Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Минюст обязал банки проводить пентесты и аудит кибербезопасности

13/08/2018

Банки обяжут соблюдать новые меры кибербезопасности, среди которых обязательными являются аудит информационной безопасности, различные тестирования на проникновение (пентесты), обязательная сертификация использованного программного обеспечения.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: 1 2 3 4 5 6 7 8 След.
Как быть, если график работы не позволяет произвести опечатывание спецпомещений?
Приказ 378 говорит, что вам надо опечатывать помещения. И не говорит кем. Не обязательно это ответственный. Напишите регламент доступа в помещения и скажите, что сотрудники опечатывают помещения после ухода. Если есть пост охраны, то ключи можно туда сдавать. Неважно как вы это сделаете, суть в том, что нет обязанности опечатывать только ответственному.
Набор ПО по 17 приказу
Добрый день!

Пришел в организацию (медецина), а они до меня взялись за реализацию защиты ПДн по 17 приказу ФСТЭК, даже с одной фирмой заключили предпроектное обследование.
ИСПДн 3 штуки, УЗ 2 и УЗ 3
ПО итогам выставлено КП на систему защиты
1. Dallas Lock 8.0-К + рутокены
2. сервер безопасности для комплекса Dallas Lock 8.0-К
3. Континент 3.7. ЦУС IPC-1000
4. Киберсейф Межсетевой экран
5. XSpider 7.8
6. Acronis Backup & Recovery 11 Server for Windows сертифицированный

7. Проведение работ и написание ОРД (пишут что более 50 документов)



До этого работал только по 21 приказу, с 17 не сталкивался, но что-то мне кажется лишнее есть тут.

- Зачем сертифицированный Акронис, пусть даже с сертификатом? Сертификат у него на НДВ, которые признаны неактуальными. Вообще считаю что можно обойтись обычным резервным копированием.
- Не хватит ли одного континента для защиты канала и как системы обнаружения вторжений?
- И по далласу вопрос. Доверенная загрузка у версии 8.0-К есть? в описании что-то не нашел, только в 8.0-С есть упоминание.
- не понял почему не написали про сертифицированный антивирус. Можно обычный?
согласие на обработку ПДн
Цитата
Алян пишет:
а для исполнения договора не достаточно будет ФИО, места жительства и номера телефона? К чему брать у клиента паспортные данные, такие как, например, серия и номер пасспорта, дата и место выдачи?
А почему в банке при заключении договора берут все паспортные данные? А почему в расписках всяких тоже указывается "Я, Такой-то такой-то, паспорт серия номер....." Всё делается в целях идентификации.
согласие на обработку ПДн
Думаю что в данном случае те ПДн которые нужны для обработки попадут под исключение - договор с клиентом.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
http://30.rkn.gov.ru/news/news57301.htm
Проведена плановая выездная проверка в отношении ГБУЗ АО «Областная клиническая психиатрическая больница»
...
Учитывая, что ГБУЗ АО «ОКПБ» осуществляет профессиональную медицинскую деятельность, и, исходя из приведенных выше норм закона, при оказании услуги медицинским учреждением по проведению медицинского осмотра (оказание медицинской помощи), получения дополнительного согласия на обработку его персональных данных не требуется.
Таким образом, в результате проверки в действиях ГБУЗ АО «ОКПБ» выявлено нарушение ч. 5 ст. 5 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
По окончании проверки ГБУЗ АО «ОКПБ» выдано предписание об устранение выявленных нарушений.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
ФСТЭК.
Информационно-телекоммуникационные сете международного информационного обмена - это Интернет.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Цитата
Владимир Путинков пишет:
Вопрос: копию самого уведомления и изменения в нашей органищзации надо было сохранить? Или их только интересует факт отправления?
В одном случае, который я знаю, проверка просила копии. Дело в Екатеринбурге было.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Цитата
Miha Mihail пишет:
Может ли системный администратор быть одновременно и ответственным за организацию обработки обработки персональных данных в организации (из ФЗ-152 Статья 22.1), и ответственным за обеспечение безопасности персональных данных в информационной системе (из ПП1119)?

Поделитесь, как у Вас с этим в организация?
А почему нет? Запрета на то чтобы это было одним лицом нет.
Об исполнении требований по защите.
Единственное где видел подобное - Приказ 21 ФСТЭК
ЗТС.4 Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр.
внесение дополнений в уведомление, нужен совет
в реестре указывается не вся вводимая информация. Например данные об используемых СКЗИ и классе ИСПДн в уведомлении указываются, но в общедоступном реестре не видны (что вполне логично).
[ Закрыто] Аналитическое обоснование необходимости создания СЗИ, Пожалуйста, помогите.
Даже не обязательно 21 приказ. Вообще смотрим чем можно закрыть данную угрозу, выбираем подходящее СЗИ.
[ Закрыто] Аналитическое обоснование необходимости создания СЗИ, Пожалуйста, помогите.
Все индивидуально.
В модели угроз пишем вычисляем актуальную угрозу. Приказ 21 - меры по защите
Категории Пдн, Специальны, биометричесике, общедоступные, иные.
Цитата
Елена пишет:
А что же тогда относится к общедоступным данным?
На какие субъект согласие даст, те и станут общедоступными.
Защита ПД с нуля
Самим можно все сделать.

У меня такой алгоритм был.
1. Приказ о создании комиссии
2. Приказ о назначении отвеств.лиц за организацию обработки и безопасности ПДн.
3. Выделил ИСПДн организации.
4. Составил ЧМУ для каждой ИСПДн на основе базовой МУ ФСТЭК + Методика составления ЧМУ. В ЧМУ еще указал что НДВ неактуальны.
5. Составил акт определения УЗ на каждую ИСПДн.
6. Приказы по КЗ, применяемым техсредствам.
7. Обновили Порядок обработки ПДн, составили Политику в отношении обработки ПДн.
Перечень документов для провеки Роскомнадзора и ФСБ
У ФСБ и РКН разные требования. Наше РКН проверяет только документацию и организацию. КОгда им предлагаешь документы на СЗИ они машут руками и говорят что это не их дело, а ФСБ, и они это проверять не будут.
\а вот проверок по ФСБ у нас вообще почти нет. Считанные единицы. Так что не сталкивался с этим.
Перечень документов для провеки Роскомнадзора и ФСБ
http://66.rkn.gov.ru/p7598/p7966/

Это на портале РКН по Свердловской области. Пункт 10 выделен красным. Именно такой перечень истребуемых документов приносят проверяющие.
[ Закрыто] Доп. соглашение от провайдера на предоставления списка лиц, Список лиц, использующих пользовательское (оконечное) оборудование провайдера.
А вообще отвечая на вопрос - Должен ли я предоставить им этот список или нет?

По действующему договору нет.
Если подпишите допник, то по договору должны будете. Но см. выше два варианта развития событий после.
[ Закрыто] Доп. соглашение от провайдера на предоставления списка лиц, Список лиц, использующих пользовательское (оконечное) оборудование провайдера.
Ну подписывайте допник, куда уж деваться теперь. Есть такая обязанность значит надо. Иначе разрыв договора и прекращение услуг.

А вот при поступлении запроса решайте что делать.
1. Предоставить им список.
2. Отказать. Сослаться на то что субъекты ПДн не дали согласие на передачу их ПДн, а конклюдентного согласия в этом вопросе быть не может. Ждать реакции провайдера.

Из известных мне случаев после варианта 2 от операторов больше ничего не приходило.

Решайте сами как быть.
[ Закрыто] Доп. соглашение от провайдера на предоставления списка лиц, Список лиц, использующих пользовательское (оконечное) оборудование провайдера.
Пришло доп.соглашение или запрос? Доп.соглашение может быть к договору например. А в договоре оговариваются условия и обязанности. А никак не требование предоставить. Может там фраза предоставлять каждый месяц?

У нас тоже были случаи запросов о предоставлении списка лиц. Мы отвечали что в рамках действующего договора на нас такой обязанности нет. Пусть сначала подписывают допник. А потом мы еще посмотрим на вопрос о необходимости брать согласие с субъектов.
закон о защите ПДн
Цитата
Иван Пивной пишет:
предваретельно где можно ознакомится?
Консультант+
Страницы: 1 2 3 4 5 6 7 8 След.