Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Особенности аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции (работ, услуг), поставляемой по гособоронзаказу.

12/08/2019 

08 мая 2019 г. утверждены новые Правила аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции работ, услуг), поставляемой по государственному оборонному заказу (постановление Правительства Российской Федерации от 30 апреля 2019 г. № 548).

Новые Правила аккредитации кардинально меняют сложившуюся систему не только аккредитации, но и сертификации СМК предприятий, работающих в области государственного оборонного заказа.

Реклама





Партнеры





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: 1 2 След.
ИС из многих переплетающихся БД нельзя разрывать на разные ИСПДн?
ИС из многих переплетающихся БД нельзя разрывать на разные ИСПДн?

Подзабыл.
То что нельзя этого делать, я помню, но вот не помню что при этом нарушается.
Что-то было в рекомендациях ФСТЭК про принципы организации ИСПДн.

Вопрос какой пункт РД(руководящих документов) нарушется, если разделить переплетающиеся БД на разные ИСПДн?
или грубо
Вопрос какой пункт РД нарушется, если разделить одну БД на разные ИСПДн?

Спасибо.
Изменено: Bronikus - 08.12.2010 09:26:31
[ Закрыто] Ксерокопия паспорта и ФЗ-152 (фото личной подписи), попытка воспользоваться правом субъекта ПДн о защите ПДн
Нет я так не думаю, фетиш это вообще не здешняя тема.
О причинах сбора информации я говорил выше. Как выяснилось это требования европейского авторизованного центра к сервисному центру магазина, а сервисный магазина по этой причине собирает эти сканы с клиентов.
Парадокс в том, что европейский центр признался, что это есть нарушение, и моё право отказать, что я и сделал. Вопрос со мной лично решился, все оКкей, но они и дальше собирают с клиентов скан/копии паспортов.

А вообще, зная как безалаберно наши компании обращаются с копиями паспортов, я стараюсь ни кому не давать скан (копию) своего паспорта, за исключением случаев, когда это требует законодательство. Тем более электронный скан (его украсть легче).

P.S. есть сайты и точки, где продаются базы таких сканов, а дальше судите сами.
Отказывается подписывать соглашение, Что делать?
Цитата
ГК РФ подразумевает согласие действием.
Не согласен,
во первых назовите соответсвующую статью ГК РФ.
А во вторых в соответсвии ФЗ-152 о ПДн, согласие дается в письменной форме.
Отказывается подписывать соглашение, Что делать?
Цитата
Я в своих бланках соглашений написал: "Я такой-то такой-то ... даю согласие на обработку своих ПДн ... обработка будет производиться автоматизированными и неавтоматизированными методами ...".

Коллега, а можете выслать полный бланк соглашения.
Вы в бланке перечисляете виды ПДн?
А цели обработки ПДн указываете?
Перечень действий оператора указываете?
А срок указываете?

Хотелось бы иметь при себе готовый "работающий" бланк.
Т.к. у себя я пока до этого еще не дошел.
Изменено: Bronikus - 03.11.2009 13:26:18
Отказывается подписывать соглашение, Что делать?
Цитата
Должны ли мы брать письменные согласия с работников

Статья 6. Условия обработки персональных данных
...
2. Согласия субъекта персональных данных, предусмотренного частью 1 настоящей статьи, не требуется в следующих случаях:
...2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;
...

В соответсвии с этой статьей НЕТ, не должны,
но, как уже было кем то сказано, для упрощения лучше в трудовой договор добавить соответсвующую строку о согласии работника на обработку ПДн, это точно не повредит.

ИМХО: Объясню, дело в том что здесь в этой статье имеется ввиду не весь перечень ПДн, а только те ПДн, которые указаны в договоре, т.е. если вы собираетесь обрабатывать другие ПДн, отличные от ПДн в договоре, то согласие уже ТРЕБУЕТСЯ.

Равно как согласие ТРЕБУЕТСЯ в любом случае, если например вы собираетесь обрабатывать СПЕЦИАЛЬНЫЕ ПДн (касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни). Статья 10. Специальные категории персональных данных.
Изменено: Bronikus - 03.11.2009 11:23:49
[ Закрыто] Сертифицированные средства для защиты ПД, На данном сайте приведен список сертифицированных средств для защиты ПД . А где ссылки на информацию (первоисточник ) ,номер и дата получения сертификата ?
Цитата
Не было, но при желании в некоторые модели (Cisco ISR 2800, 3800) можно встроить модули NME-RVPN или NME-RVPN ViPNet, в который поддерживается сертифицированная ФСБ крипта от Сигнал-Ком, Крипто-Про, Инфотекс.

Коллега не вводите в заблуждение. Нет у этих моделей соответсвующих сертификатов на криптосредства.

Недавно был на семинаре, где выступал представитель Инфотекс. Он дал чёткий ответ, что модули NME-RVPN можно вставлять в Cisco но шифровать к сожалению можно будет только информацию не защищаемую законом, т.к. используемые криптоалгоритмы не поддерживают GOST алгоритмы.
т.е. использование вышеперечисленных модулей для шифрации передаваемых данных для ИСПДн 1 и 2 класса будет не соответствовать требованиям законодательства РФ.


Отзываю это сообщение, т.к. поддерждивает ГОСТ. Но тогда остается вопрос почему мне так ответили на семинаре?
Изменено: Bronikus - 03.11.2009 11:56:25
Помогите разобраться с К3
Цитата
PS Сертифицированный персональный МЭ, позволяющий превратить АРМ или сервер в отдельную ИСПДн стоит порядка 1500 р.
А примеры не перечислите, какие вендоры?
Помогите разобраться с К3
Есть закупная система по обработке МТР, но в нем есть модули для отделов кадров, закупалось централизованно, поэтому о необходимости обрабатывать данные их сотрудников вопрос не стоит, это руководительское решение априори не обсуждается (это у нас так).
т.е. получается в данном случае (при условии 2-й категории) Класс = 2 по типовой системе, а если отнести к специальной, каков общий подход понижения класса при этом? в двух словах.
Помогите разобраться с К3
Цитата
работник - трудовые отношения согласно ТК - уведомлять не нужно, обоснование обработки есть.
А как быть если ИС обрабатывает ПДн работников группы компаний состоящие в отношениях как ДЗК (дочерне зависимые компании) головной. Объясню есть ИС, где обрабатываются скажем в совокупности 10 000 субъектов ПДн, группа ДЗК компаний состоит из нескольких десяток.
Цитата
К тому же, даже если у нас полтора миллиона сотрудников, Хнпд приводится к 3 значению. Много раз писалось об этом.
в моем примере выше тоже 3-й класс? И киньте прямую ссылку где об этом уже писалось.
Помогите разобраться с К3
Цитата
Дмитрий Левиев пишет:
Студент - это клиент, а не работник!!!
Извиняюсь коллега, а вчем разница между этими понятиями?
ведь и тот и другой это - субъект персональных данных.
вопрос к гос тайне, нужна ли лицензия
Спасибо за подробные разъяснения.

А если прикладники компании "Б" не только сопровождают, но и разрабатывают программный комплекс для компании "А" где и крутится ГТ, то тогда, я так понимаю, что лицензия для компании "Б" уже нужна?! Кроме этого нужно получить атестат соответсвия у лицинзиата на этот программный комплекс?!
Я правильно понимаю.

PS. ). с ПДн мне лично практически всё ясно, так как этот вопрос мной изучен, а с ГТ столкнулся впервые? Для меня это тёмный лес.
вопрос к гос тайне, нужна ли лицензия
Да, да? я это знаю, написал немного не так.
конечно же допуск к ГТ по третьей форме. Но допуск к ГТ по третьей форме получают работники (т.е. физлица), а лицензия получает организация (юрлицо).

Все таки в данном случае когда два работника компании "Б" (нашей компании), а именно прикладник и системщик уже получили допуск к ГТ по третьй форме. Но нужна ли при этом лицензия и какая?

я так понимаю есть лицензия на проведение работ с использованием ГТ, а есть лицензия на оказание услуг по защиты ГТ. Какая нужна компании "Б"?

И еще есть третий работник, который возможно будет заниматься защитой ГТ в своей компании, т.е. без оказания услуг сторонней компании, т.е. по сути будет заниматься АРМ-ами тех двух работников своей же компании - прикладника и системщика.
вопрос к гос тайне, нужна ли лицензия
Понимаю что это оффтоп, ну все таки кто знает ответьте на вопрос.

Проводятся совместные работы с компанией "А", мы Компания "Б" являемся её аутсорсинговой компанией по ИТ.
В компании "А" имеются режимные помещения с гос тайной (секретные сведения).
В компании "Б" (т.е. мы) есть работники обслужтвающие в том числе эти секрктные помещения:
1й сопровождение прикладных ИС на компьютерах компании "А", где обрабатвывается гос тайна.
2й сопровождение операционной системы и тех сопровождение компьютеров компании "А" где обрабатвывается гос тайна.
3й защита компов 1-ого и 2-ого по требованиям к гос тайне третьей формы.

Вопрос:
1. Нужна ли компании "Б" лицензия на проведение работ с использованием сведений, составляющих государственную тайну?
(Я так понял лицензия на проведение работ, таких как создание средств защиты информации, осуществление мероприятий и (или) оказанием услуг по защите государственной тайны нам НЕНУЖНА, т.к. будем своими силами, т.е. не оказываем сторонним такие услуги)
2. Какие из перечисленных выдов работ 1-ого или 2ого работника попадают под требования лицензирования?
[ Закрыто] Являются ли оценки студента его персональными данными?, Можно ли без разрешения студента выставлять его оценки на веб-сайт?
Цитата
Договор на подготовку специалиста заключается непосредственно со студентом, а не с его родителем или опекуном. Поэтому формально свои ПДн студент передает ВУЗу сам, во исполнение договора. К тому же в рамках договора согласие на обработку ПДн не требуется.
*WOW* , т.к. речь идет не о 6-й статье (согласие на обработку), а о 8-й статье, про ОБЩЕДОСТУПНЫЕ ПДн.
[ Закрыто] В чем разница между АС (автоматизированная система) и ИС (информационная система)
спасибо за ссылку.
[ Закрыто] В чем разница между АС (автоматизированная система) и ИС (информационная система)
Вопрос мой Был связан вот с чем,

Пишу регламент предоставления доступа и соответсвенно возник вопрос регламент к чему к АС или к ИС.
[ Закрыто] В чем разница между АС (автоматизированная система) и ИС (информационная система)
Цитата
Автоматизированная система - это совокупность программных и аппаратных средств.
Несогласен железно!!!
АС = СВТ+персонал
(т.е. средства вычислительной техники + персонал)
Изменено: Bronikus - 12.11.2009 09:42:18
[ Закрыто] В чем разница между АС (автоматизированная система) и ИС (информационная система)
В чем разница между АС (автоматизированная система) и ИС (информационная система)

Определения АС и ИС из ГОСТа я знаю, но меня интересует в чем отличие на практике в жизни.
Объясните на пальцах.

Цитата

Автоматизи́рованная систе́ма (АС) — система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций. Автоматизи́рованная систе́ма(АС) — это организованная совокупность средств, методов и мероприятий, используемых для регулярной обработки информации для решения задачи.

Если автоматизируемый процесс связан в основном с обработкой информации, то такая система называется автоматизированной информационной системой.

«информационная система — совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств».
Новости по теме сертификата ФСТЭК России для Eset Nod32
Ну и что, есть сертификат где появилась новая строчка о ИСПДн 1 класса, но это же совершенно не значит как заявляет ESET что у их продукт единственный и уникальный продукт (антивирусный) позволяющий обрабатывать ПД для 1 класса. Это же мягко говоря вранье. Вранье то что единственное.
Взять например с ходу Касперского или Др.Веба, их продукты исходя из имеющихся сертификатов тоже соотносится к классу ИСПД 1 класса. Я исходил из предъявленных классаов защищенности и уровней контроля от НДВ. Больше того продукты касперского например могут использоваться для более требовательных к конфедициальности ИС, вплоть до гос. тайны.
Вся разница только в том что очевидно сейчас в сертификат начали добавлять строку о классах ИСПД, но суть от этого не меняется.

З.Ы. Я не преверженец касперского.
Сертифицирована новая операционная среда для защиты персональных данных!
Цитата
Можете назвать процент соотношения обязательной сертификации и добровольного аудита безопасности кода в России?! Подскажу: 100 к 0.
Неправда, мы проводили добровольный аудит, долго пришлось доказывать о его необходимости, но зато именно после этого все сдвинулось с мертвой точки.
Так что уже 100 к 1. )))))
Страницы: 1 2 След.