Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Минюст обязал банки проводить пентесты и аудит кибербезопасности

13/08/2018

Банки обяжут соблюдать новые меры кибербезопасности, среди которых обязательными являются аудит информационной безопасности, различные тестирования на проникновение (пентесты), обязательная сертификация использованного программного обеспечения.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: 1 2 След.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Например, в Министерстве здравоохранения есть куча подведомственных организаций: ГБУ, ГКУ, автономные учреждения. Получается, что у них все ИСПДн - ГИС. Все ИСПДн должны пройти аттестацию. Т.к. все ИСПДн создаются, ради исполнения какого-то закона и защищаются по 17 приказу ФСТЭК.
Кстати, а кто проверяет, относится ИСПДн к ГИС? Только ФСТЭК?
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Уважаемые коллеги, можно ли объединить в одну ИСПДн такие программы:

- Сбербанк Бизнес Онлайн (отправляем реестры работников для перечисления зарплаты и реестры клиентов для перечисления субсидий, льгот)
- 1С Бухгалтерия (бухгалтерский учет, персональные данные работника)
- 1С Зарплата и Кадры (подготовка и сдача отчетности в ПФР, ФСС, ФНС, персонифицированный учет, персональные данные работника)
- СУФД (обмен документами с казначейством; персональные данные работника)
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Цитата
Василий Топор пишет:
Здравствуйте! Начальник распорядился сделать документы по ИСПДн, а откуда их взять, я не пойму, не из своей фантазии же! Зашёл сюда, нашел кучу каких-то постановлений, а конкретных форм документов не вижу что-то. Из чего должна состоять документальная база и где её скачать можно?
http://yrda-1970.narod.ru тут куча шаблонов
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Цитата
Ксения пишет:
Как определить уровень защищенности
http://lukatsky.blogspot.ru/2015/01/blog-post_16.html
Видео в помощь для определения уровня защищенности.

Тип актуальных угроз (скорей всего у вас 3 тип, но может быть и 2) и какие есть категории ПДн (медицинские заключения - это специальная категория). Т.е. получается или 2 УЗ или 3 УЗ...
Изменено: Владимир Путинков - 18.03.2015 14:53:28
[ Закрыто] Испдн и терминальный доступ
Я где-то недавно статью читал в стиле "мысли в слух" сейчас попробую вспомнить где...
...
Нашел! http://stulovaelena.blogspot.ru/2015/03/desktop-web.html
Надеюсь, поможет разобраться.
[ Закрыто] Договор между фирмой и банком по зарплатному проекту. Нет поручения.
Я немного тронут :oops: , что Вам интересно мое мнение. Для меня нет разницы в поручении и передаче ПДн, видимо я еще зеленый в защите ПДн. Передача или поручение, главное - закон требует включить в договоры с компаниями особые положения. Например, о неразглашении переданных персональных данных. Я так понял, что у Насти такого особого пункта нет в договоре с банком и из-за этого появилось предписание Роскомнадзора.
[ Закрыто] Договор между фирмой и банком по зарплатному проекту. Нет поручения.
В договоре по обслуживанию в рамках зарплатного проекта с использованием банковских карт должна быть определена обязанность банка соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке. Должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со ст. 19 ФЗ 152.

Убедите банк заключить доп соглашение или шлите РНК письмо о том, что банк отказывается заключать доп. соглашение и приложите к нему письмо от банка. И ищите другой банк, который заключит договор с нужными обязанностями по конфиденциальности.

Вот еще решение суда, там есть пару слов про зарплатный проект и договор
http://shahti5.ros.msudrf.ru/modules.php?name=sud_delo&op=sd&number=27695078&case_number=5-104/2013&delo_id=1500001

Дайте знать, как решили вопрос.
Как проводить внутреннюю проверку по обеспечению Защиты ПДн сотрудниками организации?, Как проводить внутреннюю проверку по обеспечению Защиты ПДн сотрудниками организации?
недавно наткнулся вот на это http://igoramikheev.podfm.ru/pdn/
"Семинары по вопросу внутреннего контроля обработки ПДн"
Изменено: Владимир Путинков - 30.07.2015 16:52:54
[ Закрыто] Логин и пароль являются ПДн?, Логин и пароль являются ПДн?
Добавлю ссылочку для развития сабжа http://www.itsec.pro/2015/05/242.html
блог Артема Агеева. Там желтым цветом выделено про логины и пароли аккаунтов и эл. почты, речь идет о пользователях яндекс/мэйл почты и соц сетей.
[ Закрыто] Логин и пароль являются ПДн?, Логин и пароль являются ПДн?
Андрей, в перечне персональных данных, обрабатываемых вашей организацией, есть ЛОГИН и ПАРОЛЬ? Я видел много перечней ПДн, но ни разу в этих списках не видел ЛОГИН и ПАРОЛЬ. ;)
[ Закрыто] Криптосредства
Цитата
Татьяна_Карелия пишет:
Я вношу данные в книгу Excel, затем печатаю и вклеиваю в журнал. Но хочется еще более ускорить процесс. Есть ли у кого опыт работы с программой, со встроенным календарем, чтобы могла выдавать на печать заполненные разграфленные листы журнала по заданной шапке?
Пример журнала есть, что вам нужно в итоге? Думаю, в exele все можно автоматизировать формулами, выпадающими списками.
А делопроизводство запрещает в электронном виде вести такие журналы? Хотя я думаю, тут без специального ПО не обойтись. У нас секретарь постоянно ноет, что ее достали все эти журналы - одна писанина. Или хотя бы в течении года вести журнал в экселе/ворде, а в конце года его распечатать, прошить и заверить?
[ Закрыто] Запрос Полиции
в соответствии с п. 4 ч. 1 ст. 13 Федерального закона от 07.02.2011 N 3-ФЗ "О полиции" (далее — Закон N 3-ФЗ) полиции для выполнения возложенных на нее обязанностей предоставлено право запрашивать и получать на безвозмездной основе по мотивированному запросу уполномоченных должностных лиц полиции от государственных и муниципальных органов, общественных объединений, организаций, должностных лиц и граждан сведения, справки, документы (их копии), иную необходимую информацию, в том числе персональные данные граждан, в связи с расследуемыми уголовными делами и находящимися в производстве делами об административных правонарушениях

Читать полностью: http://www.bashinform.ru/likbez/728806/#ixzz3hNFApTUt

Нам как-то пришел запрос МВД. Без печати, запрос подписан простым следователем, отправлен по факсу, с просьбой передать ПДн по факсу. Мы ответили, чтобы они указали в запросе номер уголовного дела, для каких целей нужна информация, а так же подписали запрос руководителем и заверили печатью.
[ Закрыто] Получение госуслуги
Они же добровольно (никто не имеет права их заставлять) оформляют это согласие, а если кто отказывается подписывать согласие, то это не повод для отказа в предоставлении государственной услуги!

А еще не забывайте - если ПДн субъекта получены у третьей стороны, то Субъект должен быть уведомлен.
[ Закрыто] Получение госуслуги
Мы с юристом тут посовещались и пришли к выводу, что обработка ПДн без согласия допускается в обоих случаях. Если это конечно не купля-продажа квартиры, собственником которой является 16летний. Согласие заявителя не требуется в соответствии с 210-ФЗ от 27 июля 2010 года. И в соответствии с пунктом 7 части 1 статьи 6 152 фз обработка 3 лиц допускается без их согласия при условии, что при этом не нарушаются права и свободы субъекта ПДн. Но на всякий случай, мы в обоих случаях берем согласия :)
Еще добавлю, что обработка специальной категории персональных данных осуществляется при наличии письменного согласия субъекта.
Изменено: Владимир Путинков - 01.04.2015 10:05:34
[ Закрыто] Акт уничтожения персональных данных
А при уничтожении ПДн, уведомление субъектам персональных данных об уничтожении их ПДн высылаете? Или этого делать не нужно?
У нас все ПДн сначала отправляются в архив на 5 лет, а потом уже архивные дела уничтожает комиссия.
[ Закрыто] Вопрос по классификации
В нашем Министерстве инвалидность считается состоянием здоровья. Министерство рекомендует своим подведомственным организациям, считать инвалидность состоянием здоровья. А еще к специальной категории относим следующее:
справка о предварительном мед. осмотре, сведения о беременности, зубопротезирование, судимость (справка о судимости), временная не трудоспособность...

http://rusrim.blogspot.ru/2013/01/blog-post_13.html (Арбитражная практика: Данные об инвалидности)
Запрос из военкомата, Правомочность запроса
То что закон 1998 года, вас не должно смущать.

Из консультанта, в качестве примера, в какие организации разрешена передача ПДн работников без согласия:
"в военные комиссариаты (абз. 4 п. 1 ст. 4 Федерального закона от 28.03.1998 N 53-ФЗ, пп. "г" п. 30, пп. "а" - "в", "д", "е" п. 32 Положения о воинском учете, утвержденного Постановлением Правительства РФ от 27.11.2006 N 719, абз. 5 п. 4 Разъяснений Роскомнадзора)"

Как мне кажется, запрос из военкомата должен содержать не только номер и дату закона, но и номер статьи и/или пункт, на основании которого делается запрос. А также состав (объем) персональных данных. Можно было бы выслать им ответ "предлагаем Вам уточнить основание (указ Президента, Постановления), где точно говорится, что нужно собирать такую информацию) "

По вашему вопросу не понятно, что конкретно им надо и для чего. Но не думаю, что они запрашивают незаконную инфу. Скорей всего запрос имеет законное основание и согласий на передачу третьему лицу от владельцев дипломов не потребуется.
[ Закрыто] С Новым Годом!
Спасибо большое!
Сергей, а куда вы пропали? Судя по http://ispdn.ru/forum/users/ вы наш непризнанный лидер и настоящая база знаний по обработке ПДн.
Локальные акты оператора, как исключить из документации утвержденные ранее акты оператора
Может проще будет отменить приказ и издать новый?
Если так не хотите, то можно посмотреть в консультанте, как у нас в РФ вносятся изменения в законе. Например, http://base.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=160085

т.е. издается приказ, в котором перечисляются все изменения. Комиссия состоящая из Юриста, Ответственного за защиту обработки ПДн, руководителя, секретаря утверждает изменения.

В https://www.google.ru/search?client=opera&q=%D0%BA%D0%B0%D0%BA+%D0%B2%D0%BD%D0%B5%D1%81%D­1%82%D0%B8+%D0%B8%D0%B7%D0%BC%D0%B5%D0%BD%D0%B5%D0%BD%D0%B8%­D1%8F+%D0%B2+%D0%BF%D1%80%D0%B8%D0%BA%D0%B0%D0%B7&sourceid=o­pera&ie=UTF-8&oe=UTF-8&gws_rd=ssl
Изменено: Владимир Путинков - 13.08.2015 16:48:29
[ Закрыто] Подключение ИСПДн к сетям общего пользования и(или) интернет
Надо чтобы на границе интернет-локальная сеть был сетевой экран с грамотно настроенным фильтром.
Страницы: 1 2 След.