С
Есть ещё базовая модель угроз ФСБ, по ней тоже можно посчитать. Если они проверяют испдн то требуют ее
Size: a a a
2019 February 27
VM
в ГОСТе на аттестацию по требованиям безопасности он указан как проверяемый документ при аттестации, это вот прям самое очевидное
ГОСТ на аттестацию. А ИСПДн не требуют аттестации. Так что...
СГ
Появился кто по ОУД4 уже проходил анализ угроз банковского ПО?
PP
ГОСТ на аттестацию. А ИСПДн не требуют аттестации. Так что...
смотря какие... смотря где...
СГ
Есть у кого стандарт конфигурации(baseline) squid?
SL
ГОСТ на аттестацию. А ИСПДн не требуют аттестации. Так что...
Оценка эффективности реализованных мер защиты ПДн может на усмотрение оператора проводится в форме аттестации. Другой вопрос что ГОСТы по аттестации ощутимо устарели.
PP
Оценка эффективности реализованных мер защиты ПДн может на усмотрение оператора проводится в форме аттестации. Другой вопрос что ГОСТы по аттестации ощутимо устарели.
что в них устарело за 6 лет?
SL
как минимум, состав предписанных испытаний, их методы и срок действия аттестата соответствия.
VM
Оценка эффективности реализованных мер защиты ПДн может на усмотрение оператора проводится в форме аттестации. Другой вопрос что ГОСТы по аттестации ощутимо устарели.
Серафима, но даже, если Оператор ИСПДн принял с чего-то решение провести аттестацию, он не обязан вводить требование в контракт об обязательности ГОСТа. ГОСТы, как мы помним из ФЗ-184, не носят обязательного характера
SL
Это уже на усмотрение лицензиата ТЗКИ. Многие лицензиаты эти ГОСТы прибивают гвоздями к своим работам.
VM
как минимум, состав предписанных испытаний, их методы и срок действия аттестата соответствия.
Ну не то, чтоб...
Это ГИС - 5 лет, а те же ИСПДн - только 3 года
"6. Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанная оценка проводится не реже одного раза в 3 года."
Это ГИС - 5 лет, а те же ИСПДн - только 3 года
"6. Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанная оценка проводится не реже одного раза в 3 года."
VM
Это уже на усмотрение лицензиата ТЗКИ. Многие лицензиаты эти ГОСТы прибивают гвоздями к своим работам.
Заказчик имеет право выбирать. Он же платит. Не хотят - расторжение, как необоснованные требования.
Ну это объективно. У меня (предположим) обувной магазин. Я захотел ввести карточки со скидками. Создал ИСПДн. Решил аттестануться. Приходит лицензиат, и мне что-то втирает про ГОСТ ДСПшный. Как я его проверю? Он не показать мне его не может, ни я получать не могу (не хочу). Так, что это - перебор
Ну это объективно. У меня (предположим) обувной магазин. Я захотел ввести карточки со скидками. Создал ИСПДн. Решил аттестануться. Приходит лицензиат, и мне что-то втирает про ГОСТ ДСПшный. Как я его проверю? Он не показать мне его не может, ни я получать не могу (не хочу). Так, что это - перебор
SL
Заказчик может вообще не знать что в этих ГОСТ и поверить лицензиату)
SL
Но в целом согласна. Если заказчик программу и методики испытаний не согласовал, по которым с него техпаспорт на ИСПДн спросят, есть пространство для маневра.
VM
Но в целом согласна. Если заказчик программу и методики испытаний не согласовал, по которым с него техпаспорт на ИСПДн спросят, есть пространство для маневра.
Истинно так
PP
Заказчик при оформлении Заявки в Орган по аттестации фактически и обязан предоставить Паспорт АС (ИС) )), не называется прямо так, но содержание 1 в 1
PP
вот в том году все Банки обязали аттестовывать ИСПДн, которые часть ЕБС )
A
По поводу Аттестации, коллеги, не забывайте, что есть еще Положение по аттестации от 1994 г., утвержденное Гостехкомиссией, которое до сих пор в силе.
VM
По поводу Аттестации, коллеги, не забывайте, что есть еще Положение по аттестации от 1994 г., утвержденное Гостехкомиссией, которое до сих пор в силе.
ТАм про систему аттестации в целом
VM
Заказчик при оформлении Заявки в Орган по аттестации фактически и обязан предоставить Паспорт АС (ИС) )), не называется прямо так, но содержание 1 в 1
Честно говоря, в жизни не видел в живую Заявку на аттестацию. Обычно сразу контракт и ТЗ