1 марта, понедельник 18:28
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Процедура оценки соответствия

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Процедура оценки соответствия

    Добрый день!
    Подскажите были ли какие-либо разъяснения по поводу того что понимать под процедурой оценки соответствия?
    Знаю что там много чего, вплоть до акта ввода в эксплуатацию, но регуляторы вроде как считают единственную форму - сертификация.
    Может кто-то писал запросы или были официальные ответы по этому вопросу.
    Готовлю документы по ПДн и руководство поставило задачу либо найти официальнцю позицию РКН по этому вопросу, или писать им письмо.

  • #2
    ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ

    АССОЦИАЦИЯ РОССИЙСКИХ БАНКОВ

    АССОЦИАЦИЯ РЕГИОНАЛЬНЫХ БАНКОВ РОССИИ (АССОЦИАЦИЯ "РОССИЯ")

    МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ
    ПО ВЫПОЛНЕНИЮ ЗАКОНОДАТЕЛЬНЫХ ТРЕБОВАНИЙ ПРИ ОБРАБОТКЕ
    ПЕРСОНАЛЬНЫХ ДАННЫХ В ОРГАНИЗАЦИЯХ БАНКОВСКОЙ СИСТЕМЫ
    РОССИЙСКОЙ ФЕДЕРАЦИИ

    (на основе комплекса документов в области стандартизации
    Банка России "Обеспечение информационной безопасности
    организаций банковской системы Российской Федерации")

    найдите в Консультанте или в интернете и вперёд

    Комментарий


    • #3
      Сообщение от Alex1 Посмотреть сообщение
      МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ
      ПО ВЫПОЛНЕНИЮ ЗАКОНОДАТЕЛЬНЫХ ТРЕБОВАНИЙ ПРИ ОБРАБОТКЕ
      ПЕРСОНАЛЬНЫХ ДАННЫХ В ОРГАНИЗАЦИЯХ БАНКОВСКОЙ СИСТЕМЫ
      РОССИЙСКОЙ ФЕДЕРАЦИИ
      В свете выхода ПП 1119 и 21 приказа ФСТЭК этот документ стал нелегитимным. И не факт, что Банк топикстартера принял приказом СТО БР.

      Но если рассматривать эти рекомендации именно в части уведомления РКН, то по факту выполнения всех мероприятий надо провести внешний аудит, который своим заключением подтвердит факт соответствия.

      Комментарий


      • #4
        Позицию РКН не нашел, а вот позиция ФСТЭК отражена в информационном сообщении № 240/24/1701 от 4 мая 2012 года.
        Там все ожидаемо. Они говорят что есть ПП-330 (это которое с грифом ДСП) и в нем прописано что оценка соответствия может быть только в форме сертификации.
        Но вот Алексей Волков проводил оценку соответствия актом ввода в эксплуатацию системы.
        Каким образом для встроенных средств Windows провести оценку соответствия? У меня пользователей человек 40. На каждый комп свой акт? Или в одном прописать и перечислить? Но тогда акт постоянно менять, так как пользователи новые приходят. Или просто отразить что встроенные СЗИ признаются прошедшими оценку? Что посоветуете?

        Комментарий


        • #5
          Сообщение от Sat_Kelman Посмотреть сообщение
          Позицию РКН не нашел, а вот позиция ФСТЭК отражена в информационном сообщении № 240/24/1701 от 4 мая 2012 года.
          Там все ожидаемо. Они говорят что есть ПП-330 (это которое с грифом ДСП) и в нем прописано что оценка соответствия может быть только в форме сертификации.
          Но вот Алексей Волков проводил оценку соответствия актом ввода в эксплуатацию системы.
          Каким образом для встроенных средств Windows провести оценку соответствия? У меня пользователей человек 40. На каждый комп свой акт? Или в одном прописать и перечислить? Но тогда акт постоянно менять, так как пользователи новые приходят. Или просто отразить что встроенные СЗИ признаются прошедшими оценку? Что посоветуете?
          Как было Вами правильно отмечено, в информационном сообщении ФСТЭК России от 04.05.2012 N 240/24/1701 "О работах в области оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа" четко написано о том, что средства защиты информации, содержащей сведения, составляющие государственную тайну, а также средства защиты информации конфиденциального характера, используемые в целях защиты государственного информационного ресурса и (или) персональных данных, подлежат оценке соответствия в форме обязательной сертификации.

          Также в рамках третей Международной конференции «Защита персональных данных», прошедшей в Москве 21-22 ноября 2012 года, такая же интерпретация оценки соответствия прозвучала и от представителей ФСБ РФ (в настоящее время под упомянутой в ПП РФ №1119 процедурой оценки соответствия требованиям законодательства РФ в области обеспечения безопасности информации понимается именно сертификация).

          Поэтому для того, чтобы встроенные средства ОС Windows соответствовали требованиям законодательства РФ в области защиты персональных данных, нужно выбрать один из следующих способов:
          • сертифицировать уже имеющиеся у вас ОС Windows;
          • купить новые лицензионные сертифицированные ФСТЭК ОС Windows;
          • внедрить сертифицированные средства защиты информации от несанкционированного доступа, которые выполнят соответствующие требования законодательства вместо встроенных средств MS Windows (выполнят функции управления доступом, регистрации и учета и т.п.).

          Комментарий


          • #6
            Процедура оценки соответствия требованиям ГОСТ или Технических регламентов, подразумевает под собой анализ документации, производства, проведение испытаний образцов продукции для того что бы понять соответствует ли продукция требованиям тех или иных стандартов. Оценка соответствия бывает обязательная и добровольная, Обязательная проводится в формах сертификации или декларирования. По своей юридической силе сертификат и декларация равны. Поддробнее можно прочитать в этой статье https://www.anoipb.ru/sertifikaciya-i-deklarirovanie

            Комментарий

            Обработка...
            X