Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

SIEM ОТ MCAFEE УСПЕШНО ПРОШЛА СЕРТИФИКАЦИЮ ФСТЭК РОССИИ

01/04/2015

McAfee Security Information and Event Management (версия 9.3) успешно прошла сертификационные испытания, результатом которых стал сертификат соответствия №3353 (от 18 февраля 2015), выданный ФСТЭК России.

Реклама

Партнеры

Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: 1 2 3 4 5 6 7 8 9 10 11 ... 23 След.
Нужно ли уведомлять роскомнадзор?
Сведения об учредителях в виде ФИО и ИНН содержаться в ЕГРЮЛ.
А вот паспортные данные, включая афилированных лиц там нет - компания такое обязана обрабатывать, а для акционерных обществ и работающих на финансовом рынке еще и списки формировать и направлять на биржи (закон об инсайде).

Если оператор получает согласие на обработку - то он должен уведомлять.
Нужно ли уведомлять роскомнадзор?
Вы получили резюме соискателя с целью заключения договора? Тогда после встречи заключайте трудовой договор или давайте официальный отказ от заключения договора.
Нужно ли уведомлять роскомнадзор?
В документах на открытие счета сведения отнесены к Банковской тайне.
Там есть например контрольное слово для идентификации через телефон.
Нужно ли уведомлять роскомнадзор?
Цитата
эльнар пишет:
организация:
численность 56 чел
2 испдн 3к ("1С: Зарплата и кадры 7.7", "Кодекс: УПРАВЛЕНИЕ ПЕРСОНАЛОМ")
обрабатываем ПД только своих сотрудников.
ПД передаем 3-м лицам согласно федеральным законам:
-налоговой
-военкомату
-пенс. фонд
-фонд обязательного мед. страхования
зп переводим на карточку в банк, который нас обслуживает. Хотя формально анкету на карту заполняет сам сотрудник, бухгалтер выступает лишь курьером между работником и банком.
И вот тут возникает вопрос нужно ли уведомлять роскомнадзор о намерении обрабатывать ПД?
согласно фз-152 ст.22 п.2:
Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
у нас есть все оснавания вести обработку без уведомления РосКомНадзора?
порправьте пожалуйста, если я не прав.
Для начала:
1. У организации есть учредители/акционеры и их официальные представители (физ лица) вы их данные не обрабатываете? 115-ФЗ т ФЗ об ООО и акционерных обществах не содержат требований по защите, значит согласие.
2. Соискатели на вакантные должности (ТК РФ еще для них не действует, не путайте с кандидатами на вакантные должности) - только согласие или оферта.
3. Бухгалтер не имеет право возить документы в банк на открытие карточек работникам - это УК РФ (доступ к банковской тайне постороннего лица) и нарушение со стороны банка - идентификацию банк проводит неправильно.
Криптосредства
Если брать работу большой организации с большим кол-вом СКЗИ, то необходимо вести аппаратный журнал ввода в эксплуатацию ключевой информации - для филиалов вели именно так, но организация являлась лицензиатом.
Кстати, а ключи внутри организации кто делает? Ведь по требования 63-ФЗ сам пользователь должен получать сертификат в УЦ, если нет - то это оказание услуг и тут не все так просто.
ИСПДн К1 Веб-сайт., Внесение данных о здоровье через сайт.
Цитата
Гость пишет:
Цитата
Дмитрий Левиев пишет:
Для систем, обрабатывающих сведения о состоянии здоровья, необходим сертификат на НДВ.(58 приказ)
Средства Microsoft этому не удовлетворяют.
Предлагаемая схема защиты неправильная, т.к. на уровне ОС защита есть, на уровне канала защита есть, на уровне сервиса защиты нет - следовательно угрозы не закрыты.
Если Вы проектируете систему, то необходимо сформировать требования и к взаимодействующим ИСПДн - у вас это нет.
Что же тогда с этим SQL сервером делать-то?))))
Сертифицировать сервер приложения на НДВ и СВТ - самы простой путь.
Кстати, не забудьте сделать контроль встраивания КриптоПро - это тоже не дешевое занятие (смотри эксплуатационную документация на СКЗИ)
ИСПДн К1 Веб-сайт., Внесение данных о здоровье через сайт.
Для систем, обрабатывающих сведения о состоянии здоровья, необходим сертификат на НДВ.(58 приказ)
Средства Microsoft этому не удовлетворяют.
Предлагаемая схема защиты неправильная, т.к. на уровне ОС защита есть, на уровне канала защита есть, на уровне сервиса защиты нет - следовательно угрозы не закрыты.
Если Вы проектируете систему, то необходимо сформировать требования и к взаимодействующим ИСПДн - у вас это нет.
Согласие на обработку, В новой редакции ФЗ №152 (от 27.07.11) не нашёл тезиса о том когда не требуется согласие субъекта
Цитата
Сергей С. пишет:
Заключение договора - любого, в т.ч. трудового. Получается, что не нужно согласия для обработки резюме или анкеты с целью рассмотрения возможности заключения трудового договора, если договор не заключен - цель обработки достигнута - ПДн нужно уничтожить, но это уже другая статья.
Резюме обрабатывается не на основании ТК РФ, иначе вы будете обязаны принять всех на работу, кто прислал резюме. Смотрите разъяснения РКН.
как составить модель угроз?
Цитата
Сергей пишет:
Скажите, пожалуйста, так нужна ли лицензия ФСТЭКа для организации технической защиты персональных данных в своей организации? Или просто нужно использовать программное обеспечение,которое имеет лицензию от ФСТЭКа?
На проектирование системы защиты необходима лицензия ТЗКИ.
ПО, имеющее лицензию ФСТЭК России - это что-то новое, видимо имелось в виду лицензионное ПО, реализующее функционал средств защиты информации, прошедшее в установленном порядке оценку соответствия в системе сертификации ФСТЭК России.
По лицензировани - смотри новый ФЗ О лицензировании 99-ФЗ и проект нового ПП http://www.fstec.ru/_licen/prpost3.rtf
Изменено: Дмитрий Левиев - 22.08.2011 10:35:38
Тупые вопросы, которые вы хотели, но боялись спросить, Разное
1. Как назовете цель - так и получите.
2. Если ИСПДн состоит из подсистем - то класс по максимальному классу.
Использовать WIFI в ИСПДн, WIFI и ИСПДн
Т.к. wifi-сеть может выйти за пределы контролируемой зоны, то необходимо использовать организационно-технические меры по защите трафика от перехвата. На практике это использование сертифицированной СКЗИ.
Ставите на устройстве VPN-клиент, за WIFI-точкой доступа - VPN-концентратор и радуетесь жизни. VPN -решение должно быть сертифицировано ФСБ России.
Не забудьте по модели нарушителя выбрать класс СКЗИ.
Срок хранения персональных данных сотрудников
- в ИС храним не более 3-х лет - срок исковой давности, в том числе по налогам. Работодатель - налоговый агент работника, а сдача налоговой отчетности идет в электронном виде.
- личные дела уволенных работников из отдела кадров передаем в течение 3-х месяцев в архив в соответствии с требованиями архивного делопроизводства.
- документы соискателей обрабатываются в течении 3 месяцев потом уничтожаются
- документ соискателей согласившихся на кадровый резерв - хранятся 1 год
хранение ПД за границей, можно ли уйти от выполнения 152-ФЗ?
1. Ваша организация резидент РФ?
2. Как ЮЛ - резиденты РФ получают бухгалтерские документы? У них всех открыт ВЭД?
[ Закрыто] Не дают согласие на обработку данных, медицинское учреждение
С учетом действующих норм ГК РФ медицинскому учреждению достаточно разработать и официально опубликовать договор - публичную оферту на оказание медицинских услуг. Согласие (присоединение к договору) может осуществляться действием (запись на прием) или осуществлением платежа (для платных услуг).
При этом все вопросы с ОМС, ДМС, платной помощью, федеральными программами и муниципальными программами решается в одном документе.
Для уменьшения риска можно данный документ согласовать с РКН.
Опыт таких работ есть.
Модель угроз, вероятность реализации угрозы
Можно поставить низкую - меня приняты и достаточные. ;)
Вариант для КС3, ЛВС, есть инет, терм. сервер
Цитата
Anatoly пишет:
Состав, ОС и базовая защита (всего 6 машин в одной сети без домена):
4 рабочих станции (WinXP + {Аккорд 2000/NT} + {ШИПКА 1.6} + {Dr. Web})
1 терминальный сервер (Win2k3 TSE + {Аккорд 2000/NT+РАУ TSE} + {ШИПКА 1.6} + {Dr. Web})
1 FireWall ({WinXP} + {Dr. Web}+{UserGate FireWall&Proxy}+{X-Spider})
//в фигурных скобках сертифицированные продукты (конкретизация по запросу)
На рабочих станциях стоят офис и терминальные клиенты (базовые), а также:
на 1й. Клиент-банк + 1С ЗиУП 8.0
на 2й. Такском Спринтер
на 3й. Iое ЭДО с контрагентом (серт.)
на 4й. IIое ЭДО с ФСФР
На терминальном сервере:
1. 1С, а на ней несколько конфигураций, несколько баз данных. Используется в терминальном режиме
2. Система централизованного управления и аудита РАУ для Аккордов
На FireWall'е:
1. Центр управления Dr.Web
ИСПДн одна, КС3. Состав:
1. Инфо о сотрудниках, документы ( < 20 субъектов)
2. Инфо о клиентах, документы, база счетов ( < 300 субъектов)
3. Инфо об учредителях, документы
4. Инфо об акционерах
Через ЭДО, ФНС (Такском), Клиент-Банк циркулируют смешанные данные (документы с ПДн клиентов и документы с ПДн сотрудников), поэтому было принято решение создать единую ИСПДн.
Пользователи:
Гендир, Главбух, Зам.Главбуха, Нач. Отдела, Зам. нач. отдела (генеральный без машины, только подписывает своей ЭЦП платежки и два документа вместе с Главбухом). Все пользователи Равноправные
Админ:
Администратор безопасности (есть), по совместительству сисадмин
Имеет место быть, косяки? (Орг.меры, документы, шкафы здесь не рассматриваются)

Анатолий!

1. Объединение баз для не связанных между собой целей.
2. Согласно ТК права у пользователей должны быть согласно обязанностей - а у вас они равные.
3. XSpider на МЭ не ставят. Он должен стоять на отдельной машине и как раз проверять МЭ.
Варианты решения:
1. Написать цели обработки для каждой категории субъектов
2. Проверить нет ли запрета на пересечение прав доступа - по моему есть.
3. Права сделать разными - 1С давно уже имеет сертификат на версию 8.2z. с этого лета уже делаю системы с разными правами - правда там есть особенности.
4. Управлять с МЭ - неправильное техническое решение.
5. Домена нет, но есть централизованное управление Аккордом - как реализовали? Стандартно РАУ через домен работает.
Должности администраторв ИСПДн
Администратором ИСПДн - может быть любой сотрудник организации, если он понимает что надо делать.
Администратор безопасности ИСПДн отличается от администратора набором дополнительных прав и обязанностей и должен чуть больше чем администратор.
На практике администратором безопасности в медицинских учреждениях назначали руководителя отделения (например функциональной диагностики или неинвазивных исследований, поскольку, как правило, этот персонал хорошо понимает проблемы вычислительной техники), а администратором ИСПДн - ИТ специалиста, он же программист, он же начальник АИС.
В региональных стационарах: админ безопасности - начальник АИС, админ системы - программист.
Могут ли продавцы алкоголя спрашивать паспорт??
Во исполнении ФЗ об ограничении торговли спиртным обработка ПДн разрешена. Главное чтобы было предъявление, а не передача - смотри из моих рук :D
изменения в закон о ПД
Приняли правки ;)
http://asozd2.duma.gov.ru/main.nsf/%28SpravkaNew%29?OpenAgent&RN=282499-5&02
Закон «О персональных данных» изменят задним числом
Приняли ;)
http://asozd2.duma.gov.ru/main.nsf/%28SpravkaNew%29?OpenAgent&RN=282499-5&02
Страницы: 1 2 3 4 5 6 7 8 9 10 11 ... 23 След.