Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Особенности аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции (работ, услуг), поставляемой по гособоронзаказу.

12/08/2019 

08 мая 2019 г. утверждены новые Правила аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции работ, услуг), поставляемой по государственному оборонному заказу (постановление Правительства Российской Федерации от 30 апреля 2019 г. № 548).

Новые Правила аккредитации кардинально меняют сложившуюся систему не только аккредитации, но и сертификации СМК предприятий, работающих в области государственного оборонного заказа.

Реклама





Партнеры





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: Пред. 1 2 3 4 5 6
Модель угроз и нарушителя
Приказом Федеральной службы РФ № 378 от 10 июля 2014 г. «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» введены состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в ИСПДн с использованием средств криптографической защиты информации.
Вот такие изменения!
[ Закрыто] Исходная защищенность ИСПДн с доступом из интернета
«информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств».
Компоненты Вашей ИСПДн распределены между ЦОДом и компьютерами клиентов, и обмен информацией происходит через неконтролируемую Оператором зону , т.е. Интернет .
Следовательно, (как говорит известный персонаж) однозначно - это распределенная ИСПДн
[ Закрыто] Лицензия на облако
Хотелось бы добавить следующее. Если организация Б при зашифровывании использует сертифицированные ФСБ криптосредства, вопрос стойкости шифра исчезает.
Образование сотрудника
Ваша организация, видимо, давно подготовила ОРД, т.к. по действующему законодательству ИСПДн классифицируются по уровням защиты, а не по классам.
Ваша организация не собирается выполнять работы по защите конфиденциальной информации для сторонних организаций, а также разрабатывать средства криптозащиты. Поэтому регуляторы не предъявляют никаких особых требований к квалификации администраторов безопасности ИСПДн и ответственных за обработку ПДн.
Конечно, было бы полезно, чтобы эти сотрудники (администратор безопасности) были подготовлены в области информационной безопасности, но это не обязательно.
72 курсы надо проходить тем, чьи организации хотят получить лицензию на проведение работ в области защиты конфиденциальной информации.
Многочисленные запросы во ФСТЭК побудили ее опубликовать «информационное сообщение по вопросу необходимости получения лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации» от 30 мая 2012 г. № 240/2222. Из этого сообщения следует, что лицензия на ТЗКИ необходима в трех случаях:
· Предприятие извлекает прибыль из деятельности по ТЗКИ (т.е. предоставляет услуги другим предприятиям);
· Деятельность по ТЗКИ указана в уставных документах предприятия;
· Защита конфиденциальной информации в явной форме поручена ее обладателем предприятию (т.е. предприятию поручена не обработка информации, которая должна защищаться по действующему законодательству, а именно техническая защита конфиденциальной информации).
Таким образом, если предприятие самостоятельно для своих нужд проектирует, разрабатывает, внедряет, сопровождает технические средства защиты персональных данных, то лицензия на ТЗКИ не требуется.
Едина ИСПДн для нескольких юр. лиц.
Уточните, пожалуйста,
1.что юридически объединяет этих лиц в одну компанию
2. Какие ИСПДН выделены, цели обработки
3. Имеют ли доступ пользователи (сотрудники одного юрлица) доступ к ПДн, которыми обладает другое юрлицо?
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Как правило, для административной, процедурной защиты ПДн Оператор разрабатывает многочисленную организационно-распорядительную документацию (локальные нормативно-правовые акты). На комиссии возлагают бремя классификации ИСПДн (определение уровня защищенности), аттестацию методом самодекларирования (оценка мер и средств защиты на соответствие предъявляемым регуляторами требованиями),уничтожение ПДн и ...
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Цитата
Маришка пишет:
Спасибо за советы, Vitaly Bondarew !!!!
А вы не можете посоветовать какие то тех ср-ва для 4-УЗ или Аура 1.2.4 подойдет?

Меня с толку сбивают фразы из 21 приказа

для обеспечения 4 уровня защищенности персональных данных применяются: .
- средства вычислительной техники не ниже 6 класса;
- системы обнаружения вторжений и средства антивирусной защиты не ниже 5 класса;
- межсетевые экраны 5 класса.

где нибудь написано конкретнее что это за классы такие и какие к ним СЗИ относятся?
Зайдите на security_pd.justclick.ru там есть ответы на Ваши вопросы о классах в лекции №4
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Цитата
Маришка пишет:
Спасибо за советы, Vitaly Bondarew !!!!
А вы не можете посоветовать какие то тех ср-ва для 4-УЗ или Аура 1.2.4 подойдет?

Меня с толку сбивают фразы из 21 приказа

для обеспечения 4 уровня защищенности персональных данных применяются: .
- средства вычислительной техники не ниже 6 класса;
- системы обнаружения вторжений и средства антивирусной защиты не ниже 5 класса;
- межсетевые экраны 5 класса.

где нибудь написано конкретнее что это за классы такие и какие к ним СЗИ относятся?
Об исполнении требований по защите.
Оператор в соответствии с действующим законодательством безусловно обязан обеспечить конфиденциальность ПДн, в частности, от внешних нарушителей. Если, исходя из модели внешнего нарушителя, он способен "снять" визуально данные с монитора, т.е. нарушить конфиденциальность, то Оператор должен контрмерами снизить угрозу до приемлемого уровня. Шторы могут быть такими контрмерами.
[ Закрыто] Документация по ИСПДН
Светлана, напишите мне в tur@kolch.elcom.ru или зайдите на security_pd.justclck.ru. Все, что Вам нужно есть.
Страницы: Пред. 1 2 3 4 5 6