Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Особенности аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции (работ, услуг), поставляемой по гособоронзаказу.

12/08/2019 

08 мая 2019 г. утверждены новые Правила аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции работ, услуг), поставляемой по государственному оборонному заказу (постановление Правительства Российской Федерации от 30 апреля 2019 г. № 548).

Новые Правила аккредитации кардинально меняют сложившуюся систему не только аккредитации, но и сертификации СМК предприятий, работающих в области государственного оборонного заказа.

Реклама





Партнеры





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: Пред. 1 ... 133 134 135 136 137 ... 170 След.
RSS
[ Закрыто ] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Я так понимаю организация сама себе устанавливать сертифицированные средства защиты ИСПДн не может
ПП №79:
4. При осуществлении деятельности по технической защите конфиденциальной информации лицензированию подлежат следующие виды работ и услуг
е) установка, монтаж, испытания, ремонт средств защиты информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации).
б) контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации;
Скажите, как понимать пункт (б)??? Получается, следить за безопасностью ИСПДн должен человек, имеющий лицензию?? ;) Дк этож бред!
Цитата
EJ пишет:
следить за безопасностью ИСПДн должен человек, имеющий лицензию?
Не человек, а юрлицо. Слава Богу не требуют лицензии на эксплуатацию СЗИ.
Здравствуйте, никак не могу найти нормального определения "распределенная информационная система"...вот у нас 10 компов связаны сеткой, с каждого есть доступ в интернет, это будет распределенная ИС?
Гость, нормального и нет. Кажется, в каком-то ГОСТ есть такое определение: распределенная ИС это ИС, в которой реализована технология удаленного доступа к информации. Соответственно, если все линии связи в вашей ИС ваши, то она локальная, а если связь через Интернет - то распределенная.

Однако, на сегодняшний день не важно, распределенная у вас ИСПДн или нет. Это ни на что не влияет. Важны используемые информационные технологии.
Здравствуйте! Прокси-сервер и сетевой город расположены на одном сервере. Необходимо их установить на разные сервера. Как правильно это объяснить, почему и для чего это нужно?
Скажите, нормальная структура "Положение о защите персональных данных работников"?
1. ОБЩИЕ ПОЛОЖЕНИЯ
2. ОСНОВНЫЕ ПОНЯТИЯ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ
3. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ
4. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ РАБОТНИКОВ
5. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ
6. ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ
7. ОСОБЕННОСТИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ, ОСУЩЕСТВЛЯЕМОЙ БЕЗ ИСПОЛЬЗОВАНИЯ СРЕДСТВ АВТОМАТИЗАЦИИ
8. ГАРАНТИИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКА
9. ПРАВА И ОБЯЗАННОСТИ РАБОТНИКА
10. ПРАВА И ОБЯЗАННОСТИ РАБОТОДАТЕЛЯ
11. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКА
Нужно ли перечислять, в каких ИСПДн обрабатываются данные работников и конкретные меры их защиты? Просто, это положение даётся под роспись ВСЕМ работникам организации (в т.ч. уборщицам, вахтерам и т.д.)
EJ, для начала стоит заметить, что ответ будет зависеть скорее от содержания документа (и от наличия других документов по ПДн), чем от оглавления.

По той информации, что вы сообщили:

Работники обязаны выполнять меры по обеспечению безопасности, поэтому в документах прописать их необходимо. Однако уборщицы и пр. не обрабатывают ПДн – и их можно информировать об обработке, но не предоставлять им нормативные документы. (Соответственно, стоит подумать о разделении нормативной и справочной документации).

Если все же ознакомлять всех работников с единым Положением: необходимость указания защитных мер относится всецело к организационным мерам и отчасти к техническим. Стандарты конфигурирования и прочая конкретная информация (модели технических средств, версии программных СЗИ и так далее), разумеется, лучше фиксировать в других документах, с которыми ознакомлять только ответственных за их обслуживание и контроль.

Также по поводу содержания документа:

  1. Права и обязанности работника и работодателя регулируются ТК и трудовым договором – их имеет смысл продублировать разве что в справочном документе, но не во внутреннем нормативном.
  2. Не забудьте про поручение обработки ПДн работников третьим лицам и про определение лиц, ответственных за организацию обработки и организацию защиты ПДн – желательно в Положении зафиксировать их обязанности и полномочия.
LETA, По ТК РФ ст.86.8:"Работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области"
Положение об обработке ПДн работников (1) я решил как раз и сделать, как вы говорите "справочным" - под роспись ВСЕМ, в нём только общие принципы обработки и гарантии защиты такие как... "руководством принимаются организ. и тех. меры по защите..... - из ФЗ 152 ст.18.1-19"
....а Положение о защите ПДн в ИСПДн - уже под роспись лицам, допущенным к работе с ИСПДн - в нём планирую перечислить конкретные СЗИ, меры и т.д.

Вопрос в том, нужно ли в документе (1) упоминать, что обработка ПДн ведётся в таких-то ИСПДн? и если да, что ещё об автоматизированной обработке написать?
Цитата
EJ пишет:
нужно ли в документе (1) упоминать, что обработка ПДн ведётся в таких-то ИСПДн?
А зачем? Сегодня вы работаете в 1С, завтра перейдете на Парус, а что изменится для работника? Достаточно написать, что обработка ведется как автоматизированно, так и неавтоматизировано.
Подскажите, а имеется ли в природе ПРОГРАММНОЕ решение VipNet Coordinator HW100 или они все программно-аппаратные продаются?
Вопрос похож на "Имеется ли в природе ПРОГРАММНОЕ решение роутера/свича?".
Sat_Kelmanвопрос в том, зачем покупать комп (аппаратная платформа), когда он уже есть...
Цитата
Гость пишет:
Подскажите, а имеется ли в природе ПРОГРАММНОЕ решение VipNet Coordinator HW100 или они все программно-аппаратные продаются?
Да есть программное обеспечение Vipnet-coordinator, есть как линукс очный так и виндовый варианты, продается как отдельно с подключением к сети продавца, так и в рамках решения Vipnet-custom, для организации собственной сети
Hw100, так же как и hw1000 это железки с линем и по Vipnet-coordinator на борту
Добрый день уважаемые специалисты! Подскажите пожалуйста по поводу СЗИ в распределенной сети:
Имеется центральный офис в котором порядка 20 АРМ на которых ведется обработка ПД и 4 филиала по 3-5 АРМ. Классифицировали как одну распределенную ИСПДн с УЗ3.
Остановились на даллас лок 8-к (не совсем понятен комплект покупки, можно ли купить один сервер безопасности и поставить его в центре и к нему подключить все клиенты или для каждого филиала покупать свой СБ? Дороговато выходит, ведь филиалы небольшие), Випнет координатор как МЭ+ впн. Ну и honeypot и касперский сертифицированный.
Достаточно ли этого набора?
Ну и по далласу подскажите как покупать.
Здравствуйте, поясните, пожалуйста смысл ст. 16.1 ФЗ №152:
"Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных..." - какие это могут быть последствия, к примеру при обработке ПДн в 1С? т.к. есть еще ст 16.3:
Оператор обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения
В согласии на обработку указано, что данные будут обрабатываться как автоматизированно, так и неавтоматизированно (смешанная обработка) - этого достаточно или нужно еще что-то про "последствия автоматизированной обработки упомянуть"?
EJ, юридические последствия это возникновение, изменение или прекращение прав или обязанностей субъекта (например, заключение с ним договора, наложение штрафа, назначение на должность, и т.п.).

На этот случай (если решения принимаются на основании исключительно автоматизированной обработки) нужно брать отдельное письменное согласие субъекта, и оно должно строго соответствовать форме, установленной законом №152.
Добрый день! К какому классу испдн отнести аттестационный центр аттестуя специалистов собираем информацию ФИО, место работы, должность, трудовая, диплом об образовании, фото которое приклеивается на корку и отдаётся обратно? + как я понимаю 2-ая испнд бухгалтерия.. она же кадры,
sna, если бы вы для начала почитали форум, то узнали бы, что классов ИСПДн уже год, как нет.
sna, Сейчас категории ПДн, уровни защищенности ПДн, типы актуальных угроз (АУ). Как вариант для Вашего случая - ИСПД №1: Категории ПДн "Иные, не являющиеся работниками", тип АУ 3, УЗ 4. ИСПДн №2: Категории ПДн "Иные, работников", тип АУ 3, УЗ 4. Как-то так.
Страницы: Пред. 1 ... 133 134 135 136 137 ... 170 След.
Читают тему (гостей: 4, пользователей: 0, из них скрытых: 0)