Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Особенности аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции (работ, услуг), поставляемой по гособоронзаказу.

12/08/2019 

08 мая 2019 г. утверждены новые Правила аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции работ, услуг), поставляемой по государственному оборонному заказу (постановление Правительства Российской Федерации от 30 апреля 2019 г. № 548).

Новые Правила аккредитации кардинально меняют сложившуюся систему не только аккредитации, но и сертификации СМК предприятий, работающих в области государственного оборонного заказа.

Реклама





Партнеры





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: 1 2 3 4 5 6 7 8 9 10 11 ... 26 След.
[ Закрыто] СТО БР ИББС, Вопросы для тех кто руководствуется отраслевыми стандартами в защите
Новая (5-я) редакция СТО БР ИББС введена в действие с 1 июня 2014-го года
[ Закрыто] СТО БР ИББС, Вопросы для тех кто руководствуется отраслевыми стандартами в защите
Тема немного подзабыта - все потому что требования стандарта 10го года выполнены до приемлемого. Скоро (а думаю в этом году) выйдут новые банковские стандарты - скорее всего подхода: "К испдн не относятся АБС- цель которых осуществление БПТП" -небудет. Чтож - придется проводить классификацию по 1119 всех АБС, которые содержат ПДн...
А раньше вышеупомянутая лазейка была ой каким весомым доводом в его принятии - посмотрим - может требования к уровням защищенности стандарт выдвенит адекватные - с учетом технологических процессов, протекающих в кредитных организациях...
[ Закрыто] СТО БР ИББС, Вопросы для тех кто руководствуется отраслевыми стандартами в защите
Цитата
Bars пишет:
Цитата
Сергей С. пишет:
Если вы приняли решение о введении СТО, то и классифицируйте по СТО, если нет - по документам регуляторов.
совет замечательный!

Вы уже пробовали заполнить (отправить) уведомление в РКН с классами ИСПДн-х?
и куда Вас послали?
Никуда не послали - информационное письмо о внесении изменений отправили, а перед этим созвонились - на вопросы получали ответы - а что такое отраслевые стандарты ЦБ, мы не слышали об СТО БР ИББС ... но изменения внесли,все хорошо)
[ Закрыто] СТО БР ИББС, Вопросы для тех кто руководствуется отраслевыми стандартами в защите
Да и у золотой короны нашел правила ПС, что то я отстал от жизни :)
[ Закрыто] СТО БР ИББС, Вопросы для тех кто руководствуется отраслевыми стандартами в защите
Хотя вот смотрю у MasterCard уже есть, у Золотой Короны ничего не нашел!
[ Закрыто] СТО БР ИББС, Вопросы для тех кто руководствуется отраслевыми стандартами в защите
Я к тому что обучение проводилось - проводить второй раз тоже самое.... или о чем написать в программе? (PCI DSS не обязателен), ну а раз обучение уже проводилось - как раз учитывающее общий подход к обеспечению ИБ, что дополнительного написать именно по обеспечению безопасности при осуществлении переводов днежных средств незнаю, не имея конкретных требований от операторов ПС.
[ Закрыто] СТО БР ИББС, Вопросы для тех кто руководствуется отраслевыми стандартами в защите
Думаю что обучать нужно ответственных за обеспечение порядка защиты информации при осуществлении переводов ДС, которых также нужно назначать согласно 382-П
Правда сам этот порядок устанавливается как оператором по переводу денежных средств, так и оператором плат. сист. , а требований от них пока не видно никаких!...
[ Закрыто] СТО БР ИББС, Вопросы для тех кто руководствуется отраслевыми стандартами в защите
Всем доброго времени суток.
Хотелось бы получить совет по вопросу повышения осведомленности сотрудников вопросам информационной безопасности.
Согласно СТО БР ИББС мы разработали программу повышения осведомленности, положение, тесты к программе - как результат контроля. В программу были включены основные моменты - "что такое информация ограниченного доступа - какая у нас есть что нужно делать и когда нужно делать, как выбирать пароли, куда лезть куда не лезть, когда закрывать кабинет, когда лочить комп итп", грубо говоря - вода водой, но для обычного работника это очень даже НОВО.
Теперь, согласно 382-П ЦБ РФ:
2.12.1. Оператор по переводу денежных средств, банковский платежный агент (субагент), являющийся юридическим лицом, оператор услуг платежной инфраструктуры обеспечивают повышение осведомленности работников в области обеспечения защиты информации:
по порядку применения организационных мер защиты информации;
по порядку использования технических средств защиты информации.
Здесь требуется обучение узконаправленное, что лучше - разработать новую программу, или переучить всех, изменив старую и включить в нее требования 382-П.?
Кто то уже работал в этом направлении?
[ Закрыто] СТО БР ИББС, Вопросы для тех кто руководствуется отраслевыми стандартами в защите
Что мы показывали:
Положение по обработке и защите ПДн (+ листы ознакомления с ним работников, осуществляющих непосредственный доступ к ПДн)
Положение по обработке ПДн работников (+ подтверждение ознакомления работников с этим положением (требование ТК РФ))
Инструкция по организации учета, хранения использования и уничтожения матер. носителей информации (+ листы уничтожения документов, содержащие ПДн, которые достигли целей обработки:) )
Показывали Журнал мониторинга и контроля (который в том числе включает проверку по ПДн, это на основании внутреннего положения)
Показывали программу обучения сотрудников, положение по обучению и журнал прохождения обучения.
Описание технологического процесса обработки ПДн только в ИСПДн.
Ну и соответственно они смотрели личные дела и т.п. + смотрели остальные документы (приказ о назначении ответственного за обработку и т.д.)
[ Закрыто] СТО БР ИББС, Вопросы для тех кто руководствуется отраслевыми стандартами в защите
Конкретного перечня у нас не требовали - необходимо было предоставить документы оператора, подтверждающие выполнение требований ФЗ-152, 781-П и т.п.
В общем то, названия ведь могут отличаться. Проверка проходила по принципу - а это требование у вас выполнено - где? а это где? а документы подтверждающие уничтожение ПДн, по достижении целей обработки и т.п.
[ Закрыто] СТО БР ИББС, Вопросы для тех кто руководствуется отраслевыми стандартами в защите
Сергей С., спасибо
ЭЛЕКТРОННАЯ ПОДПИСЬ (взамен ЭЦП), вопросы
Спасибо - вот хороший пример - если нужно кому-то https://money.yandex.ru/doc.xml?id=522764
ЭЛЕКТРОННАЯ ПОДПИСЬ (взамен ЭЦП), вопросы
Здравствуйте всем!
Необходимо подготовить (до 1 июля 2013 г.) изменения в договор на Банк-Клиент.
Что и как изменить ?
1.поменять ЭЦП на ЭП (и другие определения)
2. добавить обязанность по документированию действий и их результатов в случае копрометации ключевой информации (требования СТО БР ИББС М3-27)
3. Нужно ли писать в договоре, что наша ЭП - это усиленная неквалифицированная подпись?
4. Что про информирование клиента о совершении каждой операции при осуществлении электронного платежа (ст.9 ФЗ о НПС)
Что еще нужно поменять, дополнить? спасибо!
Специалист, Магистр, Вопрос
Добрый день уважаемые коллеги!
На данный момент имею диплом специалиста по ИБ, работаю по специальности.
Предлагают мне поступить в магистратуру, по тому же профилю, стоит ли, или это пустая трата времени - в аспирантуру не собираюсь, ну хотя всякое может быть!)
Спасибо!
[ Закрыто] Примерный список запрашиваемых документов при проверке Роскомнадзором Оператора персональных данных
Мне кажется нужно составлять не список документов, а список требований, которые документы должны содержать!)
[ Закрыто] Журнал ознакомления персонала с распорядительными док-ми по ПДн, как лучше сделать?
Сделать можно как угодно, у нас недавно была проверка РКН - нарушений не выявлено.
У нас есть - при трудоустройстве - обязательство о неразглашении (соглашение о неразглашении); лист ознакомления - в личном деле хранится. И самое основное - есть положение по обучению и повышению информационной безопасности, уже программЫ(включают не только ПДн) по обучению и повышению осведомленности в области ИБ - и соответственно журналы, но самое главное в том, что подписей в журнале -2, одна-о проведении обучения, вторая об ознакомлении с перечислинными документами в шапке журнала- на них ссылается программа обучения, ну и подпись обучающего (чтобы пройти обучение и повышение осведомленности кстати нужно ответить на вопросы тестов к программе)
- это правда все по СТО БР ИББС, можно сделать проще.
Перечень сотрудников (должностей) работающих с ПДн
Сергей С. прав - ознакамливать нужно всех, и указывать в перечень должностей работников, осуществляющих непосредств. доступ к ПДн! И здесь не обязательно привязывать к ИСПДн - а если работник обрабатывает ПДн неавтоматизированным способом - ПП687, он ведь имеет непосредственный доступ к ПДн.
политика ИБ в области ПД и положение о ПД это одно и то же?
У нас была проверка РКН, мы опубликовали положение, отдельную политику для этого не делали, т.к. по моему нужно опубликовать не именно политику, а документ, определяющий политику в отношении обработки ПДн - вопросов не возникло!Исходя из того что у терр. органов разные мнения - делайте по своему усмотрению!)
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Звонят, на сколько я понял коллекторы, если еще раз получу звонок, то соответственно отправлю заказное письмо, в зависимости от ответа - напишу заявление в РКН! Если что то новое появится отпишусь!
Что бы вы хотели улучшить в ISPDN.RU, Дальнейшее развитие
А я залогиниться немогу!??
Страницы: 1 2 3 4 5 6 7 8 9 10 11 ... 26 След.