Автор: Игорь | 53100 | 20.08.2014 14:12 |
Dmitriy, Prominform | 53098
Ликбез по поводу функций администратора безопасности и требований к ИС можно было не проводить. Все это прекрасно представляют и к чему Вы привели все эти пункты непонятно. Вопрос состоял совершенно в другом - обоснование со ссылками на НМД наличия в штате данной должности. Sekira дал исчерпывающий ответ и обсуждать более нечего |
Автор: sekira | 53102 | 20.08.2014 14:58 |
Для Дмитрия.
"Аттестация ИСПДн осуществляется по приказу ФСТЭК от 11.02.2013г. №17" Это где такое написано? "оценка соответствия выполняется по приказу ФСТЭК от 18.02.2013г. № 21" И здесь поподробнее!? Номер пункта НМД и название где такое написано!? "Зачастую не смотря на наличие ЭВМ обработка происходит без средств автоматизации" ФЗ 152 ст. 3 4) автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники; В топку ППр !! "Администратор защиты (Security administrator)" Администратор информационной безопасности???? "Чем занимается администратор по безопасности?" Где написано чем он должен (обязан!) заниматься!!? Остальное ИМХО. |
Автор: Ученик, ООО | 53104 | 21.08.2014 00:04 |
Про должностные обязанности... Есть такой нормативный документ. Называется: Единый квалификационный справочник должностей руководителей, специалистов и служащих, раздел Квалификационные характеристики должностей руководителей и специалистов по обеспечению безопасности информации в ключевых системах информационной инфраструктуры, противодействию техническим разведкам и технической защите информации, утв. приказом минздравсоцразвития рф от 22 апреля 2009 г. N 205.
Должность: Администратор по обеспечению безопасности информации. |
Автор: sekira | 53105 | 21.08.2014 07:16 |
С учетом написанного выше ...
3. Квалификационные характеристики могут применяться в качестве нормативных документов или служить основой для разработки должностных инструкций, содержащих конкретный перечень должностных обязанностей работников с учетом особенностей организации производства, труда и управления, а также их прав и ответственности. При необходимости должностные обязанности, включенные в квалификационную характеристику определенной должности, могут быть распределены между несколькими исполнителями. При разработке должностных инструкций допускается уточнение перечня работ, которые свойственны соответствующей должности в конкретных организационно-технических условиях, и установление требований к необходимой специальной подготовке работников. 4. Квалификационная характеристика каждой должности имеет три раздела: "Должностные обязанности", "Должен знать", "Требования к квалификации". В разделе "Должностные обязанности" установлены основные трудовые функции, которые могут быть поручены полностью или частично работнику, занимающему данную должность, с учетом технологической однородности и взаимосвязанности работ, позволяющих обеспечить оптимальную специализацию служащих." То есть не должен ! А как решите при организации в своей организации (простите за каламбур..:))) ... справочник вам в помощь. |
Автор: Дмитрий, Prominform | 53129 | 21.08.2014 14:44 |
Для sekira:
1. Читайте приказ ФСТЭК № 17 п.17 " Аттестация информационной системы и ввод её в действие". Если у вас система не государственная, но обрабатывает государственные информационные ресурсы, то аттестация по СТР-К (основание СТР-К п. 2.3). 2. Читайте приказ №21. ФСТЭК п.6. Какие документы и как должны быть оформлены - читайте нормативные документы ФСТЭК России, Роскомнадзора и ФСБ России. 3. Откройте Руководящий документ "Защита от несанкционированного доступа к информации. Термины и определения", утвержден решением председателя Гостехкомиссии России от 30 марта 1992 года. и прочитайте определение кто такой Администратор защиты (безопасности)( Security administrator) 4. Не поленитесь открыть постановление правительства № 687 от 15 сентября 2008 года и прочитать внимательно пункт 1 и пункт 2 этого действующего документа. |
Автор: sekira | 53133 | 21.08.2014 15:56 |
"1. Читайте приказ ФСТЭК № 17 п.17 " Аттестация информационной системы и ввод её в действие". Если у вас система не государственная, но обрабатывает государственные информационные ресурсы, то аттестация по СТР-К (основание СТР-К п. 2.3). "
Приказ 17 для ИС ГИС не для ИСПДН! "2. Читайте приказ №21. ФСТЭК п.6. Какие документы и как должны быть оформлены - читайте нормативные документы ФСТЭК России, Роскомнадзора и ФСБ России." В приказе 21 и в "нормативные документы ФСТЭК России, Роскомнадзора и ФСБ России" ни слова о порядке проведения "оценки соответствия"! "3.прочитайте определение кто такой Администратор защиты" Прочитал а теперь кто такой "Администратор информационной безопасности" (автор темы про него спрашивал) и причем тут "администратор защиты" И как связаны РД НСД ФСТЭК и ИСПДн? " Не поленитесь открыть постановление правительства № 687 от 15 сентября 2008 года и прочитать внимательно пункт 1 и пункт 2 этого действующего документа" Не поленился прочитать выше... В целях реализации Федерального закона "О персональных данных" Правительство Российской Федерации постановляет:... ФЗ первичен ППр его исполняет. Если правительство написало ахинею то в соответствии с неахинеей в ФЗ ахинею правительства я исполнять не обязан! |
Автор: Дмитрий, Prominform | 53146 | 22.08.2014 09:57 |
Для sekira:
1. Из приказа № 17: п.5 "При обработке в государственной информационной системе информации, содержащей персональные данные, настоящие Требования применяются наряду с требованиями к защите персональных данных при их обработке в информационных системах персональных данных, ..." п.6 "По решению обладателя информации (заказчика) или оператора настоящие Требования могут применяться для защиты информации, содержащейся в негосударственных информационных системах." 2. О том как проводится оценка эффективности реализованной защиты или оценка защищенности (что в принципе одно и тоже) можно рассказать, только это тема отдельной лекции. Для получения таких знаний обращаются к учебным заведениям, которые проводят курсы по защите информации. У меня же такой лицензии на оказание образовательных услуг нет. 3. Автор темы спрашивал о Администраторе безопасности. Согласно терминологии Администратор безопасности и Администратор защиты одно и то-же. А будет в штате отдельная должность, или обязанности администратора безопасности будут возложены на одного из сотрудников организации (прошедшего курсы повышения квалификации) - это решать руководителю организации - оператора. 4. Откройте и прочитайте ФЗ.152 (раз на него ссылаетесь) статью 4, пункты 3 и 4. так вот согласно международным документам (международной конвенции) по защите персональных данных есть только два способа обработки информации: не автоматический (с участием человека) и автоматический (без участия человека). Из-за неточности перевода в свое время и была путаница с "четверокнижием". (Было указано автоматический, автоматизированный и не автоматический.) С выходом ПП №1119 введены требования к обработке ПДн в ИСПДн. А особенности обработки без использования средств автоматизации указаны нормативно-правовым документом - Постановлением Правительства 687. Данным постановлением подробно разъясняется в каких случаях обработка рассматривается как "без использования средств автоматизации", и какие предъявляются требования.При чем при рассмотрении ИСПДн необходимо пользоваться обоими документами. Редко встречается автоматизированная обработка в чистом виде. В основном идет "смешанная". Так что ахинеи нет. |
Автор: Дмитрий, Prominform | 53147 | 22.08.2014 10:34 |
Для sekira (продолжение):
"И как связаны РД НСД ФСТЭК и ИСПДн?" А, простите, на основании каких документов и методик вы будете оценивать выполнение требований к системе защиты от несанкционированного доступа? В нашей стране есть один регулятор, который разработал соответствующие документы. Создаваемая система защиты должна соответствовать действующим ГОСТам и требованиям, предъявляемым регуляторами. Федеральная служба по техническому и экспортному контролю (ФСТЭК России) — федеральный орган исполнительной власти России, осуществляющий реализацию государственной политики, организацию межведомственной координации и взаимодействия, специальные и контрольные функции в области государственной безопасности. Персональные данные являются разновидностью конфиденциальной информации (в случае если они не отнесены к ГТ). В связи с этим требования к защите ПДн предъявляются согласно ПП1119 и ПП687, а методики оценки соответствия берутся согласно СТР-К. Исключением является использование криптографии. |
Автор: sekira | 53149 | 22.08.2014 11:00 |
"По решению обладателя информации (заказчика) или оператора настоящие Требования могут применяться"
МОГУТ!! Я о чем и говорю. Но не должны! А вы написали должны! "О том как проводится оценка эффективности" Все перепутали "оценки соответствия" не "оценка эффективности". Пр 21 п. 6. Оценка эффективности!! реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию. И.. ФЗ 152 ст 18 п1 пп 4) осуществление внутреннего контроля и (или) аудита соответствия!!!обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора; cт 19 п. 1 3) применением прошедших в установленном порядке процедуру оценки соответствия!!! средств защиты информации; 4) оценкой эффективности !!! принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных. Понятно почему вопрос теперь возник? "Согласно терминологии Администратор безопасности и Администратор защиты одно и то-же." Это вы так решили? Где это закреплено? Смысл в том что нигде об этом я и говорю. Все решает оператор, требований иметь администратора защиты или администратора безопасности нет! Как и нет требований что он должен делать! Все решается оператором для каждого конкретного случая. "Откройте и прочитайте ФЗ.152 (раз на него ссылаетесь) статью 4, пункты 3 и 4. " Почитал. п. 3 не противоречит ст.3 п.п 4) по п.4 Конвенция о защите физических лиц при автоматизированной обработке персональных данных (Страсбург, 28 января 1981 г.) ст 2 п с. "автоматическая обработка" включает следующие операции, если они полностью или частично осуществляются с применением автоматизированных средств: накопление данных, проведение логических или/и арифметических операций с такими данными, их изменение, стирание, восстановление или распространение; Где противоречия с ст.3 п.п 4)? Так что ППр с ахинеей опять идет лесом ФЗ первичен! |
Автор: sekira | 53150 | 22.08.2014 11:07 |
"А, простите, на основании каких документов и методик вы будете оценивать выполнение требований к системе защиты от несанкционированного доступа? "
Все смешалось люди кони. Для ИСПДн ФЗ 152, ППр 1119, Приказ 21 - в них требования к защите НСД. РД НСД АС ФСТЭК никоим образом не касается ИСПДН!! Хотите как оператор что бы касалось пожалуйста но НЕОБЯЗАНЫ! "а методики оценки соответствия берутся согласно СТР-К " Да где такое написано? СТР-К - методичка для оператора ИСПДн которую он может почитать надосуге. Выполнять ее он не обязан! Еще раз не "оценки соответстия" а оценки эффективности принимаемых мер по обеспечению безопасности персональных данных. "Создаваемая система защиты должна соответствовать действующим ГОСТам и требованиям, предъявляемым регуляторами." ГОСТам нет читайте ФЗ "О техническом регулировании". Требованиям регуляторов да если есть требования в ФЗ или ППр выполнять требования регуляторов. В ФЗ 152 и ППр 1119 есть отсыл к Приказу 21. И все ни к РД ни к СТР-К отсыла нет! |
Просмотров темы: 46553