Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

ФСБ: Национальному координационному центру по компьютерным инцидентам быть!

13/10/2018

Директор ФСБ России Александр Бортников распорядился создать государственный орган по борьбе с кибератаками. Текст соответствующего приказа размещен на официальном интернет-портале правовой информации.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: 1 2 3 След.
Договор заключен одним человеком, но фигурируют в нём ещё 3.
2 Анастасия

Вы молодец, но касаемо согласия на обработку персональных данных надо ссылаться на 152-ФЗ, а не на ГК РФ.
Договор заключен одним человеком, но фигурируют в нём ещё 3.
Раз законом не оговорено понятие "выгодоприобретатель", то мы вольны думать, как нам будет угодно) из самого понятия следует, что это лицо, которое приобретает/получает выгоду) а если кого-то что-то не устроит в толковании пусть попробует доказать.

И ещё. Из первого поста, не совсем ясно, что вы подразумевает под тем, что тот кто заключает договор даёт СОГЛАСИЕ. Согласие он не должен давать, договор это и есть согласие. Ну или вы про это и писали)
Несертифицированные СЗИ, Можно ли нейтрализовать актуальные угрозы ИСПДн несертифицированными СЗИ
2 Анастасия

Это весь ответ. А чего вам не хватает в нём?
Несертифицированные СЗИ, Можно ли нейтрализовать актуальные угрозы ИСПДн несертифицированными СЗИ
2 AlexG и Дмитрий.
Мне пришёл долгожданный ответ и я понял, что был не прав. Каюсь)

В соответствии с частью 2 статьи 19 Федерального закона от 27 июля
2006 г. № 152-ФЗ «О персональных данных» обеспечение безопасности
персональных данных достигается применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.
Применение для обеспечения безопасности персональных данных средств
защиты информации, не прошедших процедуру оценки соответствия,
указанным федеральным законом не предусмотрено.
Необходимость в применении средств защиты информации отсутствует в
случае, если актуальные угрозы безопасности информации могут быть
нейтрализованы путем применения организационных мер защиты информации.
Изменено: Константин - 03.07.2015 10:01:31
Несертифицированные СЗИ, Можно ли нейтрализовать актуальные угрозы ИСПДн несертифицированными СЗИ
2 AlexG по актуальным угрозам согласен.

И я не хочу ни с кем спорить и не стал бы, если бы не..
Если сотрудник ДПС вас остановит и будет вам вменять нарушение правил, а вы будете не согласны, так как во-первых вы не нарушали, а во-вторых этого и в правилах возможно даже нет, вы будете спорить или согласитесь со штрафом?)
Изменено: Константин - 05.06.2015 13:29:59
Несертифицированные СЗИ, Можно ли нейтрализовать актуальные угрозы ИСПДн несертифицированными СЗИ
2 AlexG
Требования согласно 152-ФЗ устанавливает Правительство РФ. Остальные органы действуют согласно установленным Правительством. Так что как бы там Правительство не "накосячило" (хотя это только ваши доводы, возможно оно так и хотело) все остальные должны действовать согласно их установленным требованиям.
[ Закрыто] СЗИ на соответствие СВТ 5 класса/ТУ
2 manigu Я уже всё сказал, что думаю по этому поводу.
Если идти от Приказа, то надо использовать только те технические средства, которые перечислены в п.26.
Я не вижу там сертифицированных на ТУ, а ты?)

Но, трактовкой у нас занимается орган выпустивший Приказ, а это ФСТЭК.
можешь написать письмо во ФСТЭК на ящик postoff@fstec.ru.
------------------------------------------------
В теме письма - напиши "Запрос во ФСТЭК"
Вид письма:
ФИО - Иванов Иван Иванович
Адрес эл. почты - *****
Направляю запрос в Федеральную службу по техническому и экспортному контролю
Тема - Использование СЗИ сертифицированных на ТУ
и далее вопрос
-----------------------------------------------
в течение месяца жди ответ.
Если будешь писать, отпишись когда придёт ответ!
[ Закрыто] СЗИ на соответствие СВТ 5 класса/ТУ
2 manigu
Когда в документе не написано про ТУ, но конкретно написано про все остальное это предполагает, что надо использовать то, что предложено. Я думаю так.

Но, если честно, не очень верится, что есть средства, которые, к примеру, проходят на ТУ, но не сертифицируются на СВТ, хотя с твоих слов могут.
[ Закрыто] СЗИ на соответствие СВТ 5 класса/ТУ
2 manigu

Пункт 11ый того же приказа. Нет сертификации, нет защиты.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
2 Анастасия

Я если честно не силён в медицинских документах.

Но 1 - листок(справка) похожа на спец. пдн.
2 - сведения о приёме лекарств не очень)
но вы ведь всё понимаете, это зависит от того, что там написано)
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
2 Анастасия
Добрый день!
Думаю, что относятся. Но можно от обратного. У вас есть сомнения, что данные о зрении относятся к данным о состоянии здоровья?
Изменено: Константин - 03.07.2015 09:51:48
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Добрый день!

Как соотносится модель угроз и меры защиты приказов ФСТЭК, на нижеприведённом примере?

Есть, написанная не мной, модель угроз и в перечне угроз для нашей системы значится:
Наименование угрозы - НСД к виртуальной инфраструктуре
Описание угрозы - Угрозы, реализуемые после загрузки операционной системы и направленные на выполнение НСД к виртуальной инфраструктуре с применением стандартных функций ОС и прикладного ПО или с применением специально-созданных программ
Причина возникновения - Уязвимости гипервизора, средств управления виртуальной инфраструктурой

В 17 приказе ФСТЭК сказано, что для моей ГИС (класс защищённости - К3) характерны следующие меры по защите среды виртуализации:
ЗСВ.1 - идентификация и аутентификация
ЗСВ.2 - управление доступом
ЗСВ.3 - регистрация событий
ЗСВ.9 - антивирусная защита

Вот как эти меры соотнести с этой угрозой?
Надо применять эти меры только для указанных в модели угроз причин возникновения, гипервизора и средств управления виртуальной инфраструктурой?
То есть надо применить эти меры только на компе где установлены средство управеления и гипервизор?
Планы проверок ФСТЭК в области защиты персональных данных на 2015 год
2 Наталья Возможно и так. Я такого плана не видел.
Планы проверок ФСТЭК в области защиты персональных данных на 2015 год
http://fstec.ru/component/attachments/download/743
Изменено: Константин - 18.06.2015 09:41:23
Согласие не обработку ПДн работников потенциальных клиентов
Добрый день!

Нужно.
Согласие на обработку ПДн на сайте, Правомерность согласия в электронном виде
2 Дмитрий. Законодательство не говорит об этом.
"разрешено всё то, что не запрещено"
Согласие на обработку ПДн на сайте, Правомерность согласия в электронном виде
2 Дмитрий

1. Если я вас правильно понял, то вы хотите узнать почему сайтам достаточно вашей галочки.
п.5 ст.6 152-ФЗ говорит о том, что согласие не требуется если обработка необходима для исполнения договора.
Таким договором может являться оферта, размещенная рядом с галкой. И оператор просит вас сначала с ней ознакомиться, а потом если вы согласны с условиями поставить галку. Соответственно в этот момент вы заключаете договор.

2. Оператором в вашем случае будет являться лицо использующее сайт. Обработку может осуществлять другое лицо, если это так, то оно тоже должно быть указано в согласии.
Юридическое обоснование переаттестации ИСПДн
2 Максим
согласно п.3.8.4 "Положения по аттестации объектов информатизации по требованиям безопасности информации" (утв. Гостехкомиссией РФ 25.11.1994)
"Аттестат соответствия" выдается владельцу аттестованного объекта информатизации органом по аттестации на период, в течение которого обеспечивается неизменность условий функционирования объекта информатизации и технологии обработки защищаемой информации, могущих повлиять на характеристики, определяющие безопасность информации (состав и структура технических средств, условия размещения, используемое программное обеспечение, режимы обработки информации, средства и меры защиты), но не более чем на 3 года.
3.8.5. В случае изменения условий и технологии обработки защищаемой информации владельцы аттестованных объектов обязаны известить об этом орган по аттестации, который принимает решение о необходимости проведения дополнительной проверки эффективности системы защиты объекта информатизации.

Правда я так понимаю есть новые ДСПшные документы ГОСТ РО 0043-003-2012 "Аттестация объектов информатизации. Общие положения" и ГОСТ РО 0043-004-2013 «Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний».
Но мне кажется в них то же самое сказано.

В явном виде не сказано, что нужна переаттестация. Надо обратиться в аттестующий орган. Они уже сами решат, как лучше поступить.
Изменено: Константин - 25.06.2015 11:36:05
Отключение USB портов на АРМ, Отключение USB портов на АРМ
2 Владимир
Есть программы которые блокируют по белым, либо по чёрным спискам. задаёте серийники устройств необходимых для работы, а всё другое блокировать. И будет вам счастье.
ЭЦП и их носители
А где в 796 приказе сказано, что усиленная КСКП должна хранится на усиленном носителе?
первая часть приказа про средства ЭП, вторая про УЦ.
из определения средства ЭП - шифровальные (криптографические) средства, используемые для реализации хотя бы одной из следующих функций - создание ЭП, проверка ЭП, создание ключа ЭП и ключа проверки ЭП;
не следует, что в их состав входят носители.
Страницы: 1 2 3 След.