Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Минюст обязал банки проводить пентесты и аудит кибербезопасности

13/08/2018

Банки обяжут соблюдать новые меры кибербезопасности, среди которых обязательными являются аудит информационной безопасности, различные тестирования на проникновение (пентесты), обязательная сертификация использованного программного обеспечения.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: Пред. 1 2 3 4 5 6 7 След.
Аттестации подлежат те, кто обрабатывает ГИР, Письмо ФСТЭК
Изначально вопрос был вовсе не про ГИР.Приведу оригинал моего письма по электронной почте:
Добрый день!
Для медицинских учреждений (государственных) аттестация обязательна - если ориентироваться на СТР-К, а по приказу ФСТЭК 58 от 05.02.2010 - обязательная аттестация отменена. Поясните, СТР-К носит обязательный характер (тогда аттестация обязательна) или рекомендательный (аттестация не обязательна) для гос.учреждений.

Мои комментарии: понятно что я имела ввиду,что аттестация отменена в свете выхода приказа 58 и решения фстэк от 5.03.10 об отмене двух документов. Мне хотелось понять какова роль СТР_К для гос учреждений. Потому как либо надо аттестовывать всех и каждого(а это сами понимаете...) либо аттестовывать будет некого (за исключением добровольного желания).
Вот ФСТЭК,собственно ответил как обычно,по своему. Опять же не касаясь конкретно мед.учреждений(а я хотела этим письмом руководствоваться при работе с ЛПУ). Вот получилось так что все свели к теме ГИР.
Аттестации подлежат те, кто обрабатывает ГИР, Письмо ФСТЭК
Да,видимо ФСТЭК любит двоякости.Меня тоже прежде всего интересовало-либо да либо нет. А тут опять ни так,ни сяк...Ну конкретно к нашей организации- у нас ГИР нет,да и в обычных поликлиниках,больницах думаю тоже. Значит аттестация по желанию...если конечно не нужна лицензия на ТЗКИ.
Аттестации подлежат те, кто обрабатывает ГИР, Письмо ФСТЭК
http://files.mail.ru/SPZ70M пока так.если что то не получится могу выслать,качество не очень ,но слова видно разборчиво .
Аттестации подлежат те, кто обрабатывает ГИР, Письмо ФСТЭК
Подскажите как прикрепить письмо с компьютера ,я его размещу.Ответы как сделать в личку.Оно в виде скана.
Изменено: Елена - 14.07.2010 12:38:44
[ Закрыто] Нужно ли СТР-К при аттестации ИСПДн
Цитата
omaxs пишет:
Не все государственные учреждения попадают под СТР-К, а только государственные органы.
Да,спасибо,я уже поняла это. Значит,аттестация обязательна для гос.органов,для остальных -она необязательна. Спасибо за замечания. Когда писала сюда,просто не заострила на этом внимание. Теперь стало яснее.
[ Закрыто] Нужно ли СТР-К при аттестации ИСПДн
Как я понимаю,там,где есть ГИР-то выполняем по СТР-К,для остальных систем обязательной аттестации нет...
[ Закрыто] Нужно ли СТР-К при аттестации ИСПДн
Я уже говорила,что речь не только о ПДн,но и о конфиденциальной информации(сюда можно отнести и служебную,врачебную тайну),что есть в учреждении. Не привязыйвайте все только к ПДн.
[ Закрыто] Нужно ли СТР-К при аттестации ИСПДн
конкретно по Ярославской области есть документ Закон Ярославской области от 6 мая 2010 г. N 12-з "О государственных информационных ресурсах Ярославской области"
Статья 5. Состав государственных информационных ресурсов Ярославской области
Государственные информационные ресурсы Ярославской области включают:
1) информацию, содержащуюся в государственных информационных системах Ярославской области;
2) архивные фонды Ярославской области;
3) библиотечные фонды государственных библиотек Ярославской области;
4) информацию о деятельности государственных органов;
5) иные сведения и документы, имеющиеся в распоряжении государственных органов, независимо от формы их представления.
Возможно в других областях есть такого рода законы..

Я понимаю,что если есть информация,отнесенная к ГИР,то соответсвенно надо ее защищать и делать все по СТР-К...Поправьте,если я не права.
[ Закрыто] Нужно ли СТР-К при аттестации ИСПДн
И где определен порядок декларирования соответствия? Как мне известно,эта процедура еще не описана. Документ или пунктик как это делается ,пожалуйста.
[ Закрыто] Нужно ли СТР-К при аттестации ИСПДн
Я узнавала это приментиельно только к государственным медицинским учреждениям(а не всем абсолютно гос.учреждениям)
А еще конкретно по Ярославской области есть документ Закон Ярославской области от 6 мая 2010 г. N 12-з "О государственных информационных ресурсах Ярославской области"
В нем определены виды ГИР:
Статья 7. Виды государственных информационных систем Ярославской области, порядок их создания и эксплуатации
1. Государственные информационные системы Ярославской области включают:
1) информационные системы Ярославской областной Думы;
2) информационные системы органов исполнительной власти Ярославской области;
3) информационные системы иных государственных органов.
....
[ Закрыто] Нужно ли СТР-К при аттестации ИСПДн
Коллеги,сразу прошу прощения. По моему запросу ФСТЭК ответили,что не совсем верно сформулирован вопрос. Пришлют ответ,в котором будет написано что необходимо задать вопрос по другому, что бы ответить правильно.
При разговоре (по телефону) с представителем ФСТЭК по поводу СТР-К рассказываю как мне ответили:
1. В учреждении обрабатывается конфиденциальная информация, в том числе ПДн.
2. В учреждении должен быть определен Перечень сведений конфиденциального характера.
3. Поскольку учреждение государственное,то сведения,которые обрабатываются являются государствеными информационными ресурсами.
4. При создании и эксплуатации государственных информационных систем ....должны соответствовать указанным требованиям.
5. Данные требования изложены в СТР-К, поскольку 58 приказ излагает лишь способы и методы защиты,а не ТРЕБОВАНИЯ.
6. Соответсвие требованиям необходимо подтвердить.Для этого нужна аттестация.
7. Официальным подтверждением соответствия требованиям по безопасности информации является Аттестат соответствия (на АС и ЗП).

Теперь то же самое со ссылками на законодательство:
1. ПДн относятся к конфиденциальной информации в соответсвии с "Перечнем сведений конфиденциального характера", утвержденного Указом Президента Российской Федерации от 06.03.97 №188. Не забываем,что есть не только ПДн,что можно отнести к конфиденциальной информации.
2. смотрим п.3.6 СТР-К.
3. смотрим п.9 Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации"
4. смотрим п.5 Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации"
5. смотрим п.2.2 СТР-К.
6. смотрим п.2.17 СТР-К.
7. смотрим п.3.20 СТР-К.

Сразу оговорюсь,что могла что то упустить,написать неточно. Прошу всех высказывать свое мнение,для этого и есть форум. Пункты СТР-К могут не сопадать-поскольку у меня в наличии только СТР-К 2001 года, редакцию 2002 пока не получили. Если кто подскажет,можете подправить.

Коллеги,призываю всех к активному обсуждению данного вопроса))
P.S. Делайте выводы коллеги. БЕЗ бумажки - вы букашки))
[ Закрыто] Нужно ли СТР-К при аттестации ИСПДн
Позвонили из ФСТЭКа 17 июня, по телефону сказали что дадут ответ через неделю.Видимо сложный вопрос оказался,если столько времени думать будут. Так что ждемс.Обязательно размещу письмо здесь. Я помню.
про согласованную со ФСТЭК модель угроз
Ну об этом спор в соседней ветке форума,что считать автоматизированной обработкой,а что нет. Я всего лишь предположила,чтоб не возникало впечатления,что в больницах и поликлиниках все только на бумаге. А так я с вами соглашусь,что можно попробовать свести к ПП 687.
про согласованную со ФСТЭК модель угроз
Svyazist, автоматизированная обработка есть например в регистратуре,когда вы получаете стат.талон-там и адрес и ФИО,номер полиса и прочее,все это хранится в электронном виде.К тому же выписка рецептов зачастую производится тоже в электронном виде (сам рецепт заполняется и потом распечатывается) -там и диагноз и ФИО человека и соответсвенно то,что назначено.Еще у врачей есть выписки в электронном виде,куда заносится диагноз,проведенное лечение,назначенные лекарства,какие делались анализы и пр. И например,система Льготный учет,куда заносится ФИО,адрес,является ли человек льготником и пр. Это то что я знаю,не работая в поликлинике или больнице.Просто то,с чем пришлось столкнутся. Возможно,есть еще множество неописанных ситуаций.
[ Закрыто] Кто является органом по аттестации?
Аттестацию проводят лицензиаты-те,кто имеет лицензию по ТЗКИ. Список органов по аттестации можно посмотреть тут http://www.fstec.ru/_razd/_serto.htm
Для медучреждений НУЖНА ЛИЦЕНЗИЯ, официальная позиция ФСТЭК
Полностью согласна,ФСТЭК не любит писать напрямую-прописали бы четко лицензция нужна и тогда б было понятно. А тут опять трактуй как хочешь.После их обоснований не хватает логического завершения данного письма-вывода..
Для медучреждений НУЖНА ЛИЦЕНЗИЯ, официальная позиция ФСТЭК
Получается,чтоб получить лицензию -всем медучреждениям нужно будет покупать КИО,либо брать его в аренду. Минздрав об этом думал? Или у нас как всегда-нет денег....а лицензию хочется..Вообще не понимаю смысл какой приобретать лицензию,тратить кучу средств,если реально те же поликлиники не будут оказывать услуг по ТЗКИ. В штате даже сотрудника не предусмотрено чтоб заниматься защитой ПДн.А тут лицензия,кто заниматься этим будет...
ЗЫ Мыши плакали,кололись, но продолжали жрать кактус...
Получение лицензии на ТЗКИ
Обратитесь к лицензиатам в вашем городе,список можно посмотреть тут http://www.fstec.ru/_razd/_serto.htm -там смотрите перечень органов по аттестации, ищите в этом списке Питер,там около 8 фирм где-то.Выбор за вами.А у них и спросите что и сколько стоит.
Какие средства защиты для К1 и К3?
Ну здесь прошу обратить внимание,что К3 ставится там где кол-во субъектов не больше 100 000,а этот момент могут многие не заметить. И тем более,мне кажется, сейчас не стоит так боятся К1.Аттестации обязательной нет,лицензию получать не надо,криптография не обязательна.Только сертифицированные средства защиты...
Какие документы может составить непосредственно сотрудник оператора без помощи органа по аттестации?
Сейчас нет обязательной аттестации.С чего вы взяли что для 1 и 2 класса она обязательна? Скорее всего вы смотрите старые документы ФСТЭК из четверокнижия,которые отменили. Сейчас надо руководствоваться Приказом 58 (после его выхода аттестации ОБЯЗАТЕЛЬНОЙ нет).А лицензиата вы конечно можете привлечь,этого вам никто не запрещает. Зато будет бумага Аттестат соответствия... Бальзам на душу проверяющим... Еще аттестацию проводят,чтобы в дальнейшем самим можно было получить лицензию на ТЗКИ.Но если у вас такой цели нет, то сначала определитесь -а нужна ли вам аттестация?
Страницы: Пред. 1 2 3 4 5 6 7 След.