tag:blogger.com,1999:blog-4065770693499115314.post8609407149880435968..comments2023-10-02T12:01:53.774+03:00Comments on Бизнес без опасности: Новости ФСТЭК, ФСБ и РКНАлексей Лукацкийhttp://www.blogger.com/profile/08434361034703403028noreply@blogger.comBlogger20125tag:blogger.com,1999:blog-4065770693499115314.post-453414421468455522011-10-03T17:00:53.713+04:002011-10-03T17:00:53.713+04:00А чего там комментировать. Банк по 26-й статье зак...А чего там комментировать. Банк по 26-й статье закона о банках имеет право передавать банковскую тайну без согласия клиента. Тут вопрос не в нарушении закона - его нет. Тут вопрос в том, нафига банк это сливает при отсутствии претензий к субъекту сливаемой информации - т.е. это репутационные риски.Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-72940232165416118242011-10-03T16:49:19.367+04:002011-10-03T16:49:19.367+04:00Кстати, Алексею, как близкому к банковскому сектор...Кстати, Алексею, как близкому к банковскому сектору и другим блогерам ;-)<br />http://dolboeb.livejournal.com/2202718.html<br /><br />Прокомментируете как нибудь?Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-69830376047793219342011-10-03T15:58:18.038+04:002011-10-03T15:58:18.038+04:00Нет. На этот вопрос РКН ответил, что в акт включаю...Нет. На этот вопрос РКН ответил, что в акт включаются только ФИО и РКН не считает их ПДн ;-)Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-645210983034413532011-10-03T15:52:42.664+04:002011-10-03T15:52:42.664+04:00"...на вопрос РКН, как быть, если надо уничто..."...на вопрос РКН, как быть, если надо уничтожать ПДн сразу тысяч субъектов, они ответили, что все равно в акт уничтожения надо включать все ФИО..." - таким образом акт об уничтожении сам становится ПДн? Правильно ли я понял, что уничтожение ПДн порождает те же самые ПДн, соответственно ПДн уничтожить невозможно?Sergey Shustikovhttps://www.blogger.com/profile/09196331497850057094noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-17072740583288982112011-10-02T13:01:25.911+04:002011-10-02T13:01:25.911+04:00Алексею Лукацкому (а заодно и Евгению Цареву)
Колл...Алексею Лукацкому (а заодно и Евгению Цареву)<br />Коллеги, крутая, видимо, эта фирма – Межрегиональный консалтинговый центр «АСТА-информ» - за три года “окучили” более 1500 организаций! (http://asta74.ru/article/clients-partners). Честь ей и хвала за те мероприятия, которые она проводит, в т.ч. и вышеупомянутый форум. Только вот, похоже, они эти 1500 организаций на своем сайте вольно или невольно вводят в заблуждение, выдавая свою ущербную точку зрения за истину:<br />“В области защиты информации выделяют такие виды оценки, как сертификация, аттестация и декларирование соответствия. Сертификация информационной системы ….Впоследствии система из сертифицированных компонентов проходит процедуру аттестации или декларирования” (http://asta74.ru/article/)<br />“Декларирование представляет собой упрощённый аналог аттестации и может проводиться силами оператора без привлечения лицензиата. Проблема на сегодняшний день заключается в том, что технические регламенты, на положения которых следует опираться при декларировании соответствия, находятся в разработке” (http://asta74.ru/article/_1).<br /><br />Насколько я в теме, вопрос декларирования соответствия госрегуляторами уже давным-давно даже не обсуждается и технические регламенты в области ИБ – дела давно минувших дней, преданья старины …. Статью 5 закона “О техническом регулировании” пока никто не отменял.<br /><br />Алексей и Евгений, Вы явно пользуетесь у этой фирмы непререкаемым авторитетом, употребите его во благо, подскажите господину Астахову А.Г.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-43866099026527930872011-10-02T09:48:20.552+04:002011-10-02T09:48:20.552+04:00Очень странно...
Управление ФСТЭК у нас с челябинц...Очень странно...<br />Управление ФСТЭК у нас с челябинцами одно - дак они иной раз по-другому говорят...<br />Про ФСБ - тут видать повезло челябинцам, у нашего позиция принципиальная - 152-й приказ, сертифицированные СКЗИ, всякие токены запирать в пеналы и т.п.doomhttps://www.blogger.com/profile/18335912353525023314noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-60454825724643159462011-09-30T23:21:22.371+04:002011-09-30T23:21:22.371+04:00а так это вроде разные ответственные:
есть по фз-1...а так это вроде разные ответственные:<br />есть по фз-152 - за организацию обработки<br />есть по фз-294 - уполномоченное лицо при проверке<br /><br />ответственный за обработку это к примеру босс организации,<br />а ответственный за проверку - это например рукль филиала или вообще хоть кто - он назначается приказом после получения уведомления о проверке от РКН и нужен чтобы было кому акт проверки вручить.pushkinisthttps://www.blogger.com/profile/12741340648681850497noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-54174655125749963072011-09-30T22:00:52.146+04:002011-09-30T22:00:52.146+04:00Tiger-66: ФСТЭК говорит о втором квартале следующе...<b>Tiger-66:</b> ФСТЭК говорит о втором квартале следующего года.<br /><br /><b>Алексей Т.:</b> У одного из коллекторских агентств возник вопрос про уничтожение 100 тысяч записей. Я чуть уменьшил число и задал вопрос ;-)<br /><br />Что касается несерьезности, то это в любом случае их частное мнение. Но оно важно именно в том регионе, в котором звучало, т.к. там оно будет превалирующим.<br /><br />Про проверки филиалов, РКН сказал, что они пишут письмо в филиал и головную структуру. Т.е. головняка всегда оповещают. Проблема в другом. По ФЗ-294 проверка может проводиться только в присутствии ответственного. Я поэтому и спросил - если ответственный назначен в головной структуре и в филиал он на проверку не едет, то как будет осуществляться проверка?Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-75904624718915513082011-09-30T16:50:05.889+04:002011-09-30T16:50:05.889+04:00по поводу проверки обособленных подразделений:
тер...по поводу проверки обособленных подразделений:<br />территориальный ркн присылает запрос в голову с формулировкой "проверка обязательных требований при обработке пдн на территории такого-то региона", ну а дальше голова должна отправить в тот территориальный ркн то, что посчитает нужным и относящимся к данному региону и тому основанию для проверки (жалобе субъекта например).<br />если нормативка едина на всю сеть, отправляется она, если есть отдельная по оп - то она.<br /><br />таким образом, если жалоба клиента по обработке его пдн при заключении договора в регионе, то ркн не будет интересовать обработка пдн работников в голове и т.д.pushkinisthttps://www.blogger.com/profile/12741340648681850497noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-31642379582231153022011-09-30T16:24:35.492+04:002011-09-30T16:24:35.492+04:00я там был как слушатель.
озвученные позиции это им...я там был как слушатель.<br />озвученные позиции это именно мнения регуляторов одного конкретного региона, а они вообще довольно разнятся от региона к региону.<br />а про новости центральных аппаратов они не в курсе.<br /><br />про лицензии фстэк чувак не ответил прямо, а изложил что-то вроде:<br />"58 приказ говорит о том, что если привлекаете для организации защиты стороннюю контору, то у нее должна быть лицензия на техзащиту, а если вы просто-напросто обрабатываете персональные данные, то лицензия вам не нужна и мы ее не требуем.", а на последующий вопрос про "а для защиты?" он улыбаясь сказал "ну а для защиты вы же все равно привлекаете кого-то" :)pushkinisthttps://www.blogger.com/profile/12741340648681850497noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-28807127668192465642011-09-30T15:48:23.025+04:002011-09-30T15:48:23.025+04:00> которые проводятся одновременно с проверкой г...> которые проводятся одновременно с проверкой головного юридического лица<br /><br />Это ключевой момент.<br /><br />> Ну дык тогда в филиале можно и никаких мероприятий не проводить, если не проверяют?<br /><br />"Не проводить никаких мероприятий раз не проверяют" - порочная практика и непотребная позиция вцелом. Но если ее занимать, то раньше можно было этого не делать. Чтобы это искоренить и придумали то о чем пишут выше.<br /><br />> Каковы на ваш взгляд задачи ответственного за ПДн в филиале?<br /><br />Филиал - это такое же подразделение оператора как и любое другое, со своим руководителем. руководитель априори отвечает за соблюдение сотрудниками и собой лично приказов, нормативов и т.д. (у него это в ДИ прописано), к которым, собственно, относятся приказы и док-ты по обработке и защите ПДн. Однако закон требует назначить ответственного у ОПЕРАТОРА, коим является юрлицо. Вот этот ответственный и должен курировать работу с руководителями подразделений и филиалов.Alexey Volkovhttps://www.blogger.com/profile/16477590374990055948noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-78591456221867295132011-09-30T13:31:46.392+04:002011-09-30T13:31:46.392+04:00Алексей Волков
Ну дык тогда в филиале можно и ни...Алексей Волков <br /><br />Ну дык тогда в филиале можно и никаких мероприятий не проводить, если не проверяют? <br />Каковы на ваш взгляд задачи ответственного за ПДн в филиале?<br />Выполнять команды головного офиса и все?Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-67502401555446239452011-09-30T12:00:20.387+04:002011-09-30T12:00:20.387+04:002 Алексей Волков
п.9 не такой уж и бред. По имеющ...2 Алексей Волков<br /><br />п.9 не такой уж и бред. По имеющимся сведениям на следующий год прокуратура уже утвердила в плане плановых проверок проверки филиалов (не юр. лица), которые проводятся одновременно с проверкой головного юридического лица.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-37153528914024046872011-09-30T11:53:57.040+04:002011-09-30T11:53:57.040+04:002 Сергей
1. У РКН не проект регламента, а действу...2 Сергей<br /><br />1. У РКН не проект регламента, а действующий регламент, прошедший Минюст. Основания в основном взяты из 294-ФЗ, дополнительные основания вполне разумны с их точки зрения<br />2. По поводу вашей 100% уверенности о переносах сроков, Алексей Волков уже писал об утверждении новой формы уведомления, да и на сайте РКН лежит электронная форма, в которой все сведения из ч.2.1 ст.25 №152 почему-то являются обязательными для заполнения.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-19991488530534633512011-09-30T11:27:58.964+04:002011-09-30T11:27:58.964+04:00По пункту 9. Это бред Сивокобылина. Они не могут п...По пункту 9. Это бред Сивокобылина. Они не могут проводить проверки в филиале (обособленном подразделении), если он не имеет статуса самостоятельного юридического лица, так как оператором в этом случае является юрлицо-родитель, со всеми вытекающими, в том числе и ответственным.Alexey Volkovhttps://www.blogger.com/profile/16477590374990055948noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-52499178025230567052011-09-30T10:16:46.017+04:002011-09-30T10:16:46.017+04:00Все, посмотрел состав участников, я бы не относилс...Все, посмотрел состав участников, я бы не относился серьезно к их ответам, хотя конечно Челябинцам прислушиваться придется. :-)Алексей Т.https://www.blogger.com/profile/18336548034862391527noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-23687158831000796052011-09-30T10:12:42.737+04:002011-09-30T10:12:42.737+04:00Алексей, ФСТЭК, ФСБ и РКН - кем они были представл...Алексей, ФСТЭК, ФСБ и РКН - кем они были представлены? Насколько эти люди осведомлены о планах центральных аппаратов? Это не праздный вопрос, дельного много в их ответах, неясно насколько все это соответствует реальности а не мечты сотрудников соответствующих управлений. А с чего возник вопрос про акт уничтожения ПДн тысяч субъектов???Алексей Т.https://www.blogger.com/profile/18336548034862391527noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-81628626055126510192011-09-30T10:04:03.672+04:002011-09-30T10:04:03.672+04:002 tiger-66
Могу со 100% уверенность назвать срок ...2 tiger-66 <br />Могу со 100% уверенность назвать срок внесения изменений в ч.2 прим. ст. 25 закона - ноябрь 2012 г. в части переноса сроков предоставления сведений в РКН.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-70224811887144433842011-09-30T09:41:57.564+04:002011-09-30T09:41:57.564+04:00>Мол, дождемся новой нормативной базы - тогда и...>Мол, дождемся новой нормативной базы - тогда и будем смотреть.<br /><br />Какие-то хоть ориентировочные сроки ее появления не назывались?Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-91724215771454775512011-09-30T09:35:48.921+04:002011-09-30T09:35:48.921+04:00Всегда считал и считаю из всех регуляторов ФСБ наи...Всегда считал и считаю из всех регуляторов ФСБ наиболее адекватной, как пример, подход к лицензированию, тут вам и собственные нужды, и подъемные затраты на получение лицензий (кроме производства). Да и в интересах ведомства, чтобы доступ к ПДн был попроще, чтоб лишний раз не заморачиваться:). ФСТЭК - чудо в перьях, динозавр советских времен. РКН - почитал на их сайте проект регламента проверок, юрслужбу надо разогнать, основание внеплановых проверок - берут на себя функции прокуратуры, куда она смотрит?Anonymousnoreply@blogger.com