Резервное копирование данных

04.02.2019

23.7. наличие у лаборатории системы управления документацией (правил документооборота), которая должна включать в себя:
систему хранения и архивирования документов, в том числе правила хранения и архивирования, предусматривающие хранение на бумажных носителях и (или) в форме электронных документов, подписанных усиленной квалифицированной подписью, по месту (местам) осуществления деятельности в области аккредитации архива документов, в том числе документов, представленных в лабораторию заявителями на проведение исследований (испытаний) и измерений, в течение трех лет со дня выдачи соответствующего документа о результатах исследований (испытаний) и измерений или принятия решения об отказе в его выдаче;
Покажите акт уничтожения.

04.02.2019

Люди как написать восстановление данных с резервного копирования?
Сгорел архив, сгорел компьютер.

04.02.2019

Обычно требуют только процедуру (на бумаге) и демонстрацию где что лежит даты создания, напишите в случаи потери данных ответственный восстанавливает данные при наблюдении нач лаб. Проводятся корректирующие, предупреждающие действия (разбор почему произошло такое, и что необходимо сделать что бы такого не произошло).
Про надёжность не все спрашивают ну минимум резервная копия хранится не совместно с данными.
Если подходить с ответственностью к этому делу посмотрите вариант Правило резервного копирования «3-2-1»
Вообще гарантии не дают даже если копии хранятся одновременно на трёх континентах.

29.04.2019

ПРИКАЗ N 14 от 18 января 2019 года «Об утверждении Перечня несоответствий заявителя критериям аккредитации...
п. 6. Несоблюдение заявителем требований системы менеджмента качества:
несоблюдение заявителем требований к хранению, защите, восстановлению, резервному копированию, архивированию документов и записей на бумажных носителях и (или) в форме электронных документов, относящихся к проведению работ в области аккредитации, обеспечивающих их сохранность и возможность восстановления в неизменном виде;

Вопрос как сделать резервное копирование на бумажном носителе? Я понимала, что резервное копирование только для электронных документов. но на учебе сказали и что для первичных записей( все рабочие журналы

29.04.2019

art_amp писал(а): ↑29.04.2019 ПРИКАЗ N 14 от 18 января 2019 года «Об утверждении Перечня несоответствий заявителя критериям аккредитации...
п. 6. Несоблюдение заявителем требований системы менеджмента качества:
несоблюдение заявителем требований к хранению, защите, восстановлению, резервному копированию, архивированию документов и записей на бумажных носителях и (или) в форме электронных документов, относящихся к проведению работ в области аккредитации, обеспечивающих их сохранность и возможность восстановления в неизменном виде;

Вопрос как сделать резервное копирование на бумажном носителе? Я понимала, что резервное копирование только для электронных документов. но на учебе сказали и что для первичных записей( все рабочие журналы

Мы сканируем все бумажные носители.

29.04.2019

XumukMCK писал(а): ↑29.04.2019 Мы сканируем все бумажные носители

Есть же у кого-то время на сканирование...

Рекомендую всё таки автоматизировать ведение записей и выдачу протоколов, тогда будет гораздо легче делать резервное копирование и много чего ещё.

29.04.2019

cordek писал(а): ↑29.04.2019 Есть же у кого-то время на сканирование...

Да и не забудьте все электронные записи (а сканируете записи), должны быть подписаны электронной подписью.

30.04.2019

Зачем подписывать? Это же копия.

30.04.2019

Жесткова писал(а): ↑30.04.2019 Зачем подписывать? Это же копия.

1. Если записи хранятся в электронном виде, то должны быть приняты меры, чтобы избежать потери или изменения первоначальных данных.

2. Систему хранения и архивирования документов, в том числе правила хранения и архивирования, предусматривающие хранение на бумажных носителях и (или) в форме электронных документов, подписанных усиленной квалифицированной подписью, по месту (местам) осуществления деятельности в области аккредитации архива документов, в том числе документов, представленных в лабораторию заявителями на проведение исследований (испытаний) и измерений, в течение трех лет со дня выдачи соответствующего документа о результатах исследований (испытаний) и измерений или принятия решения об отказе в его выдаче.

30.04.2019

Жесткова писал(а): ↑30.04.2019 Это относится к оригиналам документов

Кто сказал?

30.04.2019

texadmin писал(а): ↑30.04.2019Кто сказал?

ПРИКАЗ

ПРИКАЗ от 30 мая 2014 года N 326 Об утверждении Критериев аккредитации, перечня документов, подтверждающих соответствие заявителя, аккредитованного лица критериям аккредитации, и перечня документов в области стандартизации, соблюдение требований которых заявителями, аккредитованными лицами обеспечивает их соответствие критериям аккредитации (с изменениями на 2 ноября 2018 года)

30.04.2019

Извиняюсь Ваше сообщение нечаянно удалил. С отбитым поаккуратнее, были прецеденты. Они одномоментно всем стали говорить фоткайте первичные записи. Только когда приказ сверху прошёл видим не учли, что фотографирование на свой телефон это нарушение конфиденциальности, а все электронные записи являются доказательством только подписанные ЭЦП

Отправлено спустя 3 минуты:
На соседнем форуме сообщение: при проверке лаборатории было замечание (неподписанный архив). Может я конечно неправильно понял, Но посудите сами оригинал первичных записей утерян, как Вы в суде докажите неизменность Вашей резервной копии.

30.04.2019

С этим копированием просто злость берет. Тот, кто РЕАЛЬНО работает в лаборатории, проводит исследования, а не просто штампует протоколы, знает, что чем больше времени уходит на бумажную волокиту, тем меньше времени остается на качественное проведение испытаний. По поводу конфиденциальности - ответственный назначен приказом, средство создания фотокопии (фотоаппарат) находится в собственности лаборатории, телефоны у нас вообще запрещено проносить в зоны, где проходят испытания, как и выносить оттуда какие - либо журналы (они покидают эти зоны только для сдачи в архив). У себя в СМК у нас четко прописаны термины, что для нашей лаборатории является записью (технической, по качеству) или документом, а что является их копиями. Для нашей СМК требования к документам и записям (оригиналам) - это п. 23.7 И, а требования к наличию резервных копий данных документов - это п. 23.7 Г.

Отправлено спустя 29 минут:

texadmin писал(а): ↑30.04.2019 Но посудите сами оригинал первичных записей утерян, как Вы в суде докажите неизменность Вашей резервной копии.

Пути найдутся) но надеюсь до такого не дойдет) Для нас резервная копия определена как личная страховка от потери нужной информации, больше никаких функций такие копии не несут. Конечно, если есть ресурсы, я с Вами соглашусь, что лучше подписывать чем не подписывать. Но моя практика показывает, что любые копии (подписанные, не подписанные) судом очень редко принимаются во внимание, был опыт предоставления в суд копий документации, приходилось заказывать дополнительную экспертизу, электронная подпись нас ни разу не защитила.

30.04.2019

Во всяком случае бумажный журнал выполнения анализа в полном объеме воспроизвести не получиться (это бред). Для бумажных носителей должен использоваться термин дублирование, а не резервное копирование.

А если рассмотреть пункт 6 приказа № 14 по отношению Критериев Аккредитации п 23.7 (хранение и защита п а,б,в,е,ж,; восстановление и резервное копирование п г, Архивирование документов и записей…….. п. и). То подтверждается абсурдность резервного копирования бумажных журналов.

30.04.2019

art_amp писал(а): ↑30.04.2019 То подтверждается абсурдность резервного копирования бумажных журналов.

Архив то с чем больше не работаете, резервная копия это резервная копия.
На форуме обсуждались требования к архиву (нежелателен бассейн над архивом), а мне человек в личном сообщении что архив затопило.

30.04.2019

Что то уже вглубь пошли, коли дело дошло до резервного копирования, то смотрите ГОСТ 17025, там про это лучше написано.

24.02.2020

Пожалуйста, подскажите, как правильно организовать резервное хранение протоколов. Архивное у нас на съемном диске, подписанное ЭЦП.
Как организовать резервное?
И еще, абсолютно все документы смк должны быть сохранены в 2-х вариантах: архив +резервное?

24.02.2020

Lida писал(а): ↑24.02.2020 резервное хранение протоколов.

Других вариантов просто не вижу, протокол электронный, исполнители только присутствуют, утверждаю ЭЦП (уполномоченный).
Резервная копия, копия всего этого хранящееся отдельно, у нас ещё и журнал (бумажный) что руководитель проверил, ответственный за создание сисадмин. Период, и способ. Не первый раз слышу эксперты дают задание восстановить что нибудь (у нас такое тоже было).
Протоколы пока не архивируем.

03.06.2020

Itanium писал(а): ↑15.03.2020 Насчет соглашения с Гуглом - а что Вы еще хотите "забесплатно"

Подскажите пожалуйста не нарушит ли ИЛ конфиденциальность, если будет размещать электронные записи(список работников ИЛ, список оборудования в гугл- таблицах (Google)) на гугл диске?

03.06.2020

1. Ну (утверждать не буду), есть закон о запрете хранения персональных данных на зарубежных серверах, под персональными понимайте все данные по которым можно идентифицировать человека.
2. Воспринимайте google как поставщика внешних услуг.
6.6 Продукция и услуги, предоставляемые внешними поставщиками
c) обеспечения того, чтобы продукция и услуги, поставляемые внешними поставщиками, соответствовали установленным требованиям лаборатории или, когда это применимо, требованиям настоящего стандарта, прежде чем они будут использованы в работе или непосредственно переданы заказчику;
3. И соглашение у Googla бы необходимо почитать, что они там пишут.

15.06.2020

Sokolov писал(а): ↑03.06.2020 не нарушит ли ИЛ конфиденциальность, если будет размещать электронные записи(список работников ИЛ, список оборудования в гугл- таблицах (Google)) на гугл диске

С моей точки зрения - нет. Доступ к данным осуществляется на основе данных учетной записи, и если данные учетки не написаны на листочке и приколоты на стенку рядом к ПК - то проблем не вижу.
Вообще, думаю по хорошему в Лаборатории должна быть Политика информационной безопасности, где все эти вещи должны быть оговорены. Тогда будет очень сложно подкопаться. Если же к Компании (ИЛ) никак не определено кто, и как использует ПК, осуществляется доступ к данным, как разграничиваются права доступа и т.д. - то вообще все равно где у Вас данные, считайте, что к ним доступ есть вообще у ВСЕХ людей в мире :) Если Вы не знаете кто у Вас в сети - это не Ваша сеть :))) И соответственно ни о какой конфиденциальности речь идти не может.
Далее - определитесь уже - какие данные у Вас являются конфиденциальными, есть ли у Вас вообще конфиденциальная информация в ИЛ, кроме ПДн?

Что касается персональных данных, то я бы этим вообще пока не морочился. Трансграничная передача данных в данном случае - это самая малая проблема, если конечно Вы не обрабатываете данные о здоровье... Нормально защитить их практически очень сложно, и делают это единицы. При желании любую Лабораторию можно легко "накрячить" по полной программе, вплоть до приостановки обработки персональных данных, что фактически означает остановку работы. Такие права есть у Роскомнадзора. Т.е например, обиженный уволенный сотрудник, выходит за дверь Лаборатории и пишет заявление в Роскомнадзор. Приходит проверка и капец. И совершенно не важно на Гугле у Вас данные или на "сервере под столом" :)

Ну и потом - перечень оборудования - это не персональные данные. Если так переживаете - обезличте персональные данные и не будет вообще никаких проблем.

По поводу

texadmin писал(а): ↑03.06.2020 6.6 Продукция и услуги, предоставляемые внешними поставщиками
c) обеспечения того, чтобы продукция и услуги, поставляемые внешними поставщиками, соответствовали установленным требованиям лаборатории или, когда это применимо, требованиям настоящего стандарта, прежде чем они будут использованы в работе или непосредственно переданы заказчику;

мы же не валидируем MS Windows и MS Office, ну так же нужно относиться и к продуктам Google.

15.06.2020

Itanium писал(а): ↑15.06.2020 MS Windows и MS Office

Нет, office прямо не может повлиять на измерение, а вот excel в некоторых случаях может.
Если Вы храните данные в Googl таблицах, для удобства это одно (просто их не показывайте), а если это записи по качеству, или рабочие это другое (в новых критериях что то про ЭЦП не видел).
Речь не идёт о надёжно или нет, безопасно или нет, нужны кому наши данные или нет, речь про требования, в данном случае это Услуга.

16.06.2020

texadmin писал(а): ↑15.06.2020 речь про требования, в данном случае это Услуга

Честно говоря проблему вижу совсем в другом месте. Если у Вас хорошо и грамотно прописано использование ИТ-сервисов и ресурсов, как внешних так и внутренних - то проблем с использованием этой услуги от Google нет никаких. Если же у Вас вообще ничего не определено и не прописано - то у Вас одно сплошное и большое нарушение касательно хранения электронных данных и записей, архивов, конфиденциальности.

Кстати

texadmin писал(а): ↑15.06.2020 office прямо не может повлиять на измерение, а вот excel

а Excel это не Office? :)))

И есть такая штука - Microsoft Office 365, такой же облачный сервис как и у Google.

Но это лирика. Нас пока спасает слабая продвинутость экспертов в ИТ технологиях, иначе Вам и нам пришлось бы сильно попотеть расписывая правила использования услуги обновления ПО от Microsoft (от которой кстати невозможно отказаться :). Вот где настоящая засада...

16.06.2020

Itaрnium писал(а): ↑16.06.2020 а Excel это не Office

Оffise валидировать не нужно (т.е. проверять если нажить "а" в документе будет "а", а Excel правильно умножает и складывает.
Это под этот пункт подходит Примечание 2 — Доступное на рынке коммерческое программное обеспечение при обычном его использовании в области, для которой оно предназначено, может считаться в достаточной степени валидированным.

Но если в Excel сделал таблицу, скажем для расчёта неопределённости, и все ей пользуются, валидируем, защищаем от изменений, периодический проверяем (не прихоть наших экспертов, у иностранцев инструкции видел).

Про Google облачные технологии, это услуга,
6.6.1 Лаборатория должна обеспечить пригодность используемых продукции и услуг, предоставляемых внешними поставщиками, которые влияют на деятельность лаборатории, когда они:
a) предназначены для использования в собственной лабораторной деятельности;
7.11.2 Правильность функционирования систем(ы) управления информацией лаборатории, используемых(ой) для сбора, обработки, записи, представления результатов, хранения или поиска данных, в том числе правильность функционирования интерфейсов систем(ы) управления информацией лаборатории, должна(ы) быть проверена лабораторией перед внедрением в работу. При любых изменениях, включая изменения конфигурации программного обеспечения лаборатории или модификации коммерческого программного обеспечения, они должны быть утверждены, документированы и валидированы до введения их в действие.

Вы станните хранить документы в соседнем здании, если там стены толще, и двери железнее, и хозяин хороший человек и не против?

Itanium писал(а): ↑16.06.2020 И есть такая штука - Microsoft Office 365

Напишите как Вы его используете в ИЛ, и я скажу можно или нет. Что то задачка слабовата, а вот например антивирус может файл отправить в офис компании, на анализ. Можно пользоваться или нет?

16.06.2020

texadmin писал(а): ↑30.04.2019 Архив то с чем больше не работаете

Не согласен. То, с чем больше не работаем - подлежит уничтожению с составлением акта.
У нас и эксперты на ПК попросили наши экземпляры протоколов измерений сразу убирать из дела в архив.

texadmin писал(а): ↑16.06.2020 включая изменения конфигурации программного обеспечения

Ну, так Itanium об этом и говорит -

Itanium писал(а): ↑16.06.2020 обновления ПО от Microsoft

Здесь важно соблюдать принцип "разумной целесообразности", как мне кажется.

art_amp писал(а): ↑30.04.2019 абсурдность резервного копирования бумажных журналов

Я с помощью криптопро office signature (спасибо Itanium за идею) сократил количество бумажных журналов с 20 до 4 (бумажными оставил только те, где СМК требуются живые подписи заказчика/исполнителей). Раз в неделю эти журналы скопом копируются на внешний жесткий диск и убираются в сейф - вот вам резервное копирование. Если эксперты требуют отдельно еще архивировать - купите второй жесткий диск и напишите на нем "электронный архив".
Пока журналы ведутся в виде одна запись - один файл (подписанный ЭЦП). Сейчас экспериментирую над встроенными возможностями экселя отображать вносимые разными пользователями изменения/исправления - может удастся в итоге перейти к системе один журнал - один файл https://support.microsoft.com/ru-ru/off ... u-ru&ad=ru

16.06.2020

DigitalError писал(а): ↑16.06.2020 Здесь важно соблюдать принцип "разумной целесообразности", как мне кажется.

Да я для себя решил, прописываешь сам логику, необходимо валидировать (Excel, автоматическое резервное копирование), всё остальное ОК.

DigitalError писал(а): ↑16.06.2020 Не согласен. То, с чем больше не работаем - подлежит уничтожению с составлением акта.

Перефразирую: Авторизованное лицо должно иметь доступ только к той информации, которая ему необходима для исполнения своих должностных обязанностей. Поэтому и попросили - Если пока ненужно куда то нужно запереть.

17.06.2020

Для адептов облачных технологий.
Инструкция пользователя TrueConf_v6 лист 30
VIII. Работа с Яндекс.Диском
Для обеспечения конфиденциальности, все документы и материалы, необходимые для работы по государственной услуге необходимо будет загружать на Яндекс.Диск в папку, соответствующую номеру ГУ.
До начала конференции вам на вашу Яндекс.Почту придет письмо:

Но далее: Из другого прикреплённого файла
Загруженные файлы документов необходимо будет подписать Вашей квалифицированной электронной подписью, сформированной в виде отдельного файла от исходных данных с помощью программного обеспечения электронной подписи. Следуйте инструкциям по подписанию документов выбранного Вами программного обеспечения электронной подписи. После подписания к подписанным документам необходимо приложить файл отсоединенной электронной подписи с расширением: *.sig.

Условия использования сервиса Яндекс.Диск
6.1. Яндекс предпримет все разумные меры и осуществит любые целесообразные действия, направленные на обеспечение сохранности данных Пользователя и поддержание работоспособности Сервиса. Пользователь при этом осознает возможность возникновения технических неисправностей и сбоев в работе Сервиса и согласен с тем, что у Яндекса отсутствует техническая возможность предсказать их возникновение, уведомить о них Пользователя заблаговременно, либо полностью исключить вероятность их возникновения. Возникновение таких неисправностей или сбоев вне зависимости от причин и последствий не может быть основанием для применения к Яндексу мер ответственности.
6.3. Любые данные, полученные с использованием Сервиса, Пользователь использует на свой собственный риск и самостоятельно несет ответственность за возможные последствия использования указанных данных, в том числе за ущерб, который это может причинить компьютеру или мобильному устройству Пользователя или третьим лицам, за потерю данных, нарушение прав или любой другой вред. Яндекс не несет ответственности за любые виды убытков, произошедшие вследствие использования или невозможности использования Пользователем Сервиса или отдельных его частей/функций, в том числе из-за возможных ошибок или сбоев в работе, за исключением случаев, прямо предусмотренных законодательством.

ГОСТ 17025-2019 7.11.3 Система(ы) управления информацией лаборатории, должна(ы):
a) быть защищена(ы) от несанкционированного доступа;
b) быть защищена(ы) от искажения или потери данных;
c) функционировать в условиях окружающей среды, которые соответствуют спецификациям поставщика или лаборатории, или, в случае некомпьютеризированных систем, создавать условия, обеспечивающие неизменность выполненных от руки записей и расшифровки;
d) поддерживаться в таком состоянии, которое обеспечивает целостность данных и информации;
e) включать регистрацию системных сбоев и соответствующих оперативных и корректирующих действий.
7.11.4 В том случае, если управление данной системой и ее поддержание осуществляется дистанционно или через внешнего поставщика, лаборатория должна обеспечить соответствие поставщика или оператора системы всем применимым требованиям настоящего стандарта.

1. Можно сделать вывод, РА в принципе не чурается облачных технологий, но при условии обеспечения неизменности. (ГОСТ b) быть защищена(ы) от искажения или потери данных;)
2. Условия пользования Яндекс диском (разумны), в принципе если кто то напишет что у него лучше соврёт.
3. Если всё склеить то пользоваться можно. Только необходимо обеспечить неизменность, и резервное копирование
p/s В новых критериях по ЭП не видел, показалось что ли?

18.06.2020

texadmin писал(а): ↑17.06.2020 Для адептов облачных технологий

Количество утечек данных из облачных сервисов в мире за прошлый год выросло в 3,5 раза. Более 53% всех утечек из облачных сервисов зарегистрированы в компаниях США и России вместе взятых. В России их количество за прошлый год выросло в 22 раза.Одной из самых уязвимых сфер с точки зрения надежности "облачных" хранилищ, по данным компании, оказался хайтек, на который пришлось 40% всех зафиксированных случаев утечек. "Такие компании по своей природе применяют новейшие технологии в сфере обработки информации, ценят удобство хранения информации и доступа к ней. В то же время, далеко не все представители высокотехнологичного сегмента готовы направлять существенные ресурсы на создание собственной инфраструктуры и обеспечение ее безопасности, поэтому охотно размещают данные в облачных сервисах", - поясняют авторы исследования.

25.06.2020

DigitalError писал(а): ↑16.06.2020 Сейчас экспериментирую над встроенными возможностями экселя отображать вносимые разными пользователями изменения/исправления - может удастся в итоге перейти к системе один журнал - один файл

Экпериментируете :)
В google tables это давно и очень неплохо реализовано.
К экспериментам с excel есть маленький, но важный вопрос - а как у Вас определена политика рабочих мест, учетных записей и паролей. Если никак - то все ваши эксперименты ничего не стоят (правда экспертам слава богу это тоже все неведомо :).
Говоря простыми словами - Вы никогда не можете быть уверены, кто работал за компьютером и вносил изменения, пока у Вас не продумана эта политика и отсутствует контроль за соблюдением, чем я собственно и занимался без малого 4 года. И скажу, что даже при очень серьезно продуманной технической реализации и контроле сотрудники умудрялись работать под чужими учетками.

Отправлено спустя 22 минуты:

texadmin писал(а): ↑17.06.2020 Для адептов облачных технологий.

Чтобы рассуждать на такие серьезные темы, нужно быть достаточно глубоко в теме, ибо информационная безопасность - это очень сложная штука.

Специально для адептов локальных решений (чтобы не вводили народ в заблуждение):
Если Вам вдруг когда-нибудь покажется, что если какие-то данные Вы обрабатываете строго лично и исключительно на своем ПК, при этом сзади стена, а по бокам шкафы загораживают от любопытных - и таким образом Вы обеспечиваете то, что по чьей-то идиотской инициативе попало в
"ГОСТ 17025-2019 7.11.3 Система(ы) управления информацией лаборатории, должна(ы):
a) быть защищена(ы) от несанкционированного доступа;
b) быть защищена(ы) от искажения или потери данных;"

гоните от себя эти мысли прочь.
Есть такая услуга - называется Пен-тест. Стоит очень недешево, однако это того стоит, когда речь например идет о защите SCADA какого-нибудь завода, на котором нарушения производственного процесса чреваты катастрофами с гражданскими жертвами.
Так вот она заключается в том, что людям платят за то, чтобы они взломали сеть предприятия и последовательно дотянулись до всего, до чего смогут. Могут обесточить завод, могут взорвать производство как это было в иранском Бушере и т.д.
А уж скачать данные и опубликовать их где угодно, тем более изменить как угодно - это самое легкое из возможного.
Так вот -даже предприятия, где есть специальные средства предотвращения вторжений, мощные антивирусные системы и т.д. обычно успешно взламывают. Или Вам напомнить чего накачали хакеры из баз данных WADA...
А Вы все цитаты дергаете из ГОСТа. Нужно понимать, что за этим стоит в реальности. Эти требования по силам дай бог если нескольким десяткам лабораторий в мире. Ибо для маленьких компаний защитить данные стоит на порядок дороже, чем их хранить и обрабатывать.
Если бы хоть ОДИН эксперт ФСА хотя бы пару лет проработал в ИБ, то ни одна аккредитованная лаборатория, даже полностью отключенная не только от облаков, но и Интернета не прошла бы ПК.

Нравится это кому-либо или нет, а будущее за облачными технологиями... если кто-то еще не этого понял в эпоху короновируса и самоизоляции :)

Отправлено спустя 3 минуты:

DigitalError писал(а): ↑18.06.2020 Количество утечек данных из облачных сервисов в мире за прошлый год выросло в 3,5 раза

Поверьте, это вовсе не по той причине, что в облаках данные защищены хуже, чем у Вас в локальной сети. Я подозреваю, что на порядок лучше. Просто облака на виду и притягивают хакеров, а Ваша сеть никому не интересна, пока...

25.06.2020

Itanium писал(а): ↑25.06.2020 Есть такая услуга - называется Пен-тест.

Это вам на другой форум.

Давайте в реал. У нас не "Совершенно секретные" данные.

29.06.2020

texadmin писал(а): ↑25.06.2020 У нас не "Совершенно секретные" данные.

Никакой связи... защищенность совершенно секретных данных так не проверяют.

Я так и считаю, что вот это
"ГОСТ 17025-2019 7.11.3 Система(ы) управления информацией лаборатории, должна(ы):
a) быть защищена(ы) от несанкционированного доступа;
b) быть защищена(ы) от искажения или потери данных;"

совершенно неуместно в требованиях к аккредитованным лабораториям. Но поскольку какой-то умный человек включил эти требования в ГОСТ, то - сорри, форум как раз этот :)

29.06.2020

Itanium писал(а): ↑29.06.2020 быть защищена(ы) от несанкционированного доступа

Авторизованный доступ, замки, и.т.п

Itanium писал(а): ↑29.06.2020 быть защищена(ы) от искажения

Программные средства, прошивка журналов, не стираемая ручка.

Itanium писал(а): ↑29.06.2020 или потери данных

Резервное копирование.

30.06.2020

texadmin писал(а): ↑29.06.2020 Itanium писал(а): ↑Вчера 19:23
быть защищена(ы) от несанкционированного доступа
Авторизованный доступ, замки, и.т.п

Примерно также дорожная разметка и знаки защищают от ДТП :)))

09.07.2020

Itanium писал(а): ↑25.06.2020 В google tables это давно и очень неплохо реализовано

Их еще изучить надо и понять, как это работает. Может мануал какой доступный посоветуете или курс на ютубе?
Времени на полное погружение в тему как обычно нет...

texadmin писал(а): ↑29.06.2020 не стираемая ручка

Меня стажер кстати недавно "троллил" - заявил, что у него ручка с исчезающими при нагреве чернилами (утюгом лист прогладил - и нет записей) - дескать, у нас технических требований к средствам записи руководством по качеству не установлено, поэтому он вправе...

texadmin писал(а): ↑29.06.2020 Авторизованный доступ, замки, и.т.п

Как-то мне сисадмин Ростелекома говорил, что лучшая защита информации от несанкционированного доступа обеспечивается одеванием на RJ-45 резинотехнического изделия №2...

09.07.2020

DigitalError писал(а): ↑09.07.2020 сисадмин Ростелекома говорил, что лучшая защита информации от несанкционированного доступа обеспечивается одеванием на RJ-45 резинотехнического изделия №2

Требование абсолютная защита нет.

Столкнулся с новой ситуацией, хочу обратить внимание, раз речь про резервное копирование (не волнуйтесь у меня всё хорошо)

.

Вы делаете резервную копию раз в месяц (не в этом суть). Представим что резервная копия повреждается (диск ломается с резервной копией, нечаянно удаляем). Оригиналы документов остаются в сохранности. У Вас есть файл, который Вы периодический дополняете информацией. Новую резервную копию Вы создадите, а скажем тот файл ну пусть на дату четыре месяца назад не восстановите. Я считаю что в этом случае процедура резервного копирования не выполнила нужной функции.

09.07.2020

texadmin писал(а): ↑09.07.2020нечаянно удаляем

Аппаратная борьба с этим была реализована на SD картах как минимум еще лет 10 назад. Надо быть совсем профаном при этом с правами администратора (исключено в серьезных организациях серьезным сисадмином), чтобы случайно удалить.

texadmin писал(а): ↑09.07.2020 тот файл ну пусть на дату четыре месяца назад

как это могут установить эксперты? Подписываете бэкап криптопро офис сигнатуром на пк со смещенным в биосе временем на четыре месяца назад - и вуаля (сам не пробовал, но в документации не видел, что при подписании документа office signature обращается хоть к какому-то серверу времени)

10.07.2020

DigitalError писал(а): ↑09.07.2020 надо и понять, как это работает

Именно этот сервис реализован очень просто - тыкаете в кнопочку история, там кто когда изменял, можно откатиться до любого изменения (причём до очень давних).
Вообще лучший способ освоить гугловские таблицы - сделать свою собственную таблицу.
Сделайте в Excel табличку, какую вам нужно и загрузите на свой гугл диск. Вот кратко и все что нужно. Потом подредактируете если что-то будет некорректно работать.

11.07.2020

DigitalError писал(а): ↑09.07.2020 ручка с исчезающими при нагреве чернилами

Не совсем в тему, но, думаю, будет полезно:

В Москве депутатам дали подписать акт приема капремонта по лифтам, на котором сумма была прописана исчезающими чернилами. Об этом сообщила муниципальный депутат Черемушек Елена Селькова. Остальные депутаты подписали документ

https://www.kommersant.ru/doc/4415298

13.07.2020

Itanium писал(а): ↑10.07.2020 Именно этот сервис

texadmin писал(а): ↑09.07.2020 Требование абсолютная защита нет.

Очень интересная дискуссия!
Вывод:
Можно пользоваться яндекс.Диском и хранить там документы для общего доступа сотрудникам ИЛ.
А уже с яндекс.диска бекапить на RAID 1.
Так?

Itanium писал(а): ↑15.06.2020 Политика информационной безопасности

Поделитесь примером пожалуйста

13.07.2020

Sokolov писал(а): ↑13.07.2020 А уже с яндекс.диска бекапить на RAID 1.

На какой рэйд бэкапить :) как раз ваша политика ИБ определяет, что именно, по какому расписанию, чем и кто. И как контролируется правильность копирования.
Политика ИБ - это заглавный документ, который определяет принципы и подходы компании (примерно как конституция

), к нему ещё вагон и маленькая тележка конкретизирующих документов - политика организации рабочих мест, парольная политика, антивирусная, резервное копирование и восстановление данных, правила использования ЭЦП, классификация ресурсов и порядок доступа к ним, гостевой доступ к сети компании... У меня всего их было 15 штук, и это не все, что нужно.
Если бы я мог их просто так выложить - значит в компании нет никакой информационной безопасности. Но поскольку я сам разрабатывал подписку о неразглашении и больше половины документов, а потом её в числе всех сотрудников подписывал - то естественно делится ею не могу. По объёму эти документы примерно совпадают с документацией ИЛ по ГОСТ 17025.
Строите свою ИБ, и по ней либо можно пользоваться Яндекс диском, либо нельзя. Ни один из вариантов не является более "безопасным". Другое дело если в вашей сети крутится конфиденциальная информация (не Ваша коммерческая тайна) - гостайна или например персональные данные о здоровье людей... Здесь уже государство определяет как нужно их защищать, что можно, а что нельзя. Остальное Ваше дело.

13.07.2020

Itanium писал(а): ↑13.07.2020 политика организации рабочих мест, парольная политика, антивирусная, резервное копирование и восстановление данных, правила использования ЭЦП, классификация ресурсов и порядок доступа к ним, гостевой доступ к сети компании... У меня всего их было 15 штук

Огласите весь спск пжлста. *ик

Itanium писал(а): ↑13.07.2020 Если бы я мог их просто так выложить

Мне бы скелет какой-нибудь, что с чего то начать.

13.07.2020

Itanium писал(а): ↑13.07.2020 политика организации рабочих мест, парольная политика, антивирусная, резервное копирование и восстановление данных, правила использования ЭЦП, классификация ресурсов и порядок доступа к ним, гостевой доступ к сети компании... У меня всего их было 15 штук

Огласите весь спск пжлста. *ик

Itanium писал(а): ↑13.07.2020 Если бы я мог их просто так выложить

Мне бы скелет какой-нибудь, чтоб с чего то начать.

ПС:

texadmin писал(а): ↑09.07.2020Требование

Можно выводить сообщение, когда отправляешь сообщение без ника/авторизации?

13.07.2020

Sokolov писал(а): ↑13.07.2020 Мне бы скелет какой-нибудь, чтоб с чего то начать

Ну это очень просто - набираем в яндексе политика ИБ скачать - а дальше выбираем, что больше нравится :)

Всего списка не существует, также как и для аккредитованных ИЛ. Я тут где-то уже выкладывал минимальный список. Но Вам это зачем? Это ИТ служба должна писать или СБ. Вы это не напишете, нужно как минимум знать основы администрирования сетей и операционных систем.
Поэтому я собственно и нахожусь в некотором недоумении по поводу этих требований в ГОСТ 17025. Если это делать по правилам гостов 2700Х, то мало кому это под силу. А если это какое-то иное понимание данных требований, то какое? ИМХО это ещё хуже, поскольку любой бред в голове эксперта может транслироваться лаборатория в виде требований и несоответствий.

15.07.2020

texadmin писал(а): ↑14.07.2020 Насчёт яндекс диска, для хранения данных это всё таки внешний поставщик со всеми вытекающими. Вот вам задачка, найдите что такое конфиденциальность, и может ли один сотрудник просматривать протоколы другого без особой надобности, и получится что и свои то без производственной необходимости смотреть нельзя. А для каких то пересылок, почему бы и нет.

Вот Itanium говорит что если пропишешь то можно, texadmin говорит что не все подряд. Запутался!
Мне облако можно использовать для хранения документов СМК, НД, ДП, инструкций разных - то что необходимо для общего доступа сотрудникам ИЛ. Я не собираюсь в облаке протоколы хранить. Резервное копирование будет на сервер локальный на РЭЙД 1 из облака и локальных компов при необходимости.

15.07.2020

Sokolov писал(а): ↑15.07.2020 Мне облако можно использовать для хранения документов СМК, НД, ДП, инструкций разных - то что необходимо для общего доступа сотрудникам ИЛ.

Можно же на сервере создать папку или диск и там это все хранить. У нас по крайней мере так. Доступ только у сотрудников ИЛ+разграничение возможности изменения/удаления файлов. Через что реализовано не могу сказать, не моя вотчина, к сожалению.

15.07.2020

Lenore писал(а): ↑15.07.2020 Можно же на сервере

На сервере локальном? или в облаке?

15.07.2020

Sokolov, на локальном, да. Плюсом доступ к нему по удаленке, в любой момент сотрудники даже с объекта могут посмотреть копии НД в электронном виде, распечатать себе рабочие журналы, если вдруг забыли их в офисе.

15.07.2020

Lenore писал(а): ↑15.07.2020рабочие журналы

Покажите пожалуйста в личку как выглядят заполненные рабочие журналы (пару листов). Вообще не представляю как там можно хранить, а потом систематизировать (возможно от области зависит)

21.03.2021

Кто как организовал резервное хранение первичных записей? Неужели их тоже надо сканировать на диск? Может есть другой вариант, попроще и менее временно-затратный?

Отправлено спустя 16 минут 40 секунд:
Если какое-либо обоснование того, что первичные записи (записи, которые пишутся от руки при проведении измерений, например освещения на рабочем месте токаря) не подлежат резервному хранению, т.к. они сдаются в архив вместе с протоколами измерений?

21.03.2021

Я так понимаю вот этот пункт, досконально не смотрел:
г) правила резервного копирования и восстановления документов (отчетов, технических записей, отчетов (протоколов) испытаний);

Вести в электронном виде, его и резервировать.