Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

ФСБ: Национальному координационному центру по компьютерным инцидентам быть!

13/10/2018

Директор ФСБ России Александр Бортников распорядился создать государственный орган по борьбе с кибератаками. Текст соответствующего приказа размещен на официальном интернет-портале правовой информации.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: 1 2 3 След.
политика ИБ в области ПД и положение о ПД это одно и то же?
Цитата
Сергей С. пишет:
1. Лучше отдельный
2. Да
3. Классификация ИСПДн необязательна, АС -только ГИС
Сергей С., в п. 3 классификацию с аттестацией не перепутали?
Выбор средств СЗИ
Дмитрий, как вариант САЗ - Ревизор сети имени ЦБИ. Либо посоветованый ранее XSpider имени Positive Tec.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Ольга, "о состоянии на учете" - это фактически "о наличии ПДн субъекта в базах". Полагаю такие обращения стоит заносить в журнал - в случае проверки РКН будет жирным плюсом.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Насколько понимаю из ст 11 152-ФЗ, биометрия - это исходные (первичные) данные, служащие для того, чтобы система или человек на основании только этих данных могли определить, кто есть кто. Подобные системы хорошо работают с отпечатками, сосудно-кровеносными рисунками всякими. Есть и умные системы, которые на основании изображения с видеокамеры могут идентифицировать человека. Если у Вас, например, жутко умная система, которая видя человека и сравнивая его с низкокачественным фото определяет (выводит) ФИО, должность и/или отдел-цех, тогда это биометрия в терминах закона. В противном случае - не биометрия.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Причем провокатор Иван отъехал...
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Если фотография обрабатывается для установления расовой принадлежности - тогда да.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
http://fstec.ru/index.php/ru/component/attachments/download/275
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Настя, действительно... Прошу пардонии у всех. Померещилось, что требование ч. 3 ст. 18 в новой редакции убрали. Но это, еще раз, только для тех, кто получил ПДн не от субъекта. Если получаем ПДн от субъекта - уведомлять его о начале обработки ПДн не требуется.
[ Закрыто] Нужна ли аттестация ИСПДн класса 3 и выше в гос. учреждениях на ТКЗИ и кем она должна проводиться?, Вопрос о том нужна ли, и кем может быть проведена
Михаил, так оно, но работая в районе ОГВ, конкретно - ОИВ субъекта РФ, усвоил, что с администраций субъектов на ОИВ часто спускаются пинки о исполнении СТР-К, особенно в отношении ГИСов. И бюджеты под это идут.
[ Закрыто] Нужна ли аттестация ИСПДн класса 3 и выше в гос. учреждениях на ТКЗИ и кем она должна проводиться?, Вопрос о том нужна ли, и кем может быть проведена
Насколько мне известно, поправьте, если путаю, аттестация ГИСов обязательна и сейчас в соответствии с СТР-К.
[ Закрыто] Наличие недекларированных возможностей в системном ПО
А вот и название письма ФСТЭК

ИНФОРМАЦИОННОЕ СООБЩЕНИЕ
об особенностях защиты персональных данных при их обработке в информационных системах персональных данных и сертификации средств защиты информации, предназначенных для защиты персональных данных
от 20 ноября 2012 г. № 240/24/4669
Пункт первый...
[ Закрыто] Наличие недекларированных возможностей в системном ПО
Наталья Никитина, если ИС введена до ПП 1119 и не изменялась - действуют старые правила. За подтверждением этого тезиса рекомендую обратиться в Ваше территориальное управление Роскомнадзор. А вообще, техвопросы - ведение ФСТЭК, а у них то ли в проекте СОиСО, то ли в инфописьме было подобное заявление.
Зачем сертификат от ФСТЭКа?
И еще вот из приказа №58:
Цитата
7. Для информационных систем 1 класса применяется программное обеспечение средств защиты информации, соответствующее 4 уровню контроля отсутствия недекларированных возможностей.
Зачем сертификат от ФСТЭКа?
Настя, не ругайтесь сильно :) . Я Вот это имел ввиду:
Цитата
2.12. Программное обеспечение средств защиты информации, применяемых в информационных системах 1 класса, проходит контроль отсутствия недекларированных возможностей.
Необходимость проведения контроля отсутствия недекларированных возможностей программного обеспечения средств защиты информации, применяемых в информационных системах 2 и 3 классов, определяется оператором (уполномоченным лицом).
а про то, что в ПП1119 сертификация для всех - хотел дописать, но забыл :(
Зачем сертификат от ФСТЭКа?
1. Для коммерсантов, за редким исключением, сертификация МЭ и Антивируса нужна была для защиты больших массивов персданных, либо для защиты спец.категорий персданных, что установлено приказом ФСТЭК 2011 года №58. Сейчас можно глянуть ПП РФ №1119, там формулировка иная - оценка соответствия.
Можно ли не регестрироваться в реестре Операторов?
В нашем регионе тоже в прошлом году было много УК ЖКХ, были и турфирмы в большом ассортименте. В этом году хорошо зацепили агентства недвижимости. остальное по мелочи - заводы, больницы, школы...
[ Закрыто] ФСТЭК - не обманули, Проект приказа по ПДн
Настя, собственно я об том же. Экспертное мнение должно свестись к тому, что вероятность реализации угрозы низкая (маловероятно).
[ Закрыто] ФСТЭК - не обманули, Проект приказа по ПДн
Настя, все, что я писал выше - попытка понять, как сделать неактуальными угрозы, связанные с НДВ в системном ПО. Вы в посте #47 описываете реализацию угрозы, которую я рассматривал в посте #46, с использованием ССОП. Но где в данном варианте реализации угрозы использование НДВ в системном ПО?
Мое предположение - угрозы, связанные с НДВ в системном ПО, при наличии МЭ могут быть реализованны только при непосредственном (физическом) доступе к АРМ. От чего и должны спасти определение КЗ и соблюдение режима.
[ Закрыто] ФСТЭК - не обманули, Проект приказа по ПДн
Настя, хм.. А где здесь НДВ в системном ПО? То, что оно все обрабатываемые данные сует в сеть?
[ Закрыто] ПДн при пропускном режиме, Обработка ПДн в соответствии с требованиями ФЗ при организации проп. режима
ГОСТ_ь, подводных камней быть не должно. Рекомендую вдумчиво прочитать части 3-5 ст.6 152-ФЗ. Там написано, что если оператор ПДн (подрядчик, он же работодатель) поручает третьему лицу (заказчику) обработку ПДн, то всю ответственность за корректность обработки заказчиком ПДн перед работником несет подрядчик. И подрядчик должен предъявить заказчику требования обработки ПДн для собственного спокойствия. Но для передачи ПДн подрядчику нужны основания. И именно о наличии таких оснований говорится в письме РКН, ссылку на которое дал Сергей С. Никаких подводных камней.
Страницы: 1 2 3 След.