Обоснование наличия администратора безопасности ИСПДн - Форум по вопросам информационной безопасности

"Замечательно. Вы являетесь органом по аттестации? У вас есть соответствующая лицензия? По каким документам и методикам будете проводить аттестацию?"

Чтобы проводить аттестацию ИСПДн, не нужно быть органом по аттестации. Достаточно иметь лицензию по ТЗКИ. У нас такая есть!!!

Не обязательно быть органом по аттестации чтобы проводить аттестацию ИСПД по требованиям безопасности. Достаточно быть лицензиатом по ТКЗИ и иметь пунк в лицензии позволяющий проводить аттестацию.

Да мы уже 10 лет орган по аттестации и имем лицензии по ГТ и ТКЗИ ( это так к слову).

По требованиям ФЗ, ППр, пр 21 с учетом принятого уровня защищенности ИСПДн и принятой Модели угроз для данной ИСПДн.
По методикам согласованным с заказчиком для конкретной ИСПДн.

НМД регламентирующих процесс аттестации ИСПДн нет!

Обычно в ИСПДн входит:
автоматизированная система,
бумажный архив,
вспомогательное оборудование.
Автоматизированная система состоит из:
- аппаратная часть
- программная часть
- вспомогательное оборудование.

а далее модель угроз, классификация, определение типа обработки данных (Автоматизированный, смешанный или без средств автоматизации), требования к СЗ, и т.д.
в ФЗ152 есть определение "Автоматизированная обработка" (ст.3 п.4), а по вопросам обработки информации без использования средств автоматизации этот закон (в ст..4 п.4) отправляет нас к подзаконным актам, вышедшим на основании ФЗ152. Таким является ПП687. Он действует и дает определение обработки информации без использования средств автоматизации. Как вы будете строить систему защиты - учить вас не стану. СЗ ИСПДн, которые построили мы прошли проверку Роскомнадзора.

"Не обязательно быть органом по аттестации чтобы проводить аттестацию ИСПД по требованиям безопасности. Достаточно быть лицензиатом по ТКЗИ и иметь пунк в лицензии позволяющий проводить аттестацию."
А теперь читайте "Положение по аттестации объектов информатизации по требованиям безопасности информации" п.1.8.
А то что выполняется вами только на основании лицензии на ТЗИ - это "оценка соответствия"

"СЗ ИСПДн, которые построили мы прошли проверку Роскомнадзора"

Роскомнадзор и ФСТЭК - это две большие разницы. Роскомнадзор не "лезет" в техническую сторону защиты ПДн. Их компетенция - "бумажная" по соблюдению прав субъектов ПДн, а не техническая защита информации. Поэтому - это не аргумент.

"А теперь читайте "Положение по аттестации объектов информатизации по требованиям безопасности информации" п.1.8."

Само понятие "орган по аттестации" существует и аккредитуется только для аттестации по ГТ. Плохо знаете нормативную базу.
Почитайте ГОСТ РО 0043-003-2012 (п.4.4).

Для Игоря:
Согласен, по аттестации ошибся.
На сколько понял по состоятельности ПП687 вопросов нет?

"На сколько понял по состоятельности ПП687 вопросов нет?"

Что касается ПП687, то оно относится к той самой "бумажной" защите, правилам хранения носителей с ПДн и т.п.
В вашем споре с Sekira я тоже придерживаюсь позиции, что любая обработка ПДн с применением СВТ (независимо от технологии этой обработки) - это автоматизированная обработка и ПП687 к ней не имеет отношения

То есть определение обработки без использования средств автоматизации, которое дано в постановлении не правильное?

"Обычно в ИСПДн входит: автоматизированная система, бумажный архив, вспомогательное оборудование. Автоматизированная система состоит из: - аппаратная часть - программная часть - вспомогательное оборудование."
Откуда это? Самодеятельность?
ФЗ 152 ст3. 10) информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
Где тут АС, архив и т.д.
ГОСТ 34.003-90 содержит следующее определение автоматизированной системы: система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.

"а далее модель угроз, классификация, определение типа обработки данных ..."
Какая классификация? Уровни защищенности не КЛАССЫ!
ФЗ 152 с 19 п 2 2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

(Автоматизированный, смешанный или без средств автоматизации), требования к СЗ, и т.д. -"
Откуда ЭТО!!! какой смешанный?

"СЗ ИСПДн, которые построили мы прошли проверку Роскомнадзора. "
ст. 19 9. Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, и федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, решением Правительства Российской Федерации с учетом значимости и содержания обрабатываемых персональных данных могут быть наделены полномочиями по контролю за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при их обработке в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности и не являющихся государственными информационными системами персональных данных, без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

Статья 23. Уполномоченный орган по защите прав субъектов персональных данных
п. 5.1) направлять в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, и федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, применительно к сфере их деятельности, сведения, указанные в пункте 7 части 3 статьи 22 настоящего Федерального закона;

"А теперь читайте "Положение по аттестации объектов информатизации по требованиям безопасности информации" п.1.8. А то что выполняется вами только на основании лицензии на ТЗИ - это "оценка соответствия" -

ППр от 3 февраля 2012 г. N 79
1. Настоящее Положение определяет порядок лицензирования деятельности по технической защите конфиденциальной информации (не содержащей сведения, составляющие государственную тайну, но защищаемой в соответствии с законодательством Российской Федерации), осуществляемой юридическими лицами и индивидуальными предпринимателями.
4. При осуществлении деятельности по технической защите конфиденциальной информации лицензированию подлежат следующие виды работ и услуг:
г) аттестационные испытания и аттестация на соответствие требованиям по защите информации:
средств и систем информатизацИ еще последнюю строчку своего аттестата органа по аттестации прочитайте.
И откуда все таки взялисьслова "ОЦЕНКА СООТВЕТСВИЯ" ИСПДн?!! Для меня загадка.

"То есть определение обработки без использования средств автоматизации, которое дано в постановлении не правильное? "
ДА!!! ФЗ первичен!