Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Минюст обязал банки проводить пентесты и аудит кибербезопасности

13/08/2018

Банки обяжут соблюдать новые меры кибербезопасности, среди которых обязательными являются аудит информационной безопасности, различные тестирования на проникновение (пентесты), обязательная сертификация использованного программного обеспечения.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: 1 2 3 4 След.
[ Закрыто] форма заявления о согласии субъекта пдн на обработку персональных данных
Вы обрабатываете (передаете) данные на основании Федеральных законов, согласие субъекта не требуется.
dementeeva@blogspot.ru
о защите ПДн в мед учереждении., нужно ли защищать отделения где нет компов
Ренат, к сожалению, регуляторы придерживаются несколько иного мнения на этот счет: http://dementeeva.blogspot.com/2010/08/blog-post.html
dementeeva@blogspot.ru
Медицинские книжки
Цитата
Владимир пишет:
Уведомление не требуется если ПДн обрабатываются без средств автоматизации п. 2 smile8), статьи 22, ФЗ 152

Не требуется если неатоматизированная обработка ведется в соответствии "с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных"
Потому и спросила, с какой целью обрабатываются данные. Если в рамках ФЗ, то уведомление не требуется.
dementeeva@blogspot.ru
Медицинские книжки
Неавтоматизированная обработка.
Соберите согласия с субъектов, отправьте уведомление в Роскомадзор. Я так понимаю, если данные в журнал записываете, то они у вас остаются? Храните журнал в запираемом шкафу (или сейфе), назначте ответственных за хранение материальных носителей (журнала), напишите ему инструкцию. Продумайте охрану помещения (решетки, дверь, сигнализация и т.п.)
Кстати, с какой целью Вы оформляете эти медкнижки? Вы гос учреждение? Если такая обработка происходит наосновании ФЗ, то ведомление подавать не надо.
dementeeva@blogspot.ru
Еще раз про автоматизированную и неавтоматизированную обработку..
А вот это утверждение суда:
"В соответствии с пунктом «с» статьи 2 Конвенции о защите личности в связи с автоматизированной обработкой персональных данных, принятой Советом Европы 28 января 1981 г. (ратифицирована Федеральным законом от 19 декабря 2005 года № 160-ФЗ) «автоматизированная обработка» включает в себя следующие операции, осуществляемые полностью или частично с помощью автоматизированных средств: хранение данных, осуществление логических и/или арифметических операций с этими данными, их изменение, уничтожение, поиск или распространение."
Считаю *WOW* . В конвенции говорится об АВТОМАТИЧЕСКОЙ обработке. В 687м упоминается АВТОМАТИЗИРОВАННАЯ. Либо кто-то что-то напутал, либо так и должно быть. Но получается, что это разные понятия.
dementeeva@blogspot.ru
Еще раз про автоматизированную и неавтоматизированную обработку..
Вот (мое мнение) пример неавтоматизированной обработки:
врач готовит выписку пациенту - документ в формате .doc (или .odt - не важно) в свободной форме, распечатывает ее, отдает пациенту. Документ не удаляет, т.к. пациент может вернуться (не имея на руках выписку), чтобы была возможность просмотреть кратко описание его диагноза.
Можно привести аналогию с чисто бумажной обработкой: врач делает выписку от руки, с помощью копирки делает копию. Оригинал отдает пациенту, копию на всякий случай сохраняет.
dementeeva@blogspot.ru
Еще раз про автоматизированную и неавтоматизированную обработку..
Из указанного ранее решения суда:
"Суд считает указанные доводы несостоятельными, поскольку целью операций с персональными данными является не внесение и получение персональных данных в базу данных, а получение обработанной информации при использовании соответствующих программ."
Т.е. если пользователь данные просто вносит, затем просматривает или печатает, то это неавтоматизированная обработка.
А вот если по запросу пользователя информация как-то обрабатывается (считается зарплата, стаж - применяются какие-то логические операции) - то это уже автоматизированная.
Что ж, вроде все логично. Да и вообще пытаться 1С посчитать неавтоматизированной обработкой - это, конечно, наглость :)
dementeeva@blogspot.ru
Аттестация К1 и К2 по новому приказу ФСТЭК россии №58., Аттестация К1 и К2 по новому приказу ФСТЭК россии №58.
В 58м про аттестацию не говорится, по СТР-к аттестация для гос учреждений обязательна.
dementeeva@blogspot.ru
Какой пакет документов необходим?
Есть же письма Рособразования о защите ПДн. Покопайтесь в нете, да и на форуме ссылки должны быть. Там кое-что было, эти документы раньше минздравовских вышли.
dementeeva@blogspot.ru
Какой класс ИСПДн?, 1С 7.7 ЗиК
Наши мнения в данном вопросе сходятся. Однако, это не гарантирует их правильность. Смущают документы банкиров и операторов связи..
dementeeva@blogspot.ru
Какой класс ИСПДн?, 1С 7.7 ЗиК
Насчет того, что типовых нет в принципе - это да. Так что же в акте классификации сейчас класс не указывать вообще?
А потом на основании МУ определять класс? Опять же вопрос, выбирать из классов К1-К4 или использовать другие формулировки?

В документах операторов связи: "ИСПДнОС2с – специальная информационная система персональных данных Оператора связи, для которой нарушение заданных характеристик безопасности персональных данных, обрабатываемых в ней, может привести к негативным последствиям для субъектов персональных данных".

Т.е. формулировка К1-К4 для специальных ИСПДн не актуальна?
dementeeva@blogspot.ru
Какой класс ИСПДн?, 1С 7.7 ЗиК
Помогите, пожалуйста, разобраться! Мы тут с коллегами в блоге не можем прийти к согласию в вопросе классификации специальной ИСПДн. http://dementeeva.blogspot.com/2010/04/blog-post_26.html
Неужели действительно специальной ИСПДн не надо присваивать класс К1-К4, а просто указать "специальная" и все?
Я все по стринке класс на основании анализа угроз определяю...
Изменено: Анна - 28.04.2010 10:58:26
dementeeva@blogspot.ru
152 ФЗ и авторское право
Цитата
Владимир пишет:
некоторые его ПД (а именно, любые ПДн категории 3, т.е. позволяющие "идентифицировать автора")
Что Вы здесь имеете ввиду? адрес, паспортные данные...? или просто ФИО и должность (образование)?
Вот напишу я книгу и что весь мир получит доступ к моим паспортным данным? Не логично.

Общедоступными данные могут быть признаны только с ПИСЬМЕННОГО согласия субъекта. Некоторые авторы захотят публиковать свою краткую биографию, другие нет.
...вот если Вы эти данные получили бы из общедоступного источника...
Извините, если сумбурно.
dementeeva@blogspot.ru
[ Закрыто] Подскажите как создать телефонный справочник сотрудников, Как правильно создать телефонный справочник?
Почитайте статью 8 152-ФЗ. Мне кажется, в данном случае гораздо проще взять согласие с субъектов на включение их данных в общедоступный источник персональных данных. т.е. телефонный справочник. И, в принципе, не заморачиваться больше по этому поводу, если, конечно, субъекты не начнут отзывы согласия писать.
dementeeva@blogspot.ru
Закон об ОМС
Похоже не все так просто :(

http://dementeeva.blogspot.com/2010/11/blog-post_26.html
dementeeva@blogspot.ru
Проверки регуляторов
Ссылочку на решение в студию! :)
dementeeva@blogspot.ru
Застава, Ориентировочная стоимость
Спасибо. Да, похоже прдется звонить :)
dementeeva@blogspot.ru
Застава, Ориентировочная стоимость
Возникла необходимость расчитать стоимость реализации проекта по защите ПДн с применением Заставы. Не могу найти цены, даже ориентировочно.
Подскажите, плиз. Интересует Застава-офис и Застава-клиент. В принципе, цена на Застава-Сервер тоже не будет лишней.
dementeeva@blogspot.ru
Какие средства защиты для К1 и К3?
Цитата
Гость пишет:
Никаких К1 для мед систем - только К3. Одобрено ФСТЭК.

Обратите внимание, что речь идет об ИСПДн, не имеющих подключения к сетям общего пользования. Для многих мед учреждений это не актуально.
dementeeva@blogspot.ru
Для медучреждений НУЖНА ЛИЦЕНЗИЯ, официальная позиция ФСТЭК
Что-то прочитав это письмо, так и не поняла, где там написано, что мед учреждениям надо получать лицензию? Там вообще ничего не написано. Да, отдельные виды деятельности являются лицензируемыми. Да, порядок получения лицензии определен в 128-ФЗ. И что с того? По мне так это просто отписка. Ответ дан, суть его не понятна.
dementeeva@blogspot.ru
Страницы: 1 2 3 4 След.