Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Особенности аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции (работ, услуг), поставляемой по гособоронзаказу.

12/08/2019 

08 мая 2019 г. утверждены новые Правила аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции работ, услуг), поставляемой по государственному оборонному заказу (постановление Правительства Российской Федерации от 30 апреля 2019 г. № 548).

Новые Правила аккредитации кардинально меняют сложившуюся систему не только аккредитации, но и сертификации СМК предприятий, работающих в области государственного оборонного заказа.

Реклама





Партнеры





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: 1 2 След.
[ Закрыто] СТО БР ИББС, Вопросы для тех кто руководствуется отраслевыми стандартами в защите
Цитата
Сергей С. пишет:
Пробовал и отправил, не только уведомление но и Подтверждение соответствия. И классификация: Специальная ИСПДн-И. Вопросов не возникло.

номер в реестре операторов не подскажете?
можно в личную почту.
[ Закрыто] СТО БР ИББС, Вопросы для тех кто руководствуется отраслевыми стандартами в защите
Цитата
Сергей С. пишет:
Если вы приняли решение о введении СТО, то и классифицируйте по СТО, если нет - по документам регуляторов.
совет замечательный!

Вы уже пробовали заполнить (отправить) уведомление в РКН с классами ИСПДн-х?
и куда Вас послали?
Положение об оценке рисков.......
Цитата
Simon пишет:
"Риски, касающиеся ПДн" для Оператора определены Уголовным кодексом и КоАП.

Да ну? и по каким статья проходят "репутацонные риски" оператора ?
ПДн в доверенности, Как обезопасить ПДн в доверенности (остается при получении товара у поставщика)
Цитата
Гость пишет:
Доказательства: Статья 158 ГК РФ. Форма сделок 2. Сделка, которая может быть совершена устно, считается совершенной и в том случае, когда из поведения лица явствует его воля совершить сделку. 3. Молчание признается выражением воли совершить сделку в случаях, предусмотренных законом или соглашением сторон.

это если "своей волей в своём интересе"
в случае с доверенностью - имеем "волей работодателя в его интересе"
Организация защиты ПДн
Цитата
АдмИБ пишет:
Цитата
Гость пишет:

19) Декларировать соответствие или провести аттестационные (сертифи-кационные) испытания ИСПДн

для реализации сего пункта обязательно привлекать сторонние организации (лицензиатов ФСТЭКа) или можно самим написать бумажку "о соответствии", подписанную назначенной комиссии, и этого будет достаточно?

а вам действтельно нужно декларировать соответстве или проводить аттестацонные испытания?
что-то я сомневаюсь ...
Организация защиты ПДн
Цитата
Валентин пишет:
Цитата

Цитата так у медиков посмотрите. Они по модели угроз медицнскую информацию смогли под К3 подвести, а ФСТЭК согласовал.

Не совсем верно, модель угроз с указанием класса К3 (выкладывалась в виде pdf файла) согласующих подписей ФСТЭК не имеет. Адекватного обоснования почему же все таки К3 в модели нет.

http://www.minzdravsoc.ru/docs/mzsr/informatics/4/Modely_ugroz_MIS_LPU_2009_all.pdf
первая страница
Организация защиты ПДн
Цитата
Гость пишет:
должно выполнить
это (в лучшем случае) ваша рекомендация, но никак не обязанность "каждого Учреждения"

Цитата
Гость пишет:
А можно по подробней о способе получения К3 ?smile:) очень заманчиво!!
так у медиков посмотрите. Они по модели угроз медицнскую информацию смогли под К3 подвести, а ФСТЭК согласовал.
на форуме обсуждалось, ссылки были
Организация защиты ПДн
Цитата
ВоФка пишет:
С каких именно? их целый ворох!

положение об обработке персональных данных
(с учётом гл. 14 ТК РФ)
Защита ПДн в здравоохранении
Цитата
Гость пишет:
Гиблое дело, ни 1 МУЗ не потянет, я б даже сказал не станет пробовать потянуть защиту всей своей ИС по К1, никогда ибо бред...

ну, не потянет - так пусть не тянет.
нынче модно :) медиков под К3 загонять. Алгоритм известен и доступен
Сертификация ПО
Цитата
Гость пишет:
Существует бухгалтерская программа. Как разработчик может получить на нее сертификат ФСТЭК, что она может применяться при создании ИСПДН класса К3?

вопрос первый - нафига?
эта "бухгалтерская програма" является средством защиты информации?

в принципе, конечно, можно получить сертификат по НДВ,
процедура приерно опсана http://ispdn.ru/forum/index.php?PAGE_NAME=message&FID=1&TID=645&MID=7892#message7892

но ...
см. п.1
Мнение Рейнвокс
В ФЗ-152 написано
Цитата
4. Если международным договором Российской Федерации установлены иные правила, чем те, которые предусмотрены настоящим Федеральным законом, применяются правила международного договора.


а вот этот текст
Цитата
Гость пишет:
Вот именно: ИНЫЕ, если в ФЗ есть иные правила, то руководствуемся Евроконвенцией. А вы хотите сказать, что ФЗ с Евроконвенцией устанавливают различные правила?
не соответствует дейтвительности
Мнение Рейнвокс
Цитата
Гость пишет:
ст.4 п.1 Законодательство Российской Федерации в области персональных данных основывается на Конституции Российской Федерации и международных договорах Российской Федерации и состоит из настоящего Федерального ЗАКОНА и других определяющих случаи и особенности обработки персональных данных федеральных ЗАКОНОВ. (Евроконвенция - это не федеральный закон)

"корова рыжая по квитанции одна" (с)
Евроконвенция - это действительно не федеральный закон.
Это международный договор Российской Федерации.

ст.15 Конституции:
...
4. Общепризнанные принципы и нормы международного права и международные договоры Российской Федерации являются составной частью ее правовой системы. Если международным договором Российской Федерации установлены иные правила, чем предусмотренные законом, то применяются правила международного договора.


Эта логическая цепочка возражений не вызывает?
Мнение Рейнвокс
Цитата
Гость пишет:
Цитата Bars пишет: про "Евроконвенцию в нашем государстве"

есть Конституция (ст.15 п.4) есть Федеральный закон №160-ФЗ от 19.12.2005 есть 152-ФЗ, ст.4 п.1, ст.4 п.4

Евроконвенция - это не закон прямого действия. Если вы проверяющему на него будете ссылаться. Он вас пошлет - для него законодательная база - это законы нашей необъятной Родины. А они не должны противоречить Евроконвенции, если мы ее ратифицировали. Но в наших законах такого абзаца нет, на который ссылка в ответе.

читаем вслух 152-ФЗ
ст.4 п.1
Законодательство Российской Федерации в области персональных данных основывается на Конституции Российской Федерации и международных договорах Российской Федерации и состоит из настоящего Федерального закона и других определяющих случаи и особенности обработки персональных данных федеральных законов.

ст.4 п.4
Если международным договором Российской Федерации установлены иные правила, чем те, которые предусмотрены настоящим Федеральным законом, применяются правила международного договора.
Мнение Рейнвокс
про "Евроконвенцию в нашем государстве"

есть Конституция (ст.15 п.4)
есть Федеральный закон №160-ФЗ от 19.12.2005
есть 152-ФЗ, ст.4 п.1, ст.4 п.4
Зачем получать лицензию ФСТЭК России?
нуууу ....

Вопрос "Лицензирование ТЗКИ для собственных нужд" действительно неоднократно обсуждался
например, вот здесь: http://www.a-datum.ru/forum/viewtopic.php?f=11&t=5&start=54
и здесь на форуме

и как-то вывод напрашивается прямо противоположный тому, который делается в статье:
что "лицензирование по ТЗКИ для собственных нужд не требуется" если основным видом деятельности компании не является предоставлене услуг в этой (ТЗКИ) области.
автоматизированная обработка данных о своих работниках, ФЗ 152, ТК РФ и т.д.
http://dom.bankir.ru/showthread.php?t=98748

Цитата
В ходе проведения проверки Управлением Роскомнадзора по Иркутской области установлено, что формирование расчетного документа по заработной плате после подачи команды рассчитать (путем нажатия на соответствующую опцию специалистом банка) осуществляется автоматически системой «1С: Зарплата и управление персоналом», при этом она без участия человека обращается к своей базе данных, хранящих соответствующие персональные данные субъектов, систематизирует и выдает по установленному алгоритму результат расчета. Только после этого соответствующий специалист распечатывает расчетный документ, который в дальнейшем порождает юридические последствия для субъекта. Аналогичный процесс происходит при расчете и удержании налога на доходы физических лиц

т.е.
1) «1С: Зарплата и управление персоналом» - это автоматизированная обработка
2) ... расчётный документ, который в дальнейше порождает юридческие последствия.
автоматизированная обработка данных о своих работниках, ФЗ 152, ТК РФ и т.д.
Цитата
Гость пишет:
Рассматривается ситуация, когда юридические последствия наступаю в результате автоматизированной обработки, то есть грубо говоря - кнопочку нажал и работник обязан выплатить штраф

в ГК РФ написано про "... затрагивает интересы"
отчисления в пенсионный фонд (например) однозначно затрагивают интересы работника.
и у меня есть ощущение, что такие отчисления обрабатываются с помощью "автоматизированной обработки".
автоматизированная обработка данных о своих работниках, ФЗ 152, ТК РФ и т.д.
Здравствуйте.

Вопрос возник относительно автоматизированной обработки персональных данных своих работников.

ТК РФ (ст. 86 п.6) явно запрещает:
Цитата
при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения

152-ФЗ формально разрешает "исключительно автоматизированную обработку" при соблюдении определенных условий (ст. 16 Закона).
Цитата

1. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.

Усугубляет ситуацию статья 5 ТК РФ:
Цитата
В случае противоречий между настоящим Кодексом и иным федеральным законом, содержащим нормы трудового права, применяется настоящий Кодекс.
Если вновь принятый федеральный закон, содержащий нормы трудового права, противоречит настоящему Кодексу, то этот федеральный закон применяется при условии внесения соответствующих изменений в настоящий Кодекс.


т.е. даже формальное письменное согласие работника на автоматизированную обработку его персональных данных нас не спасёт - пункты соглашения, противоречащие законодательству, ничтожны и не имеют юридической силы.

"Кто виноват", "что делать" ?
Унчтожение ПДн, правовой аспект удаления ПДн
Цитата
Дмитрий пишет:
Если мне не изменяет память, откллонные заявки на кредит должны храниться в течении года.

я не нашёл указания о сроках отклоненных заявок (может искал плохо).
Если такие сроки есть, то Роскомнадзор на своём сайте вводит людей в заблуждение :(

Цитата
Дмитрий пишет:
P.S. А что, у него есть шансы оспорить? smile:)
ну, по крайней мере право оспорить у него есть всегда
СЗИ для Linux
в 4 предложениях задано существенно больше одного вопроса

Цитата
Гость пишет:
Что никто не знает что-ли толком ничего?
знают. не все, не всё, но кто-то что-то знает

Цитата

Хочу установить Linux.
ну ставь(те)

Цитата

На сколько реально использование этой системы для хранения ПД Медицинского характера?

ответ "на 70" устроит?

Цитата

Учитывая, что тогда необходим сертификат (который слетает при установке доп.пакетов, без которых жить становится тоже не так сладко).
кто Вам такое сказал - что нужен сертфикат? Вы понимаете какой именно сертификат нужен? (ответ: Если К1, то сертификат для СЗИ на отсутствие НДВ по 4 классу)
C чего Вы взяли что сертификат "слетает при установке доп пакетов" ?

Цитата

Самостоятельная сертификация настроенной системы Linux со всеми необходимыми пакетами видется мне нереальной!
вот здесь полностью согласен

посмотрите документы Минздравсоцразвития.
там по модели угроз медицинскую информацию на К3 вывели. И согласовали в ФСТЭК
Страницы: 1 2 След.