Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Особенности аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции (работ, услуг), поставляемой по гособоронзаказу.

12/08/2019 

08 мая 2019 г. утверждены новые Правила аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции работ, услуг), поставляемой по государственному оборонному заказу (постановление Правительства Российской Федерации от 30 апреля 2019 г. № 548).

Новые Правила аккредитации кардинально меняют сложившуюся систему не только аккредитации, но и сертификации СМК предприятий, работающих в области государственного оборонного заказа.

Реклама





Партнеры





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: Пред. 1 2 3 4 5 6 След.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Роберт, укажите реквизиты закона, по которому необходимо так работать с ПДн в случае однократного пропуска на территории компании. В 687 постановлении правительства я такого не обнаружил.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Добрый день, Данил. Включать ли новую ИСПДн в состав существующих или обосабливать - это решение Оператора. Защищать ее надо в соответствии с вычисленным уровнем защищенности, не обязательно по второму. Если включить новую ИСПДн в состав существующих, то уровень защищенности объединенной ИСПДн должен быть равен максимальному из объединяемых.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Цитата
Роспотребнадзор пишет:
1) Предыдущим безопасником была проведена внутренняя проверка. В итоге в перечне ИСПДн их оказалось 17!! (Бухгалтерия, кадры, контурн и т.д.) Мы являемся Фед. органом исполнительной власти. Так вот в перечне ИСПДн фигурирует например ИС МФЦ, ЕИС Закупки, Фед. портал гос. службы и управленческих кадров. Эти ИСПДн фактически интернет - порталы. Можно ли исключить их из перечня ИСПДн?
1. Среди прочих документов в ОРД присутствует документ "перечень ИСПДн", но в него включаются те ИСПДн, Оператором которых является Ваше учреждение. Сомневаюсь, что Роспотребнадзор является оператором перечисленных выше ГИС. Реестр ГИС здесь rkn.gov.ru/it/register
2.Во втором вопросе, видимо, Вы имеете в виду, что установлены на одном компьютере 2 ИСПДн или более? Если это не ГИС, то оценку соответствия мер и средств безопасности требованиям к ИСПДн данного уровня защищенности можно вообще не проводить или выбрать приемлемую форму оценки. Для более углубленного ответа не хватает исходной информации.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Цитата
Сергей пишет:
Подскажите, необходимо ли разрабатывать в гос.органе Журнал
учета проверок, проводимых органами государственного контроля (надзора)???
В соответствии с какими требованиями его нужно создавать?
Ситуация такая что в "соседнем" госучреждении при проверке РосКомСвобода затребовал данный журнал. Его сделали по требованию, но что является основанием для его создания?
Согласно п.8 ст.16 Федерального Закона от 26.12.2008 № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» юридические лица, индивидуальные предприниматели обязаны вести журнал учета проверок по типовой форме, установленной федеральным органом исполнительной власти, уполномоченным Правительством Российской Федерации.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Цитата
Максим пишет:
Вопрос! Что за НПА, для каких ИСПДн их нужно разрабатывать и обязательно ли согласовывать? И вообще разработка таких НПА обязательна?
Министерство "Рога и копыта", курирующие "колхозы" разрабатывает типовые актуальные угрозы безопасности для подведомственных колхозов. Эти типовые угрозы должны быть согласованы с ФСТЭКом и затем использованы в колхозах. Я думаю, к Вам это не имеет никакого отношения. :)
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Цитата
Гость пишет:
Обязательно ли проводить инструктаж по ЗПДн для сотрудников или можно просто ознакамливать с ЛНА?
Нужно ли вести журнал инструктажа?
Если ваша организация желает защищать ПДн, то пользователей ИСПДн надо обучать информационной безопасности. Если она "защищается" от Роскомнадзора", то нужно требовать письменной (или иной) подписи.
[ Закрыто] Аттестация ИСПДн
Антонина, да, кроме оценки эффективности в ГИС.
Доводы:
1.Многочисленные запросы во ФСТЭК побудили ее опубликовать «информационное сооб-щение по вопросу необходимости получения лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации» от 30 мая 2012 г. № 240/2222. Из этого сообщения следует, что лицензия на ТЗКИ необходима в трех случаях:
 Предприятие извлекает прибыль из деятельности по ТЗКИ (т.е. предоставляет услуги другим предприятиям);
 Деятельность по ТЗКИ указана в уставных документах предприятия;
 Защита конфиденциальной информации в явной форме поручена ее обладателем предприятию (т.е. предприятию поручена не обработка информации, которая должна защищаться по действующему законодательству, а именно техническая защита конфиденциальной информации).
Таким образом, если предприятие самостоятельно для своих нужд проектирует, разраба-тывает, внедряет, сопровождает технические средства защиты персональных данных, то лицензия на ТЗКИ не требуется. Остается только один вопрос, какую юридическую силу имеет информационное сообщение ФСТЭК, может ли оно изменить нормативную сущ-ность Постановление Правительства?
2. В соответствии с пунктом 6 Состава и содержания мер, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. N 21, оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. При этом Составом и содержанием мер, утвержденными приказом ФСТЭК России от 18 февраля 2013 г. N 21, форма оценки эффективности, а также форма и содержание документов, разрабатываемых по результатам (в процессе) оценки, не установлены.
Таким образом, решение по форме оценки эффективности и документов, разрабатываемых по результатам (в процессе) оценки эффективности, принимается оператором самостоятельно и (или) по соглашению с лицом, привлекаемым для проведения оценки эффективности реализованных мер по обеспечению безопасности персональных данных.
Оценка эффективности реализованных мер может быть проведена в рамках работ по аттестации информационной системы персональных данных в соответствии с национальным стандартом ГОСТ РО 0043-003-2012 "Защита информации. Аттестация объектов информатизации. Общие положения".
В части государственных информационных систем, в которых обрабатываются персональные данные, оценка эффективности принимаемых мер по обеспечению безопасности персональных данных проводится в рамках обязательной аттестации государственной информационной системы по требованиям защиты информации в соответствии с Требованиями, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. N 17, национальными стандартами ГОСТ РО 0043-003-2012 и ГОСТ РО 0043-004-2013 "Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний".
:)
Попали в такую ситуацию
Цитата
Артём АРтём пишет:
Подскажите как более грамотно дать ответ или что то посоветуйте буду очень благодарен
Артем, Вы кто в этой ситуации:
1. потерпевший
2.сотрудник Оператора персональных данных
3. иное?
[ Закрыто] ИСПДн в прокуратуре
Цитата
6231794@gmail.com пишет:
P.S.: я курсовую пишу, у меня в качестве организации выбрана прокуратура, нужно выбрать какую-то ИС в ней, и дальше работать с ней. Например, расписать картину информационных процессов в выбранной ИС.
Пишите в stertur@mail.ru c темой ОРД, пришлю методическое обеспечение по защите ПДн
[ Закрыто] ИСПДн в прокуратуре
С точки зрения ФЗ 152 Прокуратура ничем не отличается от других организаций. Поэтому в ней могут быть разные ИСПДн в зависимости от перечней Пдн (технологий и т.д.) Если эти ИСПДн не относятся к ГИС, то уместно говорить об уровне защищенности, а не о классе. Уровень защищенности определяется из ПП и зависит от категорий Пдн, объема и ...
[ Закрыто] Пересылка ПДн по электронной почте, Пересылка ПДн по электронной почте
Цитата
Дмитрий пишет:
Мы не являемся оператором, этих данных, так как мы их непосредственно не получаем а нам их предают
1. Вы можете быть Оператором, даже если вам их передают.
Цитата
Дмитрий пишет:
Шифровать и подписывать письма содержащие ПДн все же нужно, если они передаются по открытым каналам связи, даже если обладатель дал свое согласие на их передачу третьим лицам по открытым каналам связи. Это так?
2.Вы можете не шифровать, если субъекты письменно разрешат вам включить их ПДн в общедоступные. Подписывать нужно, если требуется свойство "неотрекаемости"
3. Шифрование конфиденциальной информации не обязательно платными, но (мое мнение) обязательно по ГОСТовским алгоритмам
[ Закрыто] Пересылка ПДн по электронной почте, Пересылка ПДн по электронной почте
Цитата
Дмитрий пишет:
Вот это темку я поднял

Никто даже не знает что делать. Или боится написать, так как у каждого наверняка на рабочем месте есть такая электронная почта...по которой передают ПДн без всякой защиты.
Не писали, потому что вопрос совсем несложный.
1. Так как Вы обрабатываете ПДн с помощью компьютеров, то ВЫ Оператор ИСПДн.
2. Вам нужно классифицировать ИСПДн, разработать организационно-распорядительную документацию и т.д.
3. Получить в Удостоверяющем центре (УЦ) закрытый ключ шифрования и сертификат открытого ключа и корневой сертификат УЦ
4. Установить криптопровайдер типа КриптоПРо (бевплатно VIPNET)или аналогичный
5. Использовать почтовый клиент (Outlook, The Bat...)
6. Передать сертификаты Вашему партнеру
7. Шаги с 3-6 выполняет партнер по переписке
Или, например, воспользоваться The BAT, который может использовать другую технологию распространения ключей шифрования (бесплатно)
Пишите в stertur@mail.ru с темой BAT- у меня все разработанное.
Набор ПО по 17 приказу
Цитата
Sat_Kelman пишет:
До этого работал только по 21 приказу, с 17 не сталкивался, но что-то мне кажется лишнее есть тут.
1. 17 приказ используется в ГИС и муниципальных ИС. Относится ли Ваша к ним? Если относится то 17 приказ
2. Медицина - скорее всего 1 уровень защищенности или 1 класс (ГИС), а оттуда сертификаты, доверенная загрузка, 5 класс вычислительных средств вычислительной техники и ....
[ Закрыто] Что относится к ИСПДн
Цитата
Гость пишет:
Огромное спасибо за ответ.
Напишите в stertur@mail.ru c темой "ОРД" пришлю методическое обеспечение по защите ПДн
[ Закрыто] Что относится к ИСПДн
Цитата
Александр пишет:
Добрый день! Ответьте пожалуйста. Считается ли корпоративная сеть часть ИСПДн, если в этой сети находится 1с КАНД, в котором хранятся персональные данные?? Ответьте пожалуйста
В ФЗ 152 "информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;"
Грубо говоря, ИСПДн - это компьютеры, на которых с помощью программ обрабатываются ПДн. Поэтому корпоративная сеть может быть частью ИСПДн, если все компьютеры корпоративной сети входят в состав ИСПДн. Я думаю, что в Вашем случае наоборот, сегмент сети ИСПДн является частью корпоративной сети. :)
[ Закрыто] Запросы контролирующих органов
Цитата
Администрация пишет:
Здравствуйте. Мы - администрация сельского поселения. Подскажите, имеем ли мы право давать сведения о физических и юридических лицах с указанием всех персональных данных в органы ФСБ? Нам был запрос, в преамбуле которой указываются ссылки на ст. 6, 15 Федерального закона "об оперативно-розыскной деятельности" № 144-ФЗ от 12.08.1995 г. и ст. 13 пункт "м" Федерального закона "О Федеральной Службе Безопасности" № 40-ФЗ от 03.04.1995 г. А как же тогда 152-ФЗ "О персональных данных"? Мы в таком случае его не нарушаем?
Статья 7. Конфиденциальность персональных данных
(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)
Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
[ Закрыто] Вопрос по аттестации ГИС ИСПДню
Цитата
Сергей Терехов пишет:
Так я как раз и спрашиваю, обязательна ли аттестация АРМов, использующих ГИС-системы на "тонком" клиенте? И как этого можно избежать, ибо денег платить лишних не хочется.
Вы спрашивали о другом, цитирую
Цитата
Константин пишет:
Можно ли не аттестовывать соответствующие АРМы на основании того, что поставили межсетевой экран, антивирусы, безопасность сервера обеспечена?
[ Закрыто] Вопрос по аттестации ГИС ИСПДню
Цитата
Константин пишет:
Можно ли не аттестовывать соответствующие АРМы на основании того, что поставили межсетевой экран, антивирусы, безопасность сервера обеспечена?
Аттестация - это форма оценки эффективности мер и средств защиты по отношению к требованиям по защите информации в информационной системе. Поэтому только на основании установки средств защиты необходимость оценки эффективности этих средств, если она (оценка) необходима, не устраняется.
Сертификаты соответствия ФСБ для КриптоПро 3.6
Цитата
Сергей пишет:
Здравствуйте. Подскажите пожалуйста какой необходимо выбрать сертификат соответствия КриптоПро 3.6 и КрипроПро 3.6.1?
Объясните пожалуйста 1-ый сертификат он для всего (ЭЦП и VPN), а 2-ой только для ЭЦП. Собственно вопрос, мы данное ПО используем только для подписи документов можем ли мы использовать первый сертификат?
Сергей, КриптоПРо - это не сертификат, это криптопровайдер, т.е. ПО, с помощью которого Ваша прикладная программа выполняет криптографические операции (зашифровать, подписать ....).
Сертификат – это электронный документ, который содержит сведения об удостоверяющем центре, владельце открытого ключа, сам открытый ключ и некоторую дополнительную информацию. Сертификат связывает открытый ключ с его владельцем и подписывается электронной подписью удостоверяющего центра, что гарантирует неизменность (целостность) его существенной информации.
Уточните вопрос.
Типы актуальных угроз, Хотелось бы расставить все точки над И.
Цитата
Гость пишет:
Пожскажите, пожалуйста, знающие люди!
Где скачать образец создания модель угроз. Времени дали 1 сутки!
Хэлп!
Пишите в stertur@mail.ru с темой ОРД, пришлю
Страницы: Пред. 1 2 3 4 5 6 След.