Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

GDPR: Новые правила обработки персональных данных в EU

15/06/2018

Все слышали о General Data Protection Regulation (GDPR) (Regulation (EU) 2016/679), который вступил в силу 25 мая 2018 года. Штрафы большие и придётся соответствовать. Как и любой официальный документ, он написан сухо и может трактоваться по-разному.

Реклама

Партнеры

Лаборатория кибербезопасности







Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: 1
Об исполнении требований по защите.
Насчёт штор: можно повернуть монитор к стене, а не к окну и всё.
[ Закрыто] Оценка эффективности принимаемых мер
Всё зависит от вас самих и от того, что конкретно вы ходите получить на выходе. Можете даже по стандартам ЦБ РФ или COBIT провести аудит.
Определение типа угроз
AlexG, нет, но МУ служит для корректировки и правильной выборки нужного типа угроз. Просто формально достаточно личного мнения комиссии. Ну и я не совсем верно понял первое сообщение, кажется ;)

Резюмирую: по ПП 1119 получаем следующее:
1) Угрозы 1 типа: если в ОС могут быть НДВ (пиратский Windows, Linux "несистемной" сборки)
2) Угрозы 2 типа: если в используемом ПО могут быть НДВ (пиратская 1С, Офис, самописный софт)
3) Угрозы 3 типа: если всё лицензионное, а ещё лучше - сертифицированное, а доп. софта (недоверенного) нет.
Я привёл наиболее яркие примеры... Конечно, юр. лицам нелья пользоваться пиратками)) Дополните или исправьте :)
Определение типа угроз
Я бы на Вашем месте определял уровень защищённости по ПП 1119. А вот наборку мер по защите уже по МУ.
[ Закрыто] Аналитическое обоснование необходимости создания СЗИ, Пожалуйста, помогите.
Это было давно и неправда ©

А так, данный документ должен содержать:
1) «Перечень автоматизированных рабочих мест, участвующих в обработке персональных данных», в котором отражена информация о конфигурации АРМ, классе обрабатываемых данных, используемом программном обеспечении, должностях и фамилиях пользователей, имеющих доступ к АРМ, месте размещения АРМ;
2) «Перечень программного обеспечения, участвующего в обработке персональных данных», в котором отражена информация о наименовании программного обеспечения, поставщике, классе обрабатываемых данных, назначении;
3) «Характеристика ЛВС», включающий структурную схему ЛВС;
4) «Перечень каналов связи», включающий наименование канала связи и провайдера;
5) Перечень персональных данных, обрабатываемых в учреждении», содержащий информацию о наименовании и классе обрабатываемых данных;
6) «Характеристика базы данных», включающий наименование и описание принципиальных особенностей базы данных;
7) «Принципиальная схема обмена персональными данными внутри учреждения», включающий информацию о движении бумажных и электронных документов, содержащих персональные данные различных типов между подразделениями учреждения;
8) «Принципиальная схема обмена персональными данными с внешней средой», включающий информацию о поступлении и выбытии бумажных и электронных документов, содержащих персональные данные различных типов в и из учреждения;
9) Описание системы обеспечения безопасности каждого объекта, отражающих сведения о системах контроля и управления доступом, охранной сигнализации, системе видеонаблюдения, системе пожаротушения;
10) Заключение о соответствии существующих технических средств системы обеспечения безопасности требованиям нормативных документов и задачам физической защиты объекта;
11) Технико-экономический анализ технических средств системы обеспечения безопасности.
12) «Перечень ответственных за информационную безопасность», включающий информацию о фамилии, имени, отчестве, должности и зоне ответственности таких лиц;
13) Обеспечение безопасности информации на стадии проектирования и создания системы защиты информации, на стадии эксплуатации АСЗИ;
14) Организация контроля обеспечения безопасности информации в АСЗИ.


Министерство обороны Российской Федерации (Минобороны России) Приложение № 4 к Руководству (п. ) (проект документа)

Аналитическое обоснования необходимости создания СЗПДн должно содержать:
характеристику и организационную структуру ИСПДн;
характеристику комплекса основных и вспомогательных технических средств, программного обеспечения, режимов работы, технологического процесса обработки информации;
возможные каналы утечки информации и перечень мероприятий по их устранению и ограничению;
перечень предлагаемых к использованию сертифицированных СрЗИ;
обоснование необходимости привлечения специализированных организаций, имеющих необходимые лицензии на право проведения работ по защите информации;
оценку материальных, трудовых и финансовых затрат на разработку и внедрение СЗПДн;
ориентировочные сроки разработки и внедрения СЗПДн;
перечень мероприятий по обеспечению конфиденциальности информации на стадии проектирования ИСПДн.

А лучше укажите, на основании какого документа или чьего требования Вам потребовалось это обоснование?
[ Закрыто] Акт уничтожения персональных данных
В нашей практике все происходит следующим образом:
1) Издаётся приказ "О назначении комиссии по уничтожению материальных носителей информации содержащих персональные данные".
2) Приложением к нему служит акт уничтожения этих самых мат. носителей.
3) Когда приходит запрос, регистрируем его в соответствующем журнале.
4) Уничтожаем с актом и подписями комиссии.
Едина ИСПДн для нескольких юр. лиц.
В теории идея такова:
1) Подписываем договор (или доп. соглашение о конфиденциальности) со всеми остальными юр. лицами.
2) Собираем согласие с субъектов ПДн на передачу ПДн третьей стороне (с указанием целей обработки для каждого юр. лица).
3) Составляем список допущенных к ИСПДн (утверждённый юр. лицом, которое инициирует всё это), куда вносим всех допущенных, где прописываем не только должность и Ф.И.О, но и место работы.
Аттестация АРМ с MacOS
Когда MacOS получит сертификаты ФСБ и ФСТЭК, а разработчики СЗИ сделают порт на эту ОС, то тогда можно. Без СЗИ, даже если в MacOS будут встроены средства СЗИ, которые, например, в Windows отсутствуют и требуют доп. софт, то это тоже не поможет, т.к. ФСБ, например, в принципе не сертифицирует иностранные разработки.
[ Закрыто] Документация по ИСПДН
Юрий, спасибо за полный список. Как раз искал подобный. А вот если бы к каждому документу прилагалась информация, на основе какого НПА он делается - вообще бы цены ему не было ;)
Страницы: 1