Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Новости проекта

Отраслевые новости

Угрозы

Преступления

Наказания

Партнеры


Журнал "Information Security"

Каталог "IT-Security"

Рекламодателям

Сотрудничество


Материалы

Форум

ITSec Weekly

Календарь

Публикации

Подписка

Контакты

Ссылки

Партнеры

Мероприятия

 
    Аттестация объекта информатизации - Форум по вопросам информационной безопасности

Форум по вопросам информационной безопасности

Аттестация объекта информатизации

К списку тем | Добавить сообщение


Страницы: [181-200] < 201 202 203 204 205 206 207 208 209 210 211 212 213 214 215 216 217 218 219 220 > [221-240]

Автор: sekira | 66525 27.10.2016 13:37
1. И даже если поподает (чего тоже в НМД нет) то что ? Где дальнейшее обязательства в части ТЗКИ?
2. Не СТР-К не обязателен в принципе в данном случае (тема елозилась здесь кучу раз).
3."Руководство больницы в суде разводит руками и признает, что информация действительно ограниченного доступа была разглашена, а кабинеты врачей не зашумляются потому что стр-к не зарегистрирован в Минюсте?"
Таки да вы сами все сказали!! Браво!

Что я считаю не важно! Как был задан вопрос?
"подскажите, должны ли в больничках/поликлиниках быть аттестованы"
Ну дак и ответ государства раз нет должны нигде значит не должны. Что я и написал!

Я не государство что бы мои "считания" стали нормой для операторов.

Если вас не устраивает что думает (а в данном вопросе оно ничего не думает) , дак и обращайтесь и опелируете ему. Ну или как "сверхдобросовестный" оператор выполняйте
в вашем видении ...

ФЗ 152 Статья 7. Конфиденциальность персональных данных
Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Или как субъект ПДн жалуйтесь одному из регуляторов что оператор не выполнил ваше видение при общении с вами как с пациентом "больница обеспечила не все условия для защиты ПДн и врачебной тайны".

Автор: oko | 66530 27.10.2016 21:46
Дык, просто же все в случае с больницами и "тонкими дверями"...
Есть требование по ликвидации актуальных угроз. К которым, в соответствии с Моделью 2008 ПДн, действующей до сих пор, могут быть отнесены и угрозы ПДн в акустической форме. Т.е. по-хорошему та же больница должна в своей Частной модели угроз рассмотреть все оные угрозы. Признает их актуальными? Надо защищать, хоть бы и по меркам СТР-К. А не признает актуальными - не надо. Но, в случае утечки, она (больница) должна быть готова отвечать за голословную "неактуальность" угроз...

Автор: sekira | 66533 27.10.2016 23:35
Есть требование по ликвидации актуальных угроз. с Моделью 2008 ПДн,.


...Настоящая «Базовая модель угроз безопасности персональных данных при их
обработке в информационных системах персональных данных» (далее – Модель
угроз) содержит систематизированный перечень угроз безопасности персональных
данных при их обработке в информационных системах персональных данных.

Где тут ЗП? Еще раз ЗП не ИСПДн!!!

" угрозы ПДн в акустической форме"
для ИСПДн обрабатывающих информацию в акустической форме...

Автор: sekira | 66534 28.10.2016 00:00
с Моделью 2008 ПДн

4.1. Угрозы утечки акустической (речевой) информации
Возникновение угроз утечки акустической (речевой) информации,
содержащейся непосредственно в произносимой речи пользователя ИСПДн,
при обработке ПДн в ИСПДн, обусловлено наличием функций голосового
ввода ПДн в ИСПДн или функций воспроизведения ПДн акустическими
средствами ИСПДн.

Автор: oko | 66545 28.10.2016 17:16
to sekira
Эх, спорить с вами, товарищ, каждый раз очень любопытно :) Если так хорошо знаете НМД и законы - ответили бы тов. 0-0 сразу и по-существу. Поскольку вопросы его правомочные, а позиция "не устраивает - апеллируйте" или "государство не установило => ничего не надо" к конечной практической цели (защите информации, в данном случае, в акустической форме ее представления, ага) не имеет никакого отношения.
К тому же, если разобраться, в нашей сфере куча пробелов, которые регуляторы (и не только) не заполнили доходчивыми и явными объяснениями. Так зачем мы тогда это все тут обсуждаем? Не лучше ли на странице itsec.ru сразу писать большими буквами "Пока не ясно. Разбирайтесь сами"...
В нашем случае, кто думает/хочет, тот пользуется СТР-К и иными НМД, смотрит на методики и модели как на инструмент, а не модус операнди. Я лишь привел пример трактовки, которая позволяет реализовать задуманное. А кто не хочет... ну, дальше ясно...

Автор: SKYCEBERG | 66563 31.10.2016 06:37
Спорить здесь бесполезно. В любом случае кто страдает? Правильно - гражданин. Да и когда реально коснется конкретного человека, и произойдет такой нехороший момент, что все услышат твои медицинские сведения - уже не до споров будет.

Автор: sekira | 66565 31.10.2016 07:02
"к конечной практической цели"
Как вопрос задан... про обязательность и т.д. За официоз же задан...
А с практической точки зрения "тот пользуется СТР-К и иными НМД..." тут полно пробелов и с организацией и НМД и с практической реализацией. Отдельная тема есть про АВАК в КИ. Быть может потому что тут тупики в ряде случаев никто и не заморачивается . Но мне видится другое... назовем это "паритет бездействия сторон".

"А кто не хочет... ну, дальше ясно..."

Про хочет не хочет...
Мед учреждение - не хочет денег жалко, спецов нет даже реализовать работы, нет давление извне со стороны субъектов и регулятора из-за указанных выше дыр в НМД.
Субъект (за исключением близких к компетенции) все равно, а иногда и все равно из-за непонимания необходимости конфиденциальности его данных (это же проблема у специалистов врачей мед.учереждения).
Регуляторы Роскомнадзор не компетентен в этих вопросах (тех.каналы и ПДн), нет желания привлекать ФСТЭК и с ним взаимодействовать, нет железобетонных пунктов в НМД требовать выполнять.
ФСТЭКу не с руки не наездится да и от субъектов писем нет с жалобами.

Паритет бездействия !!

Автор: oko | 66569 31.10.2016 10:21
to sekira, SKYCEBERG
Оно понятно, что бездействие. Понятно, что закон откровенно положил на защиту ПДн в комплексе, ограничившись защитой только систем их машинной обработки. Также понятно, что главный парадокс "как можно адекватно оценить меры защиты ПДн в каждом конкретном случае, если никем не установлена ценность оных ПДн в материальных единицах измерения" (привет УЗ 4 из классификации ГИС!) не был решен ни в 2006 г., ни через 10 лет. С этого, пожалуй, надо было начинать нашим нормотворцам. И сразу судебное право под сей вопрос подтягивать. Дабы не прийти к тому, что имеем сейчас...
Также согласен, что вся соль исключительно в прецеденте. Просто давайте пофантазируем. Через некоторое время кто-нибудь ушлый догадается (или прочтет нашу дискуссию тут, ага) и подаст в суд за разглашение ПДн. При этом в случае хорошего адвоката всем будет безразлично наличие/отсутствие НМД. И полетят больничные фонды по закоулочкам (тут уж как получится, но, думается мне, что при такой заморочке денег будут требовать мама не горюй)...
В сущности, повторюсь, проблема простая. Дабы себя обезопасить, рассматриваем подобный ТКУИ (УБИ, как кому удобно). Если дело совсем швах - принимаем меры. Согласно чему? А документов, регулирующих вопросы ТКУИ по КИ в стране не так уж и много. Объявлять или не объявлять статус кабинетов больниц как ЗП - дело десятое. Но меры принять вполне возможно (хоть бы и пассивные, которые не так уж дорого стоят). Дабы позже в случае официального предъявления претензий (в чем я лично сомневаюсь, если защита будет реально работать) легко "переводить стрелки" на нормотворческую базу. Только не со словами "мы ничего не делали, потому что никто ничего не требовал", а со словами "мы сделали согласно одной из действующих методик, поскольку явных альтернатив законом не установлено". Совершенно другой коленкор получается, товарищи...

Прошло около недели

Автор: SKYCEBERG | 66748 09.11.2016 04:28
Коллеги, тема касается, есесна, аттестации - требования к СДЗ.

Скажите, пожалуйста, может быть я что-то не понимаю? Я наблюдаю как некий лицензиат по секретке не ставит СДЗ, тока программными средствами СЗИ от НДС,т.е. никакой платы расширения нет. По требованиям к СДЗ четко же ясно, что СДЗ уровня платы расширения ставится для 1, 2 и 3 с интернетом класса/уровня, а по секретке - на всё в обяз. У меня даже до новых требований вопросов насчет платы расширения (сертифицированной) не возникало..

Автор: 12 | 66755 09.11.2016 10:44
в текущей версии Букваря (равно как в РД АС 1992 года) нет упоминания об обязательности применения СДЗ, посему нужно читать формуляр на применяемое средство защиты от НСД.
Ждем когда новый Букварь вступит в действие.

Страницы: [181-200] < 201 202 203 204 205 206 207 208 209 210 211 212 213 214 215 216 217 218 219 220 > [221-240]

Просмотров темы: 419449

К списку тем | Добавить сообщение



Добавить сообщение

Автор:
Компания:
E-mail:
Уведомлять о новых сообщениях в этой теме да
нет
Текст сообщения:
Введите код:









Реклама на сайте

ПОИСК

СВЕЖИЙ НОМЕР
ПОДПИСКА НА НОВОСТИ

 

 

 

 

Рейтинг@Mail.ru

Яндекс цитирования

Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Бесплатная подписка | Форум | Контакты | Ссылки | О чем этот сайт

Copyright © 2003-2013, ООО "Гротек"
Использование материалов сайта возможно при указании активной гиперссылки на главную страницу этого сайта. Ссылка должна выглядеть так: Itsec.Ru.