Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Новая версия SIEM-системы КОМРАД: теперь с поддержкой масштабирования и без ограничений на производительность

22/11/2018

Группа компаний «Эшелон» представляет обновленную систему управления событиями информационной безопасности КОМРАД. Новая версия SIEM-системы поддерживает возможность масштабирования и включает ряд новых возможностей.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: 1 2 3 4 След.
[ Закрыто] форма заявления о согласии субъекта пдн на обработку персональных данных
Вы обрабатываете (передаете) данные на основании Федеральных законов, согласие субъекта не требуется.
dementeeva@blogspot.ru
о защите ПДн в мед учереждении., нужно ли защищать отделения где нет компов
Ренат, к сожалению, регуляторы придерживаются несколько иного мнения на этот счет: http://dementeeva.blogspot.com/2010/08/blog-post.html
dementeeva@blogspot.ru
Медицинские книжки
Цитата
Владимир пишет:
Уведомление не требуется если ПДн обрабатываются без средств автоматизации п. 2 smile8), статьи 22, ФЗ 152

Не требуется если неатоматизированная обработка ведется в соответствии "с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных"
Потому и спросила, с какой целью обрабатываются данные. Если в рамках ФЗ, то уведомление не требуется.
dementeeva@blogspot.ru
Медицинские книжки
Неавтоматизированная обработка.
Соберите согласия с субъектов, отправьте уведомление в Роскомадзор. Я так понимаю, если данные в журнал записываете, то они у вас остаются? Храните журнал в запираемом шкафу (или сейфе), назначте ответственных за хранение материальных носителей (журнала), напишите ему инструкцию. Продумайте охрану помещения (решетки, дверь, сигнализация и т.п.)
Кстати, с какой целью Вы оформляете эти медкнижки? Вы гос учреждение? Если такая обработка происходит наосновании ФЗ, то ведомление подавать не надо.
dementeeva@blogspot.ru
Еще раз про автоматизированную и неавтоматизированную обработку..
А вот это утверждение суда:
"В соответствии с пунктом «с» статьи 2 Конвенции о защите личности в связи с автоматизированной обработкой персональных данных, принятой Советом Европы 28 января 1981 г. (ратифицирована Федеральным законом от 19 декабря 2005 года № 160-ФЗ) «автоматизированная обработка» включает в себя следующие операции, осуществляемые полностью или частично с помощью автоматизированных средств: хранение данных, осуществление логических и/или арифметических операций с этими данными, их изменение, уничтожение, поиск или распространение."
Считаю *WOW* . В конвенции говорится об АВТОМАТИЧЕСКОЙ обработке. В 687м упоминается АВТОМАТИЗИРОВАННАЯ. Либо кто-то что-то напутал, либо так и должно быть. Но получается, что это разные понятия.
dementeeva@blogspot.ru
Еще раз про автоматизированную и неавтоматизированную обработку..
Вот (мое мнение) пример неавтоматизированной обработки:
врач готовит выписку пациенту - документ в формате .doc (или .odt - не важно) в свободной форме, распечатывает ее, отдает пациенту. Документ не удаляет, т.к. пациент может вернуться (не имея на руках выписку), чтобы была возможность просмотреть кратко описание его диагноза.
Можно привести аналогию с чисто бумажной обработкой: врач делает выписку от руки, с помощью копирки делает копию. Оригинал отдает пациенту, копию на всякий случай сохраняет.
dementeeva@blogspot.ru
Еще раз про автоматизированную и неавтоматизированную обработку..
Из указанного ранее решения суда:
"Суд считает указанные доводы несостоятельными, поскольку целью операций с персональными данными является не внесение и получение персональных данных в базу данных, а получение обработанной информации при использовании соответствующих программ."
Т.е. если пользователь данные просто вносит, затем просматривает или печатает, то это неавтоматизированная обработка.
А вот если по запросу пользователя информация как-то обрабатывается (считается зарплата, стаж - применяются какие-то логические операции) - то это уже автоматизированная.
Что ж, вроде все логично. Да и вообще пытаться 1С посчитать неавтоматизированной обработкой - это, конечно, наглость :)
dementeeva@blogspot.ru
Аттестация К1 и К2 по новому приказу ФСТЭК россии №58., Аттестация К1 и К2 по новому приказу ФСТЭК россии №58.
В 58м про аттестацию не говорится, по СТР-к аттестация для гос учреждений обязательна.
dementeeva@blogspot.ru
Какой пакет документов необходим?
Есть же письма Рособразования о защите ПДн. Покопайтесь в нете, да и на форуме ссылки должны быть. Там кое-что было, эти документы раньше минздравовских вышли.
dementeeva@blogspot.ru
Какой класс ИСПДн?, 1С 7.7 ЗиК
Наши мнения в данном вопросе сходятся. Однако, это не гарантирует их правильность. Смущают документы банкиров и операторов связи..
dementeeva@blogspot.ru
Какой класс ИСПДн?, 1С 7.7 ЗиК
Насчет того, что типовых нет в принципе - это да. Так что же в акте классификации сейчас класс не указывать вообще?
А потом на основании МУ определять класс? Опять же вопрос, выбирать из классов К1-К4 или использовать другие формулировки?

В документах операторов связи: "ИСПДнОС2с – специальная информационная система персональных данных Оператора связи, для которой нарушение заданных характеристик безопасности персональных данных, обрабатываемых в ней, может привести к негативным последствиям для субъектов персональных данных".

Т.е. формулировка К1-К4 для специальных ИСПДн не актуальна?
dementeeva@blogspot.ru
Какой класс ИСПДн?, 1С 7.7 ЗиК
Помогите, пожалуйста, разобраться! Мы тут с коллегами в блоге не можем прийти к согласию в вопросе классификации специальной ИСПДн. http://dementeeva.blogspot.com/2010/04/blog-post_26.html
Неужели действительно специальной ИСПДн не надо присваивать класс К1-К4, а просто указать "специальная" и все?
Я все по стринке класс на основании анализа угроз определяю...
Изменено: Анна - 28.04.2010 10:58:26
dementeeva@blogspot.ru
152 ФЗ и авторское право
Цитата
Владимир пишет:
некоторые его ПД (а именно, любые ПДн категории 3, т.е. позволяющие "идентифицировать автора")
Что Вы здесь имеете ввиду? адрес, паспортные данные...? или просто ФИО и должность (образование)?
Вот напишу я книгу и что весь мир получит доступ к моим паспортным данным? Не логично.

Общедоступными данные могут быть признаны только с ПИСЬМЕННОГО согласия субъекта. Некоторые авторы захотят публиковать свою краткую биографию, другие нет.
...вот если Вы эти данные получили бы из общедоступного источника...
Извините, если сумбурно.
dementeeva@blogspot.ru
[ Закрыто] Подскажите как создать телефонный справочник сотрудников, Как правильно создать телефонный справочник?
Почитайте статью 8 152-ФЗ. Мне кажется, в данном случае гораздо проще взять согласие с субъектов на включение их данных в общедоступный источник персональных данных. т.е. телефонный справочник. И, в принципе, не заморачиваться больше по этому поводу, если, конечно, субъекты не начнут отзывы согласия писать.
dementeeva@blogspot.ru
Закон об ОМС
Похоже не все так просто :(

http://dementeeva.blogspot.com/2010/11/blog-post_26.html
dementeeva@blogspot.ru
Проверки регуляторов
Ссылочку на решение в студию! :)
dementeeva@blogspot.ru
Застава, Ориентировочная стоимость
Спасибо. Да, похоже прдется звонить :)
dementeeva@blogspot.ru
Застава, Ориентировочная стоимость
Возникла необходимость расчитать стоимость реализации проекта по защите ПДн с применением Заставы. Не могу найти цены, даже ориентировочно.
Подскажите, плиз. Интересует Застава-офис и Застава-клиент. В принципе, цена на Застава-Сервер тоже не будет лишней.
dementeeva@blogspot.ru
Какие средства защиты для К1 и К3?
Цитата
Гость пишет:
Никаких К1 для мед систем - только К3. Одобрено ФСТЭК.

Обратите внимание, что речь идет об ИСПДн, не имеющих подключения к сетям общего пользования. Для многих мед учреждений это не актуально.
dementeeva@blogspot.ru
Для медучреждений НУЖНА ЛИЦЕНЗИЯ, официальная позиция ФСТЭК
Что-то прочитав это письмо, так и не поняла, где там написано, что мед учреждениям надо получать лицензию? Там вообще ничего не написано. Да, отдельные виды деятельности являются лицензируемыми. Да, порядок получения лицензии определен в 128-ФЗ. И что с того? По мне так это просто отписка. Ответ дан, суть его не понятна.
dementeeva@blogspot.ru
Страницы: 1 2 3 4 След.