правильные и позволили на некоторые вещи посмотреть с другой стороны. Спасибо!
Буду доказывать, хотя позиция одна - на всякий случай.
Еще есть интересный момент: для абитуриентов (вроде как опять в рамках ФЗ действуем), из министерства спустили обязательство наличия отдельной строчки о ЗПДн в заявлении на прием с обязательным местом под роспись. Таким образом сделали согласие с абитуриентами на обработку ПД. Вот такая история.
Забейте в поисковике "согласие со студентом" найдете кучу примеров вузов, действующих, как и мы... Получается - "все на всякий случай!"

Пока верстался номер:)...почитал смежные топики: мы делаем некоторые данные общедоступными - без этого никак...получается согласие то надо!
и еще обрабатываем в автоматизированных системах, хотя вроде об этом отдельно в ФЗ ничего не гооврится
Изменено: Роман - 14.10.2011 16:02:56
[ Закрыто] Согласие в образовательных учреждениях
Не поверите:
берем согласие с сотрудников
берем согласие со студентов
берем согласие с родителей при заключении договора на платное обучение.
зачем? ответ был мне: а на всякий случай:)

И вопрос в догонку, а если есть необходимость передать персданные третей стороне, то тут согласие же обязательно? Например, передаем ПДн банку для начисления стипендии
[ Закрыто] Согласие в образовательных учреждениях
Таким образом ст.6 говорит нам о том, что в итоге согласие можно и не брать
[ Закрыто] Согласие в образовательных учреждениях
п.2 ч.1 - что это? есть статьи и главы.
и что? а вы Конституцию читали? тоже хороший закон.
если есть какие то части Закона "об образовании" которые помогут "не брать" согласие, то уж укажите.
смысл вашего замечания так и не понял...
Пока единственный способ не брать согласие, это заключить договор.
Ситуация практически такая же как и с работниками, вроде как и связывают договорные отношения, а вроде как согласие бы надо взять, т.к. эти "договорные отношения" не всегда укладываются в возможные виды обработки
[ Закрыто] Согласие в образовательных учреждениях
Я тоже такого же мнения
Но руководство непреклонно...поэтому только согласия
Хорошо по ходу возник еще вопрос: договор заключается с родителями (нет 18 лет студенту), но ведь в 18 придется перезаключать уже с студентом?
[ Закрыто] Согласие в образовательных учреждениях
Вы Сергей правы, я про договор и не говорил. Он как раз не заключается, если студент бюджетник. Договор на оказание услуг есть только у платников. По поводу "дополнительного согласия" не надо брать если мы не обрабатывает данные родителей, а если мы это делаем, то похоже надо.
Пдн абитуриентов могут и не уничтожаться сразу, данные хранятся для различных министерских отчетов - мы указали 5 лет
Изменено: Роман - 13.10.2011 16:20:37
[ Закрыто] Согласие в образовательных учреждениях
Поправьте меня если не прав.
Для осуществления обучения образовательное учреждение на первых этапах работает с абитуриентами.
В большинстве своем (а вернее 50/50) им нет 18 лет. Согласно ст.21 ГК РФ данные лица являются недееспособными. А согласно ст.9 п.6 "в случае недееспособности субъекта...согласие (дает) его законный представитель.." таким образом мы должны получить согласие на обработку Пдн абитуриента у его родителей (в общем случае).
При поступлении на 1 курс студенты не достигшие 18 лет опять таки не могут дать согласие и за них это должны делать "законные представители".
И уже при достижении 18 лет (в основном все достигнут к концу 1 курса) еще раз брать согласие на обработку, т.к. основания действия у первого закончатся.
В общем негативном случае за неполные 1.5 года придется брать 2 раза согласие у родителей. Данный вариант очень усложняет процедуру проведения приемной комиссии, т.к. многие абитуриенты могут приезжать поступать самостоятельно. Вот такая грустная история.

Ну и как же без вопроса:
А как же правильно оформить согласие от лица законного представителя?
И нужно ли брать с законного представителя согласие на обработку его ПДн - мы же собираем как минимум ФИО+Паспорт
Изменено: Роман - 13.10.2011 15:08:00
[ Закрыто] документы утверждены после 01.06..2011 будет ли это являтся нарушением, документы утверждены после 01.06..2011 будет ли это являтся нарушением
Согласно Гл 6. ФЗ-152 "Действие положений ФЗ от 27 июля 2006 года... (в редакции настоящего ФЗ) распространяется на правоотношения, возникшие с 1 июля 2011 года".
Т.е. ваши документы подписаны раньше, следовательно должно быть все нормально.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Цитата
Анатолий пишет:
В блоге Владимира Мамыкина (???кто это????)

Получается, что практически все требования по ИСПДн к2 можно закрыть с помощью Windows.
Хотелось бы узнать мнение сообщества.
Как бы я "не уважал" продукты Мелкомягких, но, к сожалению ""сертифицированы и управление доступом, и регистация и учет, и целостность, и много еще чего другого" - как мне помнится тут надо ставить точку, так как на другое как раз эти программные средства не сертифицируются.
В первую, да и в последнюю очередь это связано с тем что сертифицированными средствами для VPN для ПДн и 1Г тем более, могут стать только ГОСТовые алгоритмы. Так что такие высказывание этим возможно и уважаемым человеком, мягко говоря неверны. (ну либо вы интерпретировали не правильно)

Почитал Мамыкина.. Там все таки говорится об отсутствии НДВ (не декларированных возможностях) в сертифицированных версиях, а не о использовании их как средств защиты (НСД)
Изменено: Роман - 17.10.2011 18:12:45
Передача третьим лицам..
Да вроде не так давно уже жевали эту темку http://ispdn.ru/forum/index.php?PAGE_NAME=read&FID=1&TID=2132
[ Закрыто] Средства Анализа защищенности и Обнаружения вторжений, Сертификация
Цитата
Николай пишет:
С учетом рынка, бедного на сертифицированные средства обнаружения вторжений, такой вариант имеет право на жизнь, я думаю. Также как было и (возможно) есть в ситуации с антивирусными средствами. Насколько я знаю, регуляторы сквозь пальцы смотрят на несертифицированные антивирусные средства в ИСПДн. Хотя может сейчас эта позиция и поменялась.
то что они смотрят "сквозь пальцы" не снимает возможности наложения на нас штрафов, так что стоит рисковать?
[ Закрыто] Средства Анализа защищенности и Обнаружения вторжений, Сертификация
Ответ на пост выше. Т.к. средство обнаружения вторжений используется для защиты. То это средство должно быть сертифицированное. МЭ- сертифицирован только как МЭ и не более
[ Закрыто] Средства Анализа защищенности и Обнаружения вторжений, Сертификация
так точно, это же так же средство защиты
Страницы: 1 2 След.