Форум ''Интернет и Право''
14 Июнь 2021, 18:42:51 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.

Войти
Новости: Форум "Интернет и Право" прекратил свою работу с 01 января 2013 г.
 
   Начало   Помощь Поиск Войти Регистрация  
В закладки:
Страниц: 1 [2]   Вниз
  Печать  
Автор Тема: Защита персональных данных на сайте.  (Прочитано 13201 раз)
korsar
Посетитель
*
Офлайн Офлайн

Сообщений: 84


С любовью к ближнему


E-mail
« Ответ #10 : 21 Апрель 2011, 04:20:49 »

Аттестация обязательна для компаний, обрабатывающих первый и второй классы информационных систем (ИС) персональных данных.
1 Класс:
ПДн, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни. Также ПДн, позволяющие идентифицировать субъекта и получить о нем дополнительную информацию, если в ИС одновременно обрабатываются ПДн более чем 100 000 субъектов, либо одновременно обрабатываются ПДн субъектов в пределах субъекта Российской Федерации или Российской Федерации в целом.

2 Класс:
ПДн, позволяющие идентифицировать субъекта и получить о нем дополнительную информацию, если в ИС одновременно обрабатываются ПДн от 1000 до 100 000 субъектов ПДн, либо одновременно обрабатываются ПДн субъектов ПДн, работающих в отрасли экономики Российской Федерации, в органе гос. власти, проживающих в пределах муниципального образования. Также ПДн, позволяющие  
идентифицировать субъекта, если в ИС одновременно обрабатываются ПДн более чем 100 000 субъектов либо одновременно обрабатываются ПДн субъектов в пределах субъекта Российской Федерации или Российской Федерации в целом.

В остальных случаях аттестация не обязательна.

Однако вы меня не поняли.  Из какого документа вы это взяли? - Этот документ отменен еще в марте 2010г. Он входил в так называемое 4-книжие и его название я привел выше. После выхода 58 приказа, утвердившего иной документ (его название выше) - 2 из 4 документов ФСТЭК были отменены внутренним приказом (поскольку они не регистрировались в минюсте, то в Инете инфы было мало. А как проводить классификацию и т.п. я прекрасно знаю)).  

А новый РД не требует аттестации, понятие аттестации осталось только в СТР-К (который, кстати , тоже в минюсте не регистрирован, однако он входит в число действующих руководящих документов ФСТЭК)
« Последнее редактирование: 21 Апрель 2011, 04:37:44 от korsar » Записан
Алексей А. Шаталов
Модератор
Завсегдатай
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 1495


Это девственная территория для публичных домов

600942454
« Ответ #11 : 21 Апрель 2011, 09:29:53 »

Однако вы меня не поняли.  Из какого документа вы это взяли?
Самого документа я не видел, я читал:
"ПРАКТИЧЕСКИЕ АСПЕКТЫ РЕАЛИЗАЦИИ ПОЛОЖЕНИЙ ФЕДЕРАЛЬНОГО ЗАКОНА "О ПЕРСОНАЛЬНЫХ ДАННЫХ"
В.Сердюк К. т. н., CISSP, генеральный директор ЗАО "ДиалогНаука" Подписано в печать 17.05.2010.

Цитирую:

Цитировать
Аттестация информационной системы, обрабатывающей
персональные данные.
Аттестация является обязательной для систем классов К1 и К2 и представляет собой завершающий этап создания системы защиты персональных данных. На данном этапе проводится комплекс проверок, позволяющих выдать аттестат соответствия требованиям по безопасности персональных данных. Аттестация проводится специализированными организациями, имеющими необходимые лицензии ФСТЭК и аттестат аккредитации.


Этот документ отменен еще в марте 2010г. Он входил в так называемое 4-книжие и его название я привел выше.
Стало быть, гражданин Сердюк, выпустив свою статью в мае, не знал, что обязательная аттестация отменена еще в марте?

А как проводить классификацию и т.п. я прекрасно знаю)).  
О... Вы, уважаемый korsar, напишите, пожалуйста, в личку, что Вы знаете и что Вы можете в этом направлении, может, мы друг другу полезны.

P.S. Бегло прочел Приказ от 5 февраля 2010 г. N 58 ничего об обязательной аттестации или ее отмене не нашел. Может Вы подскажете, что по тексту этого Приказа говорит о том, что аттестация не обязательна?
Записан
korsar
Посетитель
*
Офлайн Офлайн

Сообщений: 84


С любовью к ближнему


E-mail
« Ответ #12 : 21 Апрель 2011, 13:04:19 »

Однако вы меня не поняли.  Из какого документа вы это взяли?
Самого документа я не видел, я читал:
"ПРАКТИЧЕСКИЕ АСПЕКТЫ РЕАЛИЗАЦИИ ПОЛОЖЕНИЙ ФЕДЕРАЛЬНОГО ЗАКОНА "О ПЕРСОНАЛЬНЫХ ДАННЫХ"
В.Сердюк К. т. н., CISSP, генеральный директор ЗАО "ДиалогНаука" Подписано в печать 17.05.2010.

Цитирую:

Цитировать
Аттестация информационной системы, обрабатывающей
персональные данные.
Аттестация является обязательной для систем классов К1 и К2 и представляет собой завершающий этап создания системы защиты персональных данных. На данном этапе проводится комплекс проверок, позволяющих выдать аттестат соответствия требованиям по безопасности персональных данных. Аттестация проводится специализированными организациями, имеющими необходимые лицензии ФСТЭК и аттестат аккредитации.


Этот документ отменен еще в марте 2010г. Он входил в так называемое 4-книжие и его название я привел выше.
Стало быть, гражданин Сердюк, выпустив свою статью в мае, не знал, что обязательная аттестация отменена еще в марте?

А как проводить классификацию и т.п. я прекрасно знаю)).  
О... Вы, уважаемый korsar, напишите, пожалуйста, в личку, что Вы знаете и что Вы можете в этом направлении, может, мы друг другу полезны.

P.S. Бегло прочел Приказ от 5 февраля 2010 г. N 58 ничего об обязательной аттестации или ее отмене не нашел. Может Вы подскажете, что по тексту этого Приказа говорит о том, что аттестация не обязательна?


Ну по-первых "крутым" спецом я не являюсь (всего лишь  возглавляю региональное подразделение информбезопсности одной госкорпорации) - просто мы эти этапы у себя в корпорации выполнили уже.
Как проводить классификацию системы описано в
" Приказ Федеральной службы по техническому и экспортному контролю, ФСБ РФ и Министерства информационных технологий и связи РФ
от 13 февраля 2008 г. N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных"
 
Помимо этого (классификации) разработана и утверждена концепция корпорации по ЗИ и  модель угроз (на основе типовой модели ФСТЭК),
Утверждено Описание СЗИ
инструкции по ЗИ в корпоративной АИС и куча сопутствующих, включая списки допущенных, инструкции по авторизации, актуализация таблиц разграничения доступа и т.д и т.п.
Выполнены все требования к системам нашего класса в соответствии с приказом 58 (НСД, мониторинг, система обнаружения вторжений и т.д.).

И , по крайней мере, проходившие проверки ФСТЭК и ФСБ в прошлом году во многих наших регионах нарушений не выявили.
Записан
Алексей А. Шаталов
Модератор
Завсегдатай
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 1495


Это девственная территория для публичных домов

600942454
« Ответ #13 : 22 Апрель 2011, 10:16:24 »

Скромный Вы человек, korsar. Будьте добры, если можно, напишите мне в личку какой регион, кто проводил аттестацию, на каких условиях. Дело в том, что я юрист, и в технические моменты не особо люблю лезть, а аттестация нужна и не единоразово, и не одного объекта. Кстати, Ваш объект, о котором Вы ведете речь - Интернет-сайт, я правильно понимаю?
Записан
korsar
Посетитель
*
Офлайн Офлайн

Сообщений: 84


С любовью к ближнему


E-mail
« Ответ #14 : 22 Апрель 2011, 13:00:27 »

Скромный Вы человек, korsar. Будьте добры, если можно, напишите мне в личку какой регион, кто проводил аттестацию, на каких условиях. Дело в том, что я юрист, и в технические моменты не особо люблю лезть, а аттестация нужна и не единоразово, и не одного объекта. Кстати, Ваш объект, о котором Вы ведете речь - Интернет-сайт, я правильно понимаю?

Нет, не сайт. В личку написал, что мы делали и каковы наши ИСПДН. Кстати, почему-то не вижу, где посмотреть свои отправленные сообщения можно - в исходящих пусто, а позиции "отправленные нет.
Записан
Алексей А. Шаталов
Модератор
Завсегдатай
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 1495


Это девственная территория для публичных домов

600942454
« Ответ #15 : 22 Апрель 2011, 14:44:08 »

Нет, не сайт. В личку написал, что мы делали и каковы наши ИСПДН. Кстати, почему-то не вижу, где посмотреть свои отправленные сообщения можно - в исходящих пусто, а позиции "отправленные нет.
Увидел, спасибо. В исходящих должно быть.
Записан
Igor Michailov
Модератор
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 7261



« Ответ #16 : 22 Апрель 2011, 19:06:32 »

в исходящих пусто, а позиции "отправленные нет.
По умолчанию, отправленные письма не сохраняются. Чтобы у вас осталась копия отправляемого сообщения установите галочку в опции "Сохранять копию в исходящих" (расположено под окошком, куда вы вводите текст сообщения).
Записан

Юридические консультации.

Помощь в составлении жалоб и ходатайств.

Заверение контента сайтов, Интернет-страниц, электронной почты.
Страниц: 1 [2]   Вверх
  Печать  
 
Перейти в:  

Яндекс цитирования © Антон Серго, 1998-2012. Правовая информация.
Карта сайта "Интернет и Право" (internet-law.ru).

На правах рекламы:



Произвольная ссылка:







Powered by SMF 1.1.21 | SMF © 2011, Simple Machines