Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Особенности аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции (работ, услуг), поставляемой по гособоронзаказу.

12/08/2019 

08 мая 2019 г. утверждены новые Правила аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции работ, услуг), поставляемой по государственному оборонному заказу (постановление Правительства Российской Федерации от 30 апреля 2019 г. № 548).

Новые Правила аккредитации кардинально меняют сложившуюся систему не только аккредитации, но и сертификации СМК предприятий, работающих в области государственного оборонного заказа.

Реклама





Партнеры





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: 1 2 3 4 5 6 След.
Разбираемся в ФЗ 152
Читайте Приказ РКН №996 от 05.09.2013 г. "Об утверждении требований и методов по обезличиваниюПДн".
Обезличивание ПДн, как следует из определения - это ДЕЙСТВИЯ. Т.е. чтобы ПДн стали обезличенными, над ними надо сначала произвести определённые действия (присвоение классификатора, шифрование и т.п. манипуляции). ФИО субъекта сами по себе не являются обезличенными только на том основании, что к примеру Ивановых Иванов Ивановичей тысячи.
Персональные данные на КПП, Фиксация ПДн посетителей в организации
Ваши ответы из разряда: "Мне купили автомобиль, могу ли я на нём ездить?" Ответ: "Конечно, вы же его владелец". Ну раз вы начинаете юлить и "ловить" на словах, то спрошу - где в вопросе слово "можно"??? Перестаньте путать людей. Читая ваш ответ они успокоятся и будут продолжать нарушать закон, раз "можно". Вопрос о "правомерности". Правомерность означает соответствие праву, закону. Нет соответствия - незаконно. Хоть и "можно".
Персональные данные на КПП, Фиксация ПДн посетителей в организации
AlexG, перечитайте ПП687. Полезно иногда это делать. Ведение журнала - неавтоматизированная обработка. Просто так взять журнал, наточить карандаш и начать вносить в него ПДн - незаконно. Чтобы стало законно, надо выполнить требования ПП687 - утвердить журнал актом, определить форму журнала, перечень лиц, которые имеют доступ к журналу, сроки обработки и многое другое.
Изменено: Gosha - 24.04.2014 10:26:08
Персональные данные на КПП, Фиксация ПДн посетителей в организации
Читайте ПП687. Там подробно написано о ведении таких журналов.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Цитата
Денис пишет:

Добрый день!
Подскажите, я ранее где-то читал, что все проекты по созданию систем защиты ПДн,
разработанные до 1 января 2013 года или 2012 (не помню) не пересматривать по
новому постановлению правительства №1119, подскажите ссылку или где это
написано? т.е. там было написано вроде, что постановление № 1119 и приказы №№ 21
и 17 разработаны для новых ИСПДн, защита которых будет производиться только с 1
января 2013 года
Это было написано в информационном сообщении ФСТЭК от 20 ноября 2012 г. №240/24/4669. И касается только применения его приказов №21 и 17. ФСТЭК не может отменить действие ПП №1119. Да и всё равно 1 раз в 3 года надо проводить оценку эффективности принятых мер, т.е. уже строить защиту по новым правилам.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Цитата
Sat_Kelman пишет:
Пора ввести формулу биометрия=идентификация
Такая идиотская позиция регуляторов породила у меня такую мысль... Вот у вас висит исправное заряженное ружъё на стене - попадает оно под закон об оружии? Я думаю, РКН и ФСТЭК ответили бы так - "если оно висит для украшения, то конечно не подходит и будет предметом интерьера, а если для защиты имущества - то дааа..." Вот так и с биометрией у них.
Изменено: Gosha - 18.02.2014 10:21:34
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Цитата
lumenaris пишет:
а на биометрию нужно обязательно отдельно или в одном согласии все прописать
можно?
Всё в общем согласии писать надо. Только нее забыть потом всех заставить расписаться, что на крупных предприятиях проблема великая. Обычно расписываются при приёме на работу.
Ещё совет - не писать в согласии слово "биометрия" (т.к. биометрических данных много
(ДНК, отпечатки пальцев, сетчатка глаза и т.д.)) и вообще избегать это "нехорошее"слово. Пишите просто - "фотография", а то сегодня е считают регуляторы биометрией, что абсолютно не верно по определению и по параметрам (не соответствие требованиям ГОСТ о биометрических изображениях лица). А завтра одумаются и перестанут нести этот бред.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Цитата
BlueSky пишет:
по не актуальным угрозам,нужно писать орг и тех меры или этот момент можно
пропустить и в таблице оставить пустые столбцы
С чего это? А почему вы решили что они не актуальные? Вот в этих столбцах вы должны доказать это. Если нет соединения с инетом например, то естественно нет и угроз с ним связанных и их просто не надо вообще писать. Если есть соединение, то угрозы например неактуальные в связи с использованием антивирусов, межсетевых экранов, а также организационных мер (инструкции, обязательства и т.п.). Или хищение: рота автоматчиков у серверной - неактуальная, бабуля - актуальная. Вот всё это и писать надо.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Цитата
BlueSky пишет:
вот все равно не ясно как писать с умом для организации работающей на фондовом
рынке "Модель угроз безопастности ПДн", после прочтения базовой модели ФСТЭК все
стало еще хуже...жизнь к такому не готовила.
Если кому не жалко, киньте
ссылку на "рыбу" для организации в 10 человек
Самое толковое что выходило, по моему мнению, это от Минздрава "Методические рекомендации по составлению Частной модели угроз безопасности персональных данных, при их обработке в ИСПДн уч-реждений Минздравсоцразвития России". Можно подвести под любую ИСПДн. Возможно будет полезно почитать отраслевой стандарт от 2010 г. Банка России СТО ИБ ИББС - там много отдельных методик и стандартов по защите ПДн, но чересчур мудрёно. Всё это лекго гуглится по названиям.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Цитата
Nickru пишет:

Всем доброго дня !
Скажите,
пожалуйста, по такой теме. Бизнес обозначил интерес в развитии следующего
направления - сертификация инф. систем Заказчиков на предмет соответствия
ФЗ-152.
Где можно посмотреть/изучить требования, которым нужно удовлетворять
для данного направления ?
Вот это по-нашему, "по бразильски" :) Ничего не знаем и не умеем, но сертифицировать готовы :) Годы работы нужны в данном направлении чтобы накопить даже минимальные знания и опыт по данной теме. Нужны обученные квалифицированные специалисты, оборудование и прочее. А так все документы по лицензированию ищите на сайте ФСТЭК.
Биометричекие ПДн, фото, СКУД...
Цитата
lumenaris пишет:

Андрей , есть такие
требования в Постановленит Правительства РФ от 6 июля 2008 г. N 512 "Об утверждении требований к
материальным носителям биометрических персональных данных и технологиям хранения
таких данных вне информационных систем персональных данных"
"3. Настоящие требования не распространяются на отношения, возникающие при использовании:
а) оператором информационной системы персональных данных (далее - оператор) материальных носителей для организации функционирования информационной системы персональных данных, оператором которой он является"
СКУД является ИСПДн, т.е. ПП-512 на неё не распространяется. Требуется собрать только согласие и защищать как обычные ПДн в соответствии с уровнем защищённости.
Ещё я писал раньше - крайне редко фотография в СКУД используется для установления личности. Контролёр смотрит на пропуск, а не на экран монитора, т.е. фактически фотография в СКУД не является биометрией. Вот у нас например фотографиив СКУД нужны исключительно для замены пропуска при потере или смене шифра. На проходных никаких мониторов нет.

Изменено: Gosha - 29.01.2014 09:16:38
ПДн сотрудников и паспорт антитеррористической защищенности
"Ответственная" сторона обязана предоставить вам "бумажку" в которой написано на каком законном основании они будут обрабатывать ПДн ваших сотрудников и на каком законном основании вы обязаны им передавать именно такие ПДн и именно в таком виде. В противном случае вы имеете полное право 1. Послать их подальше и ничего не давать. 2. Передать ей ПДн сотрудников на основании договора (поручения) согласно ст.6 п.3 ФЗ-152, получив предварительно согласие на такую обработку от всех сотрудников.
что защищать и как действовать
Цитата
AlexG пишет:
А можете процитировать, где в 21-м приказе сказано, что обезличенные ПДн
относятся к категории "иные"?
Сформулировал я там чуток сумбурно. Имелось в виду что в 21 приказе меры по защите даже обезличенных ПДн принимать необходимо теперь. Про "иные" конечно в 1119-ПП говорится.
что защищать и как действовать
И я сильно сомневаюсь, что последствия потери-изменения ПДн физического лица у провайдера незначительные в связи с последними веяниями в области авторского права и антитеррористической деятельности. Опять же номер договора обычно служит и логином заодно. По номеру идёт оплата услуг.
что защищать и как действовать
Цитата
AlexG пишет:
Вы хотите включить бумажные документы в состав ИСПДн. Каким образом, объяснит?
Где я такое написал?
Цитата
AlexG пишет:
Нахрена вам защищать ИСДПн, если нарушение безопасности информации в ней не
приведет ни к каким последствиям для конкр. физлица?? Что бы не случилось с
ИСПДн, с физлицом ничего не случится.
Защищать нужно бумажки. И отнюдь не
средствами технической защиты.
На дворе 2013 год, а не 2008. Это в те времена обработка обезличенных ПДн относилась к 4 классу и оператор сам определял необходимость их защиты. По 21 приказу обезличенные ПДн относятся к "иным" ПДн. И в зависимости от угроз ИСПДн, обрабатывающие "иные" ПДн могут быть аж 2-го уровня защищённости. Даже если примем за 4-й уровень, то по тому же приказу там обязательна техническая защита при актуальности угроз. Нет уже никаких поблажек.
что защищать и как действовать
Цитата
AlexG пишет:
Вы по номеру договора можете установить принадлежность ПДн конкретному субъекту,
не прибегая к дополнительной информации?

Тяжелый случай... Ответ - не могу. В чём смысл вопроса? Вы видимо не читаете, что я пишу. Попробую ещё раз попроще. 1. Номер договора физического лица - это ПДн, т.к., по определению 152-ФЗ, т.к. эта информация относится к определённому лицу и больше ни к кому иному. 2. Определяем категорию, к которой относится номер договора. Номер договора (без указания кому он принадлежит), не важно где он приведён (на заборе написан или находится в базе данных на сервере) и неважно, догадывается ли прохожий или хакер что это за интересные циферки (номер лотерейного билета или код запуска ракет) - это обезличенные ПДн по определению, данному в 152-ФЗ. 3. При записи в ИСПДн, номер договора не может чудесным образом потерять свой статус ПДн. Он так и останется обезличенными ПДн. А уж где находится та фолшебная дополнительная информаци, не имеет абсолютно никакого значения.
Выдохнул.... Ну если и так не понятно, то я сдаюсь :)
что защищать и как действовать
Цитата
Сергей С. пишет:
Почитайте, для начала, определение ПДн и ИСПДН.
100500 раз читал и всем причастным советую иногда освежить в памяти. Если вам лень посмотреть, то процитирую: "ПДн - любая информация, относящаяся к прямо или косвенно определённому ... физическому лицу." Про безличенные ПДн посмотрите там же, но ниже. Номер договора относится к определённому лицу? Глупо считать что нет. Как и объём индивидуального трафика, тарифный план, пароль и т.п.
Цитата
Сергей С. пишет:
причем договор может быть не с Васей, а с юрлицом.
Вопрос про договор с физическим лицом. Причём здесь юрлицо.
Цитата
AlexG пишет:
Gosha, не путайте человека. По номеру договора невозможно определить
принадлежность ПДн в пределах ИСПДн.
Причём тут "в пределах ИСПДн"? Обезличенные ПДн хранятся в ИСПДн. А дополнительная информация для определения человека по ним не обязана там храниться. Почитайте про обезличивание. Там ни слова про ИСПДн.
Покупка ГОСТов, Покупка ГОСТов
Извиняюсь, на даты не посмотрел :) Как бы второй раз одно и тоже написал, и свой прежний пост не заментил, но да ладно - повторение мать учения :)
Покупка ГОСТов, Покупка ГОСТов
Забыл ещё сказать относительно руководящих документов (не ГОСТов,), перечисленных в требованиях - допускается ссылка на сайт ФСТЭК где они опубликованы. Т.к. сайт ФСТЭК как сайт госоргана является официальным источником информации. Т.е. все документы (РД , законы, ПП и прочее), выложенные на сайты госорганов, являются официальным источником информации. К+ это обычный справочник и не более.
Покупка ГОСТов, Покупка ГОСТов
Цитата
Сергей С. пишет:
А почему? По-моему для открытых ГОСТов ФСТЭК устраивает просто наличие договора
с Гарантом/Консультантом, для закрытых - письмо от них же, вы легально
приобрели, остальное не ваши проблемы, которые, кстати, наверняка давно решены.
Не помню уже, писал я тут или нет, но полгода назад у нас была плановая проверка лицензионных требований по ТЗКИ комиссией нашего регионального управления ФСТЭК. Так вот - Гарант/Консультант и прочие справочники по мнению этой комисии не являются доказательством законного приобретения ГОСТов. Потребовали предоставить доказательства что каждый ГОСТ (не важно - открытый или ДСП) приобретён официально у официальных поставщиков (Росстандарт и т.п.) Благо у нас они были куплены всё равно. Миф о достаточности Консультанта+ видимо сложился из-за того, что при подаче документов в Москву не требуется предоставление доказательств на открытые ГОСТы (прокатывает простое перечисление с припиской что они есть у организации). Доказательства нужны для ГОСТов ДСП - сканы обложек. Можно бесконечно спорить кто прав, но факт остаётся фактом - у нас потребовали чтобы все ГОСТы были куплены у официального поставщика. Где нибудь за Уралом могут и закрыть глаза. Для получения лицензии всё покупать не обязательно - не спрашивают (только ДСП).
Страницы: 1 2 3 4 5 6 След.