Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Особенности аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции (работ, услуг), поставляемой по гособоронзаказу.

12/08/2019 

08 мая 2019 г. утверждены новые Правила аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции работ, услуг), поставляемой по государственному оборонному заказу (постановление Правительства Российской Федерации от 30 апреля 2019 г. № 548).

Новые Правила аккредитации кардинально меняют сложившуюся систему не только аккредитации, но и сертификации СМК предприятий, работающих в области государственного оборонного заказа.

Обучение

016.1. Основы администрирования Astra Linux SE 1.6.
11 - 13 ноября 2019 года

016.2. Системное администрирование, сервисы и сетевые приложения в Astra Linux SE 1.6.
14 - 18 ноября 2019 года

016.3. Администрирование комплекса средств защиты и Astra Linux Directory в Astra Linux SE 1.6.
2 - 4 декабря 2019 года

016.4. Администрирование Astra Linux SE 1.6: работа в смешанных сетях.
5 - 9 декабря 2019 года

002. Техническая защита информации. Способы и средства защиты информации от несанкционированного доступа.
16 - 20 декабря 2019 года

Реклама





Партнеры





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Форум » Пользователи » Антон Дмитриев
Выбрать дату в календареВыбрать дату в календаре

Страницы: 1
Общедоступные персональные данные для внутреннего использования
#
05.11.2013 08:50:09
Цитата
Гость пишет:
Это ПДн. Можно ли в согласии указать: "Даю согласие на обработку в качестве общедоступных следующих ПДН (перечисление) для внутреннего использования". Или если ПДн общедоступные, их нельзя ограничить где они общедоступны: в рамках организации, страны и т.п
В рамках организации - уже не общедоступные. Уже нужно применять меры, которые позволят защитить от внешних угроз и т.д.
 
Перейти
АС, класс 2Б, не сертифицированные СЗИ
#
05.11.2013 08:43:11
Для защиты Коммерческой тайны (КТ) пользуйтесь чем хотите, только введите режим КТ, согласно 98 ФЗ.
А про РД ФСТЭК для КТ советую забыть. Т.К. ФСТЭК "пофигу" на вашу КТ. ;)
 
Перейти
аттестация АС с виртуальной средой
#
05.11.2013 08:39:53
1. Переносить на VMWare и защищаться, как Вы сказали, VGate ИЛИ
2. Рисовать модель угроз и оценивать реальные угрозы, возможно, для нейтрализации актуальных угроз Вам не придется защищать виртуальную среду. А возможно, вы воспользуетесь компенсирующими мерами по их нейтрализации - это допускается в отдельных случаях по 21 приказу ФСТЭК.
 
Перейти
[ Закрыто] Режимно-секретный отдел, Вопросы по организации подразделения
#
01.11.2013 16:47:24
Сходите в местное управление ФСБ там все расскажут. Приводите в соответствие помещение, получайте разрешение на право работать с ССГТ.
 
Перейти
Договор с ИП - это уже ресурс с ПДн?
#
05.11.2013 08:34:37
Цитата
Гость пишет:
Я так думаю, если в договоре - только реквизиты ИП, то нет
в реквизиты ИП входит адрес регистрации + ИНН (физ лица) )). ;)
 
Перейти
Договор с ИП - это уже ресурс с ПДн?
#
01.11.2013 16:32:29
Верно ли мыслю, что любой договор с ИП - это уже ресурс с ПДн, который необходимо защищать в соответствии со 152-ФЗ

Отсканированный договор, хранящийся на жестком диске ПЭВМ - это уже дает основания для создания ИСПДн и проведение всех орг. мероприятий по ПДн в соответствии с ФЗ-152 ? :oops:
 
Перейти
[ Закрыто] Сертифицированные СЗИ
#
05.11.2013 08:19:11
Цитата
Андрей пишет:
Антон Дмитриев, про модель угроз уже писал. Не те угрозы актуальны, что в модели угроз, а те, что по требованиям 17 и 22-ого приказов надо закрывать. Если вы их иным способом не можете закрыть - это и есть актуальность.
Актуальность угроз диктуется не тем, что вы можете закрыть или не можете.
А именно ее АКТУАЛЬНОСТЬЮ для вашей ИСПДн - вне зависимости от способности ее закрыть.
 
Перейти
[ Закрыто] Сертифицированные СЗИ
#
05.11.2013 08:17:16
Цитата
AlexG пишет:
Это вы так решили или так определено законодательством?
Так гласит ФЗ152

Обеспечение безопасности персональных данных достигается, в частности:
3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

А по постановлению правительства О сертификации СЗИ - оценка соответствия для СЗИ - это сертификация.

Следовательно, если вы решили применять СЗИ для защиты ПДн, следовательно они должны быть сертифицированными.
 
Перейти
[ Закрыто] Сертифицированные СЗИ
#
01.11.2013 16:44:48
Если средство в документации заявляется, как средство защиты информации для закрытия актуальной угрозы в соответствии с моделью угроз, то данное средство должно быть сертифицированно.
 
Перейти
Создается мобильный офис на базе МФЦ.
#
01.11.2013 16:37:49
Конечно нужно включать в состав ИСПДн. Доработать документашку, внедрить СКЗИ и другие СЗИ при актуальности угроз и все.
 
Перейти
[ Закрыто] П-1119 по ПДн, Постановление от 1 ноября 2012 г. №1119 Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных
#
20.11.2012 08:31:12
Цитата
Сергей С. пишет:
Так какой ответ то?
Это и был ответ:
"Если все-таки актуальны угрозы НДВ для системного или прикладного ПО, то исходя из вида угрозы (на какую подсистему ЗИ эта угроза распространяется), она может быть закрыта путем применения серт. СЗИ для данной подсистемы." ;)
 
Перейти
[ Закрыто] П-1119 по ПДн, Постановление от 1 ноября 2012 г. №1119 Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных
#
18.11.2012 22:56:31
Звонок во ФСТЭК решил такой вопрос:
"Если все-таки актуальны угрозы НДВ для системного или прикладного ПО, то исходя из вида угрозы (на какую подсистему ЗИ эта угроза распространяется), она может быть закрыта путем применения серт. СЗИ для данной подсистемы."

Вот такой вот ответ. ;)

Но сугубо мое мнение: в случае наличия угрозы НДВ в MS Word, то никакое СЗИ не спасет от нарушения целостности, достоверности информации при ее редактировании и сохранения через MS Word, т.к. по умолчанию у него все права на редактирование файлов. И при сохранении ему ни что не мешает что-то дописать, что-то убрать и испортить.

Так что никакое СЗИ не закроет данную НДВ.

Кто хочет построить реальную защиту - не пользуйтесь указанным выше советом ФСТЭК.
 
Перейти
Лицензия на составление документации
#
05.11.2013 08:32:11
Цитата
AlexG пишет:
т.е. документация - это технические средства защиты??
Я завел журнал учета СЗИ - и мне на это надо иметь лицензию?
Не смешите.

Повторюсь - Если журнал завели для себя - не надо.
Если для другой организации, где в договоре свои услуги позиционируете, как оказание услуг по защите информации, - тогда нужна лицензия. Если же просто методическая помощь в ... - тогда конечно не нужна лицензия.
Изменено: Антон Дмитриев - 05.11.2013 08:45:17
 
Перейти
Лицензия на составление документации
#
01.11.2013 16:58:12
Короче. Читайте 79 постановление (О лицензировании ТЗКИ) и информационной письмо ФСТЭК на счет него.

Разработка документации в области ЗИ - это ТЗИ
Для своих целей лицензия не нужна, для оказания услуг - нужна.
 
Перейти
SAAS
#
01.11.2013 16:52:14
Нужен договор поручения обработки ПДн в соответствии с ФЗ-152. При этом согласие берет только поручитель.

Вам нужно иметь лицензию на ТЗКИ, раз вы беретесь защищать не свои ПДн. Или заключать договор аутсорсинга с компанией, которая уже имеет данную лицензию.

Если из мероприятий по защите вы сделали только то, что написали, то будут крупные проблемы при ЛЮБОМ инциденте в разрезе ФЗ-152.
 
Перейти
Страницы: 1