Автор: Игорь | 53162 | 22.08.2014 12:33 |
"Замечательно. Вы являетесь органом по аттестации? У вас есть соответствующая лицензия? По каким документам и методикам будете проводить аттестацию?"
Чтобы проводить аттестацию ИСПДн, не нужно быть органом по аттестации. Достаточно иметь лицензию по ТЗКИ. У нас такая есть!!! |
Автор: sekira | 53163 | 22.08.2014 12:35 |
Не обязательно быть органом по аттестации чтобы проводить аттестацию ИСПД по требованиям безопасности. Достаточно быть лицензиатом по ТКЗИ и иметь пунк в лицензии позволяющий проводить аттестацию.
Да мы уже 10 лет орган по аттестации и имем лицензии по ГТ и ТКЗИ ( это так к слову). По требованиям ФЗ, ППр, пр 21 с учетом принятого уровня защищенности ИСПДн и принятой Модели угроз для данной ИСПДн. По методикам согласованным с заказчиком для конкретной ИСПДн. НМД регламентирующих процесс аттестации ИСПДн нет! |
Автор: Дмитрий, Prominform | 53164 | 22.08.2014 13:15 |
Обычно в ИСПДн входит:
автоматизированная система, бумажный архив, вспомогательное оборудование. Автоматизированная система состоит из: - аппаратная часть - программная часть - вспомогательное оборудование. а далее модель угроз, классификация, определение типа обработки данных (Автоматизированный, смешанный или без средств автоматизации), требования к СЗ, и т.д. в ФЗ152 есть определение "Автоматизированная обработка" (ст.3 п.4), а по вопросам обработки информации без использования средств автоматизации этот закон (в ст..4 п.4) отправляет нас к подзаконным актам, вышедшим на основании ФЗ152. Таким является ПП687. Он действует и дает определение обработки информации без использования средств автоматизации. Как вы будете строить систему защиты - учить вас не стану. СЗ ИСПДн, которые построили мы прошли проверку Роскомнадзора. |
Автор: Дмитрий, Prominform | 53165 | 22.08.2014 13:31 |
"Не обязательно быть органом по аттестации чтобы проводить аттестацию ИСПД по требованиям безопасности. Достаточно быть лицензиатом по ТКЗИ и иметь пунк в лицензии позволяющий проводить аттестацию."
А теперь читайте "Положение по аттестации объектов информатизации по требованиям безопасности информации" п.1.8. А то что выполняется вами только на основании лицензии на ТЗИ - это "оценка соответствия" |
Автор: Игорь | 53166 | 22.08.2014 14:29 |
"СЗ ИСПДн, которые построили мы прошли проверку Роскомнадзора"
Роскомнадзор и ФСТЭК - это две большие разницы. Роскомнадзор не "лезет" в техническую сторону защиты ПДн. Их компетенция - "бумажная" по соблюдению прав субъектов ПДн, а не техническая защита информации. Поэтому - это не аргумент. "А теперь читайте "Положение по аттестации объектов информатизации по требованиям безопасности информации" п.1.8." Само понятие "орган по аттестации" существует и аккредитуется только для аттестации по ГТ. Плохо знаете нормативную базу. Почитайте ГОСТ РО 0043-003-2012 (п.4.4). |
Автор: Дмитрий, Prominform | 53167 | 22.08.2014 15:24 |
Для Игоря:
Согласен, по аттестации ошибся. На сколько понял по состоятельности ПП687 вопросов нет? |
Автор: Игорь | 53168 | 22.08.2014 15:38 |
"На сколько понял по состоятельности ПП687 вопросов нет?"
Что касается ПП687, то оно относится к той самой "бумажной" защите, правилам хранения носителей с ПДн и т.п. В вашем споре с Sekira я тоже придерживаюсь позиции, что любая обработка ПДн с применением СВТ (независимо от технологии этой обработки) - это автоматизированная обработка и ПП687 к ней не имеет отношения |
Автор: Дмитрий, Prominform | 53169 | 22.08.2014 15:41 |
То есть определение обработки без использования средств автоматизации, которое дано в постановлении не правильное?
|
Автор: sekira | 53170 | 22.08.2014 15:42 |
"Обычно в ИСПДн входит: автоматизированная система, бумажный архив, вспомогательное оборудование. Автоматизированная система состоит из: - аппаратная часть - программная часть - вспомогательное оборудование."
Откуда это? Самодеятельность? ФЗ 152 ст3. 10) информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств; Где тут АС, архив и т.д. ГОСТ 34.003-90 содержит следующее определение автоматизированной системы: система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций. "а далее модель угроз, классификация, определение типа обработки данных ..." Какая классификация? Уровни защищенности не КЛАССЫ! ФЗ 152 с 19 п 2 2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных; (Автоматизированный, смешанный или без средств автоматизации), требования к СЗ, и т.д. -" Откуда ЭТО!!! какой смешанный? "СЗ ИСПДн, которые построили мы прошли проверку Роскомнадзора. " ст. 19 9. Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, и федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, решением Правительства Российской Федерации с учетом значимости и содержания обрабатываемых персональных данных могут быть наделены полномочиями по контролю за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при их обработке в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности и не являющихся государственными информационными системами персональных данных, без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных. Статья 23. Уполномоченный орган по защите прав субъектов персональных данных п. 5.1) направлять в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, и федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, применительно к сфере их деятельности, сведения, указанные в пункте 7 части 3 статьи 22 настоящего Федерального закона; "А теперь читайте "Положение по аттестации объектов информатизации по требованиям безопасности информации" п.1.8. А то что выполняется вами только на основании лицензии на ТЗИ - это "оценка соответствия" - ППр от 3 февраля 2012 г. N 79 1. Настоящее Положение определяет порядок лицензирования деятельности по технической защите конфиденциальной информации (не содержащей сведения, составляющие государственную тайну, но защищаемой в соответствии с законодательством Российской Федерации), осуществляемой юридическими лицами и индивидуальными предпринимателями. 4. При осуществлении деятельности по технической защите конфиденциальной информации лицензированию подлежат следующие виды работ и услуг: г) аттестационные испытания и аттестация на соответствие требованиям по защите информации: средств и систем информатизацИ еще последнюю строчку своего аттестата органа по аттестации прочитайте. И откуда все таки взялисьслова "ОЦЕНКА СООТВЕТСВИЯ" ИСПДн?!! Для меня загадка. |
Автор: sekira | 53171 | 22.08.2014 15:43 |
"То есть определение обработки без использования средств автоматизации, которое дано в постановлении не правильное? "
ДА!!! ФЗ первичен! |
Просмотров темы: 46548