Бизнес безопасности или безопасность бизнеса? О том и о другом в одном непросветительском блоге от еще неиностранного агента... Имеющий мозг да применит его (6+)
Pages - Menu
▼
Страницы
▼
6.11.09
Может ли ФСТЭК проверять вас в 2010-м году?
Согласно ст. 9.5 ФЗ-294 надзорный орган (в нашем случае ФСТЭК) обязан разместить у себя на сайте план проведения плановых проверок, который перед этим должен быть отправлен в прокуратуру до 1-го ноября. До 31-го декабря сводный план проверок должен быть вывешен на сайте Генпрокуратуры. Пока план проверок на 2010 год опубликован на сайте только у Роскомнадзора. Если ФСТЭК не отправила свой план в прокуратуру, то возникает вопрос, насколько они правомочны будут осуществлять проверки в будущем году?
ч.5 ст.9 294-ФЗ
ОтветитьУдалить"...в сети "Интернет" либо иным доступным способом."
Способ найдем, не переживайте.
ч.6 и ч.7 ст.9 294-ФЗ, это которые "..до 1 ноября.. и до 31 декабря..", вступают в силу с 1 января 2010 года в соответствии частью 2 статьи 27.
Поэтому у нас (у ФСТЭК) в 2010 году пока всё будет оки-доки..
С нетерпением по предстоящим проверкам,
КАРАЮЩАЯ ДЛАНЬ ФСТЭК ;-D
Снова вместо того чтобы стараться совместно найти лучшие решения по подготовке к проверкам, Вы пытаетесь найти мелкие нестыковки в законодательстве.
ОтветитьУдалитьЕсли Вы и сумеете доказать непровомерность проверки пришедшего регулятора в силу своей сверхпродвинутости, то 99,999% других операторов этого сделать не смогут. Потому тема не имеет никакого смысла, кроме как пофлудить и поплакаться о тяжелой жизни и о нехороших регуляторах.
Гораздо эффективнее обсуждать такие темы более плотно и приходить к общему пониманию
http://lukatsky.blogspot.com/2009/10/blog-post_03.html
> Поэтому у нас (у ФСТЭК) в 2010 году пока всё будет оки-доки..
ОтветитьУдалитьВ проекте Минкомсвязи предлагается перенос на 2 года ;)
> вместо того чтобы стараться совместно найти лучшие решения по подготовке к проверкам
Не наблюдаю готовности регуляторов в осуществлении этого процесса.
Для совместной работы нужна обратная связь с регулятором - а вот именно ее и не наблюдается...
Хотя, IMO, лучше организовать не процесс подготовки к проверкам, а процесс выработки реально работающей системы защиты информации (и не только во области ПДн)...
>реально работающей системы защиты >информации (и не только во области ПДн).
ОтветитьУдалитьТак и давайте это обсуждать а не готовность регуляторов. Не наши это проблемы!
ФСТЭК сможет! Только ему сейчас не до юр и физ лиц, у него своих проверок выше крыши. А по перс данным я думаю специалисты ФСТЭК если и будут учавствовать, то в составе комиссии от РКН. Тема наверное менее актуальна, чем предыдущие. Потому что надо защищаться, а не ждать проверки.
ОтветитьУдалитьЧем, кстати, все и занимаются. :-)
"Потому что надо защищаться, а не ждать проверки. Чем, кстати, все и занимаются. :-)"
ОтветитьУдалитьОтжиг дня, однако. IMHO требования ФСТЭК и защита - вещи непересекающиеся :)
to toparenko
ОтветитьУдалить>Для совместной работы нужна обратная связь с регулятором - а вот именно ее и не наблюдается...
Кстати опять же гон..
Здесь к примеру http://ispdn.ru/forum/ отвечают представители фстэк в том числе. И вы то это прекрасно знаете т.к. сами туда пишите!
К сожалению на форуме Роскомнадзора представители регулятора практически и не отвечают.
ОтветитьУдалитьТам идет в основном диалог заинтересованных сотрудников (скорее всего работников операторов ПДн).
Высказываются свои мнения, а не позиция регулятора.
А как нормального диалога с регуляторами не было, так и нет в настоящее время.
2Анонимный: на форуме частное мнение сотрудников ФСТЭК, на которое нельзя опираться, так обычно два сотрудника - три мнения :(
ОтветитьУдалитьИМХО, toparenko имел ввиду публичное обсуждение требований, до их утвеждения.
to kreol
ОтветитьУдалитьto Станислав
Да ладно вам..
Где должно проходить такое обсуждение?
ИМХО и так количество семинаров с участием регуляторов в том числе зашкаливает
типа такого
http://www.cnews.ru/news/line/index.shtml?2009/11/05/368563
или такого
http://it.pro-linia.r/programme.php
>2Анонимный: на форуме частное мнение сотрудников ФСТЭК, на которое нельзя опираться, так обычно два сотрудника - три мнения :(
ОтветитьУдалитьЧто мешает вам сформировав свое мнение обсудить свое понимание ЗАРАНЕЕ с представителем РСН- тем самым человеком что будет вас проверять- и понять как он понимает требования фстэк??
Только не говорите что такую встречу не организовать!
Было бы желание
Анонимный пишет...
ОтветитьУдалить>Так и давайте это обсуждать а не готовность регуляторов. Не наши это проблемы!
На банкире я предлагал ФСБ организовать, но предложение не принято:
1. Переработке подвергнуть весь пакет документов (как существующих, так и готовящихся к выходу)
2. Организовать экспертный совет, с обязательной обратной связью от представителей ФСБ, по переработке пакета документов. Желательно в виде открытого или полузакрытого форума (думаю можно даже на площадке, предложенной или предоставленной ФСБ)
3. Отложить издание нормативных документов до выработки консолидированного варианта пакета документов.
Готова ли ФСТЭК к подобному обсуждению?
>Кстати опять же гон..
>Здесь к примеру http://ispdn.ru/forum/ отвечают представители фстэк в том числе. И вы то это прекрасно знаете т.к. сами туда пишите!
Это не обратная связь, а "частное мнение по желанию": захотите - ответите, захотите - не ответите...
В данном же вопросе необходимо полноценное обсуждение позиций и предложений всех сторон (в том числе уполномоченных лиц со сторноы регуляторов).
Анонимный пишет...
ОтветитьУдалить>Что мешает вам сформировав свое мнение обсудить свое понимание ЗАРАНЕЕ с представителем РСН- тем самым человеком что будет вас проверять- и понять как он понимает требования фстэк??
Только не говорите что такую встречу не организовать!
Вообще-то вопросы техзащиты находятся вне компетенции Роскомнадзора. Т.ч. смысла в предлагаемом Вами не вижу...
Тем более, что пока нечего с Роскомнадзором обсуждать - документы не вступили в силу и имеется уже третья (скорее всего не окончательная) редакция пожеланий ФСТЭК
>В данном же вопросе необходимо полноценное обсуждение позиций и предложений всех сторон (в том числе уполномоченных лиц со сторноы регуляторов).
ОтветитьУдалитьКто определяет ПОЛНОЦЕННОСТЬ обсуждения?
Любое обсуждение с неким лицом(лицами)будет выражать ЧАСТНОЕ мнение (виденье закона)этого лица!
Понимайте закон как у вас получается и уточняйте это понимание со своим РСН.. теми людьми кто будет проверять именно ВАС.
Никто не спорит, что жизнь несовершенна, но нечего ахать по этому поводу. Ситуация не изменится и надо не переживать из-за этого, а думать как решить задачу (пройти проверку) с минимальными потерями как для себя так и своей организации.. кому уж что важнее
>Где должно проходить такое обсуждение?
ОтветитьУдалить>ИМХО и так количество семинаров с участием регуляторов в том числе зашкаливает
А может вспомнить Софтлайновский семинар 23.09.09 и пленарное заседание Инфофорума? ;)
Или Парламентские слушания в Думе?..
>А может вспомнить Софтлайновский семинар 23.09.09 и пленарное заседание Инфофорума? ;)
ОтветитьУдалитьИли Парламентские слушания в Думе?..
Ну можно и это вспомнить. Только знаете что..Мы можем не исполнять закон только когда его ОТМЕНЯТ или хотя бы ПЕРЕНЕСУТ срок. Все остальное благие пожелания
>Вообще-то вопросы техзащиты находятся вне компетенции Роскомнадзора. Т.ч. смысла в предлагаемом Вами не вижу...
Удивляюсь я. РАЗРАБОТКА документов по техзащите вне компетенции РСН, а проверка их ИСПОЛНЕНИЯ??? Что будут проверять и что они хотят видеть (РСН), то видимо и есть их позиция. Ну а кроме техзащиты есть еще и нормативная часть..
>Тем более, что пока нечего с >Роскомнадзором обсуждать - документы не вступили в силу и имеется уже третья (скорее всего не окончательная) редакция пожеланий ФСТЭК
Да? А что мы во фстэк за деньги покупаем тогда?
На моем экз. написано Утверждены зам.директора ФСТЭК России 15.02.2008 г.
И еще.. Может тем кого будут проверять в январе-марте 2010 года так и сказать - не вступили мол в силу доки ваши, идите лесом. приходите когда вступят. Так что ли?
>Любое обсуждение с неким лицом(лицами)будет выражать ЧАСТНОЕ мнение (виденье закона)этого лица!
ОтветитьУдалить>Понимайте закон как у вас получается и уточняйте это понимание со своим РСН.. теми людьми кто будет проверять именно ВАС.
"Допрыгались"...
Закон, на то и Закон, что понимать все должны однозначно. В противном случае это банальная "коррупционная схема".
>Ситуация не изменится и надо не переживать из-за этого, а думать как решить задачу (пройти проверку) с минимальными потерями как для себя так и своей организации.. кому уж что важнее
Мда...
В "прошлой жизни" (на "государевой" службе) я вообще-то "нещадно драл" за попытки "сдать проверку" вместо реальной работы по защите...
"Профанация рулит"...
to toparenko
ОтветитьУдалить>В "прошлой жизни" (на "государевой" службе) я вообще-то "нещадно драл" за попытки "сдать проверку" вместо реальной работы по защите...
"Профанация рулит"...
Вроде обсуждали уже и пришли к печальному итогу, что наши законы направлены скорее не защиту ПДн, а на выполнение требований регуляторов? Или Вы не согласны?
Так чего теперь удивляться?
>"Допрыгались"...
ОтветитьУдалитьЗакон, на то и Закон, что понимать все должны однозначно. В противном случае это банальная "коррупционная схема".
Ваши предложения? Только кроме - а давайте посмотрим имеют ли они право приходить к нам, имеют ли они право проверять нас? и прочие - а ты кто такой.. (
> Да? А что мы во фстэк за деньги покупаем тогда?
ОтветитьУдалитьВы или у Вас? ;)
>На моем экз. написано Утверждены зам.директора ФСТЭК России 15.02.2008 г.
Во-во ;)
Смотрим ПП1009-1997:
9. ...
Нормативные правовые акты подписываются (утверждаются) руководителем федерального органа исполнительной власти или лицом, исполняющим его обязанности.
Там еще несколько пунктов есть, которые не выполнены ;)
>И еще.. Может тем кого будут проверять в январе-марте 2010 года так и сказать - не вступили мол в силу доки ваши, идите лесом. приходите когда вступят. Так что ли?
Все зависит от принимающей стороны и результатов проверки ;)
Будет устраивающий результат - промолчат.
Будет дешевле опротестовать проверку - получите особое мнение и иск. в суд за предъявление требований не подлежащих применению по п.19 ПП1009-1997:
19. ...
При нарушении указанных требований нормативные правовые акты, как не вступившие в силу, применяться не могут.
Т.ч. тем самым Вы сами себе закладываете уязвимость...
Увы... Но это действительно не будет иметь ничего общего с попыткой установления защиты персональных данных...
> Ваши предложения? Только кроме - а давайте посмотрим имеют ли они право приходить к нам, имеют ли они право проверять нас? и прочие - а ты кто такой..
ОтветитьУдалитьСм. выше:
1. Переработке подвергнуть весь пакет документов (как существующих, так и готовящихся к выходу)
2. Организовать экспертный совет, с обязательной обратной связью от представителей регуляторов, по переработке пакета документов. Желательно в виде открытого или полузакрытого форума (думаю можно даже на площадке, предложенной или предоставленной регуляторами)
3. Отложить издание нормативных документов до выработки консолидированного варианта пакета документов.
По п.2: если не можете сами предложить такую площадку, для обсуждения - можно организовать ее на базе razved.info или другой какой-нибудь
>Вы или у Вас? ;)
ОтветитьУдалитьМы! Если вы меня причислили к фстэковцам или даже к им симпатизирующим то это неверно. Одно мое получение доков от фстэк – отдельный опус, который сформировал мое мнение об этой организации. Но другого фстэка у нас нет- вот ведь в чем дело! Потому живем с чем есть.
Смотрим ПП1009-1997:
9. ...
>Нормативные правовые акты подписываются (утверждаются) руководителем федерального органа исполнительной власти или лицом, исполняющим его обязанности.
Ну опять за рыбу гроши! Это довод чтоб это не выполнять? Несерьезно и вы это сами знаете лучше меня.
>>Все зависит от принимающей стороны и результатов проверки ;)
Будет устраивающий результат - промолчат.
Будет дешевле опротестовать проверку - получите особое мнение и иск. в суд за предъявление требований не подлежащих применению по п.19 ПП1009-1997:
19. ...
При нарушении указанных требований нормативные правовые акты, как не вступившие в силу, применяться не могут.
Тоже не разговор(. Кто полезет в разборки с госорганом?
Допустим даже Они скажут - хорошо, ок.. и найдут замечания по основной деятельности.. по связи скажем. Так в РФ с органами себя не ведут руководители организаций)
Мы с вами можем, руководители - нет.
6 Ноябрь 2009 г. 14:34
toparenko пишет...
> Ваши предложения? Только кроме - а давайте посмотрим имеют ли они право приходить к нам, имеют ли они право проверять нас? и прочие - а ты кто такой..
См. выше:
1. Переработке подвергнуть весь пакет документов (как существующих, так и готовящихся к выходу)
По п.2: если не можете сами предложить такую площадку, для обсуждения - можно организовать ее на базе razved.info или другой какой-нибудь
Были Рекомендации парламентских слушаний – лучшего нам не придумать. Остается ждать итогов, может что то будет до конца года. А пока делать то что можно уже сейчас, хотя бы нормативную базу. А не обсуждать такие пустые темы с которой вся эта беседа началась
>Мы! Если вы меня причислили к фстэковцам или даже к им симпатизирующим то это неверно.
ОтветитьУдалитьЕсли посмотрите в начало ветки - поймете почему отнесли к ФСТЭК-овцам :lol:
Вы хоть как-то себя идентифицируйте, чтоб не путали ;)
>Тоже не разговор(. Кто полезет в разборки с госорганом?
Я же сказал, что вопрос цены.
Вон МТС с Роскомнадзором "бодалась" и не всегда безуспешно ;)
>Были Рекомендации парламентских слушаний – лучшего нам не придумать.
А кто сказал, что эти Парламенские слушания появились из "вакуума"?
>Остается ждать итогов, может что то будет до конца года.
Ага. ;)
И пропускать встречные информационные волны типа этой или этой.
Совпадение или нет, но 3.11.09 акции ВТБ на 6% упали
Встречался я и с ФСТЭКовцами и РКНовцами и обащлся с ними. Не готовы они на контакт и помощь.
ОтветитьУдалитьРегуляторы не хотят ничего менять. Ни РКН (которому сложнее изменить ФЗ), ни ФСТЭК (которому проще поменять свои требования). Они также не готовы рекомендовать что-то, чтобы улучшить жизнь операторов ПДн.
Даже если они и понимают, что текущие требования не всегда выполнимы, они говорят - мы ничего не будем менять, но мы вам советуем творчески подойти к решению насущных задач. И это государственный подход? Это формирование условий для наполнении кормушки. И поскольку менять свое отношение регуляторы не хотят, то и возникает желание послать их в сад, чтобы не увеличивать свои затраты без реального повышения уровня защищенности.
to toparenko
ОтветитьУдалить>Если посмотрите в начало ветки - поймете почему отнесли к ФСТЭК-овцам :lol:
Не .. первый анонимный не я)
to toparenko
to Алексей
>Я же сказал, что вопрос цены.
Вон МТС с Роскомнадзором "бодалась" и не всегда безуспешно ;)
>послать их в сад
Да позиция то ваша понятна и разделяема.. мною в том числе..
НО.. чтобы так сделать надо иметь позицию руководства и юристов такую!
Если же их позиция НЕ вступать в конфликты с госорганами.. дабы по основной деятельности не было претензий.. то предлагаемые сценарии нереализуемы!
Кстати.. чего про это думаете?
Провокация? )))
http://www.gzt.ru/Gazeta/first-page/270590.html