Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

GDPR: Новые правила обработки персональных данных в EU

15/06/2018

Все слышали о General Data Protection Regulation (GDPR) (Regulation (EU) 2016/679), который вступил в силу 25 мая 2018 года. Штрафы большие и придётся соответствовать. Как и любой официальный документ, он написан сухо и может трактоваться по-разному.

Реклама

Партнеры

Лаборатория кибербезопасности







Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: 1 2 3 След.
Запросы субъектов ПДн, правила рассмотрения запросов субъектов ПДн
Если вы государственный/муниципальный орган, то, конечно, нужно сделать некий документ (не важно сотрудники это или нет). Но там то делов, пара строчек и всё. В соответствии с тем-то предоставить в такой-то срок. Дата-подпись.
ПДн и аренда канала, Провайдер, как защита
Думаю что от МЭ вы не отвертитесь. Договор реален, но там как раз должно быть прописано, что провайдер обязуется применять сертифицированную крипту (которую он должен установить вам и тому, куда вы передаёте). А в таком случае у провайдера должны быть лицензии ФСБ на работу в криптосредствами.
[ Закрыто] Журнал учета машинных носителей персональных данных
да учтите всё, где присутствуют ПДн. HDD учесть вообще не проблема, их не нужно никому выдавать, они стационарно закреплены за киким-либо АРМ. запускаете программу Everest, он показывает серийники "жёстких". Проверено: 100 случаев из 100, серийник совпал с тем что написано на самом HDD.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Если посмотреть проект приказа ФСТЭК по ГИСам, то там есть требования и обязательная аттестация. А вот какие документы необходимы для такого рабочего места, являющегося сегментом федеральной ГИС, не очень представляю.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Сергей С. ну в принципе всё логично. А что на счёт ГИС? (3 поста выше)
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
А вот на счёт ЭЦП мне самому интересно, необходимо ли вести учёт ключевых носителей в журнале учёта криптосредств и как их выдавать. Т.е. по логике ключи должны храниться у ответственного за организацию обработки ПДн либо у админа безопасности и они должны их под роспись каждый раз выдавать и принимать. Но бухгалтера каждый день отправляют в различные организации кучу доков подписанных ЭЦП. Так и замучаешься выдавать каждый день эти носители и журналы будут огромные. Возможен ли такой вариант, что ключевой носитель будет храниться у бухгалтера в личном сейфе, ну соответственно выдаваться раз в год/полгода и заноситься в журнал выдачи/приёмки? И ещё вопрос, eToken либо iButton (просто идентификаторы без ЭЦП) являются ключевыми носителями, их нужно заносить в такой журнал учёта критосредств и как происходит выдача этих носителей?
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Цитата
yurgers пишет:
а напомните в каком НПА говорится что оптика это доверенная среда передачи, а что-то не могу найти(
есть вот такой вот пункт в СТР-К:
" 5.2.5. Для передачи информации по каналам связи, выходящим за пределы КЗ, необходимо использовать защищенные каналы связи, в том числе защищенные волоконно-оптические линии связи, а при использовании открытых каналов связи, применять криптографические средства защиты информации. Применяемые средства защиты информации должны быть сертифицированы "
честно скажу, не очень понимаю, что такое защищённые ВОЛС....
больше нигде ничего не сказано=(
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Утро доброе, уважаемые коллеги! Необходимо ваше экспертное мнение по одному вопросику. Имеется АРМ, являющийся сегментом федеральной ГИС и обрабатывающий ПДн. Непосредственно на нём ничего не хранится, при вводе данных происходит их передача на удалённый сервер по VPN каналу. Как для федеральной ГИС необходима аттестация этого рабочего места (по предстоящему приказу ФСТЭК для ГИС). Как я понимаю, следует применять меры и для ГИС и для ПДн, т.е. следует разработать пакет доков как на ИСПДн. Вопрос вот в чём, какие документы требуется для аттестации сегмента ГИС? И вообще насколько будет легитимна такая аттестация, как сегмента федеральной ГИС?
Защита информации в базе 1С, Разграничение прав доступа
Согласен с Сергеем, тут главный вопрос, для кого разграничение делаете, для себя любимых или для регуляторов. В своих целях встроенные защитные механизмы СУБД 1оо% отличная защита от обычных пользователей. Так же как механизмы AD и групповые политики. А для регуляторов делаете равные права для всех в матрице доступа и ставите любое СЗИ от НСД с сертификатом.
Защита информации в базе 1С, Разграничение прав доступа
непосредственно разграничение внутри базы только самой 1С. А для отвода глаз для регуляторов, с точки зрения выполнения требований по защите ПДн, подойдёт любое СЗИ от НСД.
[ Закрыто] Программа обучения сотрудников ПДн
А что за программа обучения?. Есть определённые центры, которые проводят соответствующее обучение, у них имеется некая программа. А вы можете составить на свой лад. Происходит доведение до сведения работникам требований законадательства в области защиты ПДн (152 ФЗ, ПП 1119 и т.д.), локальных актов оператора по вопросам обработки ПДн (политика, положение, инструкции) по роспись, т.е. в каждом доке имеется лист ознакомления. Также возможен журнал инструктажей пользователей (рассказываете об ответственности за нарушение требований, организацию доступа и т.д.).
[ Закрыто] ФСТЭК - не обманули, Проект приказа по ПДн
Но в любом случае для любой ГИС, будь то региональная или федеральная, должно быть распоряжение о её организации, или что-то подобное...без этого документа, думаю, никакой ФСТЭК не сможет ничего доказать..
[ Закрыто] ФСТЭК - не обманули, Проект приказа по ПДн
что-то я в доке не увидел какого класса СЗИ должны использоваться в ИС УЗ 1, в которых в качестве актуальных определены угрозы первого типа.
[ Закрыто] ФСТЭК - не обманули, Проект приказа по ПДн
AlexG да с чего бы они любой АРМ "причисляли к лику" ГИС, есть официальный реестр ГИСов http://www.rsoc.ru/it/register/
Изменено: Влдаислав - 11.12.2012 02:57:15
Шаблоны документов, В соответствии см П-1119 по ПДн
я же говорю, все изменения, которые следует внести в существующие на данный момент шаблоны доков - обсуждаются в соседних ветках..
Шаблоны документов, В соответствии см П-1119 по ПДн
все шаблоны в соседних ветках...
и почему Вы ничего не предложили?
Изменено: Влдаислав - 21.11.2012 13:48:28
[ Закрыто] П-1119 по ПДн, Постановление от 1 ноября 2012 г. №1119 Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных
Насколько я понял, ПП № 1119 нужно использовать только для ИСПДн, созданных после 1 ноября 2012 г. Или я что-то не так интерпретирую? А в остальных случаях использовать недействующее ПП № 781?
[ Закрыто] П-1119 по ПДн, Постановление от 1 ноября 2012 г. №1119 Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных
блин и что теперь делать... необходимо модель угроз составлять, времени ждать нет... а как её теперь составлять и что там писать, никто сказать не может =(( НДВ это проклятое...
просто написать : "угроза НДВ в сист и прикладном ПО неактуальна"...
ФНС ,пенсионый фонд, ФССи.т.д., Использование несертифицированных программ при обработке ПДН и их передача.
да понятно, что косяков там хватает. Но при определении актуальности угроз, думаю можно ссылаться на то, что данное ПО (СПО) было поставлено той или иной гос.структурой (т.е. заведомо безопасное) и признать угрозы НДВ (хотя бы в прикладном ПО) неактуальными. Я думаю что данное заявление будет обоснованным.
ФНС ,пенсионый фонд, ФССи.т.д., Использование несертифицированных программ при обработке ПДН и их передача.
я думаю ПО, разработанное в РФ, и более того - различными гос. органами и структурами, в нём априори отсутствуют НДВ.
Страницы: 1 2 3 След.