Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Особенности аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции (работ, услуг), поставляемой по гособоронзаказу.

12/08/2019 

08 мая 2019 г. утверждены новые Правила аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции работ, услуг), поставляемой по государственному оборонному заказу (постановление Правительства Российской Федерации от 30 апреля 2019 г. № 548).

Новые Правила аккредитации кардинально меняют сложившуюся систему не только аккредитации, но и сертификации СМК предприятий, работающих в области государственного оборонного заказа.

Реклама





Партнеры





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: Пред. 1 2 3 4 5 6 7 8 9 10 11 ... 38 След.
[ Закрыто] Договор между фирмой и банком по зарплатному проекту. Нет поручения.
От банка любая бумажка пригодится: и то, что они там защищены, и бумажка, указывающая цель обработки ими ПДн (т.е. показывающая то, что банк является ОПЕРАТОРОМ, а не уполномоченным лицом.

В РКН я бы написал примерно то же, что уже сказал в комменте выше: ООО является оператором, цель обработки такая-то, ПДн передаются банку не для обработки, а для перечисления з/пл, поэтому банк тоже оператор и, как всякий оператор, обязан защищать ПДн, что он и делает.
Если от банка будет бумажка с указанием мер защиты - лишний аргумент в пользу того, что безопасность ПДн обеспечивается и там.
[ Закрыто] Договор между фирмой и банком по зарплатному проекту. Нет поручения.
Вся сложность в том, чтобы понять: имеет ли место в данном случае поручение на обработку ПДн банку или нет? По идее, оператор ООО, и обработку ведет тоже ООО. Банку обработка не поручается, банку ПДн передаются для перечисления зарплаты работникам ООО.

Как доказать сие Роскомнадзору - знает только Роскомнадзор. Если там вменяемые люди - докажете, если над положениями закона они особо не задумывались - то вряд ли.
Трансграничная передача и поручение
Для формальности написать можно, лишним не будет. Хотя обязательности включения в договор этих требований ничем не установлено.
Трансграничная передача и поручение
Статья 6 не говорит о том, какое это лицо: наше или иностранное. Следовательно, можно передавать и иностранному, и нужно требовать от него обеспечения безопасности ПДн.

Статья 12 говорит, что если ПДн передаются на иностранную территорию и в иностранные руки, требуется согласие субъекта (или договор, или другие исключения).

Т.о., чтобы выполнить закон, вы должны заключить договор, обязательным условием которого является обязанность иностранного лица обеспечить конфиденциальность и безопасности ПДн. Обеспечит оно это или нет - это второй вопрос, но формально вы требования закона выполните. Кроме того, нужно взять согласие субъекта на трансграничку (если передаете на иностранную территорию и не подпадаете под исключения ст.12).

Это мое мнение, а как думает Роскомнадзор - никто не знает :)
[ Закрыто] Испдн и терминальный доступ
Так у вас в состав ИСПДн входит только сервер, или сервер плюс клиенты? Вам нужно решить, что входит в защищаемую ИСПДн, и реализовать в ней требований защиты.

Заметьте, что классов уже давным-давно нет, да и аттестация необязательна.
Определение типа актуальных угроз
Иван Петров,
в Постановлении же ясно написано: нет актуальных угроз НДВ - значит, 3-й тип угроз.
Уровень защищенности определяете с учетом категории обрабатываемых ПДн, количества субъектов ПДн и принадлежности ПДн (ваши работники/не ваши работники).
Несертифицированные СЗИ, Можно ли нейтрализовать актуальные угрозы ИСПДн несертифицированными СЗИ
Это все понятно. Обычно "спорщиков" с ФСТЭК останавливает наличие лицензии. Доказать, что они неправы насчет СЗИ можно, но они потом приедут с проверкой выполнения условий лицензии, а там всегда есть к чему придраться. А уж если у вас лицензия по ГТ, то отобрать ее для фсб-шников - 6 секунд.

Если вы никак не зависите от регуляторов (как от инспектора ГИБДД) - бодайтесь на здоровье.
Несертифицированные СЗИ, Можно ли нейтрализовать актуальные угрозы ИСПДн несертифицированными СЗИ
Константин, это просто в постановлении криво написали. А понимают всегда однозначно: СЗИ должны быть сертифицированы.

Если разобраться, то "оценка соответствия" - это не только сертификация, но и испытания, приемка и др (см. закон "О техническом регулировании, там указано, что такое оценка соответствия). Поэтому, если вы коммерческая организация, теоретически можете проводить оценку СЗИ в любой форме. А практически придется доказывать регуляторам свою правоту. Любите спорить с госорганами - ради Бога!
Несертифицированные СЗИ, Можно ли нейтрализовать актуальные угрозы ИСПДн несертифицированными СЗИ
2 Константин,
логика, конечно, в ваших словах есть, более того, если буквально выполнять ПП-1119, то действительно сертифицированные СЗИ могут и не понадобиться. Но мнение регуляторов однозначное: обязательно сертифицированные. А в Приказе 378 ФСБ указаны даже классы криптосредств.

По поводу типов угроз не согласен: тип угроз и использование сертифицированных СЗИ не связаны друг с другом (не бывает средств защиты от НДВ, тем более сертифицированных).

2 Дмитрий,
Причем здесь РКН? Какие там специальные люди? Не путайте народ!
Несертифицированные СЗИ, Можно ли нейтрализовать актуальные угрозы ИСПДн несертифицированными СЗИ
Использовать-то можно, но нужно быть готовым доказать свою правоту регулятору. А это сложно.
Технические решения для малого бизнеса, Необходимый и достаточный перечень программных/аппаратных СЗИ для небольших организаций. УЗ-3,4
Удачи!

Насчет SSEP - правильный ход (во всяком случае, дешевый ;) , некоторые его ругают за простоту).
Сделаете - поделитесь опытном эксплуатации.
Технические решения для малого бизнеса, Необходимый и достаточный перечень программных/аппаратных СЗИ для небольших организаций. УЗ-3,4
2 Евгений

На 4-м уровне вполне можно обойтись без СОВ, АНЗ и т.п. Почитайте 21-й Приказ ФСТЭК, там все написано.
Чтобы понять (и обосновать) что надо, что не надо, постройте модель угроз. Если угроза вторжений актуальна - ставите СОВ, если нет - не ставите, и т.д....

Механизмы Windows тоже прокатят, особенно на вашем 4-м уровне. Важно, чтобы Windows был сертифицированным.


Нередко на 4УЗ имеем следующее: антивир + система разграничения доступа (штатная в Windows) + файрвол (при доступ в Интернет) + оргмеры. Если нет других угроз, этого достаточно.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Подача уведомления зависит не от того, чьи ПДн вы обрабатываете и куда передаете. В статье 22 указано, когда уведомление можно не подавать, соответственно, в остальных случаях его нужно подать. Поэтому Ваша организация, скорее всего, подпадает под обязанность подать уведомление.

Я написал о том, что описанный Вами порядок передачи ПДн не влияет на обязанность подавать уведомление. Он говорит о том, что вы обрабатываете ПДн,значит, являетесь оператором, и, значит, должны подумать: должны ли вы подавать уведомление или нет (с учетом ст.22).
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Нет, Уведомление к этому случаю отношения не имеет. Иначе придется при каждой передаче ПДн уведомлять Роскомнадзор :)
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Евгения, требуется согласие субъекта на передачу его ПДн.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Цитата
Роман пишет:
я так понимаю, необходимо назначить ответственных за эксплуатацию испдн, правильно ли будет назначить ответственных за эксплуатацию - руководителей подразделений где ведется работа в испдн и техника-программиста, который занимается установкой обновлений в одной испдн а их функции описать в инструкции пользователей?
Да, так лучше. Отвечать должен тот, кто эксплуатирует.
Функции лучше описать в отдельной инструкции или в Положении о защите ПДн. Пользователю - своя инструкция: как обрабатывать, что запрещается, действия при сбоях и т.п. .... В инструкции ответственного пишут за что он отвечает, что контролирует (в т.ч. и пользователя) и др.
[ Закрыто] Выполнение требований для облачного хранения ПДн
Цитата
Денис Барков пишет:
Однако большой вопрос по поводу нашего сервиса (ПО). Может ли он является причиной не соответствия требованиям, требуется ли осуществление его проверки (в разных источниках говорится о проверке кода ПО для исключения НСД) и сертификации? Является ли отсутствие сертификации нашего сервиса (ПО) основанием для изменения уровня защиты с 3 до 2 или 1?
Никаких обязательных требований к проверке ПО на НДВ нет. Более того, сертификация сервиса на отсутствие НДВ невозможна по причине того, требования к контролю отсутствия НДВ есть только для ПО СЗИ (а не для прикладного ПО).
Т.о., ваш уровень защищенности будет зависеть от типа актуальных угроз, а актуальность угроз вы определяете сами по методике ФСТЭК 2008 года. Методика легко позволяет определить неактуальность угроз наличия НДВ в системном и прикладном ПО и, таким образом, выйти на 3 тип угроз.
защита персональных данных в органе государственной власт, Вопросы в области защиты персональных данных
Уже лучше.
Паспорт лучше назвать Техническим паспортом (с указанием ОТСС, ВТСС и СЗИ). Желательно отдельный приказ об установлении границ контролируемой зоны (или показать КЗ в схеме-приложении к техпаспорту).
Обязательно матрицу доступа, т.к они могут проверить полномочия ваших пользователей в системе (посмотреть настройки средств защиты), а они должны быть определены матицей.
На средства защиты обязательно иметь действующие сертификаты и желательно формуляры и экспл. документацию.
Побольше инструкций, они это любят (по антивирусной защите, по резервному копированию, по работе в Интернет и др). Если таких инструкций нет, нужно, чтобы эти вопросы были отражены в других доках (положении о защите, инструкции пользователю и т.п.).

Какие должны стоять средства защиты - зависит от вашего уровня защищенности. Зная уровень, выбираете меры из 21-го приказа ФСТЭК и реализуете их средствами защиты и орг. мерами. К сожалению, сам процесс в двух словах не объяснишь...

Ваша ГИС должна быть аттестована, а при аттестации комплект доков вы делаете совместно с аттестатором (ну, или они делают все сами за ваши деньги). Если система не аттестована, придумайте отмазку: приводили в соответствие, ждали методических доков (которые ФСТЭК обещала, но не утвердила), икали аттестатора и завтра будет заключен договор...... В общем, нужно дать понять, что работа идет и вы что-то делали...

Регламента в Сети не ищите: его нет.
защита персональных данных в органе государственной власт, Вопросы в области защиты персональных данных
Стася, похоже, у вас там никто толком не понимает, какие у вас есть объекты проверки и что собирается проверять ФСТЭК. Какова цель их проверки, известно?

Ответьте, pls:
1. есть ли у вас объекты с ГТ?
2. Есть ли у вас системы, имеющие статус государственной инф. системы (ГИС)?
3. Седлано ли что-нибудь для защиты ПДн (хотя бы по приказу 21)?

Если ответите, будет ясно о чем говорить дальше.
Передача ПДн третьим лицам на эл. носителе, передача в целях обработки ПДн
К носителю никаких требований нет. А вот к договору, по которому ПДн вам передаются на обработку, есть требование: в договоре должна быть указана обязанность вашей организации обеспечить безопасность и конфиденциальность переданных вам ПДн. Соответственно, ваша организация обязана их защищать.
Страницы: Пред. 1 2 3 4 5 6 7 8 9 10 11 ... 38 След.