Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

ФСБ: Национальному координационному центру по компьютерным инцидентам быть!

13/10/2018

Директор ФСБ России Александр Бортников распорядился создать государственный орган по борьбе с кибератаками. Текст соответствующего приказа размещен на официальном интернет-портале правовой информации.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: 1 2 3 След.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
а напомните в каком НПА говорится что оптика это доверенная среда передачи, а что-то не могу найти(
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
А подскажите, если некоторые риски от угроз уменьшаются по средствам резервного копирования, то на системы резервного копирования тоже требуются лицензии ФСТЭК?

а еще не подскажете закон/приказ который требует лицензии ФСБ при использовании криптографии?
Изменено: yurgers - 07.12.2012 00:40:22
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
можете пояснить из методики определения актуальных угроз
7 По объему ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки:
1 ИСПДн, предоставляющая всю БД с ПДн;
2 ИСПДн, предоставляющая часть ПДн;
3 ИСПДн, не предоставляющие никакой информации.


если организация предоставляет данные с пациентах за месяц в страховую на основании ФЗ, получается "передача части ПДн"

но ведь данные както обрабатываются, формируется специальный файл, то получается пункт "ИСПДн, не предоставляющие никакой информации"?
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
я думаю на сертификацию 1с уйдет гораздо больше 30 000 рублей
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
У Платформы 1С 8,2z есть сертификат ФСТЭК, и они говорят,

Цитата

Все конфигурации, разработанные на платформе "1С:Предприятие 8.2" (напр. "1С:Зарплата и управление Персоналом 8", "1С:Управление производственным предприятием" и др.), могут быть использованы при создании информационной системы персональных данных любого класса и дополнительная сертификация прикладных решений не требуется.
то есть имея сертифицированную ОС мы защищаемся от внешних нарушителей, а раздав роли в 1С на защищенной платформе мы защищаемся от НСД внутреннего нарушителя.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
если у приложения нет сертификата ФСТЭК то никак, надо искать другие меры, если есть то просто задокументировать кто какие право имеет.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Цитата
Сергей С. пишет:
Накопление - пополнение/корректировка информации.
Хранение - скорее архивное или хранение дампов
пополнение/корректировка информации - это уже уточнение.

Цитата
ФЗ-152
3) обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;
просто у меня такое ощущение что накопление в определении лишнее)
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
а чем отливается сбор, накопление и хранение
что они под собой подразумевают?)

как я понимаю сбор - это ввод ПДн в ИСПДн данные из документа.
хранение - это нажать на кнопку сохранить, записать данные в базу.
а накопление это сбор для последующего его хранения?
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Цитата
Сергей С. пишет:
Понятия (официального определения) "конфиденциальная информация" не существует.
то есть если конфиденциальной назвать врачебную тайну и ПДн в документе это не будет считаться ошибкой?

что правильнее написать:

1 "врачебная тайна и ПДн подлежит защите"
2 "защите подлежит конфиденциальная информация которая составляет врачебная тайна и ПДн"
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Подскажите

а ПДн можно сказать что это конфиденциальная информация?
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
но к злоумышленнику то Вы не придете с паспортом, и не попросите проверить есть ли у него в базе такой №.
Изменено: yurgers - 15.11.2012 16:31:34
Как классифицируется и должна быть защищена система по типу электронного дневника?
Цитата
Михаил пишет:
Можно сгенерить сертификат сервера с испольуемым алгоритмом DES, тогда криптуха будет слабая и от ФСБ претензий быть не должно.
то есть если слабый алгоритм, ФСБ говорить что это не шифрование, а так баловство?

только будет ли польза организации при использование DES? его же не так сложно сломать(

Цитата
Сергей С. пишет:
сделайте по форме письменного и галочку
а такое будет считаться? по идее Юридической значимости по ЭЦП эта галочка нечего не значит, вдруг админ сам поставил ее.
[ Закрыто] П-1119 по ПДн, Постановление от 1 ноября 2012 г. №1119 Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных
Цитата
Владимир пишет:

P.S. Имею ввиду информационное сообщение.
кстати заодно кто нибудь может пояснить правовой статус информационного письма, он ведь никакой Юридической силы не имеет, и на него нельзя ссылаться?

или и после выхода актов от ФСТЭКа можно будет ссылаться на это письмо, если и будет расхождение в их актах?
[ Закрыто] П-1119 по ПДн, Постановление от 1 ноября 2012 г. №1119 Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных
Цитата
Владимир пишет:
То есть в настоящее время выложили проект проекта )
а не подскажите где они его выложили?)
тут http://www.fstec.ru/_razd/_isp0o.htm я у них не нашол
Изменено: yurgers - 23.11.2012 12:24:45
[ Закрыто] П-1119 по ПДн, Постановление от 1 ноября 2012 г. №1119 Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных
они только проект обещали выложить, а когда его еще утвердят.
[ Закрыто] П-1119 по ПДн, Постановление от 1 ноября 2012 г. №1119 Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных
То есть необходимо переделываем классификацию на УЗ и выполняем требования по защите ПП-1119, если они еще небыли выполнены.
а модель угроз и соответственно систему защиты мы оставляем туже? и для этой системы защиты мы руководствуемся уже 58 приказом, то есть классификацию ИСПДн оставляем?

а еще такой вопрос. Если у нас планируется вводится система в июне 2013 года, и мы уже приняли решение о создании для нее системы защиты (но создавать СЗИ будем летом), то мы летом можем руководствоваться 58 приказом, решение о создании мы приняли ведь до акта ФСТЭКа?
как переложить ответственность на оператора?
то есть лучше, самим дополнительно шифровать трафик?

а при передаче шифрованных нами ПДн, со стороны оператора связи, будет считаться обработкой ПДн?
Изменено: yurgers - 13.12.2012 19:07:23
как переложить ответственность на оператора?
Добрый день!

ситуация такая, есть мед организация с удаленными офисами, связь с офисами осуществляется через частную локальную сеть местного оператора. кроме нас к ней еще подключено еще десяток организация, интернета данные оператор не предоставляет.

подскажите как правильно составить договор чтобы переложить ответственность за осуществленные угрозы на оператора связи?
Общедоступные персональные данные???
Здравствуйте!
а если по закону необходимо на сайте разместить ФИО работника , должность, контактный телефон.
то согласия на обработку не надо, т.к. в рамках трудового договора, а размещение в общем доступе на основании ФЗ?

и если необходимо передавать в вышестоящий орган, чтобы они разместили ПДн на своем сайте, на основании ФЗ, то согласия с работника тоже не надо?
Согласие на обработку сведений о состоянии здоровья страховыми компаниями
Почему только ОМС, когда получают ДМС там ведь скорее всего берется согласие на обработку и то что данные будут передаваться в ЛПУ. и в ЛПУ уже можно обрабатывать в рамках договора со страховой компанией.

а при оказание платных услуг, то есть обслуживание пациента по договору за наличные, обработка данных идет в рамках договора, и тоже получается согласия на обработку брать не надо, но должно быть в договоре пункт, что ЛПУ обязано обеспечить безопасность ПДн пациента.

я прав или нет, подскажите?
Изменено: yurgers - 27.11.2012 21:51:35
Страницы: 1 2 3 След.