Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Особенности аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции (работ, услуг), поставляемой по гособоронзаказу.

12/08/2019 

08 мая 2019 г. утверждены новые Правила аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции работ, услуг), поставляемой по государственному оборонному заказу (постановление Правительства Российской Федерации от 30 апреля 2019 г. № 548).

Новые Правила аккредитации кардинально меняют сложившуюся систему не только аккредитации, но и сертификации СМК предприятий, работающих в области государственного оборонного заказа.

Реклама





Партнеры





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: Пред. 1 ... 129 130 131 132 133 ... 170 След.
RSS
[ Закрыто ] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Цитата
snow пишет:
Цитата
Сергей С. пишет:
Сначала определите что вы обрабатываете - перечень обрабатываемых Пдн (отдельно по работникам и клиентам), правовое обоснование обработки, есть ли специальные категории Пдн, необходимость получения согласия субъектов, трансграничная передача и т.п.. Потом кто (перечень сотрудников) и где (программы и железо) обрабатывает эти Пдн. Определитесь с перечнем необходимых документов (на сайте выкладывали несколько раз список, который требует Роскомнадзор) и разработайте их, а после (или параллельно) 1119ПП, 21 и 17 приказы ФСТЭК - стройте систему защиты.
спасибо большое, будем пробовать
Перечень
организационно-распорядительной документации регламентирующей мероприятия по защите персональных данных.
1. Модель угроз и модель нарушителя безопасности персональных данных при их обработке в информационных системах.
2. Акт установления уровня защищенности информационной системы персональных данных (на каждую систему).
3. Техническое задание на создание системы защиты информационной системы персональных данных (на каждую систему).
4. Уведомление в Роскомнадзор России об обработке персональных данных.
5. Уведомление субъекта персональных данных.
6. Согласие на обработку персональных данных работника (если необходимо).
7. Согласие на обработку персональных данных клиента (если необходимо).
8. Акт об уничтожении персональных данных субъекта персональных данных.
9. Положение об обработке персональных данных.
10. Положение об обработке персональных данных работника.
11. Перечень персональных данных, обрабатываемых в Организации.
12. Уведомление субъекта персональных данных о факте уничтожения (изменении, прекращении обработки, устранении нарушений обработки персональных данных).
13. Журнал учета электронных носителей информации в Организации, на которых осуществляется обработка персональных данных.
14. План внутренних проверок состояния системы защиты информационных систем персональных данных в Организации.
15. Обязательство о неразглашении информации работником, содержащей персональные данные.
16. Журнал учета обращения субъектов персональных данных о выполнении их законных прав при обработке персональных данных в информационных системах персональных данных.
17. Журнал учета средств криптографической защиты информации (при наличий средств криптозащиты).
18. Журнал учета материальных носителей информации, переданных третьим лицам и содержащих персональные данные.
19. Журнал учета криптографических ключей (при наличий средств криптозащиты).
20. Журнал учета однократного прохода субъектов персональных данных в Организацию.
21. Инструкция по порядку резервирования и восстановления работоспособности технических средств, программного обеспечения баз данных и средств защиты информации в информационных системах персональных данных Организации.
22. Инструкция по организации парольной защиты в информационной системе персональных данных.
23. Инструкция пользователя информационной системы персональных данных.
24. Инструкция администратора информационной системы персональных данных.
25. Инструкция по организации антивирусной защиты в информационной системы персональных данных.
26. Порядок маркировки магнитных носителей информации в Организации, содержащих персональные данные.
27. Перечень лиц, допущенных к обработке персональных данных в информационной системе персональных данных (по каждой системе).
28. Перечень работников, допущенных к работе с ключами средств криптографической защиты информации ( при наличий средств крипто защиты).
29. Перечень информационных систем персональных данных в Организации.
30. Перечень средств защиты, применяемых для защиты информационных систем персональных данных.
31. Приказ о ведении электронного журнала обращений пользователей к персональным данным.
32. Приказ о проведении работ по установлению уровней защищенности информационных систем персональных данных.
33. Приказ о перечне лиц, допущенных к обработке персональных данных.
34. Приказ о создании комиссии по установлению уровней защищенности информационных систем персональных данных.
35. Приказ о назначении работников, допущенных к работе с ключами средств криптографической защиты информации (при наличий средств криптозащиты).
36. Приказ о назначении ответственных лиц за обеспечение безопасности при обработке персональных данных в Организации.
37. Приказ о назначении ответственных лиц за эксплуатацию средств защиты информации.
38. Приказ о назначении ответственных лиц за работу с криптографическими средствами (при наличий средств криптозащиты).
39. Приказ об утверждении перечня, обрабатываемых персональных данных.
Цитата
Евгений пишет:
Возник такой вопрос: в карточке Т-2 и в 1С 8.2 есть поля: семейное положение, гражданство - это специальные категории персональных данных? Также есть поле "инвалидность" - это биометрия или специальные перс.данные? Просто получается, если так, то у ВСЕХ, кто пользуется 1С или ведет учет по форме Т-2 уровень защищенности будет не ниже 3-го...
Из 152-ФЗ все ведь ясно:

Статья 10. Специальные категории персональных данных
1. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частью 2 настоящей статьи.
Статья 11. Биометрические персональные данные

1. Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
Цитата
Pavel пишет:
Скажите, пожалуйста, кроме ФЗ152, приказов фстэк 17 и 21, постановления 1119 что еще нужно из нормативки для ИСПДН знать?
в приказах 17 и 21 упоминаются классы СВТ, классы антивирусов и тп - что это такое и где смотреть соответсвующие наименования антивирусов, шлюзов и тп?
Таблица,
средств защиты информации

(согласно приказа ФСТЭК России № 21 от 18 февраля 2013 года)
УЗ1
УЗ2
УЗ3
УЗ4
АУ1,АУ2 или АУ3 с ССОП
АУ3 без подключения к ССОП
АУ1,АУ2 или АУ3 с ССОП
АУ3 без подключения к ССОП
АУ2
АУ3 с подключения к ССОП
АУ3 без подключения к ССОП
-
СВТ
5 класс СВТ
5 класс СВТ
5 класс СВТ
6 класс СВТ
СОВ
4 класс СОВ и 4 НДВ
4 класс СОВ и 4 НДВ
4 класс СОВ и 4 НДВ
4 класс СОВ
5 класс СОВ
5 класс СОВ
САЗ
4 класс САЗ и 4 НДВ
4 класс САЗ и 4 НДВ
4 класс САЗ и 4 НДВ
4 класс САЗ
5 класс САЗ
5 класс САЗ
МЭ
3 класс МЭ и 4 НДВ
4 класс МЭ и 4 НДВ
3 класс МЭ и 4 НДВ
4 класс МЭ и 4 НДВ
3 класс МЭ и 4 НДВ
3 класс МЭ
4 класс МЭ
5 класс МЭ
Другие СЗИ
Любое ТУ или 3Б и 4 НДВ
Любое ТУ или 3Б и 4 НДВ
Любое ТУ или 3Б и 4 НДВ
Любое ТУ или 3Б
Любое ТУ или 3Б
УЗ-уровень защищенности ИСПДн
АУ-максимальный тип актуальных угроз
ССОП-сеть связи общего пользования (Интернет)
Цитата
Valery пишет:
9. Положение об обработке персональных данных.
10. Положение об обработке персональных данных работника.
а в одном "Положении об обработке ПДн" нельзя обозначить субъектов (работгников и клиентов), чтоб 2 документа не писать?
К нам пришел вот такой интересный запрос.
[URL=http://pixs.ru/?r=9337637][IMG]http://i.pixs.ru/storage/6/3/7/1JPG_6194786_9337637.jpg[/IMG][/URL];
По сути дела вакцинация это добровольное мероприятие.
Больница просит в соответствии ст.51 ФЗ "О санитарно-эпидемиологическом благополучии населения" от 30.03.1999г., с санитарными правилами п.10.2 СП 3.1.2 1319-03 "Профилактика гриппа" предоставить списки.
Посмотрев эти статьй, я не нашел в них пункта в котором мы обязаны предоставлять такие списки.
На мой взгляд мы можем им культурно отказать, аргументируя 152 ФЗ "О персональных данных"
Статья7 Конфиденциальность персональных данных:
Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
Извиняюсь,в первом посту картинку не прикрепил
1.JPG (620.89 КБ)
Изменено: Evgeniy - 11.10.2013 06:52:18
Цитата
Гость пишет:
а в одном "Положении об обработке ПДн" нельзя обозначить субъектов (работгников и клиентов), чтоб 2 документа не писать?
Наличие Положения об обработке Пдн работников - требование ТК РФ, с ним всех работников (уборщиц, водителей, токарей, каменщиков,и т.д. и т.п) знакомят при приеме. А Положение об обработке и защите Пдн (название может варьироваться) предназначено для тех, кто осуществляет их обработку в процессе трудовой деятельности.
,Сергей С. а с каким документом нужно ознакамливать тогда других субъектов (не работников - контрагентов, посетителей и т.д.)? - с общедоступной "Политикой в отношении обработки ПДн", где прописать все ПДн всех субъектов и меры их защиты?
Т.е., тогда получится 3 основных документа примерно со следующим содержанием?:
1. Положения об обработке Пдн работников (писать, скатывая со ст 86-90 ТК РФ+обозначить какие данные и с какой целью обрабатываются?)
2.Положение об обработке и защите Пдн (перечень лиц, допущенных к обработке, перечислить какие ПДн и с какой целью обрабатываются, в каких ИСПДн, меры по их защите, ответственность за нарушение?)
3. Политика в отношении обработки ПДн (обозначить всех субъектов, цели обработки,меры защиты?)Т.е. в некоторых доках часть инфы будет повторяться?
Именно так
Сергей С., спасибо, а то уж было собрался на утверждение отдавать, теперь буду переделывать :D
Скажите, какие есть лазейки в законе для того чтобы понизить класс (раньше) / уровень защищенности (теперь) для ИС?

_________

А чего это я залогиниться не могу?
жму Войти - выкидывает на главную (мозилла 17 ESR / Хром)
Сергей С написал: "...Определитесь с перечнем необходимых документов (на сайте выкладывали несколько раз список, который требует Роскомнадзор) и разработайте их, а после (или параллельно) 1119ПП, 21 и 17 приказы ФСТЭК - стройте систему защиты."

А подскажите, если ИСПДн не ГИС, то строить защиту нужно по 1119ПП и ФЗ152 или есть еще какие-то подзаконные акты? Заранее спасибо за ответ!
Цитата
Антон пишет:
А подскажите, если ИСПДн не ГИС, то строить защиту нужно по 1119ПП и ФЗ152 или есть еще какие-то подзаконные акты? Заранее спасибо за ответ!
21 приказ ФСТЭК. И на очереди приказ ФСБ.
Здравствуйте, я так понимаю, что работодатель вправе заносить ПДн в карточку Т-2, поясните, пожалуйста, правильно ли я понимаю, что если эти данные заносятся в Т-2, то они с таким же правом (для тех же целей) могут быть занесены в 1С для автоматизированной обработки?
Цитата
Евгений пишет:
если эти данные заносятся в Т-2, то они с таким же правом (для тех же целей) могут быть занесены в 1С для автоматизированной обработки?
Верно.
Здравствуйте, а скажите, нужно ли писать в перечне персональных данных документы, в которых они содержатся?
Цитата
aLEX пишет:
нужно ли писать в перечне персональных данных документы, в которых они содержатся?
Нет, не нужно.
А вот еще такой вопрос:имеют ли право доступа к ПДн работников руководители структурных подразделений организации?-вроде бы по логике вещей чтобы посмотреть в личное дело/карточку Т-2 - да, но обосновывать право доступа целью "для ознакомления" (просто поглазеть.... ;) ).
И еще из той же серии... у нас куча замов ген.директора (человек 5-6), как у вас в организации решается их доступ к ПДн работников? - по мне, так он им нафиг не нужен, но все ж гнут понты...
Подскажите пожалуйста, как определить относится ИСПДн к угрозам 1-го или 2-го типа? Вот к 3-ему типу это просто и понятно, а к первым двум? как я могу понять, есть ли у нас недокументированные (недекларированные) возможности в системном или прикладном программном обеспечении?
Цитата
Антон пишет:
как я могу понять, есть ли у нас недокументированные (недекларированные) возможности в системном или прикладном программном обеспечении?
Поверьте, они (НДВ), как правило, есть :) . Только далеко не всегда угрозы НДВ являются актуальными. Если у вас много-много денег, то можете сертифицировать ваше ПО по НДВ, или, проще, признать эти угрозы неактуальными.
Страницы: Пред. 1 ... 129 130 131 132 133 ... 170 След.
Читают тему (гостей: 4, пользователей: 0, из них скрытых: 0)