Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Особенности аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции (работ, услуг), поставляемой по гособоронзаказу.

12/08/2019 

08 мая 2019 г. утверждены новые Правила аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции работ, услуг), поставляемой по государственному оборонному заказу (постановление Правительства Российской Федерации от 30 апреля 2019 г. № 548).

Новые Правила аккредитации кардинально меняют сложившуюся систему не только аккредитации, но и сертификации СМК предприятий, работающих в области государственного оборонного заказа.

Реклама





Партнеры





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: 1
Общедоступные персональные данные для внутреннего использования
Цитата
Гость пишет:
Это ПДн. Можно ли в согласии указать: "Даю согласие на обработку в качестве общедоступных следующих ПДН (перечисление) для внутреннего использования". Или если ПДн общедоступные, их нельзя ограничить где они общедоступны: в рамках организации, страны и т.п
В рамках организации - уже не общедоступные. Уже нужно применять меры, которые позволят защитить от внешних угроз и т.д.
АС, класс 2Б, не сертифицированные СЗИ
Для защиты Коммерческой тайны (КТ) пользуйтесь чем хотите, только введите режим КТ, согласно 98 ФЗ.
А про РД ФСТЭК для КТ советую забыть. Т.К. ФСТЭК "пофигу" на вашу КТ. ;)
аттестация АС с виртуальной средой
1. Переносить на VMWare и защищаться, как Вы сказали, VGate ИЛИ
2. Рисовать модель угроз и оценивать реальные угрозы, возможно, для нейтрализации актуальных угроз Вам не придется защищать виртуальную среду. А возможно, вы воспользуетесь компенсирующими мерами по их нейтрализации - это допускается в отдельных случаях по 21 приказу ФСТЭК.
[ Закрыто] Режимно-секретный отдел, Вопросы по организации подразделения
Сходите в местное управление ФСБ там все расскажут. Приводите в соответствие помещение, получайте разрешение на право работать с ССГТ.
Договор с ИП - это уже ресурс с ПДн?
Цитата
Гость пишет:
Я так думаю, если в договоре - только реквизиты ИП, то нет
в реквизиты ИП входит адрес регистрации + ИНН (физ лица) )). ;)
Договор с ИП - это уже ресурс с ПДн?
Верно ли мыслю, что любой договор с ИП - это уже ресурс с ПДн, который необходимо защищать в соответствии со 152-ФЗ

Отсканированный договор, хранящийся на жестком диске ПЭВМ - это уже дает основания для создания ИСПДн и проведение всех орг. мероприятий по ПДн в соответствии с ФЗ-152 ? :oops:
[ Закрыто] Сертифицированные СЗИ
Цитата
Андрей пишет:
Антон Дмитриев, про модель угроз уже писал. Не те угрозы актуальны, что в модели угроз, а те, что по требованиям 17 и 22-ого приказов надо закрывать. Если вы их иным способом не можете закрыть - это и есть актуальность.
Актуальность угроз диктуется не тем, что вы можете закрыть или не можете.
А именно ее АКТУАЛЬНОСТЬЮ для вашей ИСПДн - вне зависимости от способности ее закрыть.
[ Закрыто] Сертифицированные СЗИ
Цитата
AlexG пишет:
Это вы так решили или так определено законодательством?
Так гласит ФЗ152

Обеспечение безопасности персональных данных достигается, в частности:
3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;


А по постановлению правительства О сертификации СЗИ - оценка соответствия для СЗИ - это сертификация.

Следовательно, если вы решили применять СЗИ для защиты ПДн, следовательно они должны быть сертифицированными.
[ Закрыто] Сертифицированные СЗИ
Если средство в документации заявляется, как средство защиты информации для закрытия актуальной угрозы в соответствии с моделью угроз, то данное средство должно быть сертифицированно.
Создается мобильный офис на базе МФЦ.
Конечно нужно включать в состав ИСПДн. Доработать документашку, внедрить СКЗИ и другие СЗИ при актуальности угроз и все.
[ Закрыто] П-1119 по ПДн, Постановление от 1 ноября 2012 г. №1119 Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных
Цитата
Сергей С. пишет:
Так какой ответ то?
Это и был ответ:
"Если все-таки актуальны угрозы НДВ для системного или прикладного ПО, то исходя из вида угрозы (на какую подсистему ЗИ эта угроза распространяется), она может быть закрыта путем применения серт. СЗИ для данной подсистемы." ;)
[ Закрыто] П-1119 по ПДн, Постановление от 1 ноября 2012 г. №1119 Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных
Звонок во ФСТЭК решил такой вопрос:
"Если все-таки актуальны угрозы НДВ для системного или прикладного ПО, то исходя из вида угрозы (на какую подсистему ЗИ эта угроза распространяется), она может быть закрыта путем применения серт. СЗИ для данной подсистемы."

Вот такой вот ответ. ;)

Но сугубо мое мнение: в случае наличия угрозы НДВ в MS Word, то никакое СЗИ не спасет от нарушения целостности, достоверности информации при ее редактировании и сохранения через MS Word, т.к. по умолчанию у него все права на редактирование файлов. И при сохранении ему ни что не мешает что-то дописать, что-то убрать и испортить.

Так что никакое СЗИ не закроет данную НДВ.

Кто хочет построить реальную защиту - не пользуйтесь указанным выше советом ФСТЭК.
Лицензия на составление документации
Цитата
AlexG пишет:
т.е. документация - это технические средства защиты??
Я завел журнал учета СЗИ - и мне на это надо иметь лицензию?
Не смешите.

Повторюсь - Если журнал завели для себя - не надо.
Если для другой организации, где в договоре свои услуги позиционируете, как оказание услуг по защите информации, - тогда нужна лицензия. Если же просто методическая помощь в ... - тогда конечно не нужна лицензия.
Изменено: Антон Дмитриев - 05.11.2013 08:45:17
Лицензия на составление документации
Короче. Читайте 79 постановление (О лицензировании ТЗКИ) и информационной письмо ФСТЭК на счет него.

Разработка документации в области ЗИ - это ТЗИ
Для своих целей лицензия не нужна, для оказания услуг - нужна.
SAAS
Нужен договор поручения обработки ПДн в соответствии с ФЗ-152. При этом согласие берет только поручитель.

Вам нужно иметь лицензию на ТЗКИ, раз вы беретесь защищать не свои ПДн. Или заключать договор аутсорсинга с компанией, которая уже имеет данную лицензию.

Если из мероприятий по защите вы сделали только то, что написали, то будут крупные проблемы при ЛЮБОМ инциденте в разрезе ФЗ-152.
Страницы: 1