Первая онлайн-конференция ReignVox

Какие конкретно технические средства защиты информации необходимо и достаточно установить на АРМ сотрудников, работающих с базами данных, содержащих персональные данные(фам,им,отч,соц.статус,год рожд,адрес,наличие инвалидности, льгот,доп. данные о здоровье), если класс защищенности:
1) К3 - ?
2) К2 - ?

На основании каких нормативных документов проводится оценка эффективности средств активной защиты устанавливаемых в ИСПДн?
На основании каких нормативных документов проводится расчет зоны 1 для ИСПДн?

В какой форме должен быть утвержден перчень обрабатываемых на предприятии персональных данных?

Можно ли избежать получения лицензии ФСБ по техническому обслуживанию шифровальных средств, использую программное обеспечение VipNet?

В чем заключается декларирование для сети К3 и К4? Применяя криптографические средства защиты информации обязательна ли аттестация или достаточно акта от ФСБ?Достаточно ли для аттестации использовать лицензионную сертифицированную по требованиям безопасности операционную систему и ключи от НСД? Нет ли автоматизированной доступной программы построения модели угроз?

МОЖЕМ ЛИ МЫ ВЕСТИ МЕДИЦИНСКИЕ КАРТЫ ПАЦИЕНТОВ В КОМПЬЮТЕРЕ (ПРОГРАММА)И ЗАВЕРЯТЬ ИХ ШИФРОМ ВРАЧА? ЛИБО ОБЯЗАТЕЛЬНО ДУБЛИРОВАНИЕ НА БУМАЖНОМ НОСИТЕЛЕ?

в нашей организации обрабатываются персональные данные больных туберкулезом и лиц контактных с ними, а также по договору передаем инфу в станцию переливания крови и в вышестоящею организацию для получения лекарственных препаратов. Обязаны ли наши пациенты предоставлять свои персональные данные, соответствует ли это 9.ст,ч2 ФЗ 152 о персональных данных или др фед законов (...в целях защиты здоровья, прав и законных интересов др лиц...)? Или мы обязаны все таки брать письменное согласие?

Какие сертификаты нужны оператору персональных данных и как их получить?

ego

Как внести согласие субъектов персональных данных (работников)на их обработку на личную карточку формы Т-2. Ведь это унифицированная форма!

Здравствуйте.
В соответствии с "Основными мероприятиями по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных", утвержденными заместителем директора ФСТЭК России 15 февраля 2008 года, операторы ИСПДн при проведении мероприятий по обеспечению безопасности персональных данных при их обработке в ИСПДн 1, 2 и 3 (распределенные системы) классов должны получить лицензию на осуществление деятельности по технической защите конфиденциальной информации в установленном порядке.
Прошу разъяснить возможность проведения мероприятий по обеспечению безопасности персональных данных при их обработке в ИСПДн 1 класса, силами сторонней организации (аутсорсинг), имеющей лицензии на осуществление деятельности по технической защите конфиденциальной информации и техническое обслуживание шифровальных (криптографических) средств, без получения соответствующей лицензии оператором.

Здравствуйте!
У меня несколько вопросов:
1) Как узнать, какое из уже установленного ПО лицензировано ФСТЭК для обработки персональных данных, есть ли вообще такие списки и где?
2) Для обеспечения работы библиотеки и электронного документооборота нам пришлось разработать собственное программное обеспечение, как пройти процедуру проверки на соответствие требованиям ФСТЭК к системам обработки персональных данных?
3) В любом образовательном учреждении (школе, вузе) существует несколько мест обработки персональных данных: "медпункт", "отдел кадров", "секретарь директора". По долгу службы они работают с персональными данными, а значит, могут использовать только сертифицированное ПО (ну, это хоть решаемо) и находиться в специализированном для обработки ПД помещении. Но последнее требование невыполнимо! Скажите, оно правомерно?

Администрация города осуществляет обработку персональных данных. Может ли она осуществить тех защиту ПДн собственными силами или обязательно привлечение организации имеющей лицензию на деятельность по тех защите конфиденциальной информации? Если возможна организация защиты собственными силами обязательно ли получение для этого лицензии?

Достаточной ли является защита системы класса K2 многопользовательской с разграничением доступа, если существует парольная защита, аудит подключений, антивирусная защита (постоянный мониторинг), физическое разделение локальной сети и сети Internet (запрет одновременного подключения)? Что еще необходимо?

Являются ли данные «Инвалид … группы», «Состоит на учете …» достаточными для отнесения системы к «специальной»?

Достаточной ли является защита системы класса K1 однопользовательской, если существует парольная защита, антивирусная защита (постоянный мониторинг), отсутствует подключение к сети Internet, отсутствует неконтролируемый доступ в помещение. Что еще необходимо?

Следует ли рассматривать в качестве персональных данных сведения о ФИО и адресе граждан, обратившихся в администрацию города? Значительная часть обращений приходит по сети Internet («Электронная приемная»)?

Добрый день.

В настоящее время любая организация, которой требуетя специалисты по информационной безопасности на какую-либо должность, обязательным требованием выставляет необходимость опыта работы в этой сфере. Таким образом, сложившаяся ситуация не позволяет молодому специалисту устраиваться по специальности. Есть варианты разрешения такой ситуации ?

Мы занимаемся продажей и внедрением 1С. 1)Если мы настроим права доступа в 1С к справочнику физлиц (персональные данные) только определенному кругу сотрудников компании, а общедоступный список обезличим, то будет ли это считаться деятельностью "Техническая защита конфиденциальной информации", требующей получение лицензии? Т.е. имеем ли мы право скрыть ПД в 1С?
2)Если мы проверим все информационные системы наших клиентов на соответствие требованиям ФЗ 152, не требует ли такая работа наличие лицензии?
3) Если мы подведем клиента к мнению что ему нужно приобрести шифровальные криптографические программы, то на каких условиях возможно наше сотрудничество?

И так согласно 152 ФЗ и других нормативных документов, руководитель предприятия может своим приказом назначить лиц ответственных за защиту Пдн. Т.е. администратора БИ и ответственного по ТЗКИ. Вопрос состоит в том, есть ли, какие-то требования к назначаемым лицам по их образованию и уровню подготовки со стороны закона?

Поиск работы обычно начинается с рассылки резюме в интересующие компании. Например, мой знакомый бухгалтер ежедневно рассылал резюме по 50 адресам в течение 2 недель. То есть сделал свыше 200 рассылок, прежде чем попал на собеседование и получил работу. И считает, что ему еще повезло, поскольку его коллеги искали работу по нескольку месяцев.
Резюме должно содержать сведения об образовании, опыте предыдущей работы, и, разумеется, ФИО и контактную информацию. То есть полный набор ПД.
Насколько я понимаю, законопослушные работодатели, получив такое резюме по электронной почте, должны его немедленно уничтожить, поскольку ни хранить, ни обрабатывать его они не имеют права (письменного разрешения от субъекта ПД у них нет)
Кроме того, интернет-провайдер, передающий резюме по сети, тоже должен предварительно заручиться письменным разрешением.
Друзья, знакомые и коллеги соискателя, которые хотят ему помочь, тоже должны иметь на руках бумажку с его согласием.
Как вы понимаете, практически такое осуществить невозможно.
Как быть?

Наша компания обрабатывает только персональные данные своих сотрудников, работающих по договорам гражданско-правового характера, и персональные данные клиентов, покупающих наши продукты по лицензионным соглашениям.
Вопрос: необходимо ли нам использовать какие-либо технические средства, в том числе шифровальные (криптографические) средства, при обработке персональных данных? Если да, то какие будут являться достаточными?

УФК относится к органу государственной исполнительной власти которому разрешено обеспечивать защиту секретной информации без лицензии.Гриф Секретно выше конфиденциального и требования по защите информации тоже выше.Нужна ли УФК лицензия на защиту конфиденциальной информации регламентированная законодательством по защите ПД. Спасибо за внимание.

Предположим, что на нашей клинике ведется учет пациентов, включая их персональные данные просто в программе Ecxel. Что нам НЕОБХОДИМО сделать, чтобы не нарушать закон?
1. Поставить windows 7 с шифрованием дисков и создать документ Политики внутренней безопасности?

2. Покупать специализированное ПО для шифрования?

3. или?

Подскажите. Вести все вручную - не менее безопасно по персональным данным, но неказазуемо. Как не отказываться от электронного ведения дел и в то же время не стать нарушителем закона?

Образовательные учреждения города Железногорска Курской области внедряют автоматизированные информационно-аналитические системы. Персональные данные находятся в электронном виде. В этой связи, хотелось бы узнать как эту работу проводить без нарушений законодательства,какие приказы нужно издать, какие соглашения заключить и как провести регистрацию места оператора (если он один и если их несколько - директор, завуч, секретарь, классный руководитель,...)

ТСЖ ведет домовую книгу, работает с персональными данными при регистрации и снятии граждан с учета по месту постоянного и временного проживания (паспортный стол, бухгалтерия обрабатывают персональные данные граждан с целью начисления жилищных и коммунальных платежей, ведет учет оплат и задолженностей по платежам в ежедневном режиме. Объем - до 1000 лицевых счетов. Отдельно ведется учет льготников (в том числе - инвалидов) и малоимущих граждан, имеющих право на получение субсидий по оплате жилищных услуг. Что должен предпринять руководитель ТСЖ, чтобы после 1 января 2010 года к нему не было претензий?

Заранее спасибо!

Для определения перечня объектов информатизации, подлежащих аттестации, в администрации создана комиссия по подготовке и обеспечению проведения аттестации объектов информатизации администрации, утвержденная Главой. Правомочна ли данная комиссия, не имея лицензии, анализировать информационные ресурсы подразделений администрации, имеющих статус юридического лица?
Заранее спасибо.

Собираемся пойти по направлению защиты ПД в числе прочих. Интересует, как обстоит на сегодняшний день ситуация с оформлением выходных документов по ИСПДн Заявителей представителями аттестационных структур. Каковы единые требования РЕКОМЕНДУЕМЫЕ (кроме известного "4-х книжия ФСТЭК") по оформлению отчетной документации, по аналогии с СТР-К и другими официально утвержденными документами ФСТЭК.

Интересует прежде всего практическая сторона вопроса. В рекомендациях регуляторов описаны свойства технических средств для защиты ПДн. А чтобы выбрать непосредственно техническое средство защиты. Необходимо сначала проштудировать список сертифицированных средств, затем посмотреть в РД какие свойства защиты обеспечивает присвоенный устройству класс. А затем уже сверить его с теми свойствами которые требует регулятор.
Вопрос: могли бы вы назвать наиболее распространенные технические устройства необходимые для защиты ИСПДн, распределив их по классам, для К3 распределенной, К3, К2, К1.

Подскажите, есть ли необходимость юридическому лицу получать лицензию на деятельность по обработке персональных данных?

Необходимость получать и обрабатывать персональные данные есть у владельцев интернет-магазинов. Скажите, пожалуйста, что нужно предпринять для того, чтобы обезопасить себя от проверяющих органов?

Где узнать об уполномоченных органах и в каком виде составлять уведомление в соответствии с ФЗ №152?

добрый день!
Что значит декларирование соответствия, применительно к ИСПДн 3 класса, какими нормативные актами утверждается это декларирование соответствия?

Читал о Вашем проекте по созданию отраслевого стандарта для телекома, возможно ли применение разработанных документов в других отраслях: стахование, банковская сфера и др.?

Какова организация трансграничной передачи информации в рамках одной компании, имеющей зарубежные филиалы и представительства?

1. В РД "Основные мероприятия по организации и техническому обеспечению безопасности ПДн, обрабатываемых в ИСПДн" в п. 3.14 говорится, что "... операторы ИСПДн при проведении мероприятий по обеспечению безопасности ПДн (конфиденциальной информации) при их обработке в ИСПДн 1, 2 классов и распределеных информсистем 3 класса должны получить лицензию на осуществление деятельности по технической защите конфиденциальной информации в установленном порядке." Вопрос: мы муниципальное образование, надо ли нам получать указанную лицензию?
2.Вопрос: какие главы(пункты) должны быть отражены в "Положении по организации и проведению работ по обеспечению безопасности ПДн при их обработке в ИСПДн"?
3. Вопрос: модель угроз разрабатывается только для определения класса специальной информационной системы, или для типовой информационной системы тоже?

Добрый день! Меня интересует следующая ситуация: в одном из Банком у меня вследствии несвоевременного погашения кредитной задолженности существует отрицательная кредитная история. В настоящее время при попытке обратиться в иной Банк для получения кредита, я получаю отказ. Как поясняют мне сотрудники Банка (в котором я намерена приобрести кредит), это происходит из-за отрицательной кредитной истории. Сейчас я намереваюсь направить письменный запрос в Банк о прекращении обработки моих персональных данных и об их уничтожении. Вопрос: как должно осуществляться уничтожение? и если на момент моего запроса длится судебное разбирательство между мной и этим Банком, Банк все равно обязан уничтожить мои персональные данные в соответствии с запросом??? Заранее большое спасибо!!!

Можно уточнить, насколько подписчики печатных изданий относятся к категории персональных данных, подпадающих под указанный закон?
Спасибо

Предусматривает ли "Федеральный закон о Персональных данных ФЗ-152" передачу личных данных закодированных ТОЛЬКО по ГОСТу или возможно использование других алгоритмов шифрования?

Верно ли, что системы, относящиеся к 4му классу, но использующиеся в гос. учереждениях, подлежат обязательной сертификации?

Как нам хранить анкеты соискателей?Что можно хранить в электронном виде, а что нельзя?

У меня компания небольшая, занимаемся автоматизацией бухгалтерского учета и отправкой отчетности по каналам связи как представители специализированного оператора связи, клиентов более 1000.
Наша компания имеет 3 лицензии ФСБ по обслуживанию криптосредств. Вопрсы:
1. Мы относимся по классификации ПДн к К3,создала комиссию,подготовила акт классификации и уведомление, какие мои дальнейшие действия и что еще надо предпринять?
2. Какие услуги по защите ПДн мы можем оказывать своим клиентам как лицензиаты ФСБ и какими документами себя обезопасить при работе с ПДн клиентов, может что-то надо прописать в договорах.
Спасибо.

Здравствуйте!

Есть ли в практике случаи приведения систем к классу К4, если изначально они попадали под К1? Каковы общие методы понижения класса системы?

Заранее спасибо,

Я помогаю организациям в подготовке и отправке отчетности по каналам связи с использованием средств криптозащиты (справки 2-НДФЛ), теперь они меня не будут допускать в свои базы данных?

В руководящих и методических документах прописано требование по разработке нормативных докуменяов для организации работ по защите ПДн. Однако нигде не определены требования к этим документам, как например, в методическом документе ГТК "Типовые требования к содержанию и порядку разработки Руководства по ЗИ от ТР .."( решение №42 от 03.10.95.). Так же существует двоякое толкование необходимости разработки Модели угроз.
Где можно найти требования к содержанию документов или макеты этих документов.

В каком нормативном или методическом документе говорится о том, что "Информационные системы персональных данных (ИСПДн) 1-го, 2-го классов обязательно должны пройти процедуру аттестации (сертификации)"?

Когда необходимо получать лицензию ФСТЭК на осуществление технической защиты конфиденциальной информации? Если по результатам обследования ИСПДн будет необходимо применять криптографические средства защиты информации, в этом случае нужно получать лицензию ФСБ?

Подскажите, пожалуйста, наша компания не получала никакого уведомления о том, что нам необходимо защищать ПДн. Вопрос: нам нужно дождаться уведомления? Кто должен прислать уведомление? Каковы наши действия?

Где можно получить методические документы ФСТЭК и ФСБ?

какие сертифицированные программы для защиты базы персональных данных Вы можете рекомендовать.Какие фирмы занимаются их установкой у нас Петербурге.Необходима защита от взлома,несанкционированного доступа,копирования.

Все ли компании должны подавать уведомление об обработке ПДн в Роскомнадзор или есть исключения?

Подскажите пожалуйста, в организации обрабатываются персональные данные 1-й и 3-й категорий. В соответствии с требованиями ФСТЭК были выделены и разграничены ИСПДн К1 и К3. Возможно ли транзитное прохождение данных 1-й категории (ИСПДн К1) через сеть ИСПДн К3?

Хотелось бы услышать Ваше мнение по вопросу классификации ИСПДн в соотвествии с Приказом ФСТЭК, ФСБ и Минсвязи №55/86/20 от 13.02.2008г., а именно в различии между ПДн 2-й и 3-й категорий и уточнить понятие "дополнительной информации".

В нашей организации эксплуатируется две независимые ИС 1 и 2 классов. На 90% оборудования, задействованного с этих системах, используются СПО (linux, openoffice и т. д.) Вопрос: Существуют ли сертифицированные средства для построения системы защиты ПДн для ОС Linux или придется переводить всю инфраструктуру на платформу MS.

В каких случаях необходимо шифровать передаваемые ПДн?

Существует ли в открытом доступе список сертифицированных СЗИ?

В каких случаях разрабатывается модель угроз безопасности ПДн?

На основании каких нормативных документов разрабатывается модель угроз?

Какой орган будет проводить проверки по выполнению требований закона о ПДн?

В каких случаях требуется аттестация ИСПДн, а в каких декларация и чем они отличаются?

Какая ответственность предусмотрена за невыполнение требований закона?

Техническая защита конфиденциальной информации осуществляется при наличии соответствующей лицензии ФСТЭК. А для защиты ПДн какая лицензия нужна?

В нашей компании обрабатываются несколько видов ПДн в 3-х разных программах (бухгалтерия, кадровый учет, CRM). Нам обязательно их классифицировать как три различные ИСПДн?

Какие мероприятия предусматривает защита ПДн?

Наша компания - разработчик ПО, в.т.ч. программ по расчету заработной платы и оперативный учету в клинике. Обе являются ИСПДн 1-2 класса, которые подлежат классификации (аттестации) по nребованиям безопасности информации. ВОПРОС: какая организация должна получать сертификат в ФСТЭК - разработчик ПО для каждого программного продукта или же каждый конкретный пользователь программного продукта (оператор)? Какие документы для этого нужны?

Не нашел примеров и требований к декларации соответствия по защите персональных данных по 3 классу ИСПДн, а именно формы, примеров и документов, необходимых для подтверждения, а так же соблюдения определенных процедур.

Здравствуйте!
Согласно документу ФСТЭК "Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных" оценка соответствия требованиям безопасности для ИСПДн 3 класса проводится в виде декларирования соответствия требованиям безопасности информации.
Когда процедура декларирования будет регламентирована, и чем?

Аутсорсинг IT и обработка ПДн. Каковы возможности компаний? Ответственность. Специалисты

Компания является производителем ПО в области обработки перс.данных.
Обязана ли компания сертифицировать свое ПО? Смогут ли пользователи ПО воспользоваться таким сертификатом при проверке? Каким образом определяется необходимость получения отдельного сертификата в зависимости от версии ПО, уровня кастомизации и реальной IT-структуры пользователя?

Уважаемые господа,

При обработке и хранении персональных данный сотрудников мы используем программное обеспечение компании 1С (Зарплата и управление персоналом и Бухгалтерия Предприятия). Скажите, пожалуйста, каким образом данное программное обеспечение будет приводиться в соответствие с требованиями ФЗ-152 (а именно Глава 6, ст 25, пункт 3 Федерального Закона №152). Будет ли производитель данного ПО самостоятельно получать сертификат соответсвия требованиям ФЗ-152? Где можно ознакомиться с списком баз данных, которые получили сертификат соответсвия ФЗ-152?
Спасибо.

Как Вы полагаете, могут ли быть какие особенности при проведении мероприятий по защите перс. данных в государственных учреждениях, где обрабатываются достаточно большие объемы персональной информации, например в органах социальной защиты, выполняющих государственные полномочия по социальной поддержке, выплате пособий, пенсий и т.д.?
Спасибо.

Под какую категорию попадают данные, необходимые для кадрового учета, о сотрудниках в организации?

1. Под какую категорию попадают аутсорсинговый контакт центр?
2. Под какую категорию попадают распределённый аутсорсинговый контакт центр?
3. Под какую категорию пападают службы такси?
4. Является ли информация полученная по телефонной сети, а именно номер абонента и его ФИО конфиденциальными данными, даже если ФИО ложное?

Здравствуйте!
1) Необходимо классифицировать АС. По рук.документу Гостехкомиссии "АС. Защита от НСД. Классификация АС и требования по ЗИ" к каждой группе относятся несколько классов. На основании чего производится выбор между присвоением класса 3А или 3Б?
2) Может ли заниматься разработкой ТЗ и техн.проекта на создание системы защиты несертифицированный специалист? (СТР-К п. 3.4 - Разработка СЗИ)
3) Выходной информацией из АС являются бумажные носители, содержащие ПДн. Должен ли отдел информационной безопасности заниматься организацией и разработкой системы защиты таких документов?

1. Достаточно ли обезличить данные (убрать из квитанций по оплате жилья фамилию жильца) чтобы не попасть под действие закона о ЗПДн ?
2. Обязательна ли сертификация системного блока на котором стоит КРИПТО ПРО для отправки бухгалтерских отчетов в налоговую инспекцию через защищенный интернет-канал.

Необходимо защитить ИСПД 2 класса на 4 компьютерах. Какие программные комплексы необходимо приобрести для осуществления управления доступом, регистрации и учета, обеспечения целостности, криптографической защиты, антивирусной защиты, обнаружения вторжений. Хотелось бы получить примерные перечни программных комплексов, поскольку на данный момент совершенно не ориентируемся в данном программном обеспечении. Спасибо!

Наша компания торговая, занимается розничной торговлей одежды и продуктами. Конечно у нас есть Пдн кадровые,о зарплате, есть БД посетителей, которые получают информацию о распродажах. Какие меры по защите этих Пдн мы обязаны провести, чтобы это соответствовало требованиям закона. Достаточно ли это задокументировать в приказах и в положениях по безопасности Пдн или необходимы средства защиты?

В нашей компании существует база данных собственной разработке.
В базе данных хранится информация о лицах которые проходили у нас обучение.
Информация содержит ФИО,адрес, телефон,образовательные программы по которым у нас обучался субъект.
Количество контингента превышает 100 000 человек.
К какой категории относится данная база данных, возможно ли обойтись декларированием.

целесообразно ли получать лицензию на деятельность по технической защите конфиденциальной информации, если предприятие является "оператором"? нужно ли уведомлять ФСТЭК, если обработка персональных данных не работников (клиентов)происходит без средств автоматизации.

Согласны ли вы с утверждением, что при классификации специальных ИСПДн им не нужно присваивать буквенно-цифровой коэффициент К1...К4, а в Акте классификации достаточно указать: "Класс - специальная"?

Провайдер предлагает клиенту защищенный VPN канал связи для обмена информацией в ИСПДн. Какого класса может быть эта ИСПДн? ФСТЭК, по информации некоторых интеграторов, считает такой канал каналом общего пользования??? Что из СЗИ необходимо добавить для достаточности защиты для ИСПДн 1 класса?

Спасибо...

Нужно ли что-то предпринимать по защите бухгалтерских программ 1С?

Мы разработчики программного продукта. Хотим получить лицензию на разработку и пройти сертификацию ФСТЭК. Куда нам следует обратиться и что для этого нужно?

Если организация не зарегистрируется в качестве оператора ПДн, то к ней никогда не придут с проверкой ???

Добрый день! Как можно увидеть вопросы других участников и ответы на них?

В каком случая моя организация обязана зарегистрироваться в качестве оперетора ПДн.

Добрый день,

скажите пожалуйста с какого числа/года вступает в силу закон о защите ПДн?

Спасибо.

Какой минимальный пакет документов по защите информации должен присутствовать в нашей организации в соответствии с законом о персональных данных. Департамент собирает и обрабатывает персональные данные людей обращающихся за социальной поддержкой.

Otnositsya li spisok podpischikov bymazhnogo izdaniya k personalnym dannym?

Список требований к ПО, подлежащему сертификации.

Какие ПДн из закона о персональных данных защите не подлежат? Как правильно составить такой перечень?

с чего нужно начать защиту ПДн?!

У нас ведется база накопительных скидок для постоянных покупателей. У клиента на руках только пластиковая карточка с личным номером – по нему мы и определяем размер скидки. В базе хранится достаточно подробная информация: ФИО, год и место рождения, паспортные данные. Подходит ли наша ситуация под закон об обработке персональных данных? Как можно избежать неразберихи?

Какое программное обеспечение подлежит сертификации (БД/Web-приложения/Windows приложения)?

Добрый день!
1. В организации существуют 2 ИСПДн одного класса. Для каждой ИСПДн необходимо создать собственную частную модель угроз или достаточно будет одной? Необходимы ли потом какие либо действия по объединению этих частных моделей угроз в одну?
2. Какие этапы необходимо выполнить при создании частной модели угроз ИСПДн?
3. В каком виде лучше оформить конечный результат создания частной модели угроз? (м.б. существуют образцы, шаблоны)

Спасибо!

Нужно ли получать лицензию на ТЗКИ для самостоятельного построения системы защиты по 3 классу (для локальной системы)

Что нужно фактически сделать, чтобы декларировать соответствие ИСПД классу К3?
Обрабатываем данные - документы менеджера по персоналу на локальном компьютере в сертифицированной программе 1С Кадры с ключем. Персонал-50 чел. Положение об охране (локальный акт ) есть. Ответственность закреплена.
Как оформить, самостоятельно или куда-то обратиться?

Необходимо ли сертифицировать пользовательские интерфейсы или достаточно иметь сертифицированную СУБД?

Может ли специальная ИСПДн быть отнесена к классу К1 или К2 или К3? Если да, то формирование перечня защитных мероприятий должно осуществляться только на основании требований РД ФСТЭК России к соответствующему классу ИСПДн или на основании требований РД ФСТЭК России к соответствующему классу ИСПДн и модели угроз?

Обязательно ли нужно при К3 или К2 физическое разграничение сетей с ИСПДн? Если нет пока физической возмодности выделить их во отдельную физическую сеть, то можно ли обойтись настройкой аксесс листов на тех же сертфицированных цисках?

Где можно пройти обучение по защите ПДн с выдачей сертификата гособраза. В большинстве учебных организациях ограничиваются просто выдачей местного сертификата о прохождении обучения

Если в компании был установлен сертифицированный межсетевой экран. Установлен был лицензиатом. (Но "безотносительно" персональных данных)
Если теперь возникла необходимость защиты персональных данных и система будет иметь класс 3 распределенная, то как в таком случае действовать? Заново приглашать лицензиата или как в данной ситуации поступать?