Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Особенности аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции (работ, услуг), поставляемой по гособоронзаказу.

12/08/2019 

08 мая 2019 г. утверждены новые Правила аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции работ, услуг), поставляемой по государственному оборонному заказу (постановление Правительства Российской Федерации от 30 апреля 2019 г. № 548).

Новые Правила аккредитации кардинально меняют сложившуюся систему не только аккредитации, но и сертификации СМК предприятий, работающих в области государственного оборонного заказа.

Реклама





Партнеры





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: Пред. 1 ... 6 7 8 9 10 11 12 13 14 15 16 ... 38 След.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Цитата
BlueSky пишет:
1) Модель нарушителя она только для отрасли связи или для всех организаций?
Моделью нарушителя принято называть модель угроз, разработанную по методике ФСБ. Она разрабатывается в случае, если в ИСПДн используются СКЗИ (дополнительно к модели угроз, разрабатываемой по методике ФСТЭК).
Т.о. наличие или отсутствие модели нарушителя определяется не отраслевой принадлежностью оператора, а тем использует ли он для защиты ПДн СКЗИ.

На второй вопрос выше ответили: бумага не входит в состав ИСДПн (а вот принтер входит :) ).
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Галина, позиция РКН по этому вопросу неизвестна. Что касается системы защиты (а модель угроз все-таки касается защиты ПДн), то было в свое время инф. сообщение ФСТЭК по этому поводу: №240/24/4669 от 2012г. Времени прошло много, но это все-таки официальное мнение регулятора по вопросу: что делать, если СЗПДн создана по "старым" документам.
Не совсем понятно, что Вы имеете в виду, говоря о новых документах на новое ПО. Если это ИСПДн, разработанные или модернизированные после выхода новых документов по защите, то и документация на них должна соответствовать новым требованиям.

Если времени осталось мало, сделайте у себя акт установления уровня защищенности ПДн (п постановлению 1119). Модель угроз у Вас есть, система защиты есть. Можете еще оформить акт или заключение комиссии на предмет того, что новых угроз с момента ввода в эксплуатацию системы защиты ПДн у вас не выявлено, а принятые меры по защите в основном соответствуют требованиям Приказа 21. Вывод: модернизация системы защиты нецелесообазна. Бумажка эта не то, что Вам сильно помжет, но покажет, что Вы в курсе новых требований и провели определенную работу.

Если не сложно, напишите, пожалуйста, здесь о том, как проводилась проверка. Что смотрели, что читали? Это очень полезная инфа для всех форумчан.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
BlueSky, :oops:
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Используют, конечно. Я выше писал: "Методика определения актуальных угроз безопасности ПДн". Именно по ней определяют, какая из угроз актуальна. (надо заметить, что методика в основном построена на методе экспертных оценок, а в качестве экспертов выступают специалисты в области защиты информации. Кто это такие - в ней не написано, поэтому в данном случае Вы и есть специалист. Но по хорошему, этим должна заниматься комиссия из нескольких специалистов, которая выявляет угрозы, формирует их перечень и строить модель угроз).

21-й приказ - это уже следующий этап. Когда Вы построили модель угроз, смотрите есть ли среди актуальных угроз угрозы наличия НДВ. В зависимости от того, есть они или нет (лучше, конечно, чтобы их не было) определяете уровень защищенности перс. данных (читайте Постановление Прав-ва №1119 от 2012г, там все написано). После того, как определен уровень защищенности (его, кстати, тоже определяет комиссия с составлением Акта определения уровня защищенности) открываете 21-й Приказ и в зависимости от уровня выбираете из таблицы меры по защите ПДн. Эти меры должны быть реализованы в Вашей системе защиты перс. данных.

В общем, работы у Вас еще много, даже если просто сделать бумажки.

Т.е. Ваша задача:
1. Определить перечень возможных угроз (он у Вас есть).
2. Определить, какие угрозы явл. актуальными (по Методике ...).
3. Определить уровень защищенности ПДн (по Постановлению 1119).
4. Выбрать меры защиты ПДн (по Приказу 21)
Ну и написать кучу документов.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
BlueSky, а откуда это взялось у Вас? :)

Думаю, что перечень 2 - это перечень угроз, разработанный кем-то для какой-то ИСПДн (проще говоря, скачанный из Интернета) и использующийся у вас в качестве перечня возможных угроз. Перечень вполне нормальный и ничего страшного, если Вы им воспользуетесь для построения модели угроз.
Что касается перечня 1, то он более точно соответствует "Базовой модели угроз ...", однако сама эта "Базовая модель" - документ достаточно кривой и не содержит ни полной информации о всех возможных угрозах, ни их названий. Поэтому построить модель угроз, опираясь только на "Базовую модель ..." достаточно сложно и так делают редко. Обычно находят (или пишут сами) перечень, подобный Вашему Перечню 2 и с ним уже работают, т.е. определяют, какие угрозы из перечня являются актуальными.

Так что Вы на правильном пути))
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Полная версия ДСП, поэтому не ищите.
Но не парьтесь: в открытой версии не хватает всего двух листочков, на которых приведены обобщенные данные о возможностях перехвата информации по ПЭМИН и по акустике. Такие данные легко найти в общедоступных источниках, и для оценки угроз безопасности ПДн их вполне хватит. Вы ведь еще и нарушителя оцениваете, а в отношении ПДн это явно не иностранный шпион ;)
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
BlueSky, рассматривать их нужно в любом случае, поскольку угрозы утечки информации за счет ПЭМИН существуют всегда. Т.е. изначально эти угрозы входят в перечень возможных угроз. А вот затем Ваша задача "сделать" эти угрозы неактуальными (т.е. обосновать их неактуальность), иначе от них придется защищаться. Долго и нудно ;)
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Цитата
Александр Кулешов пишет:
Т.е. сейчас классификация ИСПДн отсутствует, но класс ИСПДн мы все же должны определить для Оценки размера последствий для субъекта персональных данных от реализации каждой угрозы безопасности персональных данных (опасности угроз). Правильно?
Неправильно. Необходимость классификации ИСПДн была установлена Постановлением 781, которое отменно в ноябре 2012г. К оценке последствий для субъекта ПДн класс ИСПДн никакого отношения не имеет. Последствия - это ущерб. Как его определять, РКН пока не придумал.
Оценка последствий от реализации каждой угрозы осуществляется в ходе определения актуальности угроз по указанной вами "Методике определения акт. угроз." Способ оценки последствий в ней экспертный, чисто субъективный, без какого-либо инструментария.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Александр Кулешов, оба документа актуальны, поскольку никаких решений об их отмене нет.

Планируется отмена "трехглавого" приказа. Проект приказа ФСТЭК о его отмене обсуждается с прошлого года.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
BlueSky, можно конечно, определить, что на одном компе у вас 2 ИСПДн. Но тогда придется жестко регламентировать доступ пользователей к каждой из них и вообще писать регламент работы пользователей "каждого в своей ИСПДн". Поскольку обе БД у Вас на одном компе, проще считать его одной ИСПДн. Так обычно и делают.
Если все же нужно иметь 2 ИСПДн, лучше установить эти БД на два разных компа.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Цитата
BlueSky пишет:
http://www.ispdn.ru/forum/user/2347/ Чтобы написать модель угроз нужно выделить ИСПД,так как в один котел нельзя кидать проги бухгалтерии,проги которые учитывают операции по брокерскому счету, проги в которых делают налоговую отчетность.Правильно ведь?
Я составила перечень ИС, В ООО имеются следующие информационные системы:
.............
Мне кажется, Вы путаете прикладное программное обеспечение и ИСПДн. ИСПДн это железо + софт + ПДн. Т.о, если у вас все это хозяйство работает в одной локалке, то можно считать ее одной ИСПДн. Важно определиться с целями обработки. Закон запрещает объединять базы данных (не ИСПДн, а именно базы данных), если цели обработки в них ПДн разные. Но! Что такое объединение баз данных - толком никто не знает, а цель Вы формулируете сами (исходя из целей деятельности Вашей организации). Поэтому можете написать (в Положении об обработке), что вся обработка ПДн у Вас осуществляется в целях: ............................ Получите одну большую ИСПДн.

Очень сомнительно, что в ваших системах актуальна одна единственная угроза. Так не бывает. Подумайте. Доказать это будет довольно сложно. Тем более, что разным пользователям нужен доступ к разным перс. данным, и этим доступом нужно управлять: вот Вам еще ряд угроз.
Помогите определить тип испдн, хелп
Цитата
maks619 пишет:
Вместо категории ИСПДН-и а вместо типа УЗ -3 (выбирается в зависимости от модели нарушителя) ?
Не вместо типа. Чтобы определить УЗ, нужно определить тип угроз, а он зависит от модели угроз (не нарушителя, а угроз! модель нарушителя - это ФСБ-шная методика, к определению УЗ это не относится).
Помогите определить тип испдн, хелп
maks, тип: "иные". УЗ зависит от того, какой у вас тип угроз, проще говоря, есть ли актуальные угрозы наличия НДВ. (На вскидку, судя по вашим данным, у вас получится УЗ-4). Почитайте Постановление 1119 и все поймете.

Что касается класса, то его уже давно определять не нужно, т.к. вместо класса введен УЗ.
[ Закрыто] Что делать если клиент отказывается подписать согласие на обработку ПДн?
Rustam,
основанием для обработки ПДн являются различные нормативные акты гос. органов, которые предусматривают получение от граждан их персональных данных и их обработку.
То, что вы процитировали - это условия обработки (с согласия/без согласия).
[ Закрыто] Что делать если клиент отказывается подписать согласие на обработку ПДн?
Цитата
Сергей С. пишет:
Отдельное согласие на бумаге нужно при передаче в "неадекватные" страны.
Если для исполнения договора с субъектом, то согласие не нужно даже для "неадекватных" стран.
[ Закрыто] Что делать если клиент отказывается подписать согласие на обработку ПДн?
Цитата
Александр Морковчин пишет:
Однако без согласия не обойтись при передаче ПДн субъекта туроператору, заселении туриста в гостиницу (если заключение договора с субъектом не осуществляется при заселении ,а места в гостинице выкуплены заранее турфирмой), оказании отдельных туристических услуг и т.д.
А разве все это осуществляется не в целях реализации заключенного к субъектом договора?
Перечень ПДн на различные услуги
lumenaris, Поскольку в ТК есть глава 14 "Защита персональных данных работника", то РКН сует нос и в трудовые отношения тоже (хотя таких полномочий у него формально нет, но слова "персональных данных" какбэ намекают).
Проблема в том, что нередко сотрудники РКН сами толком не знают, что написано в законах и тупо требуют когда надо и не надо непременно письменного согласия по строгой форме. Да и по многим другим вопросам они могут предъявлять ничем не обоснованные требования. Согласитесь, что их низкая квалификация - это не их проблема, а ваша. Вы должны четко помнить где и что написано и быть готовым ткнуть пальцем в нормативный документ. Они порой с удивлением узнают в законе 152 много нового для себя. Даже здесь на форуме можно найти такие примеры.
(Что касается формы согласия, то ТК ее тоже не устанавливает, но однозначно требует, чтобы оно было письменным. Поэтому на практике этих письменных форм очень много: у каждого своя, а не такая, как прописана в ФЗ-152.)

Скажу больше (не только для вас, но и для всех, кто читает форум): в отчете РКН за 2012г (за 2013 пока не было) указано, что из 100 жалоб на нарушение порядка проведения проверок лицензиатов Минкомсвязи 39 (!) процентов признано судами обоснованными. Т.е. квалификация "проверяющих" крайне низкая и нужно не бояться отстаивать свою правоту в суде. К сожалению, аналогичной статистики по операторам ПД нет, поскольку никто не обжаловал действия проверяющих (видимо потому, что штрафы пока невелики и народу просто лень возиться, проще отдать 5000). Штрафы вскоре кратно возрастут, вот тогда и появится желание спорить с регулятором.
Перечень ПДн на различные услуги
lumenaris, вы почитайте закон "О персональных данных" и все поймете.
Письменная форма установлена только для 5 случаев получения согласия. Для остальных случаев форма не установлена.

Павел, они могут потребовать еще и на гербовой бумаге с золотым тиснением. Открываете закон и читаете. Есть суд.
Что касается примеров, то видел много. При устройстве на работу берут согласия в соответствии с Трудовым кодексом. Форма не такая, как в 152-ФЗ, и ничего - проходит. С согласиями на сайте РКН уже давно смирился, даже галочка "я согласен" является доказательством получения согласия, был у них по этому поводу ответ на этот вопрос на сайте.
Перечень ПДн на различные услуги
Irren, Если для ваших целей обработки согласие может быть взято в произвольной форме, можно вообще не перечислять, на обработку каких ПДн оно получено. Просто указать цель: "для получения гос.услуги такой-то". Более того: для оказания гос. услуг согласие не требуется (см. ст.6 ФЗ-152).

lumenaris, не путайте два разных случая: необходимость получения согласия в произвольной форме и согласия обязательно в письменной форме. То, о чем вы написали относится только тем случаям, когда закон обязывает получать согласие в строго определенной форме. В большинстве случаев его форма может быть произвольной.
[ Закрыто] Лицензиаты ФСБ
Для ответов на такие вопросы существует Гугл.

http://www.fsb.ru/fsb/gosuslugi/detail.htm%21id%3D44%40fsbService%26agrp%3D10436604.html
Страницы: Пред. 1 ... 6 7 8 9 10 11 12 13 14 15 16 ... 38 След.