Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

SIEM ОТ MCAFEE УСПЕШНО ПРОШЛА СЕРТИФИКАЦИЮ ФСТЭК РОССИИ

01/04/2015

McAfee Security Information and Event Management (версия 9.3) успешно прошла сертификационные испытания, результатом которых стал сертификат соответствия №3353 (от 18 февраля 2015), выданный ФСТЭК России.

Реклама

Партнеры

Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: 1 2 3 4 5 6 7 8 9 10 11 ... 16 След.
Что делать если клиент отказывается подписать согласие на обработку ПДн?
Цитата
У клиентов мы берем меньше ПДн,...а предоставил я список того, что подавали в Роскомнадзор, а там и ПДн сотрудников попали, поэтому так много и получилось.
Так Вы и пишите в согласии для клиентов только те персональные данные, обработка которых необходима для заключения и выполнения договора с ними.
Перечень, который подан в Роскомнадзор является расширительным, т.е. с одной категории субъектов ПДн (работников своей фирмы) собирается один перечень ПДн, с клиентов - другой.
План проверок
Владимир, посмотрите на сайте прокуратуры субъекта Федерации. Там может быть план в виде Excel (по крайней мере, так у прокуратуры СПб и ЛО).
План проверок
Сергей С., спасибо за идею! На сайте нашего ТУ опубликован уже полный план проверок на 2013 год.
Теперь ждем план проверок ФСТЭК
Изменено: Kutyrs - 13.12.2012 10:21:05
Уведомление контролирующих органов, в связи с изменением в кадровой структуре
Цитата
Gosha пишет:
С месяц назад прошла проверка РКН на одном из наших предприятий. Уведомления они не подавали - мол у нас только трудовые отношения. После проверки естественно уведомление срочным образом составили и отослали. В акте проверки было написано замечание: предприятие обрабатывает ПДн кандидатов на трудоустройство - значит не подпадает под исключение, трудовых отношений нет, уведомление обязаны отослать.
Я конечно не знаю подробностей. но почему Вы не сослались на второе исключение из п.2 ст.22:
2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
....
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

Изменено: Kutyrs - 03.12.2012 09:14:11
Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Карбер, я не согласен с тем, что можно умолчать, "если будут ставить для веселья".
Т.е. умолчать-то конечно можно, но тогда аттестат соответствия уже действовать не будет, да и говорить о обеспечении безопасности ПДн будет нельзя.
Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Карбер, а я не согласен.
Судя по любимому адептами аттестации ИСПДн СТР-К, в аттестате соответствия должно быть сказано:
Цитата
При эксплуатации АС запрещается:
• вносить изменения в комплектность АС, которые могут снизить уровень защищенности информации;
• подключать к основным техническим средствам нештатные блоки и устройства;
• вносить изменения в состав, конструкцию, конфигурацию, размещение средств вычислительной техники;
Поэтому при проведении wi-fi на ПК, входящие в аттестованную ИСПДн, всю тягомотину с аттестацией придется проводить еще раз.
Аттестация ИСПДн
Цитата
Гость пишет:
Вот и делайте выводы....
это интерент версия СТР-к, закрытую версию цитировать не буду ( она почти не отличается касательно данных строк)
Делать выводы из чего? Из интернет-версии, что ли?
И насколько она коррелирует с действующей версией? По моим сведениям - практически не коррелирует, емнип даже нумерация другая. :D

И зачем тогда ФСТЭК мутил воду сначала с четырехкнижием, а потом с 58 приказом, раз по-Вашему СТР-К распространяется на защиту ПДн?
Изменено: Kutyrs - 27.12.2011 12:25:36
Аттестация ИСПДн
Цитата
Гость пишет:
Не корректно написал. Не определено словосочетание конфиденциальная информация, есть лишь конфиденциальность информации, но сути не меняет.
Меняет, причем кардинально.
149-ФЗ устанавливает определнные виды информации, а также требование, что
Цитата
Информация в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа).
Поэтому применять для определения информации, доступ к которой ограничен, указ № 188 неверно с юр. точки зрения.

Цитата
Гость пишет:
Требования СТР-к относятся к ПДн
Нет, требования СТР-К не относятся к ПДн, т.к. в этом случае состоялось бы решение ФСТЭК о распространении СТР-К на защиту ПДн. Однако ФСТЭК разработал отдельные документы по защите ПДн.

Цитата
в СТР-к написано что он ОБЯЗАТЕЛЕН для исполнения в гос органах.
В каком пункте это написано?
Аттестация ИСПДн
Цитата
Гость пишет:
информаиця делется на общедоступную и с ограниченным доступом, с ограниченным доступом делется на секретнуюи конфиденциальную.
Цитату не приведете?
емнип в 149-ФЗ вообще не употребляется термин "конфиденциальная информация".

Цитата
Maxim пишет:
ПД - информация конфиденциальная (Указ Президента Российской Федерации от 6 марта 1997 года № 188)
В соответствии с 149-ФЗ, категории информации устанавливаются только федеральными законами. В 149-ФЗ термина "конфиденциальная информация" нет, поэтому Ваша цепочка не имеет юр.силы.

Цитата
Maxim пишет:
СТР-к - обязательны для выполнения гос. учреждениями.
Не свосем так. Требования СТР-К распространяются на защиту государственных информационных ресурсов.
Изменено: Kutyrs - 26.12.2011 15:02:35
Согласие на обработку ПДн, Согласие на дисклеймерах
Цитата
Николай пишет:
я имел ввиду внутрипринятые анкеты для приема на работу, в каждой организации они есть, согласия как я счетаю письменного в установленной форме брать не нужно, а вот соответствовать ПП687 они должны? они может и типовые, но для конкретной организации
Утвердите форму этих анкет отдельным приказом, напишите инструкцию по их заполнению и включите в нее требуемые положения по персональным данным.
Обязательство о неразглашении
Цитата
incognitus пишет:
Вопрос такой: можем ли мы брать обязательство о неразглашении с сотрудников другого юр.лица при предоставлении доступа к нашей ИСПДн.
имхо: если с этим юр.лицом заключен договор, включающий обязательства этого юр.лица сохранять конфиденциальность ПДн, а также положение, что юр.лицо несет ответственность за действия своих работников - то Вам брать обязательство не нужно. Пусть этим озадачивается контрагент.
[ Закрыто] О пд НЕКОТОРЫЕ ВОПРОСЫ
емнип оно секретное...
Изменено: Kutyrs - 08.12.2011 09:41:44
Часто задаваемые вопросы
Напишу здесь: уважаемые админы, а Вам не кажется, что раздел "Часто задаваемые вопросы" безнадежно устарел? Ведь сейчас уже нет ни классов ИСПДн, ни жестких требований по аттестации, даже определение термина "персональные данные" изменилось.
Спамеры
Цитата
Сергей С. пишет:
Кто за обязательную регистрацию?
Я уже давно за обязательную регистрацию. И не раз предлагал ввести ее, но админы против.
Спамеры
Спамеры опять активно апают темы своим спамом.
Где же админы? :(
Спамеры
Спамеры все флудят и флудят.
Товарищи из администрации сайта, сделайте хоть что-нибудь!!!
Лицензия на составление документации
Да, читайте Положение о лицензировании ТЗКИ, там четко определено, что относится к ТЗКИ. Оформление организационных документов не притянуть ни под один пункт.
Помогите разобраться с юр. вопросом
Настя, этому спору уже больше двух лет. Копий по вопросу необходимости получения оператором лицензии на ТЗКИ в случае, если он самостоятельно принимает меры по защите ПДн, сломано немало.
Я также поддерживаю Ваше мнение, что лицензия по ТЗКИ не нужна в случае, если оператор не осуществляет предпринимательскую деятельность (т.е. деятельность, направленную на извлечение прибыли) по ТЗКИ. А ведь именно такие виды деятельности должны быть прописаны в учредительных документаз оператора. Единственное исключение - виды деятельности, обязательность лицензирования которых прописана специальными правовыми нормами.
Лучшие мировые практики по защите персональных данных
Сомневаюсь я однако в отношении Анголы, Бенина, Кабо-Верде, Сенегала и Туниса...
Лицензирование на проведение работ по ГТ. Оборудование для ГТ
Отвечаю:
Цитата
в каком документе предъявлены требования к оборудованию (их технические требования) для проведения работ по аттестации ГТ для АРМ и ВП
Есть соответствующие "Методики контроля", к ним приложением идет "Перечень технических характеристик измерительных приборов и устройств, используемых в работах по методикам". Если я правильно помню, для аттестации по ГТ они секретные, поэтому их просто так не получить, нужно запрашивать во ФСТЭК.

Цитата
А также порядок проведения работ для получении лицензий по ГТ
Постановление правительства РФ № 333 от 1995 года
Страницы: 1 2 3 4 5 6 7 8 9 10 11 ... 16 След.