Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Особенности аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции (работ, услуг), поставляемой по гособоронзаказу.

12/08/2019 

08 мая 2019 г. утверждены новые Правила аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции работ, услуг), поставляемой по государственному оборонному заказу (постановление Правительства Российской Федерации от 30 апреля 2019 г. № 548).

Новые Правила аккредитации кардинально меняют сложившуюся систему не только аккредитации, но и сертификации СМК предприятий, работающих в области государственного оборонного заказа.

Реклама





Партнеры





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: 1 2 След.
[ Закрыто] Криптография
Ну а по остальным вопросам есть мнения?
[ Закрыто] Криптография
Из фапси:
6. Для разработки и осуществления мероприятий по организации и обеспечению безопасности хранения, обработки и передачи с использованием СКЗИ конфиденциальной информации лицензиат ФАПСИ создает один или несколько органов криптографической защиты, о чем письменно уведомляет ФАПСИ.

Но обычная организация не лицензиат ФСБ же.ф
[ Закрыто] Криптография
Внезапно госструктура заставила использовать криптопро для передачи им информации по клиентам. Теперь мы должны выполнить 152 фапси и 378 фсб.
Возникают вопросы:
1. У кого должен быть орган криптографической защиты, под которым находимся мы, как пользователи скзи?
2. Я должен в старую модель угроз добавить актуальную угрозу, которую закрываю использованием скзи? Или могу не трогать ее?
3. Мы шифруем файлы и отправляем им на почту. Где заканчивается наша испдн и начинается их?
4 мы сами должны определить класс скзи? А если они просто сказали, купите кс2 и все, то нам надо как-то подогнать выбор класса под их требования?
5. Как выбирать по 378 класс? В 10 пункте и далее описано, в каких случаях какой класс выбирать, в зависимости от угроз. Я должен выбрать нужные, документально закрепить и на основании этого выбрать класс? А в пункте 18 написано, что когда актуальны угрозы 3го типа, нужно использовать скзи 1 класса. В акте классификации испдн, где я определил уровень защищенности, указано, что актуальны угрозы 3го типа. Я могу проигнорировать 10-14 пункт приказа и выбрать КС1 на основании актуальных угроз 3го типа?
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Еще по шестому пункту. Есть статья 18 пункт 2
2. Если предоставление персональных данных является обязательным в соответствии с федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
По шестому пункту: а не попадает ли обработка ПД учеников под статью 6 152 ФЗ?
2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

И обработка то ученика идет не только для получения аттестата, но и для ведения журнала там, например. Т.е. без обработки школьник и дня проучится не может?

А по четвертому вопросу: это, если не ошибаюсь, общедоступные ПД. Требуют отдельного соглашения.

По второму вопросу: еще мб криптография есть для отчетности у бухгалтеров. И неавтоматизирванную обработку не стоит забывать.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
По-моему, к таким приказам следует еще и инструкции утверждать. И уже по инструкции обязанности видно.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Цитата
Артур пишет:
Ну вроде да. Почитать документацию на КриптоПро)

А про это:
Решить вопрос с ОКЗ можно, и как его решить написано в самом приказе. Творчески надо подходить к решению задачи, как говаривали мои бывшие командиры ))).
Видимо назначить ответственного за СКЗИ, физ. лицо.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Ну вроде да. Почитать документация на КриптоПро)

А про это:
Решить вопрос с ОКЗ можно, и как его решить написано в самом приказе. Творчески надо подходить к решению задачи, как говаривали мои бывшие командиры ))).
Видимо назначить ответственного за СКЗИ, физ. лицо.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Не понял вот это:
То же самое относится и к 313 Постановлению. Внимательно почитайте 28 видов работ и посмотрите, сможете ли какие-то из них вы выполнять, при наличии у вас СКЗИ, без лицензии )))

В первом пункте сказано, что 313 не распространяется на случаи, когда шифровальные средства используются для внутренних нужд предприятия. Или я не так понял данный пункт?
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Ну ПП №313 от 16.04.2012 пункт №1 говорит о том, что нам не нужно получать лицензию. (Простое юрлицо, используемое СКЗИ для шифрования и ЭП).
Не написано, что если есть закрытые ключи, то нужна лицензия. Да и лицензии вообще расчитаны на оказание услуг в области криптографии.

Далее читаем 152 ФАПСИ, пункт 6:
Для разработки и осуществления мероприятий по организации и обеспечению безопасности хранения, обработки и передачи с использованием СКЗИ конфиденциальной информации лицензиат ФАПСИ создает один или несколько органов криптографической защиты <*>, о чем письменно уведомляет ФАПСИ.
--------------------------------
<*> Органом криптографической защиты может быть организация, структурное подразделение организации - лицензиата ФАПСИ, обладателя конфиденциальной информации. Функции органа криптографической защиты могут быть возложены на физическое лицо.

Ну мы не лицензиаты ФАПСИ, значит не создаем.


Ну а про вопрос: как можно обратиться туда, чего нет? Не знаю, но явно из этого не следует, что мы должны что-то создавать. Тем более, что будут возникать противоречия с ПП 313 и 152 ФАПСИ.


Мб ОКЗ в удостоверяющем центре, что выдал сертификат?
Изменено: Артур - 25.11.2014 18:06:46
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Не, я знаю, что такое ОКЗ.
В 152 ФАПСИ написано, что ОКЗ создается в лицензиатах ФАПСИ.

Мы используем ЭЦП для себя, для электронной отчетности. Никакая лицензия ФСБ нам не нужна. Судя по 152 приказу нам не нужен ОКЗ, т.к. мы не лицензиаты. Но мы являемся пользователями СКЗИ, а пользователь должен, например, обращаться в ОКЗ в случае компрометации ключей. Как обращаться в ОКЗ, если его нет?
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Спасибо.
Допустим у нас первый вариант. 152 ФАПСИ обязывает нас, как пользователей СКЗИ, взаимодействовать с ОКЗ (пункт 20).
Но ОКЗ создается только у лицензиатов ФСТЭК (пункт 6).
Дак вот, с каким это ОКЗ надо взаимодействовать?
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Например, есть у нас клиенты. Их ПДн мы обрабатываем внутри организации без СКЗИ ( ИСПДн "Клиенты" ) , все норм.
Но тут, внезапно, какой-нибудь росфинмониторинг обязует нас передавать ему ПД некоторых клиентов по электронной почте, предварительно зашифровав их.

Внимание, вопрос: мы используем СКЗИ в ИСПДн "Клиенты"? Или передача к нашей ИСПДн не относится? Эта передача относится к пунтку 21 Приказа ФСТЭК ЗИС.3?

И другой вопрос: кто долже составить модель нарушителя и выбрать класс СКЗИ?
Изменено: Артур - 21.11.2014 15:25:26
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Есть ли какая-то статья, описывающая, что нужно сделать в организационном плане согласно ПКЗ-2005, 152 ФАПСИ и ФСБ №378 при использовании СКЗИ для защиты ПДн? (Шифрование и ЭП)
Хотелось бы статью в виде: мера - основание (№ пункта).
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Если для передачи пдн между офисами будет использоваться VPN, то необходимо руководствоваться Приказом ФСБ от 10 июля 2014 г. N 378 и 152 приказом ФАПСИ?
А если для отправки информации в гос учреждения файлы с ПД подписываются и шифруются, то каким надо пользоваться нормативным актом?
Использование сертифицированных СЗИ
Цитата
Сергей С. пишет:
Есть обычная винда со встроенными средствами защиты от НСД. Есть установки на блокировку после трехкратной ошибки ввода пароля и его смены раз в месяц.Есть оргмеры - политика (правила, инструкция или как угодно названая бумажка) применения паролей: 8 (10,99) символов, верх/низ, цифры буквы спецсимволы; прописан периодический контроль логов на попытки входа. Пытаетесь подобрать пароль, естественно не получилось. Оформляем Акт, что встроенные средства защиты винды соответствуют вашим требованиям к СЗИ от НСД.
Ну с НСД понятно. А вот с МЭ и Антивирусами?)
Использование сертифицированных СЗИ
Типа мы пытались заразить АРМ, несанкционировано отключить СЗИ, все успешно прошло?
Организация обработки ПДн в группе компаний
Цитата
Андрей пишет:
Тут нет и не может быть никакого поручения обработки. Вам придется разграничить доступ к этим ИСПДн. Либо средствами 1С, если такое возможно. Либо физически разносить ИСПДн. Фирмы не должны видеть ПДн не своих сотрудников.
Я говорю не про испдн "работники", а про "клиенты".
И все фирмы должны видеть всех клиентов. Клиент как бы "общий" на всех.
Организация обработки ПДн в группе компаний
Сергей С.
Есть фирма1, 2, 3. У Фирмы1 Сервак, сетевое оборудование и компы. У Фирм 2, 3 только ПК. Оборудование всех трех фирм объединено в одну сеть.
БД 1С "Клиенты" на серваке Фирмы1.
У каждой Фирмы есть разные клиенты, чьи ПД они вбивают в одну БД 1С. Любая фирма может видеть всех клиентов.
Получается Фирма2 поручает обработку Фирме 1 и Фирма 3 поручает обработку Фирме 1? Тогда на основании чего Фирма 3 видит клиентов Фирмы 2?


И да, получается 3 разных ИСПДн? Если сетевое оборудование у Фирмы 1, то у фирмы 2 просто несколько компов не объеденных в сеть? На модель угроз тоже разделение плохо сказывается.
Изменено: Артур - 28.11.2014 11:26:25
Организация обработки ПДн в группе компаний
В продолжении вопроса из шапки:
1) а если в ГК общая БД 1С с клиентами?
2) Если БД с работниками разные, но крутятся на одном физическом сервере? А если на одном физическом сервере, но разным виртуальных?

Кто тогда владелец ИС, оператор? На основании чего остальные ООО имеют доступ к ИСПДн?
Страницы: 1 2 След.