Перейти к содержанию

Аттестация объекта ИТ для обработки КТ


Рекомендуемые сообщения

Главное не забудьте, чтобы ваши сотрудники в отделе кадров подписали обязательство о неразглашении коммерческой тайты.

Имейте ввиду, что весьма трудно привлечь человека по этой статье. И соответственно очень небольшое количество уголовных дел заводится.

16768[/snapback]

Уже обсуждалось

 

В практике работы по аттестации ОИ не встречал жестких требований по атестации на работу с КТ в негосударственной конторе. Защищать в соответствии с СТР-К - одно, а аттестовать - другое - по решению заявителя.

16796[/snapback]

Здесь существует следующее правило: или Вы не декларируете выполнение СТР-К (и соответственно выполняете лишь то, что Вы хотите), или Вы декларируете выполнение СТР-К (и выполняете его в полном объеме).

Однако, привлечь к уголовной ответственности сотрудника предприятия можно, только если соблюдены три условия:

Не 3, а 5.

Если же такое соглашение не заключено, то минимальный срок для хранения тайны - 3 года.

16809[/snapback]

Не минимальный, а общий

В таком ракурсе вопрос имеет большой интерес и актуальность. Судя по всему имея на руках аттестат соответствия определенному классу защищенности по российской нормативной базе будет являться доказательством принятых мер к защите своей информации.

Достаточно того, что предусмотрено Законом

Интересно, а сертификазия организации по международным стандартам (например ISO/IEC 27001:2005) может быть принята судом как доказательство достаточности наличия мер по защите информации?...

16812[/snapback]

Если не будет выполнена ст.10 98-ФЗ 2004 года - не примут. Да и ISO/IEC 27001:2005 пока не является Российским стандартом (в отличии от ИСО/МЭК 15408–2002)

Ссылка на комментарий
Поделиться на другие сайты

  • Ответов 47
  • Создана
  • Последний ответ

то что вы можете написать в углу листа что угодно это понятно, но если вы хотите что бы закон защищал ваши интересы, то вы должны исполнить все его требования, если вы поставите на документе гриф конфиденциально но не выполните требований СТР - К, то вы можете считать что вы уже заведомо ничего не сможете доказать в суде, это касается конфиденциальной информации, кроме того существует Перечень конфиденциальной информации утвержденный президентом российской федерации который еще никто не отменял, и информацию по этому перечню вы обязаны защищать согласно требований СТР-К, те ваша прямая обязанность не допустить распространение этих данных, независимо от формы собственности, так что когда вступит в действие закон о персональных данных очень многим придется озадачится вопросом связанныс с обработкой персональных данных(ПД) в отделах кадров, если там присутствует машинная обработка ПД то вам првести мероприятия по аттестации объекта информатизации согласно СТР-К, а иначе в 2008 году придет нехороший представитель контролирующего органа и этим самым органом вам все объяснит (прошу прощения за пошлость)

 

 

 

А про гос тайну я тут даже не говорю, это отдельная давно решенная тема.

Ссылка на комментарий
Поделиться на другие сайты

Кстати: применение СТР-К для негосударственных организаций никогда не было обязательным.

извините, а что вы скажете о Перечне конфиденциальной информации, в котором присутствуют персональные данные, соответственно они должны быть защищены в соответствии с СТР-К, а и наче пойдет прямое нарушение Указа президента от 6 марта 1997 года N 188.

 

А то что этим никто не озаботился почему то до сих пор это уже другая проблема.

16821[/snapback]

Вопрос ко ФСТЭК

 

В принципе аттестация и еще многое другое нобходимы для любой защищаемой законом конфиденциальной информации, кроме коммерческой тайны (для КТ - это решение ее обладателя). Пока не вышел Закон о ПД этим заморачивались только там, кде существует проф. тайна обрабатываемая тех. средствами.

А юридическая сторона вопроса заключается в том, что Вам прийдется очень и очень потрудится, что бы доказать умысел (нанести ущерб вашему предприятию) в действиях ваших работников. :smile14:

16822[/snapback]

Хоть и бездарно написанная статья, но смотрим на подтолкнувший к написанию факт

Ссылка на комментарий
Поделиться на другие сайты

вот теперь мы вернулись к моему вопросу, не потребуется ли мне, для того что бы в суде мои претензии по нарушению режима коммерческой тайны были хотябы рассмотрены, проводить аттестацию объекта информатизации согласно СТР-К, так как закон о коммерческой тайне сплошь пропитан фразами типа "конфиденциальность работ" "Режим конфиденциальности".

 

 

Ссылка на комментарий
Поделиться на другие сайты

если вы хотите что бы закон защищал ваши интересы, то вы должны исполнить все его требования,

С этим целиком и полностью согласен

если вы поставите на документе гриф конфиденциально но не выполните требований СТР - К, то вы можете считать что вы уже заведомо ничего не сможете доказать в суде, это касается конфиденциальной информации,

1. Не конфиденциально, а "Коммерческая тайна"/"Персональные данные"/"Банковская тайна"/"Аудиторская тайна"/"Врачебная тайна"/и т.д. и т.п.

2. Вам прийдется определить нанесенный ущерб - если это коммерческая тайна (для этого у Вас должны быть оценены нематериальные и информационные активы). Или Вас (как работодателя) привлекут к ответственности за необеспечение охраняемой законом тайны - если это персональные данные или профессиональная тайна.

 

А про гос тайну я тут даже не говорю, это отдельная давно решенная тема.

16827[/snapback]

Гос. тайна здесь не обсуждается, да и для гос. тайны действует не СТР-К(LOL)

 

вот теперь мы вернулись к моему вопросу, не потребуется ли мне, для того что бы в суде мои претензии по нарушению режима коммерческой тайны были хотябы рассмотрены, проводить аттестацию объекта информатизации согласно СТР-К, так как закон о коммерческой тайне сплошь пропитан фразами типа "конфиденциальность работ" "Режим конфиденциальности".

16829[/snapback]

Для суда Вам необходимо:

- выполнение требований всех нормативных документов, а не только СТР-К и Законов о КТ и ПД

- оценка информационных активов компании.

 

Тут у Вас появятся еще и сертифицированные СЗИ и СКЗИ, лицензия на использование СКЗИ, сертифицированный и аттестованный персонал службы защиты, организация охраны, разграничения доступа к информации, обучение и подбор персонала и многое другое...

Ссылка на комментарий
Поделиться на другие сайты

Заархивировано

Эта тема находится в архиве и закрыта для дальнейших ответов.


×
×
  • Создать...