Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

В России хотят создать мегарегулятора информационной безопасности, взяв пример с США

18/11/2017

В рамках реализации программы «Цифровая экономика» предлагается определить единый госорган, ответственный за требования к средствам информационной безопасности.

Реклама

Партнеры

Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: 1 2 3 След.
Тупые вопросы, которые вы хотели, но боялись спросить, Разное
а напомните в каком НПА говорится что оптика это доверенная среда передачи, а что-то не могу найти(
Тупые вопросы, которые вы хотели, но боялись спросить, Разное
А подскажите, если некоторые риски от угроз уменьшаются по средствам резервного копирования, то на системы резервного копирования тоже требуются лицензии ФСТЭК?

а еще не подскажете закон/приказ который требует лицензии ФСБ при использовании криптографии?
Изменено: yurgers - 07.12.2012 00:40:22
Тупые вопросы, которые вы хотели, но боялись спросить, Разное
можете пояснить из методики определения актуальных угроз
7 По объему ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки:
1 ИСПДн, предоставляющая всю БД с ПДн;
2 ИСПДн, предоставляющая часть ПДн;
3 ИСПДн, не предоставляющие никакой информации.


если организация предоставляет данные с пациентах за месяц в страховую на основании ФЗ, получается "передача части ПДн"

но ведь данные както обрабатываются, формируется специальный файл, то получается пункт "ИСПДн, не предоставляющие никакой информации"?
Тупые вопросы, которые вы хотели, но боялись спросить, Разное
я думаю на сертификацию 1с уйдет гораздо больше 30 000 рублей
Тупые вопросы, которые вы хотели, но боялись спросить, Разное
У Платформы 1С 8,2z есть сертификат ФСТЭК, и они говорят,

Цитата

Все конфигурации, разработанные на платформе "1С:Предприятие 8.2" (напр. "1С:Зарплата и управление Персоналом 8", "1С:Управление производственным предприятием" и др.), могут быть использованы при создании информационной системы персональных данных любого класса и дополнительная сертификация прикладных решений не требуется.
то есть имея сертифицированную ОС мы защищаемся от внешних нарушителей, а раздав роли в 1С на защищенной платформе мы защищаемся от НСД внутреннего нарушителя.
Тупые вопросы, которые вы хотели, но боялись спросить, Разное
если у приложения нет сертификата ФСТЭК то никак, надо искать другие меры, если есть то просто задокументировать кто какие право имеет.
Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Цитата
Сергей С. пишет:
Накопление - пополнение/корректировка информации.
Хранение - скорее архивное или хранение дампов
пополнение/корректировка информации - это уже уточнение.

Цитата
ФЗ-152
3) обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;
просто у меня такое ощущение что накопление в определении лишнее)
Тупые вопросы, которые вы хотели, но боялись спросить, Разное
а чем отливается сбор, накопление и хранение
что они под собой подразумевают?)

как я понимаю сбор - это ввод ПДн в ИСПДн данные из документа.
хранение - это нажать на кнопку сохранить, записать данные в базу.
а накопление это сбор для последующего его хранения?
Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Цитата
Сергей С. пишет:
Понятия (официального определения) "конфиденциальная информация" не существует.
то есть если конфиденциальной назвать врачебную тайну и ПДн в документе это не будет считаться ошибкой?

что правильнее написать:

1 "врачебная тайна и ПДн подлежит защите"
2 "защите подлежит конфиденциальная информация которая составляет врачебная тайна и ПДн"
Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Подскажите

а ПДн можно сказать что это конфиденциальная информация?
Тупые вопросы, которые вы хотели, но боялись спросить, Разное
но к злоумышленнику то Вы не придете с паспортом, и не попросите проверить есть ли у него в базе такой №.
Изменено: yurgers - 15.11.2012 16:31:34
Как классифицируется и должна быть защищена система по типу электронного дневника?
Цитата
Михаил пишет:
Можно сгенерить сертификат сервера с испольуемым алгоритмом DES, тогда криптуха будет слабая и от ФСБ претензий быть не должно.
то есть если слабый алгоритм, ФСБ говорить что это не шифрование, а так баловство?

только будет ли польза организации при использование DES? его же не так сложно сломать(

Цитата
Сергей С. пишет:
сделайте по форме письменного и галочку
а такое будет считаться? по идее Юридической значимости по ЭЦП эта галочка нечего не значит, вдруг админ сам поставил ее.
П-1119 по ПДн, Постановление от 1 ноября 2012 г. №1119 Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных
Цитата
Владимир пишет:

P.S. Имею ввиду информационное сообщение.
кстати заодно кто нибудь может пояснить правовой статус информационного письма, он ведь никакой Юридической силы не имеет, и на него нельзя ссылаться?

или и после выхода актов от ФСТЭКа можно будет ссылаться на это письмо, если и будет расхождение в их актах?
П-1119 по ПДн, Постановление от 1 ноября 2012 г. №1119 Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных
Цитата
Владимир пишет:
То есть в настоящее время выложили проект проекта )
а не подскажите где они его выложили?)
тут http://www.fstec.ru/_razd/_isp0o.htm я у них не нашол
Изменено: yurgers - 23.11.2012 12:24:45
П-1119 по ПДн, Постановление от 1 ноября 2012 г. №1119 Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных
они только проект обещали выложить, а когда его еще утвердят.
П-1119 по ПДн, Постановление от 1 ноября 2012 г. №1119 Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных
То есть необходимо переделываем классификацию на УЗ и выполняем требования по защите ПП-1119, если они еще небыли выполнены.
а модель угроз и соответственно систему защиты мы оставляем туже? и для этой системы защиты мы руководствуемся уже 58 приказом, то есть классификацию ИСПДн оставляем?

а еще такой вопрос. Если у нас планируется вводится система в июне 2013 года, и мы уже приняли решение о создании для нее системы защиты (но создавать СЗИ будем летом), то мы летом можем руководствоваться 58 приказом, решение о создании мы приняли ведь до акта ФСТЭКа?
как переложить ответственность на оператора?
то есть лучше, самим дополнительно шифровать трафик?

а при передаче шифрованных нами ПДн, со стороны оператора связи, будет считаться обработкой ПДн?
Изменено: yurgers - 13.12.2012 19:07:23
как переложить ответственность на оператора?
Добрый день!

ситуация такая, есть мед организация с удаленными офисами, связь с офисами осуществляется через частную локальную сеть местного оператора. кроме нас к ней еще подключено еще десяток организация, интернета данные оператор не предоставляет.

подскажите как правильно составить договор чтобы переложить ответственность за осуществленные угрозы на оператора связи?
Общедоступные персональные данные???
Здравствуйте!
а если по закону необходимо на сайте разместить ФИО работника , должность, контактный телефон.
то согласия на обработку не надо, т.к. в рамках трудового договора, а размещение в общем доступе на основании ФЗ?

и если необходимо передавать в вышестоящий орган, чтобы они разместили ПДн на своем сайте, на основании ФЗ, то согласия с работника тоже не надо?
Согласие на обработку сведений о состоянии здоровья страховыми компаниями
Почему только ОМС, когда получают ДМС там ведь скорее всего берется согласие на обработку и то что данные будут передаваться в ЛПУ. и в ЛПУ уже можно обрабатывать в рамках договора со страховой компанией.

а при оказание платных услуг, то есть обслуживание пациента по договору за наличные, обработка данных идет в рамках договора, и тоже получается согласия на обработку брать не надо, но должно быть в договоре пункт, что ЛПУ обязано обеспечить безопасность ПДн пациента.

я прав или нет, подскажите?
Изменено: yurgers - 27.11.2012 21:51:35
Страницы: 1 2 3 След.