Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Особенности аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции (работ, услуг), поставляемой по гособоронзаказу.

12/08/2019 

08 мая 2019 г. утверждены новые Правила аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции работ, услуг), поставляемой по государственному оборонному заказу (постановление Правительства Российской Федерации от 30 апреля 2019 г. № 548).

Новые Правила аккредитации кардинально меняют сложившуюся систему не только аккредитации, но и сертификации СМК предприятий, работающих в области государственного оборонного заказа.

Реклама





Партнеры





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: Пред. 1 2 3 4 5 6 7 8 След.
[ Закрыто] Снова о деперсонализации!, Требуется мнение регуляторов и юристов.
2 Anton (Гость)
Пишет:

"Данное определение полностью неправильно. По обезличенным ПДн нельзя определить принадлежность к конкретному субъекту! Значит она не может относится к определённому лицу. То что Вы написали - это ПДн. Например, ИНН - по вашему определению не ПДн, однако относится к определённому субъекту. То же - аналих ДНК.

Обезличенные ПДн - это не любая информация, а результат действий над ПДн!"

Вот тут Вы уважаемый как раз и не правы !!!

Возьмите фотографию НОСА
По этому НОСУ Вы субъекта не определите но..
Утверждать что он кому то не принадлежит... извините это к Гоголю...

Так что Определение логически соответствует моему и не только посту...
[ Закрыто] Снова о деперсонализации!, Требуется мнение регуляторов и юристов.
2 Иоанн

Это много раз уже обсуждалось...

Хоть бы определили четко результат обезличивания какой ?
А уж как его добиться ума хватит...
[ Закрыто] Снова о деперсонализации!, Требуется мнение регуляторов и юристов.
Определение "Обезличенные ПДн"
http://www.wikisec.ru/index.php?title=Обезличенные_персональные_данные

Обезличенные персональные данные - любая информация, относящаяся к определенному но не определяемому на основании такой информации физическому лицу (субъекту персональных данных).

Добавил бы "в рамках ИСПДн" но боюсь споров поднимется новая волна...
Вообще "границы" действия терминов не определены.
А в рамках вселенной любые Обезличенные ПДн можно привязать к физ. лицу.

Источник: Отсутствует, термин определялся логически исходя из определений:

* Персональные данные;
* Обезличивание персональных данных.
Изменено: Евгений Родыгин - 12.11.2009 17:50:49
Обезличивание ПДн !!!, Новое в старом
Определение "Обезличенные ПДн"
http://www.wikisec.ru/index.php?title=Обезличенные_персональные_данные

Обезличенные персональные данные - любая информация, относящаяся к определенному но не определяемому на основании такой информации физическому лицу (субъекту персональных данных).

Добавил бы "в рамках ИСПДн" но боюсь споров поднимется новая волна...
Вообще "границы" действия терминов не определены.
А в рамках вселенной любые Обезличенные ПДн можно привязать к физ. лицу.

Источник: Отсутствует, термин определялся логически исходя из определений:

* Персональные данные;
* Обезличивание персональных данных.
Обезличивание ПДн !!!, Новое в старом
уже хочу купить эту муть !
Обезличивание ПДн !!!, Новое в старом
Окей...
Задача - обезличить ПДн в рамках ИСПДн

Решение 1 (трогаем ПДн и не трогаем функционал):
а. Удалить ПДн так чтобы нельзя было определить физ. лицо (представить доказательство)
б. Не трогать функционал ИСПДн
в. Зафиксировать функционал и ввод новых ПДн которые с этим функционалом позволяют определять физ лицо

Решение 2 (трогаем ПДн и трогаем функционал):
а. Рассмотреть вопрос об удалении ПДн в связке с ограничением функционала (представить доказательство)
б. Зафиксировать функционал и ввод новых ПДн которые с этим функционалом позволяют определять физ лицо

Решение 3 (не трогаем ПДн и трогаем функционал):
а. Рассмотреть вопрос об удалении функционала не трогая ПДн (представить доказательство)
б. Зафиксировать функционал и ввод новых ПДн которые с этим функционалом позволяют определять физ лицо

Примечание:
При передаче ПДн за границы ИСПДн - убедиться, что в целевой ИСПДн полученные ими ПДн так же не позволят определять физ. лицо...

Наиболее практичные варианты 1 и 2
3-й судя по всему пока Экзотика...

P.S. "Гости" на форуме пошли какие то озабоченные...не так ли ?!
Изменено: Евгений Родыгин - 12.11.2009 10:52:55
Обезличивание ПДн !!!, Новое в старом
Уважаемые коллеги...
Хочу немного разъяснить суть первого поста...

Сказать, что я хотел тем самым показать до каких измышлений можно дойти в условиях нечетких формулировок документов было бы не верно - и так все про это знают.

Сказать, что предлагаю подход или конкретные решения - очень далеко.
На самом деле хотел предложить это направление мыслей для обсуждения... Без попытки кому то что то доказать... Игры разума так сказать... чистая теория...

Изучение множества материалов привело меня к мысли, что в вопросе обезличивания ПДн есть некоторые моменты:
- под обезличиванием ПДн понимается только удаление части ПДн которая "по мнению" оператора позволяла определить принадлежность к физ. лицу.
- не ясен вопрос с определяемостью и вообще с границами действия терминов: Если термин "определяемость" относится исключительно к ИСПДн, то возможно доказательство существования такой ИСПДн, в которой нет механизмов определения физ. лица не из-за отсутствия части ПДн а из за отсутствия механизмов для определения.

В таком случае возникает парадокс:
в ИСПДн есть ПДн категории 1 но при этом в рамках этой же ИСПДн эти ПДн - обезличенные...
Обезличивание ПДн !!!, Новое в старом
О конкретном примере еще нужно думать...

Но "Обезличивание можно добиться только одним способом - удалить ID smile;)"
- вот единственный способ, который рассматривается
- но возможно есть другие способы...

Есть в ИСПДн БД с ПДн вполне конкретными...
Вопрос - будет ли считаться обезличиванием в ИСПДн состояние ИСПДн при котором в ИСПДн есть только одна функция - посчитать количество ПДн. И больше никаких функций нет...
Обезличивание ПДн !!!, Новое в старом
2 Анатолий
"Вы можете предложить конкретно? Остановить работу организации, закрыть ее и выгнать народ по домам?"
- простите это Вы предложили !

Вы не вполне поняли о чем я пишу...
Вот пример:
Есть ИСПДн с БД
В БД ПДн : ФИО и т.д.
В ИСПДн нет механизмов сопоставления ПДн с конкретным лицом...
Таким образом данные обезличенные по невозможности выполнить действие по сопоставлению ПДн и конкретного физ лица !
Обезличивание ПДн !!!, Новое в старом
Уважаемые коллеги...

Меня немного осенило при наполнении Энциклопедии ИБ (wikisec.ru) ;-)
Народ всегда воспринимал процесс обезличивания как удаление из ПДн ФИО и другие действия с ПДн !!!

Но: “Обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.”

Получается, что Обезличивание это: Действия – которые не позволяют выполнить Действие !!!

Оказывается, для того чтобы обезличить ПДн не обязательно что то делать непосредственно с ПДн !!! Более того не обязательно нужно что то делать с ИСПДн !!!

Утрирую: Выключить свет в читальном зале – обезличивание ПДн !!!

Другими словами: Обезличенные ПДн это не какой то набор ПДн это состояние ПДн !!!
В результате обезличивания ПДн получаются не "обезличенные ПДн" - получается состояние ПДн при котором их нельзя отнести к субъекту !!!

вот представьте.... есть конвеер где рабочий собирает из 3х деталей изделие...
собранное изделие - определение субъекта
есть способ не дать собрать изделие - убрать одну деталь из 3х (обезличить)

но есть и другие способы !!! - остановить конвеер, выгнать рабочего и т.п.

Использование алгоритма обезличивания как алгоритма, который ломает алгоритм определения субъекта - это обезличивание... вот я о чем...
Изменено: Евгений Родыгин - 10.11.2009 23:43:57
Похоже, час Х переносится до 2012 года?..., Минкомсвязи на пятничном совещании приняло решение о предоставлении до 2012 года отсрочки российским компаниям, деятельность которых подпадает под закон " О персональных данных "
Продление сертификата - не такая уж проблема...
Основные документы которые должны быть в каждой организации?, Документальное регламентирование работы
Звучало, но не обсуждалось...
Основные документы которые должны быть в каждой организации?, Документальное регламентирование работы
1. Наименование: "Модель угроз безопасности ПДн".
2. Условие для подготовки документа: документ подготавливается в случае необходимости обосновать отклонения от требований, предъявляемых к типовым ИСПДн. еще ?
3. Документ, регламентирующий появление: "Приказ Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации, Министерства информационных технологий и связи Российской Федерации от 13.02.2008 г. №55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных»".
4. Содержание:
- ***
- ***
- ***
5. Ссылка на пример: ***
6. Проверяет: Роскомнадзор, ФСТЭК, ФСБ
Основные документы которые должны быть в каждой организации?, Документальное регламентирование работы
Ну попробуем ?! Присоединяйтесь коллеги...

1. Наименование: "Акт классификации ИСПДн".
2. Условие для подготовки документа: документ подготавливается во всех случаях.
3. Документ, регламентирующий появление: "Постановление Правительства Российской Федерации от 17.11.2007 г. №781: «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»".
4. Содержание:
- ***
- ***
- ***
5. Ссылка на пример: ***
6. Проверяет: Роскомнадзор, ФСТЭК, ФСБ
Изменено: Евгений Родыгин - 08.11.2009 20:43:39
Основные документы которые должны быть в каждой организации?, Документальное регламентирование работы
По поводу документов конечно хотелось бы как то упорядочить процесс...
Много и примеров документов и перечней, но мало обоснований их появления.
Предлагаю поступить следующим образом, а именно пойти по схеме: (потом перенесу ;-) на wikisec.ru в статью "реализация требований 152 ФЗ")

1. Документы для Роскомнадзора:
1.1. Наименование документа + ссылка на пример/шаблон
1.2. основание для появления (ссылка на документ и обоснование необходимости когда нужен когда не нужен)
1.3. аннотация и содержание (о чем он что в документе должно быть кем утверждается и т.п.)

2. Документы для ФСТЭК России:
2.1. Наименование документа + ссылка на пример/шаблон
2.2. основание для появления (ссылка на документ и обоснование необходимости когда нужен когда не нужен)
2.3. аннотация и содержание (о чем он что в документе должно быть кем утверждается и т.п.)

3. Документы для ФСБ РФ:
3.1. Наименование документа + ссылка на пример/шаблон
3.2. основание для появления (ссылка на документ и обоснование необходимости когда нужен когда не нужен)
3.3. аннотация и содержание (о чем он что в документе должно быть кем утверждается и т.п.)

P.S. появился "план" проведения проверок ФСБ (http://www.fsb.ru/fsb/science/single.htm%21id=10435396@fsbResearchart.html)
Изменено: Евгений Родыгин - 06.11.2009 20:31:55
сертифицированный Linux в качестве МЭ, использование Linux
Использовать Нечто в качестве сертифицированного МЭ соответствующего класса можно только при условии:
- наличия действующего сертификата соответствия этого Нечто как МЭ соответствующего класса!

P.S. а так можно конечно...:-)
Изменено: Евгений Родыгин - 06.11.2009 20:37:07
Еще раз про классификацию ИСПДН
Грамотно разделяйте 3 ИСПДн и все ... и технически и организационно...
не пугайтесь их...
"А вот представители Ростехкомнадзора говорят что в организации должна быть 1 ИСПДН"
- попросите их обосновать требование и письменно !
если откажутся попросите письменно сформулировать требование и обосновать письменно...

Думаю они отстанут...
[ Закрыто] Сертифицированные средства для защиты ПД, На данном сайте приведен список сертифицированных средств для защиты ПД . А где ссылки на информацию (первоисточник ) ,номер и дата получения сертификата ?
"В. Что значит серийное производство?
О. Это одна из основных схем сертификации средств защиты информации, при которой
проводятся типовые испытаний образцов продукции на соответствие требованиям
по безопасности информации и последующий инспекционный контроль за
стабильностью характеристик сертифицированной продукции, обеспечивающих
выполнение этих требований. В рассматриваемом случае это означает, что
компании ЗАО "АМТ-Груп" и ЗАО "Алтэкс-строй-2002" выдают сертификат на каждое
изделие, прошедшее через соответствующее серийное производство"

Серийное производство это не совсем то что написано!
Серийное производство предполагает проведение "предварительной проверки производства".
Проверяются не только образцы и ИК потом! Проверяется САМО ПРОИЗВОДСТВО!
Вопрос - что под этим производством скрывается ?

Если сборка своего МЭ из железа cisco + заливка прошивки cisco + печать документов то Браво коллегам.
Готов открыть производство мерседесов путем накачки воздуха в колеса.
Горячася новость! Газета узнала, что нас ждет в 2012 году!
Деза... Присутствующие на совещании говорят только о намерении ходатайствовать перед ГД в этом вопросе...
Консалтинг по получению лицензии ФСТЭК России по технической защите конфиденциальной информации
Ответ: когда осуществляется деятельность по разработке и (или) производству средств защиты конфиденциальной информации...

Для тех, кто в теме, порядок лицензирования:
http://wikisec.ru/index.php?title=Порядок_лицензирования_ФСТЭК_России
Изменено: Am - 07.11.2009 14:27:47(По просьбе автора)
Страницы: Пред. 1 2 3 4 5 6 7 8 След.