Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Особенности аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции (работ, услуг), поставляемой по гособоронзаказу.

12/08/2019 

08 мая 2019 г. утверждены новые Правила аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции работ, услуг), поставляемой по государственному оборонному заказу (постановление Правительства Российской Федерации от 30 апреля 2019 г. № 548).

Новые Правила аккредитации кардинально меняют сложившуюся систему не только аккредитации, но и сертификации СМК предприятий, работающих в области государственного оборонного заказа.

Реклама





Партнеры





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: 1
Обсуждение КИ в ВП., Обсуждение конфиденциальной информации в выделенном помещении.
Нет, "Орган" взял $$$ как обычно.
"Орган" сделал разные протоколы измерений (по методике для конф. инф. и для секретной), чтобы у ФСТЭК к ним вопросов не было. Т.е. "Орган" не просто так за те же бабки делал лишнюю работу.
Естественно подходы к защите секретной и КИ - разные. Но нигде не написано, что идет упрощение в методиках. В самих методиках подход разный. Понятно, что если здраво рассуждать, что методика для секретной информации должна быть более строгая, чем для КИ. Но кто у нас здраво рассуждает в контролирующих органах. Мне при проверке ФСТЭК в 2009 году весь мозг ложечкой выели. Где у вас ЗП? (Я вначале не сказал им, что оно у меня есть. Сказал, что есть только - ВП).

Обсуждение КИ в ВП., Обсуждение конфиденциальной информации в выделенном помещении.
Доброго времени суток уважаемые форумчане!
Автор еще читает обсуждения :)
Расскажу, что удалось выяснить.
Проводил аттестацию ВП. Органу по аттестации выдвинул требования, чтобы в аттестате соответствия и в предписании на эксплуатацию на ВП была конкретная фраза о разрешении обсуждения, помимо секретной информации, еще и конфиденциальной. "Орган" задумался.......................
В итоге аттестат с моими требованиями выдали. При этом при проведении работ по аттестации "Орган" проводил оценку защищенности ВП по двум методикам: по методике для защиты конфиденциальной информации и по методике для защиты секретной. Помимо этого в акте категорирования ВП прописали, что в нем возможно обсуждение конфиденциальной информации.
Т.е., не все так просто. С точки зрения защиты информации - методики и подход к аттестации ЗП и ВП разные.
И имея аттестат на ВП, с разрешением обсуждения только секретной информации, ты не выполняешь требования по защите конфиденциальной информации. Так как методики разные и у тебя нет подтверждения выполнения требований для защиты конф. информации (протоколов измерений).
Как то так.
Прошу Форумчан высказать свое мнение.....
Обсуждение КИ в ВП., Обсуждение конфиденциальной информации в выделенном помещении.
Народ, неужели ни у кого нет такой проблемы?
Прошу, кто обрабатывает и КИ и ГТ отписаться как у Вас организовано?
Хоть для статистико ответьте.
Всем заранее огромное спасибо!!!!
Обсуждение КИ в ВП., Обсуждение конфиденциальной информации в выделенном помещении.
Доброго времени суток!
Собственно интересует этот вопрос. Легитимно ли? На что ссылаться, если требуют наличия и выделенного и защищаемого помещения?
Идея иметь только одно выделеное помещение в котором обсуждать и КИ.
Информационное письмо ФСТЭК, Кто как понимает?
К предыдущему сообщению.
Т.е., если информационная система ПД защищена по старым документам, то она может жить по ним все свое время существования? Лет так 100 или 200?
Исходя из старых докумнетов ИСПДн должна пройти оценку соответствия (аттестацию). Аттестат действует 3 года. Вот 3 года прошло. Аттестовывать снова по старым документам?
Или защищать исходя из действующих на данный момент документов?
т.е., "решение" это аттестат соответствия?????
Информационное письмо ФСТЭК, Кто как понимает?
Таким образом, "решением о создании системы защиты" выступает именно акт классификации ИСПДн?
Потому что, в любом случае, "решение" должно быть закреплено документально.
Что еще может быть? Модели нарушителя, угроз, техническое задание, аттестат соответствия .... ?
Логично, что "решением" должен быть акт классификации ИСПДн. Ведь любая работа по ЗИ строится на основании акта классификации.
Коллеги прошу высказать свое мнение. согласны со мной или нет?
Информационное письмо ФСТЭК, Кто как понимает?
Было опубликовано на сайте ФСТЭК 20 ноября 2012 г. Информационное письмо № 240/24/4669 . В нем сказано, что "
Предполагается, что нормативный правовой акт ФСТЭК России, устанавливающий состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, будет применяться к информационным системам персональных данных, для которых решение о создании системы защиты информации будет принято после вступления в силу указанного нормативного правового акта.
"
Коллеги, что значит "решение о создании системы защиты"?
Каким документом или еще чем это решение должно быть принято?
Аттестация ИСПДн
ПД - информация конфиденциальная (Указ Президента Российской Федерации от 6 марта 1997 года № 188)
СТР-к - обязательны для выполнения гос. учреждениями.
Следует, что аттестация обязательна.
Согласие на обработку ПД при оформлении пропусков
Дополнение к предыдущему посту.
Если согласие на обработку ПД требуется, то есть идея разместить его на обратной стороне разового пропуска.
Изменено: Maxim - 25.12.2011 19:07:59
Законность проверки по ПД
В итоге имеем. Проверяют только франкировальную машину. Персональнын данные - нет.
Законность проверки по ПД
Согласен с "гость". По приказу 313 прокуратуры "О ПОРЯДКЕ ФОРМИРОВАНИЯ ОРГАНАМИ ПРОКУРАТУРЫ ЕЖЕГОДНОГО СВОДНОГО ПЛАНА ПРОВЕДЕНИЯ ПЛАНОВЫХ ПРОВЕРОК ЮРИДИЧЕСКИХ ЛИЦ" имеем:
20. Внесение изменений в ежегодный план допускается только в случае невозможности проведения плановой проверки деятельности юридического лица и индивидуального предпринимателя в связи с ликвидацией или реорганизацией юридического лица, прекращением юридическим лицом или индивидуальным предпринимателем деятельности, подлежащей плановой проверке, а также наступлением обстоятельств непреодолимой силы.
Законность проверки по ПД
В первую очередь меня интересует соблюдение закона 294-ФЗ и т.д. Проверка плановая, план утвержден, согласован с прокуратурой, размещен на сайтах. Размещение на сайтах предусмотрено законом.
Так на каком основании проверять ПД при ПЛАНОВОЙ проверке? На том основании, что у них есть полномочия?
Законность проверки по ПД
Фрснкировальные машины меня не беспокоят. Они есть и с ними все хорошо. Беспокоила проверка именно по ПД.
Считаю, что в двух местах ошибиться не могли. А если уже отправили в прокуратуру такой план проверок и там его согласовали то это уже проблемы Роскомнадзора.
Допустим, пущу я их проверять ПД. А как на это таже прокуратура посмотрит? На каком основании я их пустил? И я еще буду виноватым.
Законность проверки по ПД
Доброго времени суток коллеги!

Неужели ни у кого нет никаких мыслей? А так хотелось поддержки. :(

Я склоняюсь к мысли не предоставлять запрошенные роскомнадзором документы ПД, мотивируя планом проведения проверок.

Еще раз прошу форумчан поделиться своими мыслями по данному вопросу.
Законность проверки по ПД
В плане проверок на 2012 год наша организация указана в качестве проверяемой. Тема проверки из плана, опубликованного на сайте Роскомнадзора - "проверка выполнения требований законодательства в области связи".
На сайте прокуратуры по нашему городу опубликован сводный план проведения проверок на 2012 год, где указана тема проверки - "проверка соблюдения обязательных требований: при применении франкировальных машин".
Однако, в уведомлении из Роскомнадзора направленным нам помимо проверки законодательства в области связи (франкировальных машин) указаны вопросы проверки законодательства в области персональных данных.

Каково Ваше мнение по поводу правомочности проведения Роскомнадзором проверки соблюдения требований законодательства в области ПД?
На основании чего можно отказать Роскомнадзору в проверке ПД?
Изменено: Maxim - 07.01.2012 13:36:40
Страницы: 1