Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Особенности аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции (работ, услуг), поставляемой по гособоронзаказу.

12/08/2019 

08 мая 2019 г. утверждены новые Правила аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции работ, услуг), поставляемой по государственному оборонному заказу (постановление Правительства Российской Федерации от 30 апреля 2019 г. № 548).

Новые Правила аккредитации кардинально меняют сложившуюся систему не только аккредитации, но и сертификации СМК предприятий, работающих в области государственного оборонного заказа.

Реклама





Партнеры





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: 1
Ответственность руководителя, Ответственность руководителя
Прошу ответить на вопрос:

Я назначен ответственным за защиту ПД. Подготовлен пакет документов. Но на привлечение специализированной организации для проведения работ по технич защиты деньги пока не выделены.

Я со свое стороны сделал все что мог. Несет ли ответственность первый руководитель в случае проверок ?
Постановленин 687 - автоматизированная и неавтоматизированная обработка
Постановленин 687 - автоматизированная и неавтоматизированная обработка

На что это влияет ?
Где об этом нужно указать ?
В акте классификации на КАДРЫ или БУХГАЛТЕРИЮ я напишу КЛАСС 3

Составлю модель УГРОЗ

Где использовать и как п 687 ?
[ Закрыто] Модель угроз и Частная модель угроз
Прошу уточнить:

Необходимо оформить два документа или один :
Модель угроз и Частная модель угроз ?



У нас 3 ИСПДН:
- из них две - ТИПОВЫЕ K3
- одна СПЕЦИАЛЬНАЯ

Вопрос:
Модель угроз ( и ???/ или ??? ЧАСТНАЯ модель угроз ) нужна для каждой ИСПДН- или только для СПЕЦИАЛЬНОЙ ИСПДН ?


= al_asy
выполнение требования п 4. 3 Нового Приказа ФСТЭК №58
1) Просьба - с помощью каких средств нужно выполнять требования п 4. 3 Нового Приказа ФСТЭК №58

2)Выполнение этого пункта и есть реализация "Электронного Журнала обращений пользователей инф системы ..." ??

Пункт 4.3
...
б) регистрация и учет:
регистрация входа (выхода) пользователей в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения информационной системы. В параметрах регистрации указываются дата и время входа (выхода) пользователя в систему (из системы) или загрузки (останова) системы, результат попытки входа (успешная или неуспешная), идентификатор (код или фамилия) пользователя, предъявленный при попытке доступа, код или пароль, предъявленный при неуспешной попытке;
регистрация выдачи печатных (графических) документов на бумажный носитель. В параметрах регистрации указываются дата и время выдачи (обращения к подсистеме вывода), спецификация устройства выдачи (логическое имя (номер) внешнего устройства), краткое содержание документа (наименование, вид, шифр, код), идентификатор пользователя, запросившего документ;
регистрация запуска (завершения) программ процессов (заданий, задач), предназначенных для обработки персональных данных. В параметрах регистрации указываются дата и время запуска, имя (идентификатор) программы (процесса, задания), идентификатор пользователя, запросившего программу (процесс, задание), результат запуска (успешный, неуспешный);
...
al_asy
Еще раз про Специальный класс
Цитата
Евгений В. Казаков пишет:
Хорошо, раз не увидели, тогда повторюсь:

для типовой - "K1"
для специальной - "Специальная K1"

Для разъяснения: если Вы напишите в Акте не "специальная К1" а просто "К1", при этом разработаете модель угроз, выполните мероприятия..... - страшного ничего не случится. Если Вы для типовой ИСПДн разработаете модель угроз - будет только лучше (прежде всего для Вас), так как сможете уточнить актуальные угрозы


Большое спасибо за ответ, для нашего мед. учрежления в акте напишем:
Присвоить класс ""Специальная K1"
Еще раз про Специальный класс
Цитата
Евгений В. Казаков пишет:
Обсуждалось здесь:
http://ispdn.ru/forum/index.php?PAGE_...&PAGEN_2=3

Мое мнение не изменилось



Четкого Вашего ответа я не увидел
Еще раз про Специальный класс
Вопрс Евгению В Казакову


Ваше мнение - медицинская организация в Акте классификации должна указать

1) Специальная
2) K1
3) Специальная K1
Еще раз про Специальный класс
Просьба дать ссылку на документы :

Из чего следует, что если присвоить класс "СПЕЦИАЛЬНАЯ" - то нужно все равно присваивать K1-K4 ?

Я вижу, что k1-k4 только для ТИПОВОЙ системы
Еще раз про Специальный класс
Прошу УТОЧНИТЕ пожалуйста:

В каких случаях ТИПОВАЯ K1, а когда СПЕЦИАЛЬНАЯ ?

В обоих случаях СВЕДЕНИЯ о ЗДОРОВЬЕ
Изменено: александр - 20.02.2010 11:27:07
Еще раз про Специальный класс
Уже много написано - но прошу кратко ответить

Медицинская организация - с большой базой пациентов
1 )Это однозначно СПЕЦИАЛЬНЫЙ КЛАСС ?

2) Для специалной НЕ СУЩЕСТВУЕТ РАЗБИВКА K1-K4 - а только МОДЕЛЬ УГРОЗ ?

3) КАК от модели угроз перейти к K1-K4

4) В АКТЕ классификации - указываем ПРИСВОИТЬ КЛАСС "СПЕЦИАЛЬНАЯ" или "СПЕЦИАЛЬНАЯ K1"

5) В Рекоменжациях Минздрава - обоснование как K3 - это возможно ?

Заранее большое спасибо за точные ответы
=al_asy
[ Закрыто] Специальная система - то есть класс K1- k4 не указывается ?
У нас медицинская организация - значит однозначно у нас класс информационной системы НЕ ТИПОВОЙ, а СПЕЦИАЛЬНЫЙ

Разбивка на классы k1 - k4 - только для ТИПОВЫХ систем, а для СПЕЦИАЛЬНЫХ ?

То есть в акте классификации мы должны указать ПРИСВОИТЬ КЛАСС "СПЕЦИАЛЬНАЯ" без указания K1-K4


Для СПЕЦИАЛЬНОЙ системы нужна ли АТТЕСТАЦИЯ ? Ведь она только для K1-K2
Лечебные учреждения - поделитесь опытом
Цитата
александр пишет:
Интересно, Медицинские учреждения - реально кто нибудь предпринимает попытки выполнить все требования по защите ПД ?


Прошу еще раз откликнуться кто решает эту проблему
Например, ЛПУ с количеством компьютеров, обрабатывающих ПД, порядка 100 и более.
Какие средства необходимы (примерная сумма), какие программные или аппаратные средства устанавлмваются на рабочие места врачей, какие на сервер.

Как организован сбор "Согласия на обработку" - где и как хранятся эти согласия и как потом найти нужное.
У кого есть лаборатория - как берутся согласия в лаборатории ?


А если у нас НЕ используется СУБД типа MS SQL или ORACLE, а используются DBF- файлы на сервере и клиентская программа - это DOS программа (Clipper, DOS FOX2.6) - что можно сделать для выполнения требований по технической защиты?
Лечебные учреждения - поделитесь опытом
Цитата
Гость пишет:
В Самарской области МИАЦ (http://www.medlan.samara.ru/archive/miac/netrus.html) провёл классификацию используемых ИС ПДн и, судя по Приказу № 1260 (http://medlan.samara.ru/info/normativ...260.shtml) в качестве СЗИ планируется использовать ViPNet, приобретаемый из средств самих ЛПУ.


Указанные ссылки НЕ ОТКРЫВАЮТСЯ
Лечебные учреждения - поделитесь опытом
Ссылки не открываются
Лечебные учреждения - поделитесь опытом
Интересно, Медицинские учреждения - реально кто нибудь предпринимает попытки выполнить все требования по защите ПД ?
Средства защиты для 3 класса по Приказу ФСТЭК 58
Прошу привести примеры средств защиты для 3 класса, которые обеспечивают:

1) Регистрация и учет
2) Обеспечение целостности
3) Анализ защищенности
4) Обнаружение вторжений


У нас :
На рабочих местах – Win XP
Файловый сервер Win Server 2003
Антивирус NOD32 Antivirus
Экран KERIO Firewall

СУБД не использутся, все в виде dbf- файлов
ФСТЭК о методах и способах защиты информации в ИСПДн
Что принципиально нового в этом приказе ? Что это дает Операторам, например, у которых ИСПДн 1 класса ? Упрощает или усложняет работу?
Скандальные новости в Государственной Думе
Нужно не просто переносить сроки - но и СНИДЖАТЬ требования по защите
Страницы: 1