Коллеги из ReignVox выложили достаточно качественный список документов необходимых к разработке оператором персональных данных в соответствии с требованиями российского законодательства. В перечне даются ссылки на нормативные акты, требующие их наличия.
6756 . 1983
Другие записи
Автор Царев Евгений
| Метки: безопасность персональных данных, закон о персональных данных, Законодательство, защита персональных данных, Интеграторы, ИСПДн, Классификация ИСПДн, Коллеги, Консультация, обработка персональных данных, Опыт работ, персональные данные в медицине, персональные данные работника, положение о персональных данных, система персональных данных, трансграничная передача
Написать комментарий
июля 12, 2009 at 20:25
Хорошо бы такой список с примером заполнения утвердил Регулятор…
Хотя бы для типовых систем…
[Ответить]
июля 12, 2009 at 20:46
swan: Абсолютно согласен. Отсутствие даже неофициального перечня документов противоречит здравому смыслу.
[Ответить]
июля 12, 2009 at 21:03
Это очень нехорошо для тех, кто оказывает услуги по построению защищенных систем в данном случае ИСПДн. Заказчик подписывает ТЗ на разработку СЗИ ИСПДн включая в него конкретный перечень разрабатываемой документации. Исполнитель этот состав готовит. Заказчик может слабо понимать что этого перечня будет недостаточно для аттестации или Роскомнадзора… И в результате начинаются “терки”…
Получается, чтобы успокоить сразу Заказчика нужно ТЗ согласовывать с Роскомнадзором, ФСТЭК, ФСБ – чтобы подтвердить что у Регуляторов не будет вопросов по составу документации ?!
[Ответить]
июля 13, 2009 at 13:00
Мдя-а… Господа из РейнВокс конечно поработали, но как-то странно. Понимаю, что они говорят о “примерном списке документов”. Но все же стоит быть корректнее… “Модель угроз безопасности ПДн при их обработке в ИСПДн (для специальных систем)”. С чего это вдруг они пришли к подобному выводу? Да, МУ нужна, но… для всех ИСПДн без исключения – как типовых, так и специальных! И что это за документ такой: “Определение границ контролируемой зоны ИСПДн”? Хотелось бы посмотреть на него
[Ответить]
июля 13, 2009 at 15:18
Исходя из определения “типовая система”, получается, что любая ИСПДн будет специальной. Видимо поэтому они и написали в скобках.
[Ответить]
июля 13, 2009 at 19:17
Да нет, Евгений, написали они совсем по другому. Они искренне считают, что МУ надо разрабатывать только для спецсистем, поэтому и дали ссылку на п.16 Приказа. По опыту могу сказать – так как РейнВоркс думают не они одни
[Ответить]
июля 13, 2009 at 20:24
Подтверждаю… как правило на вопрос “а где МУ” ответ “а она типовая по классу К2 вот по требованиям для класса и делаем”…
На вопрос “а почему К2″ – ответ “а Заказчик в контракте потребовал под класс К2″
[Ответить]