Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Особенности аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции (работ, услуг), поставляемой по гособоронзаказу.

12/08/2019 

08 мая 2019 г. утверждены новые Правила аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции работ, услуг), поставляемой по государственному оборонному заказу (постановление Правительства Российской Федерации от 30 апреля 2019 г. № 548).

Новые Правила аккредитации кардинально меняют сложившуюся систему не только аккредитации, но и сертификации СМК предприятий, работающих в области государственного оборонного заказа.

Реклама





Партнеры





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: Пред. 1 ... 132 133 134 135 136 ... 170 След.
RSS
[ Закрыто ] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Цитата
У нас оптоволокно от провайдера приходит в роутер, а из него расходится по свитчам и от них к АРМ, базы данных по сути на АРМ-ах, может кто-то посоветовать какой-нибудь МЭ? и куда его тогда вклинить в этой цепочке? у нас 4-й уровень защищенности.
У нас сделано так: В ЛКС имеется единственный вход в Интернет, сначала он подключается к ПК на котором установлен корпаротивный фаервол (UserGate 5.2, Kerio Control, Aideco и тд) а уж потом пользователи ЛКС подключаются к интернет через этот ПК и фаервол к интернет. У нас фаервол сертифицированный ФСТЭК, что бы не парится насчет соответствия.

В вашем случае, вам придется либо доказать что ваша прошивка роутера и встроенный в него фаервол соответствуют требованиям законодательства и выполняют их.
Либо поставить на какой нибудь ПК корпаротивный фаервол (что бы не парится с сертификатом ФСТЭК всего на 1500 дороже получается не сертифицированного) и через него осуществлять доступ в интернет.

Также можете купить персональные фаерволы на каждый ПК где находятся ПДн. (SSEP - кажется комплексное средство в состав которого входит и персональный фаервол), опять же что бы не парится с сертифмкатом ФСТЭК.

В нашем случае с 1 корпаротивным, сертифицированным фаерволом при проверке РОСКОМНАДЗОРом проблем не возникло. :D
Спасибо Дмитрий за помощь! Я так и предполагал, но хотелось кем-нибудь эти догадки подкрепить.
Ребята,повторно задаю вопрос:
используем протокол https, по которому гуляют ПДн. Это является СКЗИ ? Или нет? Если да- готовиться к выполнению требований ФСБ "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности"?
Какой алгоритм? Длина ключа?
Здравствуйте.
Помогите ,пожалуйста, разобраться с ситуацией. У организации расположенной по адресу А имеется информационная система, которая представляет собой 2 сайта. 2 сайта расположены на хостингах у разных организаций. На одном сайте обрабатываются ПДн и есть регистрация пользователей, а на втором ничего подобного нет. Можно ли в ИСПДн вынести только тот сайт, который обрабатывает ПДн или нужно оба сайта там учитывать? Просто не могу определиться с территориальным расположением ИСПДн, если 1 сайт указывать, то получается локальная ИСПДн, а если 2 сайта то получается распределенная, которая охватывает несколько областей.
Гость, если на втором сайте нет ПДн, то он не является ИСПДн. Рассматривайте только тот сайт, где они есть.
Здравствуйте!
У нас в организации используется в бухгалтерии 1С, преимущественно работают с клиентами, но также иногда приходится выдавать средства сотрудникам (возвраты, компенсации и т.д.), поэтому в этой базе также присутствуют данные сотрудников (ФИО, паспортные данные).
Получается, что в 1С содержатся и обрабатываются две цели: "сотрудники" и "клиенты".
Но следуя закону 152-ФЗ ст.5 (п.3 "Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой" ), то как быть?
Можете, кто, подсказать, как правильно это озвучить или..?
"Сотрудники" и "клиенты" - это не ЦЕЛИ, это - субъекты ПДн, если цели обработки ПДн этих субъектов одинаковы, то можете в 1 базе хранить.
К примеру, если клиентам также выплачиваются "возвраты, компенсации и т.д.", то цель обработки будет, скорей всего, одна
Цитата
lumenaris пишет:
"Сотрудники" и "клиенты" - это не ЦЕЛИ, это - субъекты ПДн, если цели обработки ПДн этих субъектов одинаковы, то можете в 1 базе хранить.
К примеру, если клиентам также выплачиваются "возвраты, компенсации и т.д.", то цель обработки будет, скорей всего, одна
"Бухгалтерия"
Цель: начисление заработной платы работникам (Парус), выдача денежных средств по расходно-кассовым ордерам работникам (1С), возврат денежных средств клиентам (1С).
Цитата
Гость пишет:
"Бухгалтерия"
Цель: начисление заработной платы работникам (Парус), выдача денежных средств по расходно-кассовым ордерам работникам (1С), возврат денежных средств клиентам (1С).
А можно и короче: Ведение бухгалтерского учета.
Подскажите пожалуйста, можно ли самим вносить изменения в технический паспорт аттестованной ИСПДн ? Просто добавляются 2 рабочие станции в состав ИСПДн, которые не находятся в том же кабинете, где установлены другие. Можно ведь составить акт и сделать запись о внесении изменений в технический паспорт. Или все таки нет ?)
Цитата
Гость пишет:
Подскажите пожалуйста, можно ли самим вносить изменения в технический паспорт аттестованной ИСПДн ?
Читайте аттестат соответствия. На 2-й странице должен быть исчерпывающий перечень что вы можете делать, а что нет.
Или звоните в контору, которая проводила аттестацию.

И да, с большим шансом добавлять рабочие станции будет нельзя.
Цитата
Гость пишет:
Просто добавляются 2 рабочие станции в состав ИСПДн, которые не находятся в том же кабинете, где установлены другие. Можно ведь составить акт и сделать запись о внесении изменений в технический паспорт. Или все таки нет ?)
В новом, 17-м приказе ФСТЭК оговорена возможность внесения изменений в уже аттестованную ГИС без переаттестации. Там прописаны условия, при к-рых это можно сделать. Кажется, пункт приказа 17.4.
Т.о., даже если в отношении ГИС ФСТЭК это позволяет, то в отношении обычных ИСПДн тем более можно.
Цитата
В новом, 17-м приказе ФСТЭК оговорена возможность внесения изменений в уже аттестованную ГИС без переаттестации. Там прописаны условия, при к-рых это можно сделать. Кажется, пункт приказа 17.4.
А можно все же конкретнее? Не нашел ничего конкретного.

Но в общем случае внесение изменений допускается в любые АС (в т.ч. с ГТ), НО это должно допускаться аттестатом соответствия и должен быть четко определен порядок внесения изменений.

Также относительно важное значение имеет как аттестована ИСПДн. Как ИСПДн, АС или по 2-м классификациям сразу.
Изменено: Владимирович - 31.10.2013 17:26:50
Цитата
Владимирович пишет:
А можно все же конкретнее? Не нашел ничего конкретного.
17.4. Повторная аттестация информационной системы осуществляется в случае окончания срока действия аттестата соответствия или повышения класса защищенности информационной системы. При увеличении состава угроз безопасности информации или изменения проектных решений, реализованных при создании системы защиты информации информационной системы, проводятся дополнительные аттестационные испытания в рамках действующего аттестата соответствия.
Цитата
AlexG пишет:
17.4. Повторная аттестация информационной системы осуществляется в случае окончания срока действия аттестата соответствия или повышения класса защищенности информационной системы. При увеличении состава угроз безопасности информации или изменения проектных решений, реализованных при создании системы защиты информации информационной системы, проводятся дополнительные аттестационные испытания в рамках действующего аттестата соответствия.
Ага. Собственно вопрос тогда вопрос следующий.

Пункт 17.4 нам говорит о том, что если при модернизации системы есть "расширение угроз или изменение проектных решений" - необходимы аттестационные испытания.
Вопрос - может ли организация сама провести аттестационные испытания при расширении рабочих мест? Считаю, что нет. Но добавление типового арм вряд ли расширяет угрозы.

Теперь идет вопрос - а необходимы ли аттестационные испытания при модернизации системы, если "расширение угроз или изменение проектных решений" отсутствует?
Говорит ли пункт 17.4, что вносить изменения нельзя и нужны АИ - нет. Говорит ли пункт 17.4, что вносить изменения можно и без АИ - в принципе тоже нет.
Мы конечно исходим из логики, что явно не запрещено - разрешено.

Итого по результатам анализа 17 приказа - если при модернизации системы "расширение угроз или изменение проектных решений" отсутствует - необходимость проведения аттестационных испытаний также отсутствует. и запрета на модернизацию системы собственником собственноручно нет.

НО.

17 приказ это не все.
И т.к. 17й приказ (или иной выше стоящий документ) в прямом виде не разрешает внесение изменений (но и не запрещает) мы спускаемся на уровень ниже. На уровень аттестационной и объектовой документации.

И тут то, о чем я писал ранее - именно на этом уровне может быть запрет на внесение изменений в ИСПДн. И он будет вполне себе обоснован.

Если коротко - расширение состава аттестованых ИСПДн допускается без дополнительных АИ, если:
1. при этом не происходит расширение угроз или изменение проектных решений;
2. это предусмотренно аттестатом соответствия;
3. разработан порядок внесения изменений в ИСПДн (корректность которого оценена на этапе первоначальной аттестации ИСПДн).

//Впрочем аттестация ИСПДн вообще не нужна и все это бессмысленно.
Журнал учета обращений граждан по вопросам обработки ПДн. Человек пришел и подал заявление в котором говорится, что он сменил прописку и/или фамилию. Получается надо отметить в Журнале учета обращений граждан по вопросам обработки ПДн, что он обращался к нам. Правильно? У нас таких журналов несколько (в каждом отделении свой) и все в бумажном виде. Обязательно ли надо такой журнал заводить в электронном виде и на всю организацию надо один журнал или можно несколько?
Михаил Борисович, делайте как удобнее, главное чтобы журнал БЫЛ
Подскажите, обязательно ли использовать сертифицированные СЗИ в ИСПДн? И где об этом написано?
Какие СЗИ достаточно применить в ИСПДн УЗ-4, УЗ-3, УЗ-2, УЗ-1 для выполнения требований Приказа ФСТЭК №21, если ИСПДн - многопользовательская, сетевая, с доступом в сеть Internet?
Страницы: Пред. 1 ... 132 133 134 135 136 ... 170 След.
Читают тему (гостей: 2, пользователей: 0, из них скрытых: 0)