Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Особенности аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции (работ, услуг), поставляемой по гособоронзаказу.

12/08/2019 

08 мая 2019 г. утверждены новые Правила аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции работ, услуг), поставляемой по государственному оборонному заказу (постановление Правительства Российской Федерации от 30 апреля 2019 г. № 548).

Новые Правила аккредитации кардинально меняют сложившуюся систему не только аккредитации, но и сертификации СМК предприятий, работающих в области государственного оборонного заказа.

Реклама





Партнеры





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: Пред. 1 ... 28 29 30 31 32 33 34 35 36 37 38
Передача данных из одной ИСПДн в другую ИСПДн
Цитата
Гость пишет:
Добрый день.

Допустим у нас две ИСПДн. Одна работает с одной целью, находиться в одном городе, у второй другая цель, находится в другом. В процессе работы надо по средствам шифрования некоторые данные по запросу передавать в из одной базы в другую, потом обрабатывать и отправлять обратно.
Посоветуйте как организовать в двух словах такую передачу, чтобы все было в рамках закона и при этом обе ИСПДн юридически/организационно не сливались в одну.

Заранее спасибо.
Юридически они и не сольются в одну, поскольку подключение к ССОП может осуществляться только через МЭ, а разделение ИСДПн на отдельные системы (в т.ч. и разных классов) также производится при помощи МЭ.
Ну, шифрование - само собой (конечно, если передача не осуществляется по защищенным каналам связи :) ).
[ Закрыто] Средства Анализа защищенности и Обнаружения вторжений, Сертификация
Цитата
Гость пишет:
Одно "Cisco IPS 4200", а второе какое? Что-то в реестре СЗИ не нашел.
Stonegate IPS (с функцией МЭ) - сертифицирован на соответствие ТУ. срок - до 2013г.
[ Закрыто] Средства Анализа защищенности и Обнаружения вторжений, Сертификация
Цитата
Гость пишет:
Только серийно сертифицировано только 1 средство ОВ. Как быть?
Два ;)
обсуждение новой редакции 152-ФЗ, что не понятно
Цитата
Сергей С. пишет:
Это ссылка на реестр операторов, в чем прикол?
Имелось в виду, что в эл форме уведомления на сайте РКН формулировка не такая, как в законе.
обсуждение новой редакции 152-ФЗ, что не понятно
Цитата
Trotsky пишет:



Цитата


Сергей С. пишет:
Это ведь ответственный за ОРГАНИЗАЦИЮ обработки
http://rsoc.ru/personal-data/register/?id=08-0000002




Цитата


ФИО физического лица или наименование юридического лица, ответственных за обработку персональных данных
152-ФЗ, ст.22, ч.3.
7.1) фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;
обсуждение новой редакции 152-ФЗ, что не понятно
Цитата
Сергей С. пишет:
Почему же непосредственно. Он не обязан это делать лично . Внутренний контроль может осуществлять, например, служба ИБ (при наличии), доведение положений законов можно осуществить путем направления работников на обучение и т.д.
Может. Так чьи ФИО будем указывать в уведомлении РКН?
обсуждение новой редакции 152-ФЗ, что не понятно
Цитата
Сергей С. пишет:
AlexG, я вас умоляю, какой диалог? Переписка это да, так ответ будет готовить исполнитель, при проверке опять же подключат специалиста. Это ведь ответственный за ОРГАНИЗАЦИЮ обработки, которая включает распределение обязанностей, координацию и контроль - как раз функционал руководителя.
Распределение обязанностей и т. д - это да, функция руководителя (и никого другого). Тогда можно не париться и выдать в РКН ФИО руководителя.

Но я так понимаю, что ЛИЦО, ответсвенное за организацию обработки, как раз и должно непосредственно:
" 1) осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
2) доводить до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
3) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов."

Т.е. это то лицо, к-рого руководитель припахал выполнять эти функции.
обсуждение новой редакции 152-ФЗ, что не понятно
Цитата
Дмитрий пишет:
Тут есть 2 мнения:
1. Можно назначить админа (или кадровика, или юриста) и навесить на него весь этот объём работ.
2. Можно назначить кого-то их руководства, а он, в свою очередь, делегирует эти полномочия отдельным личностям.
По идее, второй подход более правильный, т.к. не должно одно и то же лицо проводить обучение, организовывать защиту, а потом контролировать, как он всё организовал.
Если речь идет о лице, оветственном за обработку ПДн, то второй вариант сомнителен. ФИО и телефон этого лица необходимо сообщить Роскомнадзору, и сделано это для того, чтобы РКН знал, с кем нужно непосредственно вести диалог по интересующим его вопросам.
Если же такми лицом будет "кто-то из руководства", то то этот кто-то вряд ли будет вникать во все детали, и РКН будет недоволен.
Согласие+Третья сторона+Согласие
Цитата
Роман пишет:
...но только - неопределенному кругу лиц
Угу, точно! :)
Согласие+Третья сторона+Согласие
Цитата
Роман пишет:
Я не возражаю против передачи (распространение, предоставление, доступа) моих персональными данными между Оператором и третьими лицами в соответствии с заключенными договорами, соглашениями и действующими Федеральными законами, в целях соблюдения моих законных прав и интересов.

или же надо все таки расписать? каковы мнения
Распространение - это передача ПДн неограниченному гругу лиц, поэтому в данном случае оно неуместно.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Цитата

Гость пишет:
Подскажите, на основании какого документа происходит сертификация СКЗИ по ФСБ для конфи. Или опишите примерный порядок действий/документов при сертификации (исследования и пр.)
И, кстати, в сертификатах на прогр. обеспечение СКЗИ пишут: "Соответствует ГОСТ 28147-89,ГОСТ Р 34.10-2001, ГОСТ Р 34.11-94 и требованиям к стойкости класса___ ".
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Цитата
Гость пишет:
Подскажите, на основании какого документа происходит сертификация СКЗИ по ФСБ для конфи. Или опишите примерный порядок действий/документов при сертификации (исследования и пр.)
Порядок сертификации описан в документе "Система сертификации средств криптографической защиты информации". А вот техрегамент или другой аналогичный документ, скорее всего, имеет соответсвующий гриф.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Цитата
Гость пишет:
Не подскажите где написано, для ИСПДн какого класса нужна аттестация? нужна ссылка на документ
Читайте пост№402: такого документа нет уже более года.
Классификация специальной ИСПДн
Цитата
Гость пишет:
Нарушения заданной характеристики безопасности - это разглашение перс данных о субъекте. Я не вижу тут связь с реализацией угроз, если класс присваивается по принципу "в случае нарушения заданной характеристики безопасности". ......
Разглашение ПДн - это нарушение одной из характеристик безопасности: конфиденциальности. В специальной ИСПДн, кроме конфиденциальности, есть еще и другие характеристики (целостность, доступность). Соответственно, требуется рассматривать угрозы нарушения каждой из характеристтик, и таких угроз может быть несколько (даже много :) )
изменения в закон о ПД
Цитата
Сергей С. пишет:
Только не надо путать класс ИСПДн и категорию ПДн. Приказ трех заточен под типовые ИС. Класс К2 присваивается специальной медицинской ИСПДн на основании модели угроз, несмотря на то, что обрабатываютсяя ПДн первой категории.
Документ этот называется Типовая модель угроз медицинского учреждения. В нем специальная ИСПДн, в к-рой обрабатываются в т.ч. ПДн о здоровье субъектов, классифицируется как К-3. Классификация сделана не совсем корректно, есть определенные "ляпы", но согласование со ФСТЭК имеется. Так что можно шагать по этому пути (по образу и подобию), и для надежности сделать класс К-2.
Страницы: Пред. 1 ... 28 29 30 31 32 33 34 35 36 37 38