Как-то забыл пройтись по этой мартовской новости. "Министр связи и массовых коммуникаций РФ Игорь Щеголев поручил Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) разработать и ввести новые стандарты в области защиты персональных данных".
Как это соотносится с тем, что за разработку требований и стандартов в области ИБ у нас отвечает ФСТЭК, а Роскомнадзор к этому имеет ну очень опосредованное отношение, я пока не понимаю ;-(
У государства избыток правых и левых рук, не знающих кто из них что делает:) ИМХО можно наблюдать борьбу за сферы влияния *покупает попкорн, устраивается поудобнее*
ОтветитьУдалитьА пока ты ешь попкорн, тебя заставят выполнять требования ФСТЭК, ФСБ и РКН ;-)
ОтветитьУдалитьСкладывается впечатление что нас специально путают, чтоб мы вместо того, чтоб делом заниматься.. отвлекаемся на всякую фигню...
ОтветитьУдалитьа самое весёлое будет, когда требования правой и левой рук окажутся несовместимыми друг с другом, выполняя одно из них, автоматически нарушаешь другое. ..
ОтветитьУдалитьУ нас в России как всегда будет весело, когда требования правых и левых рук будут не совместимы и руки сомкнутся, между ними окажутся операторы ПДн... И, в этот момент от операторов ничего может не остаться...
ОтветитьУдалитьту Mikhail
ОтветитьУдалитьТакое уже есть... ))) и много уже )))
Если от 7 миллионов операторов ничего не останется, кто же останется в России?
ОтветитьУдалитьПросто Щёголев не в теме, он же - журналист, ему ближе СМИ.. И сказал - как ему сказали "нужные" люди...
ОтветитьУдалитьМинкомсвязи РФ считает необходимым ввести новые стандарты и области защиты прав субъектов, персональных данных.
ОтветитьУдалитьhttp://www.privacy.itp-lc.ru/events-pd/2009/03/26/
Защита персональных данных и защита прав субъектов ПДн разные вещи...
Алексей, ну что же тут непонятного? Вы уж совсем простаком-то не прикидывайтесь. У ЦБ есть свой стандарт? Есть. Требования ФСТЭК, скажем так, спорны. Поэтому Минсвязи, по моему мнению, хочет сделать требования для подконтрольных ей структур. И это очень логично и разумно. Всё имхо, конечно.
ОтветитьУдалитьGolomidov - логично было бы, если бы "подконтрольные структуры" (т.е. операторы связи) работали по стандартам Минсвязи, а остальные - по ФСТЭК. А пока всем придется рабоать по требованиям ФСТЭК, а операторам связи дополнительно еще и по отраслевым стандартам. И если требования будут разниться, то все это будет сильно напоминать известный акробатический прием, который принято называть шпагат. Это в том случае, если требования стандартов Минсвязи будут актуальны только для операторов связи. А в исходном сообщении говорится и об информационных системах вообще, и о "государстве, которому доверили", и об операторах связи. Короче, нужно видеть область действия стандартов - без этого выводы о логичности и тем более разумности делать, имхо, преждевременно:)
ОтветитьУдалитьPS Вообще все это все больше угнетает. Как замечательно выразился Ньютон, энтропия не может уменьшаться. Видимо наши законодатели близко к сердцу приняли Третий закон, а потому в сфере защиты ПДн беспорядок нарастает просто-таки пугающими темпами:(( Ей богу, мне все это предстоит на своем предприятии, и "куда бежать" я пока однозначно сказать не могу.
Quiet Zone: Это не логично ;-) А что делать тому же Лукойл-Информу, который одновременно и оператор и просто пользователь и интегратор и лицензиат ИБ? Ему какие требования выполнять?
ОтветитьУдалитьЛогично, когда есть одна структура, которая отвечает за все ;-) Или есть две структуры - одна отвечает за госорганы, вторая - за коммерческий рынок. Второй сценарий и пытается продвигать Минсвязь последнее время.
Quiet Zone пишет...
ОтветитьУдалить...А пока всем придется работать по требованиям ФСТЭК..
Уважаемый, а на сегодняшний день в области ПДн есть такие обязательные для всех требования?
Четверокнижие ФСТЭК или СТР-К, да?
Не смешите, плз...
Анонимному: Есть. Требования ФЗ-152, Постановлений Правительства и Приказ по классификации. Они обязательны для всех. Также обязательны требования ФСБ.
ОтветитьУдалитьВопрос только с требованиям ФСТЭК.
Речь шла только о требованиях ФСТЭК. Из приведенных Вами, Алексей, актов, только в совместном приказе есть такие требования. Документы ФСБ не в счет, так как ФСБ занимается гостайной, а ПДн в это понятие не входит, за небольшим исключением, конечно. В остальных - всё достаточно не конкретно, что позволяет применять принцип: что не запрещено законом - разрешено..
ОтветитьУдалитьАлексей, я ж жеж про это и говорю. Если предприятие попадает под действие одного набора требований, оно автоматически должно выводиться из под действий другого.
ОтветитьУдалитьАнонимному: я считал бы день неудавшимся, если бы мне не удалось Вас рассмешить, рад что мне это удалось:) Да-да, уже тысячу раз говорили о необязательности. Это по закону. Но государство наше частенько живет по понятиям, неужели не знаете? И я хотел бы посмотреть на реакцию уполномоченного органа, которму, воткнув в землю рога, заявят о необязательности требований ФСТЭК. Что, СТР-К не выполняли? Или м.б. Ваш инфантилизм подталкивает Вас к вере в то, что требования Стандарта ЦБ (в отличие от PCI DSS) не обязательные? Ну-ну. Поговорите с кем-нибудь из банка. Те, кому не повезло, уже столкнулись с аудиторами и "необязательными" требованиями ЦБ. Сказано было просто - не выполните "отключим газ". Да, самоуправство. Но бизнес предпочтет выполнить требования, чем судиться с неповоротливым государственным органом, тем более под страхом лишения лицензии, то есть полной остановкой. ЗЫ Кстати, касательно данной Вами ссылки: приведенная в самой статье (а не заголовке) цитата (" чтобы новые информационные системы, которые внедряются, не допускали утечек") свидетельствует именно о требованиях к системам. Ясен пень, их ужесточение опосредовано имеет влияние и на защиту прав.
To Quiet Zone
ОтветитьУдалитьПро инфантилизм эт Вы, конечно загнули, но спасибо... )))
Да, банки - это круто, конечно.
Но основную часть операторов ПДн составляют не они...
И объясните, пожалуйста причем здесь уполномоченный орган и требования ФСТЭК? Ведь ст.19 ясно разделяет полномочия. Может уполномоченный орган возьмет на себя ещё функции ГИБДД, пожнадзора и других надзоров?
Указанная Вами "приведенная мной цитата" - не моя...))
Анонимный: Банки и страховые компании будут первыми, уверен на 99%, даже спорить не буду.
ОтветитьУдалитьПод уполномоченым органом я понимал произвольный уполномоченный орган (прецедентов пока не знаю, потому и говорить наверняка не могу), а не вполне конкретный Уполномоченный орган по защите прав субъектов. Возможно, это будет сам ФСТЭК (что подтверждают некоторые бывшие работники ФСТЭК, ныне занимающиеся защитой ПДн).
Насчет цитаты спорить не буду, ибо говорил про ссылку, будьте внимательнее;)
Анонимному: Почитайте ПП-781, п.3, 6, 9 и т.д., а также ПП-960, п.8.15.
ОтветитьУдалитьQuiet Zone пишет...
ОтветитьУдалитьПод уполномоченым органом я понимал произвольный уполномоченный орган (прецедентов пока не знаю, потому и говорить наверняка не могу), а не вполне конкретный Уполномоченный орган по защите прав субъектов.
А я, наивный, признаться думал, что уполномоченный орган определен ст.23 152-ФЗ, и он существует..
Спасибо, что просветили...
Анонимному - не надо ерничать. Или вы отличаете имя собственное от простого существительного? Тогда для Вас не будет открытием, что имя собственное пишется с большой буквы, а "Уполномоченный орган" это не тоже самое, что уполномоченный орган. Впрочем это уже неважно, ведь Вы поняли, о чем я и дальнейшая дискуссия бессмысленна.
ОтветитьУдалитьСоглашусь с вами. Дискуссия по этому вопросу действительно бессмысленна, тем более, что 152-ФЗ не умеет различать имя собственное от простого существительного, и определяет название этого органа как простое существительное...
ОтветитьУдалить