Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Особенности аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции (работ, услуг), поставляемой по гособоронзаказу.

12/08/2019 

08 мая 2019 г. утверждены новые Правила аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции работ, услуг), поставляемой по государственному оборонному заказу (постановление Правительства Российской Федерации от 30 апреля 2019 г. № 548).

Новые Правила аккредитации кардинально меняют сложившуюся систему не только аккредитации, но и сертификации СМК предприятий, работающих в области государственного оборонного заказа.

Реклама





Партнеры





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: Пред. 1 ... 3 4 5 6 7 8 9 10 11 12 13 ... 38 След.
Методичка Меры защиты в ГИС. Усиление адаптированного базового набора мер, Разбор, мысли, вопросы по поводу усиления адаптированного базового набора мер
Цитата
Vitaly Bondarew пишет:
СИ для аттестации ИС в любом случае проводить придётся. Канал ПЭМИН ведь существует, а установить радиусы зон можно только специсследованиями у лицензиата.
ОК. Провели СИ, нашли ПЭМИН. Дальше что будете делать? Защищать ГИС от наводок?
Вообще-то приказ 17 для того и писался, чтобы уйти от необходимость защищать ИС от УИТК. Иначе зачем было огород городить? Приказ как раз не обязывает от них защищаться, о чем разъясняли даже должностные лица ФСТЭК на конференциях.
Есть угроза - принимайте меры, нет - живите спокойно.
Методичка Меры защиты в ГИС. Усиление адаптированного базового набора мер, Разбор, мысли, вопросы по поводу усиления адаптированного базового набора мер
Цитата
Vitaly Bondarew пишет:
Смотря какая ГИС, если это какой-нибудь софт для силовиков, очень может быть совмещение статуса ГИС и секретки. При этом подход "посмотрел в 17-м - дополнил 21-м - дополнил требованиями государства и ведомства" не противоречит законодательству, поскольку в конечном счёте защита только усиливается.
Если в ГИС есть ГТ, то работают требования по ЗГТ, а 17-й приказ придется отложить в сторону (см. само название приказа).
Дополнить-то можно чем угодно, можно и СИ, СО провести и от ПЭМИН защищаться со страшной силой. Вот только нужно ли? ;)
Методичка Меры защиты в ГИС. Усиление адаптированного базового набора мер, Разбор, мысли, вопросы по поводу усиления адаптированного базового набора мер
Цитата
Vitaly Bondarew пишет:
скорее всего их в приказ 17 забыли дописать.
Они есть и в 17-м, только в виде процедур, предусмотренных при эксплуатации ГИС (см. п.16.2.). Более подробно они будут расписаны в методичках, которые пока пишутся.

Цитата
Vitaly Bondarew пишет:
про ГТ это так, лирическое отступление. Он устанавливает необходимость организационных мер защиты информации (таких, как засекречивание, допуски и т.п.), требования по наличию сертифицированных СЗИ и т.п. Фразы общие, но основополагающие, генеральное основание для закупки СЗИ, так сказать.
Надеюсь, что до засекречивания и оформления допуска к работе в ГИС дело не дойдет ;)
А что до сертифицированных СЗИ, то о них четко сказано в самом 17-м.
Закон о ГТ имеет отношение только к ГТ и ни к чему другому.
Методичка Меры защиты в ГИС. Усиление адаптированного базового набора мер, Разбор, мысли, вопросы по поводу усиления адаптированного базового набора мер
Vitaly Bondarew, согласен со всем, кроме п.4. На этом этапе мы смотрим в свою модель угроз и думаем: все ли угрозы закрыты на 3-м этапе (уточнение). Если остались угрозы, от которых невозможно "защититься" 17-м приказом, открываем друге НМД (прежде всего СТР-К) и выбираем меры оттуда.
21-й приказ здесь не при чем, в нем оговорено, что ПДн в ГИС защищают в соответствии с приказом 17.
И уж тем более не при чем ФЗ о ГТ.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Оля, судя по Вашему описанию, это однозначно ГИС (постановление 723 об этом тоже недвусмысленно говорит).
Чем чревато? Ну, чем бывает чревато невыполнение требований постановления Правительства РФ? Административная ответственность (если Вы не зарегистрировали Вашу ГИС в реестре).
(Кстати, есть еще постановление 644 от 2012г, оно более "универсальное").

А по поводу 17-гоприказа: если в Вашей ИС есть ПДн (или другая информация конф. характера), то его нужно выполнять. Иначе опять же штраф (ст. 11.12, ч.5 КоАП).
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Оля, если упрощенно, что ИС, приобретенная за счет средств федерального бюджета или государственных внебюджетных фондов, считается ГИС.

Четкой методики, как водится, не существует.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Андрей Ткачев, забудьте про эти категории, это все давно отменено, равно как и классификация ИСПДн. Вместо класса устанавливают УРОВЕЬ ЗАЩИЩЕННОСТИ ПДн (см. Постан. Прав-ва №1119 от 2012г).


Достаточно ссылаться на договор. В договоре обязательно должна быть прописана ваша обязанность обеспечивать безопасность ПДн и соблюдать их конфиденциальность.
Персональные данные на КПП, Фиксация ПДн посетителей в организации
Цитата
Gosha пишет:
Правомерность означает соответствие праву, закону. Нет соответствия - незаконно. Хоть и "можно".
Gosha, вы окончательно запутались в своих изысканиях. "Правомерно", "разрешается" и "можно" это примерно одно и то же. "Нет соответствия" еще не означает незаконно. Вы по улицам ходите не потому, что это соответствует какому-то закону, а потому, что законом это не регулируется.

А вопрос был: правомерно ли фиксируются Ф.И.О, паспортные данные, время прибытия\убытия, в журнале. Закон не возбраняет этого делать, о чем и был мой ответ. Остальное - ваши домыслы, в которых вы и запутались.
Персональные данные на КПП, Фиксация ПДн посетителей в организации
Gosha, вы для начала научитесь читать заданный вопрос. Постановление вам еще рановато читать.
Вопрос был:

Цитата
Игорь пишет:
Подскажите, на входе в организацию, существует Журнал учёта посетителей, в котором фиксируется Ф.И.О, паспортные данные, время прибытия\убытия, скажите правомерно ли это?

Т.е. правомерно ли вписывать в журнал ФИО, пасп. данные и т.д. При чем тут акт о ведении журнала? Где в постановлении написано, что можно вписывать в журнал, а что нет? Постановление определяет не содержание журнала, а условия его ведения.
Одноклассники и Вконтакте операторы ПДн?, Одноклассники и Вконтакте операторы ПДн?
Цитата
Павел пишет:
Почему такую существенную компанию не завалили проверками?
Наверно, лучше с этим вопросом обратиться в Роскомнадзор ;)
Одноклассники и Вконтакте операторы ПДн?, Одноклассники и Вконтакте операторы ПДн?
Павел, потому что не подали уведомление :)
Согласие на обработку персональных данных...... преступника
Роман, хотя бы раз прочитайте закон и вам все станет ясно.
Ну, или хотя бы статью 6 ;)
Внесение изменений в техпаспорт АС
Леонид, методом вписывания в ТП сведений о произведенных изменениях (в листе регистрации изменений, которым заканчивается ТП)
[ Закрыто] Нужен ли сертификат на ПК для работы в ИСПДн К1?
Цитата
Михаил пишет:
А как же тогда ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»? Он же вроде действует?
Вы написали, что у вас ИСПДн, а не ГИС. Причем тут 17-й приказ?

Цитата
Михаил пишет:
п.11 Для обеспечения защиты информации, содержащейся в информационной системе, применяются средства защиты информации , прошедшие оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации в соответствии со статьей 5 Федерального закона от 27 декабря 2002 г. N 184-ФЗ «О техническом регулировании»
Если вы используете компьютер как средство защиты информации (а не как средств ее обработки), тогда придется сертифицировать ;)
Нормальные люди ставят в компьютер сертифицированные СЗИ (антивир, СЗИ от НСД и т.д.). Этого достаточно.
[ Закрыто] Нужен ли сертификат на ПК для работы в ИСПДн К1?
Михаил, забудьте про К1 и про сертификацию компьютеров. Классов ИСПДн давно нет, соответственно требований, которые к ним раньше предъявлялись, тоже нет.
Вместо классов есть уровни защищенности, и по Приказу 21 ни о какой сертификации технических средств речи не идет. Покупайте обычное железо и защищайте по Приказу ФСТЭК №21.
[ Закрыто] технические паспорта объектов информатизации
Irinna, это "сырая" версия документа, утвержденного в 2002г. СТР-К действуют до сих пор в качестве методического док-та. Наличие техпаспорта обязательно в случае аттестации объекта информатизации. А сам по себе оно в принципе не нужен, просто Ваши проверяющие решили найти какие-то "недостатки" вот и нашли. Можно попробовать им объяснить, что в Вашем случае (если объект не аттестовался), наличие ТП не обязательно. Если они, конечно, вменяемые люди :)
[ Закрыто] технические паспорта объектов информатизации
Если у Вас действительно объект информатизации, то да. Точнее, он обязателен, если объект подлежит обязательной защите по требованиям СТР-К. Но на практике проверяющие по привычке тупо требуют его наличия там где надо и не надо. Спорить трудно.
[ Закрыто] технические паспорта объектов информатизации
Irinna, про техпаспорт указано в СТР-К. Там же приведена и форма ТП.
[ Закрыто] СРОК действия сертификата ФСТЭК на ПО, Что значит сия дата?
Григорий, продление сертификата дело непростое. Потребуется небольшой пакет документов, время и деньги. Лучше всего процедуру продления вам уточнить в испытательной лаборатории (желательно в той, при помощи которой вы получали первичный сертификат).

Есть неплохая статья о сертификации (правда, придется зарегистрироваться на портале): статья
[ Закрыто] СРОК действия сертификата ФСТЭК на ПО, Что значит сия дата?
Если речь идет о сертификате на соответствие требованиям безопасности информации, то верно предположение 1. Срок действия сертификата отсчитывается от даты его выдачи (указана в сертификате на ПО). В реестре ФСТЭК указаны даты начала и окончания срока действия сертификата. С момента окончания продукт считается несертифицированным.
Срок действия сертификата может быть продлен заявителем.
Страницы: Пред. 1 ... 3 4 5 6 7 8 9 10 11 12 13 ... 38 След.