Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Особенности аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции (работ, услуг), поставляемой по гособоронзаказу.

12/08/2019 

08 мая 2019 г. утверждены новые Правила аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции работ, услуг), поставляемой по государственному оборонному заказу (постановление Правительства Российской Федерации от 30 апреля 2019 г. № 548).

Новые Правила аккредитации кардинально меняют сложившуюся систему не только аккредитации, но и сертификации СМК предприятий, работающих в области государственного оборонного заказа.

Реклама





Партнеры





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: Пред. 1 2 3 4 5 6 След.
[ Закрыто] Нужна ли лицензия на составление документации?, Помогите разобраться в более юридическом вопросе.
Цитата
AlexG пишет:
Приложение 4.1.Определение уязвимостей ИСПДн (могут пришить контроль защищенности, особенно если это инструментальный поиск)
Уважаемый AlexG.
У меня, конечно, есть вопросы. Вы относите определение уязвимостей действующей ИСПДн на предпроектном этапе разработки СЗИ ИСПДн к деятельности, подпадающей под лицензирование (цитирую «могут пришить контроль защищенности, особенно если это инструментальный поиск»).
1. Но на том же предпроектном этапе разработки СЗИ уязвимость только одна из слагаемых определения актуальной угрозы, эксплуатирующую эту уязвимость. Так как Вы очень склонны к формализованной точке зрения напомню, что определение того актуальна ли некая угроза по действующей методике ФСТЭК основывается (некоторые детали для простоты опущены) на:
a. Наличии угрозы, наличие источника угрозы, вероятности (или частоты) реализации угрозы
b. Наличии уязвимости, на которую может воздействовать источник данной угрозы (наличие уязвимости еще не доказывает актуальность угрозы)
c. Наличии ощутимого ущерба (негативных последствий) у субъекта ПДн в результате реализации угрозы.
Следуя Вашей логике и выводу о том, что определение уязвимостей требует лицензирования (и здесь я солидарен с Вами и это утверждаю с самого начала дискуссии), то, если быть последовательным, более серьезная деятельность по разработке модели угроз (если можно так выразиться одноранговая деятельность) тем более может быть «пришита» компетентными органами к деятельностью по оценке защищенности или иначе контролю.
2. Как Вы считаете, термин «проектирование» в стандарте и термин «проектирование» в ПП имеют одно и то же содержание? И если Вам не трудно, укажите официальное определение понятия проектирование, принятое в области ИБ.
[ Закрыто] Нужна ли лицензия на составление документации?, Помогите разобраться в более юридическом вопросе.
Цитата
AlexG пишет:
Хорошо, открою Вам тайну. Лицензия на проектирование требуется тогда, когда организация разрабатывает юридически значимые проектные документы (не Модель и не Политики, а технорабочий проект, эскизный проект и т.д.), а так же документы по результатам испытаний АС. Всё. Остальное - это уже Ваши домыслы и предположения.
Уважаемый AlexG. Какой же Вы, батенька, надменный и любитель поучать (последний раз так реагирую на Ваш стиль ведения дискуссий, извините). Видимо я сейчас буржуин, а ВЫ Мальчиш- Кибальчиш?
Конечно, Вы очередной раз правы, указав, что надо употреблять вместо «самодекларация» «декларация соответствия». Но меня интересует и, надеюсь, тысячу других, заходящих на эту ветку, убедительное изложение, что можно, а что надо поостеречься, взявшись за защиту ПДн в качестве бизнеса.
Так вот, на мой взгляд, аудитория этой ветки не представители системных интеграторов, занимающихся информационной безопасностью: этот вопрос их не интересует, так с лицензиями от ФСТЭК и ФСБ и Министерства Обороны у них все в порядке.
Я думаю, поле деятельности для таких как Леонтьев – это малый и, может быть, средний бизнес, когда количество компьютеров в ИСПДн не превышает один-два десятка. На этих предприятиях (это не банки, не пенсионный фонд, не Ростелеком, а это хлебокомбинат, АТП, магазинчики и.д.) в качестве кандидата на пост администратора безопасности можно выбрать бухгалтера или, в лучшем случае, юрисконсульта) нужна ОРД, чтобы «защититься» от Роскомнадзора и повысить свой культурно-безопасный уровень и техническая защита в виде межсетевого экрана с подсистемой предотвращения вторжений, антивируса, подсистемы управления доступом для защиты от несанкционированного доступа, подсистему дублирования и восстановления информации. Здесь смешон разговор об эскизном проекте, технорабочем и т.д.
Каким видом деятельности из перечисленного без нарушения законодательства могут заняться такие полезные как Леонтьевы. Если Вы нам это растолкуете, честь Вам и хвала и мое искреннее отдельное спасибо.
Я прошу прощения у администрации форума и размещаю длинный «типовой» состав документов, составленный одной из уважаемых фирм. Аргументируйте господин AlexG, что может делать Леонтьев, а что нет.
Состав организационно-распорядительной документации по защите персональных данных
Название Содержание Ответ г-на AlexG
Приказ
«О создании рабочей группы по приведению информационных систем персональных данных в соответствие с требованиями Федерального Закона «О персональных данных» Назначает рабочую группу по организации работ по обеспечению безопасности персональных данных, ее обязанности, полномочия, сроки.
Приложение 1. Состав рабочей группы
Приложение 2. План мероприятий по защите персональных данных
Приказ
«О создании комиссии по классификации информационных систем персональных данных» Назначает Комиссию по классификации информационных систем персональных данных, ее обязанности, полномочия, сроки.
Приложение 1. Состав Комиссии
Приказ
«Об утверждении актов классификации информационных систем персональных данных» Утверждает и вводит в действие акты классификации информационных систем персональных данных.
Приложения: Акты классификации
Приказ
«Об утверждении частной модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных» Утверждает и вводит в действие «Частную модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных»
Приложение 4.1.Определение уязвимостей ИСПДн
Приложение 4.2. «Частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных»
Приложение 4.3 . «Модель нарушителя»
Приложение 4.4 . «Политика безопасности»
Приложение 4.5. «Политика безопасности для опубликования»
Приложение 4.6. «Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения X-го уровня защищенности»
Приказ
«О введении в действие перечня обрабатываемых персональных данных, перечня информационных систем персональных данных и перечня подразделений и сотрудников, допущенных к работе с персональными данными». Утверждает и вводит в действие Перечень обрабатываемых персональных данных, Перечень информационных систем персональных данных, Перечень подразделений и должностей, допущенных к работе с персональными данными, Дополнения в Перечень конфиденциальной информации, а так же определяет ответственность должностных лиц.
Приложение 1. Перечень обрабатываемых персональных данных.
Приложение 2. Перечень информационных систем персональных данных.
Приложение 3. Перечень подразделений и должностей, допущенных к работе с персональными данными.
Приложение 4. Дополнения в Перечень конфиденциальной информации.
Приказ
«Об организации работ по обеспечению безопасности персональных данных» Утверждает и вводит в действие внутренние документы по организации работ и обеспечению безопасности персональных данных.
Приложение 1 к Приказу. «Положение об обработке персональных данных».
Приложение 1. к Положению об обработке персональных данных. Форма Ответа субъекту персональных данных об обрабатываемых персональных данных (о наличии персональных данных)
Приложение 2. к Положению об обработке персональных данных. Форма Уведомления субъекта персональных данных об исключении из обработки или исправлении неверных персональных данных, а также данных, обрабатываемых с нарушением требований законодательства.
Приложение 3 к Положению об обработке персональных данных. Форма Согласия на обработку персональных данных.
Приложение 4 к Положению об обработке персональных данных. Форма Согласия на внесение персональных данных в общедоступные источники.
Приложение 5 к Положению об обработке персональных данных. Форма Запроса субъекта персональных данных об обрабатываемых персональных данных.

Приложение 6 к Положению об обработке персональных данных. Форма Запроса субъекта персональных данных об исключении из обработки или исправлении неверных персональных данных.
Приложение 7 к Положению об обработке персональных данных. Форма Отзыва согласия на обработку персональных данных.

Приложение 8 к Положению об обработке персональных данных. Форма Уведомления субъекта персональных данных об изменении персональных данных.
Приложение 9 к Положению об обработке персональных данных. Форма Запроса третьих лиц на доступ к обрабатываемым персональным данным.

Приложение 10 к Положению об обработке персональных данных. Форма Ответа на запрос третьих лиц на доступ к обрабатываемым персональным данным.
Приложение 11 к Положению об обработке персональных данных. Форма Журнала учета обращений

Приложение 12 к Положению об обработке персональных данных. Форма Журнала учета электронных носителей персональных данных.

Приложение 13 к Положению об обработке персональных данных. Форма Акта уничтожения носителей персональных данных

Приложение 14 к Положению об обработке персональных данных. Форма журнала учета проверок, проводимых органами государственного контроля (надзора), органами муниципального контроля.
Приложение 2 к Приказу. Положение об организации и обеспечении защиты персональных данных.
Приложение 1 к Положению об организации и обеспечении защиты персональных данных. Форма Заявки на предоставление доступа к ИСПДн
Приложение 2 к Положению об организации и обеспечении защиты персональных данных. Форма Журнала учета средств защиты информации, эксплуатационной и технической документации к ним

Приложение 3 к Положению об организации и обеспечении защиты персональных данных. Форма Журнала учета средств криптографической защиты информации, эксплуатационной и технической документации к ним, ключевых документов.
Приложение 4 к Положению об организации и обеспечении защиты персональных данных. Форма Журнала периодического тестирования средств защиты информации.
Приложение 5 к Положению об организации и обеспечении защиты персональных данных. Форма Журнала учета мероприятий по защите информации.
Приложение 3 к Приказу. Дополнения разделы трудовых договоров о конфиденциальности.
Приложение 4 к Приказу. Дополнения в должностные инструкции лиц участвующих в обработке персональных данных.
Приложение 5 к Приказу. Инструкции пользователям информационных систем персональных данных.
Приложение 6 к Приказу. Инструкции администраторам безопасности информационных систем персональных данных.
Приложение 7 к Приказу. Инструкция по действию в случае компрометации ключевой информации.
Приложение 8 к Приказу. План внутренних проверок состояния защиты персональных данных

Приложение 9 к Приказу. Перечень мест хранения материальных носителей персональных данных.
Приложение 10 к Приказу. Перечень мест хранения ПДн
Приложение 11 к приказу. Правила доступа в помещения
Приложение 12 к приказу. Перечень лиц, допущенных в помещения
Приложение 13 к приказу. Инструкция ответственного за организацию работ
Форма Акта внедрения средств защиты информации Форма Акта соответствия
Приложение 1. Настройки СЗИ
Приказ
«О назначении комиссии по декларированию соответствия информационных систем персональных данных требованиям безопасности» Определяет состав комиссии по проведению декларирования соответствия информационных систем персональных данных требованиям безопасности
Приложение 1. Состав комиссии
Приложение 2. Акт соответствия информационной системы персональных данных требованиям по безопасности
Пояснительная записка Пояснительная записка к типовому проекту
[ Закрыто] Нужна ли лицензия на составление документации?, Помогите разобраться в более юридическом вопросе.
Уважаемый AlexG,
1.конечно при разработке системы защиты для (к примеру, действующей ИСПДн) вначале исследуют (определяют...) ее текущее состояние защищенности сопоставляя действующие в ней меры и средства защиты информации с потенциальными опасностями нарушения информационной безопасности, информацией о которых владеет разработчик системы защиты на момент разработки. А затем выбирают (проектируют) меры и средства защиты, полностью нейтрализующие или частично компенсирующие угрозы. Я не смею с Вами по этому вопросу спорить, так как никогда не придерживался другого мнения.
2. Так как в отличие от Вас я понимаю "проектирование" в ПП в смысле "разработка", то необходимым, но не достаточным условием по мнению регулирующих органов за деньги можно привлекать лиц, имеющих лицензию, для получения которой надо иметь в штате или дипломированных специалистов или прошедших переподготовку в области информационной безопасности.
3.Предприятие на свой страх и риск, разрабатывая систему защиты собственными силами, т.е. для собственных нужд, может поручить моделирование угроз уборщице.
Но потом при самодекларировании (вместо аттестации)соответствия мер и средств защиты требованиям оно должно убедить регуляторов, что все требования выполнены.
:) :D
[ Закрыто] Нужна ли лицензия на составление документации?, Помогите разобраться в более юридическом вопросе.
Цитата
AlexG пишет:
Вы уж не валите с больной головы на здоровую.
Цитировать пункт 6.6. ГОСТа Вы не решились. Жаль, все бы стало ясно.

Хорошо, спросим по -другому: каким по счету этапом работ по защите информации в АСЗИ является проектирование? И какие работы предшествуют проектированию?
Уважаемый AlexG.
Видимо, для доказательства того, что разработчику модели угроз при создании системы защиты ПДн в ИСПДн не требуется лицензии на ТЗКИ Вы хотите с моей помощью построить следующую логическую цепочку.
1. В ГОСТе указаны этапы работ:
1.1 Формирование требований
1.2 Разработка (проектирование)
1.3 Внедрение
1.4 Сопровождение
2.Разработка модели угроз проводится на этапе 1.1 Формирование требований
3.ПП о лицензировании предусматривает обязательность лицензии при проектировании в защищенном исполнении средств и систем автоматизации
4. Вывод:Для разработки частной модели угроз в ИСПДн лицензия не требуется.
Если бы Вы были юрист (но Вы отметили, что Вы безопасник), то я бы включился в полемику.
Отвечаю безопаснику. Напоминаю, что в основе построения систем защиты информации находится понятие "риск", включающее в себя оценку вероятности (или частоты) угрозы, потенциал нарушителя, уязвимости защищаемой системы и ущерб обладателю информации. В терминах ФСТЭК - это актуальная угроза безопасности, совокупность которых образуют частную модель угроз безопасности для конкретной ИСПДн. Если угроза признана "экспертом" по моделированию не актуальной, на самом деле являющаяся таковой, то CЗИ будет плохим. Если угроза будет признана актуальной, на самом деле таковой не являющейся, то это "деньги на ветер". Поэтому, еще раз подчеркиваю, стандарт указывает, что заказчик организует процесс формирования требований, а разработчик их формирует. Таким образом, этап формирования требований, на котором доминирующую роль играет моделирование угроз, является по выражению Вл. Ленина архиважным. И вряд ли манипулирование понятиями (я считаю, что в ПП проектирование - это весь комплекс работ по созданию защищенных систем) при нестыковке НПА достойно для безопасника в советах "не партесь". Мой совет Леонтьеву, подумайте и вычлените из своих предложений те услуги, которые подпадают под лицензировании.
Я во многом не согласен с этим ПП, но мое не согласие не означает, что я или Леонтьев не получит административное или уголовное правонарушение, если не париться. .
[ Закрыто] Нужна ли лицензия на составление документации?, Помогите разобраться в более юридическом вопросе.
Цитата
AlexG пишет:
Позвольте, как это для осмотра не надо?? Разве это не этап (по-Вашему) формирования требований? Разве это не работа? Как же без лицензии??

Если разработчик будет за заказчика определять требования, заказчик просто останется без штанов.
AlexG,
1.Я процитировал Вам этапы, стадии, работы из Госта, это по нашему и по Вашему
2.В отношении штанов. Вы от логики перешли к эмоциям, следовательно Ваша аргументация исчерпана.
Умеющие читать форумчане поймут Ваше "не парьтесь". Всего доброго.
[ Закрыто] Нужна ли лицензия на составление документации?, Помогите разобраться в более юридическом вопросе.
Цитата
AlexG пишет:
Пункт 6.6. процитируйте, будьте так добры.

Формирование требований выполняется ДО начала проектирования (проектировать еще нечего). Требования формулируются, включаются в ТЗ, и уже ПОСЛЕ ЭТОГО начинается проектирование. Почитайте же ГОСТ в конце-то концов.
Требования предъявляет ЗАКАЗЧИК, и лицензия ему не нужна.

Вы по-прежнему утверждаете, что для того, чтобы произвести осмотр условий эксплуатации ИС (помещения), мне требуется лицензия ФСТЭК?
AlexG, спасибо, что не намекаете на мой короткий ум!
1.Успокойтесь, для осмотра условий эксплуатации (беглым взглядом) лицензии не надо.
2. В предыдущем сообщении я выделил для Вас жирным шрифтом, что по ГОСТу заказчик организует формирование требований по защите, а исполнитель (разработчик)осуществляет (так как заказчик не обязан разбираться в информационной безопасности и лицензии у него нет).
3. По-Вашему, для Вас исходные данные может подготовить оператор по мойке полов, а Вы затем спроектируете на основе этих требований систему защиты ИСПДн!
[ Закрыто] Нужна ли лицензия на составление документации?, Помогите разобраться в более юридическом вопросе.
Цитата
AlexG пишет:
Экий, Вы, батенька, упрямый.
Причем здесь пункт 6.3.1? Какое отношение он имеет к проектированию? Проектирование начинается с пункта 6.6. Все, что идет до него, не является проектированием. Вы читать-то умеете?!
По-Вашему, как только я вошел в помещение, где расположена ИСПДн, я уже начал проектировать?
Экий, ВЫ батенька, опускаетесь на уровень мелких оскорблений.
Еще раз для умеющих читать ГОСТы:
6.1. Создание системы защиты информации АСЗИ обеспечивается следующим комплексом работ:
Формирование требований к системе ЗИ ИСЗИ
 Разработка (проектирование) системы ЗИ ИСЗИ
 ….
6.2. Формирование требований организуется заказчиком и осуществляется разработчиком…
6.3. на стадии «Формирования требований» … выполняются следующие работы:
 ….
Определение актуальных угроз безопасности
Разработку модели угроз…
Вы по-прежнему утверждаете, что при создании АСЗИ можно формировать требования, осуществляемые разработчиком,т.е. "исходные данные" для дальнейших этапов создания АСЗИ, без наличия лицензии на ТЗКИ (и криптографию)?
Вы утверждаете, что без этих лицензий Вы имеете право создавать систему технической защиты АС?
[ Закрыто] Нужна ли лицензия на составление документации?, Помогите разобраться в более юридическом вопросе.
Цитата
AlexG пишет:
Этапы проектирования объекта в ЗИ определены ГОСТ Р 51583-2014. Там нет ни про модель угроз, ни про политику. Более того, и политика, и положение о ЗИ, и модель угроз - это все внутренние документы оператора. Даже если кто-то сделает их за него (в порядке консалтинга, скажем), подписывать их все равно будет оператор (а не консультант и не лицензиат). В любом случае делается вид, что их разработал сам оператор, а не кто-то со стороны.
AlexG, Вы не хотите выстроить цепочку этапов (стадий)создания СЗИ ИСПДн, в которой появляется ЧМУ, попробую сделать я в контексте нашей дискуссии.
На стадии формирования требований к АС выполняются следующие работы (раздел 6.3.1) ГОСТа "..разработку модели угроз безопасности информации применительно к конкретным вариантам функционирования АСЗИ".
Применительно к ИСПДн по терминологии ФСТЭК "частная модель угроз".
[ Закрыто] Нужна ли лицензия на составление документации?, Помогите разобраться в более юридическом вопросе.
Конечно, но, если Вас это устроит, напишите Ваше представление об основных этапах (фазах) разработки проекта технической защиты ПДн в ИСПДн вплоть до аттестации с указанием тех из них, в которые включены модель нарушителя (по ФСБ) и ЧМУ (по ФСТЭК) :oops:
[ Закрыто] Нужна ли лицензия на составление документации?, Помогите разобраться в более юридическом вопросе.
Я не оспаривал некоторую "тупость" наших законов и с удовольствием принял бы Ваше "Не парьтесь и пишите спокойно ОРД". Но, увы, Вы меня не убедили :cry:
[ Закрыто] требуют ли аттестации базы 1С по приказу №17?
Цитата
AlexG пишет:
Но Вы уж постарайтесь, прежде чем что-то утверждать, разобраться в вопросе. Я считаю, что вводить людей в заблуждение нехорошо. Они ведь почитают и кинутся аттестовать. А зачем?
Уввважаемый AlexG. Объясните подробно, в чем я ввел в заблуждение форумчан?
Цитата
Сергей Терехов пишет:
Можно воспользоваться другой формой оценки эффективности, когда предприятие само-стоятельно доказывает (декларирует), что административные, процедурные и технические меры, принятые на предприятии, соответствуют всем требованиям законодательного уровня РФ по защите персональных данных.
И расширенный ответ:
Цитата
Сергей Терехов пишет:
Оценка эффективности может проводиться в формах добровольной аттестации по требованиям безопасности информации в системе сертификации ФСТЭК России, а также в других формах, выбираемых оператором ПДн (например, формах приемо-сдаточных испытаний СЗПДн, совместной оценки комиссией, состоящей из представителей Разработчика и Заказчика СЗПДн, и т. д.).
[ Закрыто] требуют ли аттестации базы 1С по приказу №17?
Цитата
AlexG пишет:
Вот если бы Вы сразу так написали, вопросов бы не было. Из Вашего же поста следует, что
Добрый AlexG, почему Вы такой агрессивный. Подумайте, может и другие люди кое-что понимают.А то караул, ложь, лапша. Мы разные и в этом наша сила.
[ Закрыто] требуют ли аттестации базы 1С по приказу №17?
Цитата
AlexG пишет:
Откуда Вы берете подобную чепуху? В каком нормативном акте сказано, что оценка эффективности это аттестация?! Перестаньте вешать людям лапшу!
Уважаемый, AlexG, Вы ведете дискуссии на площадках этого форума в прежней Вашей манере поучателя, а жаль.
В соответствии с пп.4 п. 2 статьи 19 Федерального закона «О персональных данных» обеспечение безопасности персональных данных (ПДн) достигается, в том числе, проведением «оценки эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных (ИСПДн)».
Оценка эффективности может проводиться в формах добровольной аттестации по требованиям безопасности информации в системе сертификации ФСТЭК России, а также в других формах, выбираемых оператором ПДн (например, формах приемо-сдаточных испытаний СЗПДн, совместной оценки комиссией, состоящей из представителей Разработчика и Заказчика СЗПДн, и т. д.).
При проведении оценки эффективности принимаемых мер по обеспечению безопасности ПДн необходимо осуществить оценку соответствия ИСПДн организационно-техническим требованиям по безопасности информации и провести испытания средств и систем защиты ИСПДн на соответствие требованиям по защищенности ПДн от угроз безопасности ПДн.
Порядок проведения аттестации ИСПДн регламентируется:
• национальным стандартом РФ ГОСТ РО 0043-003-2012 «Защита информации. Аттестация объектов информатизации. Общие положения»;
• Положением по аттестации объектов информатизации по требованиям безопасности информации, утвержденным председателем Государственной технической комиссии при Президенте Российской Федерации 25 ноября 1994 г.
В соответствии с указанными нормативными документами организации, проводящие аттестацию объектов информатизации, несут ответственность за выполнение возложенных на них функций, обеспечение сохранности государственных и коммерческих секретов, а также за соблюдение авторских прав разработчиков аттестуемых объектов информатизации и их компонентов.
В случае проведения добровольной аттестации проводится разработка дополнительных документов, необходимых для выполнения аттестационных испытаний, включающих в себя технический паспорт, матрицу доступа к ресурсам, описание технологических процессов обработки и защиты ПДн. С целью внедрения процедуры контроля за неизменностью аттестованных ИСПДн разрабатывается и утверждается регламент внесения изменений в состав технических и программных средств ИСПДн.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Цитата
AlexG пишет:
Четкого критерия именно федеральной ГИС нет. Есть реестр федеральных ГИС (на сайте Роскомнадзора). Все, что там - точно ФГИС, остальное - можно спорить.
AlexG, я позволю себе тоже порассуждать.
Развернутый ответ для Сергея.
В контексте обработки персональных данных может возникнуть определенная трудность у лиц государственных (муниципальных, муниципальных казенных) организаций (предприятий, учреждений) в определении того, какие информационные системы относят к государственным информационным системам (ГИС) или к муниципальным информационным системам (МИС). Например, относится ли информационная система, обрабатывающая персональные данные сотрудников государственного учреждения в отделе бухгалтерского учета или в отделе кадров, к ГИС?
Общепринятого ответа на этот вопрос пока не существует в силу неоднозначного толкования определений этих понятий в нормативно-правовых актах. Версия автора изложена ниже.
Перечень мер и средств защиты информации в ГИС и МИС предъявляют намного более строгие требования и, соответственно, их защита более затратная.
На основании ст. 13 п.1 ФЗ от 27 июля 2006 г. № 149 «Об информации, информационных технологиях и защите информации» «государственные информационные системы - федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов». Цель создания ГИС определяется в ст. 14 п. 1 «государственные информационные системы создаются в целях реализации полномочий государственных органов и обеспечения обмена информацией между этими органами, а также в иных установленных федеральными законами целях».
Для справки, государственный орган - особая политическая организация (или одно должностное лицо), наделенная необходимыми материальными средствами, государственно-властными полномочиями (компетенцией), в том числе правом принятия правовых актов внешнего действия, имеющая четкую организационную структуру (право единоличных органов создавать при себе государственные органы).
Анализируя приведенные выше определения, приходим к следующему выводу. Информационные системы обработки персональных данных, такие как «бухучет» государственного предприятия, учреждения, государственной организации или другого государственного органа не реализуют полномочия государственных органов и не обеспечивают обмен информацией между этими органами для реализации полномочий, поэтому не могут считаться ГИС.
Например, Министерство иностранных дел РФ с целью реализации своих полномочий использует Федеральную Государственную информационную систему (ФГИС) «Автоматизированная система оформления приглашений иностранных граждан на территорию Российской Федерации МИД России». Решение о создании данной ГИС принято Правительством Российской Федерации (государственным органом) за № 459 от 1995-05-15. Цель данной ГИС – реализация полномочий министерства, в частности, «принятие решений о выдаче виз иностранным гражданам и лицам без гражданства».
Для учета материальных ценностей в структуре МИД имеется отдел бухгалтерского учета, который используют информационную систему «бухучет», автоматизирующую процессы учета и отчетности. Но информационная система «бухучет» МИД не реализует никаких полномочий министерства в отношении взаимодействия его с иностранными государствами, иностранными гражданами и лицами без гражданства.
В данном случае, как ФГИС, так и информационная система «бухучет» обрабатывают персональные данные. Но к данной ФГИС должны применяться требования приказа Федеральной служба по техническому и экспортному контролю от 11 февраля 2013 г. № 17 «Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах». К системе «бухучет» должны применяться требования другого приказа той же службы от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Сергей,
1. RDP - это протокол (т.е. формализованные правила), следуя которым общаются между собой рабочая станция и терминальный сервер. Этот протокол защищенный в определенной мере от раскрытия содержимого передаваемых данных от третьих лиц. Если Ваш вопрос состоит в том, не нарушаете ли вы требования регулирующих органов по защите передаваемых через Интернет персданных, то "грубый ответ", да,если Вы не используете шифрования на отечественных (ГОСТовских) криптоалгоритмах. Для "тонкового" ответа надо знать состав персданных, категории их, уровень защищенности вашей ИСПДн и ....модель актуальных угроз.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Сергей,
1.если ЦОД доступен вашим станциям через МИО, то это передача ПДн через МИО, если ЦОД расположен в локальной (корпоративной сети), - нет.
2. Если оператор вводит текст с персональными данными, то персональные данные упаковываются в пакеты по протоколу RDP и передаются через МИО, видимо, в качестве МИО выступает Интернет.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
QUOTE]Сергей Давидян пишет:
Еще один вопрос.
Что является передачей персональных данных по сетям МИО? В каком виде информация считается содержащей ПДн?[/QUOTE]
Сергей, персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
1. Пересылка информации, содержащей персональные данные, из точки А в точку Б, используя МИО.
2. В любом виде, если она содержит персональные данные. Информация, т.е. персональные данные, может быть зашифрована, тогда она доступна только субъектам информационных отношений, которые могут ее расшифровать, т.е. обладают алгоритмом
расшифровывания и соответствующим (секретным ключом) ключом.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Цитата
Сергей Давидян пишет:
При проведении проверки ФСТЭК или РКН если они увидят у меня открытый справочник на портале организации (локальная страница) с фото и номерами телефонов то они предъявят мне что нибудь или они не обратят на это внимания?
Теперь понятно. Данные из справочника относятся к общедоступной информации. Если Ваша организация получила согласие субъектов ПДн на включение их персональных данных в справочник, то у РКН претензий не будет.
В данной ИСПДн (рабочие станции+серверы+...) необходимо обеспечить целостность данных из справочника, конфиденциальность обеспечивать не надо, т.к. это общедоступные данные, а доступность на усмотрение технологии использования справочника. Если отнестись серьезно, надо разрабатывать частную модель угроз безопасности в отношении целостности.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Уважаемый Сергей. Если понимать Ваш вопрос буквально, то нет, т.к.
по Фед. закону №152 Информационная система персональных данных (ИСПДн) – информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Может Вы имели ввиду нечто другое? Сформулируйте вопрос еще раз.
[ Закрыто] Документы в ОРД ИСПДн
Цитата
Гость пишет:
Доброе время суток! Подскажите весь перечень документов входящих в ОРД ИСПДн или ресурсы на которых этот список опубликован! Заранее благодарю!
Уважаемый гость. Регламентированного перечня, на мой взгляд, не существует. Могу Вам выслать в почту, перечень, проверенный РОскомнадзором. Пишите с темой ОРД в stertur@mail.ru
Страницы: Пред. 1 2 3 4 5 6 След.