Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

В России хотят создать мегарегулятора информационной безопасности, взяв пример с США

18/11/2017

В рамках реализации программы «Цифровая экономика» предлагается определить единый госорган, ответственный за требования к средствам информационной безопасности.

Реклама

Партнеры

Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: 1 2 3 4 5 6 След.
ИСПДн СКУД
Цитата
Сергей С. пишет:
достаточно сложно
Возможно, но в таком случае необходимо ограничить не только выводимую информацию, но и хранимую в БД, иначе возникает необходимость защиты ИСПДн по всем правилам...
ИСПДн СКУД
Цитата
Олег пишет:
Согласие действует только до момента его отзыва.
Ну, своим сотрудникам, я считаю, можно разъяснить, что при отзыве согласия - их данные будут удалены из СКУД.
По поводу сторонних организаций сложнее, но все же, можно как было предложено выше для вывода на монитор оставить только фото, либо, если пропуски СКУД выдаются централизованно и по заявлению, в данное заявление включить согласие на общедоступность.
ИСПДн СКУД
А если при заключении трудового договора заключать с работником согласие на общедоступность таких сведений, как фотография, Ф.И.О. и должность?
Кто нибудь прикидывал использование Приказа 21 ФСТЭК в своих ИСПДн?
Цитата
Dmitriy пишет:
должно быть проведено обоснование применения компенсирующих мер для
обеспечения безопасности персональных данных.
Это понятно. А в каком виде должно быть предоставлено данное обоснование?
Кто нибудь прикидывал использование Приказа 21 ФСТЭК в своих ИСПДн?
Цитата
Dmitriy пишет:
обоснования не актуальности этой меры
А обосновывать неактуальность этой меры на основании чего? На основании экспертного мнения сотрудника, отвечающего за безопасность?
Кто нибудь прикидывал использование Приказа 21 ФСТЭК в своих ИСПДн?
Просто каждый проверяющий будет приходить со своим пунктом 5 :-)
Акт о вскрытии системного блока аттестованного рабочего места
А элемент, который менялся менялся, имею ввиду куллер, спец проверку прошел? Или так, просто заменили?
Процедура оценки соответствия, Что подразумевается?
СОИСО, собственно да, Но он вроде как еще проект, да и насколько я знаю, как правильно заметил Гость, словосочетание "обязательная сертификация" из него собираются убрать. А по поводу суда, так это никто не отрицает, докажут регуляторы в суде, что я должен использовать сертифицированные СЗИ - буду обязан использовать, а не докажут - появится неплохой пример судебной практики :)
По поводу использования сертифицированных СЗИ я не спорю, проще использовать, мне просто стал интересен данный вопрос :)

Под словом "Я" я подразумеваю любого оператора ПДн )))
Изменено: Владимир - 08.02.2013 16:08:24
Процедура оценки соответствия, Что подразумевается?
Сергей С., не спорю, поэтому и прошу AlexG привести доводы, раз уж он отстаивает обязательное приравнивание оценки соответствия к сертификации.
Процедура оценки соответствия, Что подразумевается?
Alex, Приказ председателя гостехкомиссии "О сертификации СЗИ"???? Позвольте, данный документ определяет порядок СЕРТИФИКАЦИИ. В НПА по защите ПДн отсутствует термин "сертификация", в них используется термин "ОЦЕНКА СООТВЕТСТВИЯ".
Мне кажется, что если уж приводить в пример для прочтения документы, то приводить их надо по теме.
Существует открытый документ, в котором говорится, что оценка соответствия это ТОЛЬКО (!!!) сертификация?
Процедура оценки соответствия, Что подразумевается?
AlexG, Мне кажется или пока что в России действует презумпция невиновности? :)
В связи с этим регуляторы должны доказать мою неправоту, а не я им что-то :)
Процедура оценки соответствия, Что подразумевается?
AlexG, спасибо, конечно, но Вы второй раз советуете почитать пятую статью ФЗ "О техрегулировании". В п.4 данной статьи говорится: " Особенности оценки соответствия продукции (работ, услуг), указанной в пункте 1 настоящей статьи, а также соответственно процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации, захоронения устанавливаются Правительством Российской Федерации или уполномоченными им федеральными органами исполнительной власти". По ссылке на данный пункт Консультант отправляет на Постановление Правительства РФ от 21.04.2010 N 266, которое как раз о защите заграницей. Других открытых особенностей оценки, установленных Правительством я не нашел. А открыттый ФЗ "О техническом регулировании", позволяющий проводить оценку соответствия в форме ИСПЫТАНИЙ, я так понимаю, имеет превосходство над закрытыми постановлениями.

Отсюда следует, что мой вопрос остается открытым. :)
Процедура оценки соответствия, Что подразумевается?
Сергей С., Спасибо, я тоже думаю, что так можно поступить.
Процедура оценки соответствия, Что подразумевается?
Сергей С., иная форма - это вообще красота :) Меня иногда законы наши радуют. Так можно наклеить на маршрутизатор наклейку со словом "Соответствует" и вуаля - иная форма. :)
А по поводу испытаний надо подумать, может быть правда возможно составить локальный акт проведения испытаний, и отметить, что все средства соответствуют предъявленным к ним требованиям и прошли испытания.
Процедура оценки соответствия, Что подразумевается?
Сергей С., читал, откуда вопрос и возник :)
Оценка соответствия проводится в формах государственного контроля (надзора), аккредитации, испытания, регистрации, подтверждения соответствия, приемки и ввода в эксплуатацию объекта, строительство которого закончено, и в иной форме.
Обязательное подтверждение соответствия осуществляется в формах: принятия декларации о соответствии (далее - декларирование соответствия);
обязательной сертификации.
Декларирование соответствия осуществляется по одной из следующих схем:
принятие декларации о соответствии на основании собственных доказательств;
принятие декларации о соответствии на основании собственных доказательств, доказательств, полученных с участием органа по сертификации и (или) аккредитованной испытательной лаборатории (центра) (далее - третья сторона).

Получается, что можно оформить локальную декларацию соответствия, которая будет являться документом, подтверждающим прохождение оценки соответствия?
Процедура оценки соответствия, Что подразумевается?
Сергей С., просто не совсем понятно. Возможно я ошибаюсь, но если оценка соответствия достигается только сертификацией, то должен быть документ (общедоступный), в котором описывается какие сертификаты для чего я должен получить.
Процедура оценки соответствия, Что подразумевается?
Еще вопрос такой: если я за свой счет проведу сертификацию, допустим, на отсутствие НДВ, всех СЗИ, включая НСД, МЭ и антивирус, могу ли я считать, что данные СЗИ станут средствами защите, "прошедшими в установленном порядке процедуру оценки соответствия средства защиты"?
Процедура оценки соответствия, Что подразумевается?
AlexG, Я конечно прошу прощения, но как я могу опираться на Постановление, которое не могу прочитать, т.к. его нет в открытом доступе?
Испдн находится на техподдержке у сторонней организации. Как обозначить данную ситуацию в документах?
Да, в данном случае данного раздела будет достаточно. На практике были вопросы представителей регулятора только об отсутствии данного раздела. При заполнении данного раздела можно указать, что каждая сторона договора обязуется применять все необходимые в соответствии с законодательством меры для обеспечения конфиденциальности и безопасности информации, содержащей персональные данные.
Пришло письмо от РОСКОМНАДЗОРа о не предоставлении сведений в срок, как лучше ответить.
Цитата
Гость пишет:
а подскажите пожалуйста, что будет с теми кто не отправил во время это уведомление в РКН ?
штрафы ? проверки ? казни ( ;) )
Насколько следует из закона, теперь все, кто даже подает уведомление после 1.01.2013г. будут нести административную ответственность. Но, учитывая тот факт, что большинство операторов уведомление так и не подали, а большинство из этого большинства и не собирается, я думаю, что если подать уведомление сразу по запросу, либо самостоятельно - штраф налагаться не будет, будут в основном штрафовать злостных нарушителей.
Страницы: 1 2 3 4 5 6 След.