Ну, не сказал бы так категорично. Есть те, кто заканчивали специалитет по информационной безопасности, в дипломе прописывается количество часов по дисциплинам, в т.ч. и по криптографии.

152фапси касается скзи

Смотря что понимаете под учётом

Паспорт ИС

По факту на каждое сзи есть формуляр, его надо заполнять и вести. По факту это учет

Спасибо

Доброе время суток, коллеги! может кто нибудь подклиться опытом по оценке вреда, который может быть причинен субъектам персональных данных и оценкой степени возможного ущерба для обладателя информации?

Тоже интересно

Что Вы хотите вписать в паспорт ИС? Его делает разработчик ИС. Утверждает он же (по идее). То, что касается средств защиты, сертифицированных ФСТЭК, то это по идее Паспорт СЗИ {системы...} (если был этап разработки СЗИ). Его должен опять же разрабатывать Разработчик СЗИ. Для Вас этот интегратор должен был забебенить какой-нибудь журнальчик. Вот его и вести

а если у вас есть несертифицированное средство защиты? а если есть устройство (или ПО), функции которого вы используете для защиты? где учет ведется? Тем более ведение Паспортов ИС предусмотрено уже и для некоторых видов ИС, а для АС ГОСТом

Думаю речь о формуляре на средство.

ГОСТ на ИС не видел. Есть ГОСТ на АС

На счёт несертифицированных. Я отвечал исключительно в контексте, что у вас аттестованная ГИС. Если у Вас не так, а просто личная ИС, то требования по учёту определяет Вас CISO

Вроде нет. Думаете задающий путает?

Скорее всего имелся в виду технический паспорт ИСПДн

В работе использую шкалу, основанную на УК РФ и ГК РФ:

Негативные последствия отсутствуют (вред отсутствует):
 неправомерные действия с ПДн не приводят к ущербу субъекту ПДн;

Незначительные негативные последствия (низкий уровень возможного вреда):
 нарушения конституционных прав субъекта ПДн вследствие вмешательства в его личную жизнь путем осуществления контактов с ним по различным поводам без его на то согласия (например – рассылка персонифицированных рекламных предложений и т.п.);
 причинение морального вреда субъекту ПДн;
 дополнительные нематериальные (например, временные) затраты субъекта ПДн;

Негативные последствия (средний уровень возможного вреда):
 незапланированные и (или) непроизводительные финансовые или материальные затраты субъекта (не превышающие 250 000 рублей);
 опосредованный ущерб субъекту ПДн.

Значительные негативные последствия (высокий уровень возможного вреда):
 нанесения вреда здоровью субъекта ПДн;
 нарушения конституционных прав и свобод субъекта ПДн;
 незапланированные и (или) непроизводительные финансовые или материальные затраты субъекта ПДн в крупном и особо крупном размерах (более 250 000 рублей);
 потери субъектом ПДн свободы действий вследствие шантажа и угроз, осуществляемых с использованием ПДн.

Не видел НПА ФСТЭК которые бы требовали такой документ как техпаспорт ИСПДн. Поэтому и требований по ведению такого своеобразного документа не видел.
Знаю про техпеспорт из СТР-К. Но это опять же про АС, а не про ИС

вариант, что называется, экспертный. Далее возможные последствия от нарушений К, Ц и Д раскидываются по данным вариантам

ущерб организации от нарушений ИБ ПДн уже отдельно проходит, потому что там критерии другие совсем

Спасибо, сохранил

в ГОСТе на аттестацию по требованиям безопасности он указан как проверяемый документ при аттестации, это вот прям самое очевидное