Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

GDPR: Новые правила обработки персональных данных в EU

15/06/2018

Все слышали о General Data Protection Regulation (GDPR) (Regulation (EU) 2016/679), который вступил в силу 25 мая 2018 года. Штрафы большие и придётся соответствовать. Как и любой официальный документ, он написан сухо и может трактоваться по-разному.

Реклама

Партнеры

Лаборатория кибербезопасности







Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1 2 След.
RSS
[ Закрыто ] Нормативные акты в области защиты ПДн, Обсуждение нормативки
Всем привет! Предлаю обсудить, вопрос который будет полезен и для операторов и для фирм с лицензией на ТЗКИ.
Новым законом о ПДн, отдельные статьи которого в частности ст.18.1 и ст.19 распространяются на правоотношения возникшие после 01 июля 2011г. Встает резонный вопрос а какие нормативно правовые акты использовать для защиты ПДн????
Многие скажут, пока никто не отменил ПП 781 использовать его, а также документы регуляторов, которые породило ПП 781.
Юристы скажут наверное, использовать для защиты ПДн ПП 781, данный нормативный акт не отменен, он действуют в части не противоречающей действующему закону.

Попробывал я искать противоречия и нашел их три, считаю важных:
1. ПП 781 устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах
А новая ст. 19 гласит что Правительство устанавливает требования к защите ПДн при их обработке в ИСПДн, исполнение которых обеспечивает установленные уровни защищенности ПДн.
2. ПП 781 установило, что Методы и способы защиты информации в информационных системах устанавливаются ФСБ и ФСТЭК
А новая ст. 19 гласит что ФСБ и ФСТЭК определяют состав и содержание организационных и технических мер необходимых для выполнения установленных Правительством требований к защите ПДн для каждого уровня защищенности
3. ПП 781 установило что Возможные каналы утечки информации при обработке персональных данных в информационных системах определяются ФСБ и ФСТЭК (модель угроз)
А новая ст. 19 определила что угрозы безопасности за нас уже сделают и согласуют с ФСБ и ФСТЭК разные органы власти


И что получается сделаю все по ПП 781, и модель угроз напишу, все требования исполню, все что 58 приказ ФСТЭК говорит учту - а мне:
- классификация ИСПДн уже не нужна
- модель угроз неверна
- выполненые требования не обеспечивает требуемый уровень защиты
- 58 приказ не действует, зря тратили деньги(((

Являясь немного юристом понимаю, что до 01 июля и закон и требования были другие поэтому их не отменяют, закон обратной силы не имеет.

Как быть в данной ситуации? Использовать или нет ПП 781 при защите ИСПДн после 01 июля??? Буду рад ответам настоящих юристов с хорошим обоснованием!!!
ps ФСТЭК сурова нам ответил - ничего не отменено, все действует пользуйтесь!!!)))
Достаточно прочитать преамбулу 781: В соответствии со статьей 19 Федерального закона "О персональных данных" Правительство Российской Федерации постановляет:

статья 19 изменилась, полностью. Преамбулы приказав регуляторов: В соответствии с ПП 781...

Я думаю, что обсуждать даже нечего.
Изменено: Сергей С. - 24.08.2011 14:23:50
Здравствуйте!
В нашей организации начали проводить работы по защите ПД. Подготовили начальную документацию (приказы, положения, перечень ПД и т.п.). Дело дошло до тех.защиты. Дальше требуется искать организацию, которая имеет право на проведение работ по тех.защите? или же мы можем работы по тех.защите выполнить сами?
У меня интересная ситуация :)
Заключаю договор с лицензиатом ФСТЭК и ФСБ на техническое решение по безопасности ПДн.
Они предлагают сделать все по 781 ПП РФ, я хочу включить в договор пункт о приведение в соответствие технического решения в случае изменения НПА правительства=) Интересно согласятся или нет? Отпишусь...
Нормативные акты имеют временные, пространственные и субъективные пределы своего функционирования
Действие нормативного акта во времени обусловлено вступлением его в силу и утратой силы. Согласно ст. 6 Федерального закона «О порядке опубликования и вступления в силу федеральных конституционных законов, федеральных законов, актов палат Федерального Собрания»: «федеральные конституционные законы, федеральные законы, акты палат Федерального Собрания вступают в силу одновременно на всей территории РФ по истечении 10 дней после их официального опубликования, если самими законами или актами палат не установлен другой порядок вступления их в силу»
Здесь важно учитывать принцип, согласно которому закон не имеет обратной силы, т. е. он не должен распространяться на те отношения, которые уже существовали до момента вступления его в юридическую силу.
В связи с этим изменения, внесенные Федеральным законом от 25.07.2011 N 261-ФЗ, РАСПРОСТРАНЯЮТСЯ на правоотношения, возникшие с 1 июля 2011 года.
До указанного срока действует старая редакция Федерального закона «О персональных данных» и соответственно действует Постановление Правительства Российской Федерации от 17 ноября 2007 г. N 781, так как именно оно до 1 июля 2011 года являлось подзаконным нормативно-правовым актом направленным на установление требований к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных и издано было в развитие действующего на тот момент закона «О персональных данных».
Нормативно-правовые акты теряют юридическую силу в результате различных обстоятельств:
1. Если акт был издан на определенный срок, он перестает действовать по истечении этого срока.
2. Нормативно-правовой акт утрачивает силу в результате его отмены. Об отмене прежнего нормативного акта указывается в новом акте, заменяющем старый, либо в специальном перечне актов, отменяемых в связи с принятием новых актов.
3. Нормативно-правовой акт фактически теряет силу — вследствие издания нового акта, устанавливающего другой порядок правового регулирования.

В ДАННОМ СЛУЧАЕ изменения, внесенные в Федеральный закон «О персональных данных», РАСПРОСТРАНЯЮЩИЕСЯ на правоотношения, возникшие с 1 июля 2011 года содержат другой порядок правового регулирования вопросов связанных с обеспечением безопасности персональных данных при их обработке в информационных системах персональных данных в следствии чего, Постановление Правительства Российской Федерации от 17 ноября 2007 г. N 781 с 1 июля 2011 года ПОТЕРЯЛО СВОЮ СИЛУ (кроме естественно правоотношений, возникших до 1 июля 2011 года, имеет место так называемое переживание закона, которое представляет собой применение отмененного, уже не действу¬ющего нормативно-правового акта к тем правоотношениям, которые возникли еще в период его действия)

Где так)))
«Заключаю договор с лицензиатом ФСТЭК и ФСБ на техническое решение по безопасности ПДн. Они предлагают сделать все по 781 ПП РФ, я хочу включить в договор пункт о приведение в соответствие технического решения в случае изменения НПА правительства=) Интересно согласятся или нет? Отпишусь...»
ВАМ предлагаю не включать что либо в договор «в случае не в случае» а требовать исполнения договора исходя из действующих на момент подписания нормативных актов.
Цитата
Гость пишет:
...в следствии чего, Постановление Правительства Российской Федерации от 17 ноября 2007 г. N 781 с 1 июля 2011 года ПОТЕРЯЛО СВОЮ СИЛУ...
...ВАМ предлагаю не включать что либо в договор «в случае не в случае» а требовать исполнения договора исходя из действующих на момент подписания нормативных актов.
Если не оговаривать «в случае не в случае» и подписывать сегодня, то какие НПА Правительства действуют? Старое отменено, новое не принято.
Цитата
Гость пишет:
Цитата
Гость пишет:

...в следствии чего, Постановление Правительства Российской Федерации от 17 ноября 2007 г. N 781 с 1 июля 2011 года ПОТЕРЯЛО СВОЮ СИЛУ ...

...ВАМ предлагаю не включать что либо в договор «в случае не в случае» а требовать исполнения договора исходя из действующих на момент подписания нормативных актов.

Если не оговаривать «в случае не в случае» и подписывать сегодня, то какие НПА Правительства действуют? Старое отменено, новое не принято.
. Наверное если документы не приняты и старые не действуют лучше ждать. Ждали же с 2006 года до 2008, когда появились документы регуляторов о том как защищать пдн)))
Цитата
Гость пишет:
Ждали же с 2006 года до 2008, когда появились документы регуляторов о том как защищать пдн
Вступление закона в силу откладывали несколько раз...
Сейчас же закон вступил в полную силу и абсурдность ситуации зашкаливает :( Интергаторы Вас защитят, с радостью, а потом с еще большей радостью защитят второй раз... по новым подзаконным актам... Вы только платите...
Цитата
Alex пишет:
Интергаторы Вас защитят,
Интеграторы вас поимеют, а потом еще и еще :) И регуляторы иже с ними
Цитата
Сергей С. пишет:
Интеграторы вас поимеют
Я это и имел ввиду, надо было "защитят" кавычками отделить... хотя из контекста и так понятно :)
http://emeliyannikov.blogspot.com/2011/08/blog-post_24.html?m=1
Все предельно ясно
А нам юристы дали такой ответ по правоприменению ПП 781, документов ФСБ и приказов ФСТЭК по защите ПДн. "Указанные документы с 01 июля 2011 года применяются в части, не противречащей ст. 19 закона. Поскольку нормы ст. 19 закона имеют б'ольшую юридическую силу".

Поэтому надо все делать по новому ФЗ, а как пока не ясно
Цитата
Гость пишет:
У меня интересная ситуация
Заключаю договор с лицензиатом ФСТЭК и ФСБ на техническое решение по безопасности ПДн.
Они предлагают сделать все по 781 ПП РФ, я хочу включить в договор пункт о приведение в соответствие технического решения в случае изменения НПА правительства=) Интересно согласятся или нет? Отпишусь...
Обещал отписаться...
На мое предложение включить в договор пункт о приведении тех. решения в соответствие требованиям в случае принятия правительством РФ НПА по ст.19 части 3. Интегратор ответил, что согласен на данное условие лишь на срок действия договора, то есть если НПА выйдет во время проведения работ. Если Правительство РФ примет НПА позже - то потом за отдельную плату.
В общем я пока не заключаю договор, жду изменений.
Цитата
Гость пишет:
Если Правительство РФ примет НПА позже - то потом за отдельную плату.
Вряд ли Вы найдете интегратора, готового взяться за неопределенную работу по окончании договора. Они правы. Бизнес по-другому устроен, а что примет Правительство и во что это принятое выльется - никто точно не знает.
С другой стороны - это вопрос цены. Если она покроет риски дополнительных работ, подписаться можно подо что угодно.
Похожая ситуация. В начале июля запросили коммерческие предложения у лицензиатов. Но всвязи с выходом изменений в ФЗ заключение договора пока отложили, о чем созвонились и предупредили лицензиата. На прошлой неделе они начали нас теребить и хотят заключить договор на тех же условиях, что и у Гостя. Видимо они что то узнали и торопяться скорее сорвать деньги.
Цитата
Анатолий пишет:
Видимо они что то узнали и торопяться скорее сорвать деньги.
Если интегратор нравится, есть простой выход - заключайте рамочное, допник на оргмеры, включая политику для вывешивания, а техзащиту предусматривайте отдельным допником по выходу ПП, пока без цены. И у вас работа пойдет,и интегратора привяжете, и он простаивать в ожидании вашего решения не будет.
"Часть подзаконных актов по ПДн будут разработаны, ВНИМАНИЕ,... ко 2-му кварталу 2012 года, а вся нормативка к концу 2012 года.
На закономерный вопрос о том, как жить до принятия новой нормативки, представитель ФСТЭК ответил, что жить по-старому, т.е. по 58-му приказу и двум документам по моделированию угроз. Кстати, представитель ФСТЭК считает, что моделированием угроз по-прежнему должны заниматься операторы ПДн. И это несмотря на то, что в новом старом ФЗ этой привилегии операторы лишены.
Кстати, "приказа трех" как и 58-го приказа не будет - им на смену придут другие документы"
http://lukatsky.blogspot.com/2011/09/blog-post_13.html

Получается нас подталкивают два раза потратить на защиту ПДн???? Сейчас и в 2012???!!!
В 2012 тратиться не придется там конец света))))))))
Какие у кого новости? кто по каким документам сейчас защиту ПДн осуществляет?
Ткните меня пожалуйста в закон, где написано, что нужна лицензия на ТЗКИ?
Страницы: 1 2 След.
Читают тему (гостей: 2, пользователей: 0, из них скрытых: 0)