Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

ФСБ: Национальному координационному центру по компьютерным инцидентам быть!

13/10/2018

Директор ФСБ России Александр Бортников распорядился создать государственный орган по борьбе с кибератаками. Текст соответствующего приказа размещен на официальном интернет-портале правовой информации.

Обучение

015.3. Системное администрирование операционной системы Astra Linux Special Edition. Специальный курс.
06 - 07 ноября 2018 года

002. Техническая защита информации. Способы и средства защиты информации от несанкционированного доступа.
12 - 16 ноября 2018 года

001. Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных. Курс согласован ФСТЭК России.
19 - 23 ноября 2018 года

026. Подготовка к CISSP и CISM (курс от профессионалов-практиков).
28 - 30 ноября 2018 года

036.2. Внедрение системы управления информационной безопасностью.
04 - 05 декабря 2018 года

036.3. Внутренний аудит СУИБ на соответствие требованиям международного стандарта ISO/IEC 27001:2013.
06 - 07 декабря 2018 года

015.1. Основы работы в операционной системе Astra Linux.
10 - 11 декабря 2018 года

015.2. Системное администрирование операционной системы Astra Linux Special Edition.
12 - 14 декабря 2018 года

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: 1 2 3 4 5 6 7 След.
Как госорганы защищают ПДн своих сотрудников.
Сотрудник заходит на сайт Минздравсоцразвития по протоколу https, используя ключ RuTocken - это я сама видела.
Изменено: Елена - 22.09.2010 13:46:36
[ Закрыто] Сокращения и термины, Основные, принятые в ГОСТах, законах, нормативных документах и в среде информбезопасников, сокращения и термины для непосвященных
ТЗКИ- техническая защита конфиденциальной информации
Разберем 687е постановление, что понимается под этим
Подолью масла в огонь на данну тему http://dementeeva.blogspot.com/2010/08/blog-post.html читаем ниже комментарии и приходим к выводу,что даже представители Роскомнадзора по разному понимают понятие С ИСПОЛЬЗОВАНИЕМ СРЕДСТВ АВТОМАТИЗАЦИИ. А пока в товарищах согласья нет ... уповаем на несовершенство законодательства...
Хотели как лучше,а получилось как всегда...
Разберем 687е постановление, что понимается под этим
Документы, подтверждающие приобретение лицезионного Виндовс смотрите тут,там есть табличка вниз прокрутите страничку http://www.microsoft.com/rus/licensing/products/os/windows.aspx
Изменено: Елена - 31.08.2010 13:24:58
Разберем 687е постановление, что понимается под этим
Обычно выделяют систему- Кадры, Бухгалтерия (обычно 3 класса)+ что именно есть по ученикам . Класс обычно присваивают тем системам ,что хранятся на компьютере. ДЛя бумажных дел-класс присваивать не надо. К тому ж надо смотреть сколько у вас субъектов ПДн -то есть это ученики и сотрудники. От них тоже класс зависит...
Должность или подразделение
Приложение действительно есть,но как всегда написано коряво. Именно наз-ся приказ о назначении отвественных . Вот текст оттуда
П Р И К А З Ы В А Ю:

1) Назначить ответственных за обработку персональных данных в информационных системах персональных данных.
2) Список лиц ответственных за обработку персональных данных должен быть определен на основании Отчета по результатам внутренней проверки.
3) Осуществлять доступ лиц ответственных за обработку персональных данных на основании Положения о разграничении прав доступа к обрабаты-ваемым персональным данным.
4) Разработать и внедрить инструкции пользователей, осуществляющих обработку персональных данных в информационных системах персональных данных.
5) Осуществлять регистрацию обращений субъектов персональных данных в Журнале учета обращений субъектов персональных данных о выполнении их законных прав.
6) Контроль за исполнением настоящего приказа возложить на____________________.
Еще кстати в "Методических рекомендациях для организации защиты...." Минздрава есть раздел Рекомендации по разработке Отчета о результатах проведения внутренней проверки, в нем пункт 15)Для каждой ИСПДн должен быть определен поименный список сотрудников,учасвтующих в обработке. А если к примеру, их около 200? Придется всех переписать видимо. А форму,как всегда,придумывайте сами.Мизндрав как обычно не пишет документы до конца как нужно. ;)
Должность или подразделение
Цитата
Oleg пишет:
Насколько я помню , Елена работает специалистом по защите информации без гос. диплома о именно таком образовании.
Oleg, у меня как раз есть гос. диплом по специальности в области защиты информации (училась 5,5 лет). Наш МИАЦ выступает в роли некоего центра,который пытается обучать тех,кого назначают ответственными в ЛПУ,поэтому и знаю эту ситуацию изнутри так сказать. Очень сложно объяснять компьютерные термины медикам,у которых образование совершенно другое. Просто я хотела сказать,что данное обстоятельство нисколько не мешает назначать ответственым зав.оргметодокабинетом,зам.главврача или просто кадровика. Понятно,что и защита будет соответственной...Но должностей в штатном расписании пока не предусмотрено. УВЫ..
Должность или подразделение
Александр Масленников, вот к примеру в ЛПУ не то что специалистов с образованием по ЗИ нет, а даж этих программистов.Поэтому ответственными за защиту назначают даж замов главврачей. Какое там образование по ЗИ? о чем вы?
Конечно в идеале,не спорю лучше иметь специалиста хорошего со знаниями по ЗИ. Но именно требование такое - это только для получения лицензии.
Изменено: Елена - 02.09.2010 16:01:44
Должность или подразделение
http://www.ispdn.ru/forum/index.php?PAGE_NAME=read&FID=1&TID=964 почитайте было уже об этом. просто пишите приказ о возложении дополнит. обязанностей на программиста.
Нужна помощь в составлении документов для проверяющих.
Цитата
Гость пишет:
нет данная организация является обработчиком, а не оператором. классификация в данном случае это забота собственника ИСПДн.
В законе нет такого понятия как обработчик,есть только понятие оператор.
Журнал обращений пользователей ИСПДн, в электронном виде
До смешного... берем "Методические рекомендациии для организации защиты информации при обаработке ПДн в учреждениях здравоохранения, социальной сферы, труда и занятости" Минздравсоцразвития,смотрим пункт 2 ...каждое Учреждение, эксплуатирующее ИСПДн, должно выполнить...далее пункт 17) Разработать и утвердить электронный журнал обращений пользователей информационной системы к ПДн (см. Приложение 24) ... Так..смотрим приложение 24 ...в нем ....
П Р И К А З Ы В А Ю:

1) Организовать ведение Журнала обращений пользователей информационных систем обработки персональных данных к персональным данным.
2) Журнал вести в электронном виде.
3) Контроль за исполнением настоящего приказа возложить на____________________.

Самое интересное,что все на этом цепочка обрывается..законодатели х....нет образца,шаблона или хоть рекомендаций как это делать...
Меня просто поражает как такие документы проходят согласование во ФСТЭКе,их кто-нибудь читает или нет? ....все у нас делается через одно место...а потом спросят...
Журнал обращений пользователей ИСПДн, в электронном виде
Установленной формы данного журнала нет! Уже интересовалась... Единственное,что тут можно хотя бы сделать ведение логов-регистрацию действий на уровне винды..но ведь это не сами действия с перс.данными...хотя мы сами пока это не ввели. Если есть примеры на практике-то хотелось бы тоже узнать как это воплотить.Желательно чтоб это происходило в автоматическом режиме. Ну если только зацепка на программный продукт Tivoli Secutity Information and Event Manager, в котором это реализовано. У меня есть презентация по этому продукту,могу выслать.
«Обойдемся без лицензии» или самостоятельная апендоктомия
Цитата
Kutyrs пишет:
Помнится, здесь или на банкире, точно не помню, проходило письмо из ЦА ФСТЭК в ЦБ РФ о том, что получение соответствующей лицензии необходимо тем юр.лицам, которые осуществляют предпринимательскую деятельность, связанную с ТЗКИ.
да было такое http://mmite.3dn.ru/_fr/0/4133503.png
Нормативные документы, Нормативные документы
Форумчане,обещанный список можно посмотреть здесь www.itsec.ru/articles2/licences/documents-tzki
Нормативные документы, Нормативные документы
Игорь Ю. Шахалов, можно узнать судьбу перечня НПА? Я так понимаю,Андрей выслал вам его? Как скоро можно будет разместить его здесь для форумчан?
Проверки регуляторов
Константин,как пройдет проверка -отпишитесь на форуме-что и как-думаю всем полезно будет знать.
Уведомление в РКН
Аттестовали одну рабочую станцию и один кабинет-в качестве защищаемого помещения,документы подготовлены для отправки на лицензию, ждем тока оплаты госпошлины за лицензию-поскольку мы гос учреждение-то выделяют деньги по статье :cry: ,как выделят-так и отправим все :idea: . А так пишем как и все бумажки-отчет,акты классификации и прочее,в основе - образцы минздрава...хотя они иногда до смешного глупы...
Уведомление в РКН
Соната, аудио-, виброизлучатели, гранит , еще что то ...точно не вспомню.если что пишите в личку shok0@mail.ru,точнее в агент можно писать.
Уведомление в РКН
Oleg, обращайтесь к лицензиатам в вашем городе - у них узнавайте и цены,просто лицензиаты цены не озвучивают,подход-индивидуальный к заказчику. У нас вышло 35 за аттестацию АС и помещения + покупка ПО и средств для защиты помещения на 60 в среднем так.Это на 1 комп и на один кабинет в качестве защищаемого помещения. Но ведь у всех цены разные,к тому ж у нас гос учреждение-нам могли и подешевше сделать-чтоб вписались в бюджет.
Уведомление в РКН
Да, только надо учесть,что аттестация стоит денег. Мы аттестовали только одну машину-для того чтобы подать документы на лицензию потом. А если так ,просто -ну допустим 150 компов в мед.учреждении-и все аттестовывать? Никакого бюджета не хватит,да и например гос учреждениям столько просто не выделят..Или аттестовывать только там,где идет обработка ПДн...дак все равно таких наберется много...Конечно аттестат-некая гарантия того,что все хорошо,но вопрос я думаю большей частью в финансировании...
Страницы: 1 2 3 4 5 6 7 След.