Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Новая версия SIEM-системы КОМРАД: теперь с поддержкой масштабирования и без ограничений на производительность

22/11/2018

Группа компаний «Эшелон» представляет обновленную систему управления событиями информационной безопасности КОМРАД. Новая версия SIEM-системы поддерживает возможность масштабирования и включает ряд новых возможностей.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: Пред. 1 2 3 4 5 6 ... 14 След.
RSS
[ Закрыто ] П-1119 по ПДн, Постановление от 1 ноября 2012 г. №1119 Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных
Tolian пишет:
Цитата
Никто почему то из Вас не обратил внимания, что ПП1119 ещё не вступило в силу и прежние документы ещё работают
Цитата
Николай пишет:
Почему не вступило в силу?
Источник публикации "Российская газета", N 256, 07.11.2012
Вступает в силу по истечении 7 дней после дня официального опубликования.
:)

Т.е. 58 приказ действует до 15 ноября. Готовимся)
Изменено: Настя - 08.11.2012 08:43:54
Tolian, предлагаю сменить ник на Trolian :)
Побольше конструктива. Покурите для начала форум, тут есть примеры проверок, перечни документов. Не надо быть юристом, чтобы понять, что приказ уполномоченного органа о проведении проверки обязателен для проверяемого. С регулятором нужно работать, иначе ждите судебного решения о запрете обработки ПДн = прекращение деятельности.
Цитата
Сергей С. пишет:
Tolian, предлагаю сменить ник на Trolian :)
Побольше конструктива. Покурите для начала форум, тут есть примеры проверок, перечни документов. Не надо быть юристом, чтобы понять, что приказ уполномоченного органа о проведении проверки обязателен для проверяемого. С регулятором нужно работать, иначе ждите судебного решения о запрете обработки ПДн = прекращение деятельности.
Извиняюсь, что я лезу в ваши дела. Про конструктив вы работаете в соответствии с законодательствами РФ так и будьте добры на основании его и давать комментарии (в частности в другой теме я вам написал про законность. Вы рекомендовали что нужно сделать, а требования ещё не вступили в силу). В Федеральном законе № 294-ФЗ четко прописано кто и и кому направляет уведомление как и сам приказ. О том что данный приказ должен быть направлен в проверяемую организацию там нет ни слова. И придумывать здесь ничего не нужно, все четко прописано в документах.

Тогда подробней сообщите с каким регулятором нужно работать, и про судебные решения посмеялся..... Прекращение деятельности организации? пункты нормативных правовых актов, в соответствии с которыми это могут сделать сообщите пожалуйста. Организацию в которой я работаю назвать по понятным причинам не могу, но это орган государственной власти, с регуляторами общаться приходится в основном из ФСТЭКа.
Цитата
Tolian пишет:
Цитата
Сергей С. пишет:
Tolian, предлагаю сменить ник на Trolian :)
Побольше конструктива. Покурите для начала форум, тут есть примеры проверок, перечни документов. Не надо быть юристом, чтобы понять, что приказ уполномоченного органа о проведении проверки обязателен для проверяемого. С регулятором нужно работать, иначе ждите судебного решения о запрете обработки ПДн = прекращение деятельности.
Извиняюсь, что я лезу в ваши дела. Про конструктив вы работаете в соответствии с законодательствами РФ так и будьте добры на основании его и давать комментарии (в частности в другой теме я вам написал про законность. Вы рекомендовали что нужно сделать, а требования ещё не вступили в силу). В Федеральном законе № 294-ФЗ четко прописано кто и и кому направляет уведомление как и сам приказ. О том что данный приказ должен быть направлен в проверяемую организацию там нет ни слова. И придумывать здесь ничего не нужно, все четко прописано в документах.

Тогда подробней сообщите с каким регулятором нужно работать, и про судебные решения посмеялся..... Прекращение деятельности организации? пункты нормативных правовых актов, в соответствии с которыми это могут сделать сообщите пожалуйста. Организацию в которой я работаю назвать по понятным причинам не могу, но это орган государственной власти, с регуляторами общаться приходится в основном из ФСТЭКа.
А округ федеральный назвать можно или это тоже тайна))))
Странное у Вас общение с Управлением ФСТЭК, видимо для вас сделали исключение...
Насчет судебных решений это больше к Роскомнадзору, но я думаю для Вашего руководства хватит просто недостатков в Акте.
Прекращение деятельности организации, видимо имелось ввиду что регулятор выпишет предписание о запрещение обработки информации в ИСПДн - этого мало?
Да и вывод о вашей компетентности тоже в акте проскочит.
А округ федеральный назвать можно или это тоже тайна))))
Странное у Вас общение с Управлением ФСТЭК, видимо для вас сделали исключение...
Насчет судебных решений это больше к Роскомнадзору, но я думаю для Вашего руководства хватит просто недостатков в Акте.
Прекращение деятельности организации, видимо имелось ввиду что регулятор выпишет предписание о запрещение обработки информации в ИСПДн - этого мало?
Да и вывод о вашей компетентности тоже в акте проскочит.
Цитата
Валентин С пишет:
Прекращение деятельности организации, видимо имелось ввиду что регулятор выпишет предписание о запрещение обработки информации в ИСПДн - этого мало?
Предписание о запрещении обработки информации в ИСПДн ...... вы прекрасно знаете что и как у нас в стране делается, запретят её по новому назовут и все, работа не остановится. Это вам не гос. тайна здесь так все не пройдет.
Цитата
Настя пишет:
Tolian пишет:
Цитата
Никто почему то из Вас не обратил внимания, что ПП1119 ещё не вступило в силу и прежние документы ещё работают
Цитата
Николай пишет:
Почему не вступило в силу?
Источник публикации "Российская газета", N 256, 07.11.2012
Вступает в силу по истечении 7 дней после дня официального опубликования.
:)

Т.е. 58 приказ действует до 15 ноября. Готовимся)
Приказ 58 и приказ трех и другие НПА никто не отменял. НПА отменяются тем же органом, который их утвердил (выпустил приказом)
Цитата
Гость пишет:
Приказ 58 и приказ трех и другие НПА никто не отменял. НПА отменяются тем же органом, который их утвердил (выпустил приказом)
Новым постановлением утверждаются уровни защищенности. В 58 приказе требования к классам. В ФЗ 152 о классах нет ни слова, есть об уровнях защищенности. Как пользоваться 58 приказом, если в нём требования к несуществующим больше классам? :)
Коллеги, а вам случаем не бросились в глаза слова про "наличие недокументированных (недекларируемых) возможностей в системном ПО/прикладном ПО"??? Почему-то лично мне кажется, что это "добровольно-принудительное" отправление эксплуатировать ПО, у которого есть сертификат по такому-то уровню от НДВ, что влечет за собой закупку ПО только из списка средств, указанных в реестре ФСТЭК??? Иначе каким образом легально сказать, что в используемым ныне ПО такие недекларированные возможности отсутствуют?
Цитата
ckopn пишет:
Иначе каким образом легально сказать, что в используемым ныне ПО такие
недекларированные возможности отсутствуют?
Проблема не в наличии/отсутствии НДВ, а в актуальности угрозы их реализации. Использование НДВ внутренним нарушителем, как правило, бессмыслено по причине наличия легального доступа, а от внешнего можно защититься иным способом.
Цитата
Сергей С. пишет:
Цитата
ckopn пишет:
Иначе каким образом легально сказать, что в используемым ныне ПО такие
недекларированные возможности отсутствуют?
Проблема не в наличии/отсутствии НДВ, а в актуальности угрозы их реализации. Использование НДВ внутренним нарушителем, как правило, бессмыслено по причине наличия легального доступа, а от внешнего можно защититься иным способом.
согласен полностью... но чтобы не быть индюком - хочется легализации... нет у меня внешних нарушителей в принципе, как и связей с сетями общего доступа, но вот попробуй ТАМ объясни, что именно это и говорит о том, что данная угроза (ндв) для меня неактуальна
Цитата
Настя пишет:
Цитата
Гость пишет:
Приказ 58 и приказ трех и другие НПА никто не отменял. НПА отменяются тем же органом, который их утвердил (выпустил приказом)
Новым постановлением утверждаются уровни защищенности. В 58 приказе требования к классам. В ФЗ 152 о классах нет ни слова, есть об уровнях защищенности. Как пользоваться 58 приказом, если в нём требования к несуществующим больше классам? :)
Приказ "Трех" тоже никто не отменял, там классификация и классы. Только принуждение к классификации из 781 "улетучилось". Поэтому пока нет новых НПА, а существует необходимость закрывать текущие договора-контракты - пользуемся старыми действующими НПА и новым ПП.
Всего то нужно: определить актуальные угрозы ( допустим в Модели угроз, причем самостоятельно)), определить УЗ (уровень защищенности) и построить СЗПДн, которая покроет (нейтрализует) актуальные угрозы и удовлетворит требования к установленному УЗ. И будет «щастье»…
Самая опасная проблема кроется в подготавливаемых НПА (нормативно-правовых актах) ФСБ и ФСТЭК, которые могут внести еще больше сумбура и разрозненности.
А угрозу по НДВ в модели угроз сделать неакутальной и тем самым подвести систему к 3 типу угроз. То есть УЗ будет в любом случае ниже 1.
Цитата
Гость пишет:
А угрозу по НДВ в модели угроз сделать неакутальной
вот это решение самое очевидное, только вопрос - как обосновать неактуальность НДВ??
Цитата
Настя пишет:
Цитата
Гость пишет:
А угрозу по НДВ в модели угроз сделать неакутальной
вот это решение самое очевидное, только вопрос - как обосновать неактуальность НДВ??
вот и я об этом речь веду... это единственное что я не понял из нового ПП
Цитата
Tolian пишет:
О том что данный приказ должен быть направлен в проверяемую организацию там нет
ни слова.
Кроме ФЗ есть еще и подзаконные акты, например административный регламент РКН:
34. О проведении плановой проверки Оператор уведомляется не позднее чем в течение трех рабочих дней до начала ее проведения посредством направления копии приказа руководителя, заместителя руководителя Службы...
Цитата
Настя пишет:
вот это решение самое очевидное, только вопрос - как обосновать неактуальность НДВ??
Судя по Постановлению, нужно обосновать неактуальность опасности нарушения безопасности ПДн :)
Похоже, авторы Постановления не задумывались о таких "мелочах".
Цитата
Сергей С. пишет:
Кроме ФЗ есть еще и подзаконные акты, например административный регламент РКН:
Какое действие на меня гражданина России имеет административный регламент какого то РКН? И разве данный подзаконный акт противоречит ФЗ? Ну написали они себе такое в свой регламент значит пусть высылают копии приказа, это их право. Только это не меняет суть вопроса про проверку. Направляется все таки в проверяемую организацию уведомление (письмо или другой документ не суть важно) с копией приказа тогда правильно?
Цитата
Tolian пишет:
Вы ничего не путаете? Какой приказ? Разжевывать простые вещи вам никто не будет, учите матчасть. Регулятор направляет письмо. В чем разница между приказом и письмом вы понимаете? Какие слова вы о чем вообще? Есть методики поверок в которых все прописано от и до.
Увжаемый Tolian, вы взялись рассуждать о вещах, о которых имеете весьма смутное представление. Почтайте для начала
Административный регламент исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных.

"46. В приказе о проведении проверки указываются:
46.1. Наименование органа федерального государственного контроля (надзора).
46.2. Фамилии, имена, отчества должностных лиц, проводящих проверку.
46.3. Наименование (фамилия, имя, отчество) Оператора.
46.4. Цели, задачи, предмет проверки и срок ее проведения.
46.5. Правовые основания проведения проверки, в том числе подлежащие проверке обязательные требования законодательства Российской Федерации в области персональных данных.
46.6. Сроки проведения и перечень мероприятий по контролю, необходимых для достижения целей и задач проведения проверки.
46.7. Перечень административных регламентов проведения мероприятий по контролю.
46.8. Перечень документов, представление которых Оператором необходимо для достижения целей и задач проведения проверки.
46.9. Даты начала и окончания проведения проверки."
"60. Копия приказа о проведении проверки, заверенная печатью Службы или ее территориального органа, предъявляется должностным лицом, проводящим проверку, руководителю или иному уполномоченному представителю Оператора одновременно со служебным удостоверением."
"67. В ходе проведения проверки Служба или ее территориальный орган осуществляют следующие мероприятия по контролю:
67.1. Рассмотрение документов Оператора, в том числе:
67.1.1. Уведомление об обработке персональных данных.
67.1.2. Документов, необходимых для проверки фактов, содержащих признаки нарушения законодательства Российской Федерации в области персональных данных, изложенных в обращениях граждан и информации, поступившей в Службу или ее территориальный орган.
67.1.3. Документов, подтверждающих выполнение Оператором предписаний об устранении ранее выявленных нарушений законодательства Российской Федерации в области персональных данных.
67.1.4. Письменного согласия субъекта персональных данных на обработку его персональных данных.
67.1.5. Документов, подтверждающих соблюдение требований законодательства Российской Федерации при обработке специальных категорий и биометрических персональных данных.
67.1.6. Документов, подтверждающих уничтожение Оператором персональных данных субъектов персональных данных по достижении цели обработки.
67.1.7. Локальных актов Оператора, регламентирующих порядок и условия обработки персональных данных."
"60. Копия приказа о проведении проверки, заверенная печатью Службы или ее территориального органа, предъявляется должностным лицом, проводящим проверку, руководителю или иному уполномоченному представителю Оператора одновременно со служебным удостоверением."
"67. В ходе проведения проверки Служба или ее территориальный орган осуществляют следующие мероприятия по контролю:
67.1. Рассмотрение документов Оператора, в том числе:
67.1.1. Уведомление об обработке персональных данных.
67.1.2. Документов, необходимых для проверки фактов, содержащих признаки нарушения законодательства Российской Федерации в области персональных данных, изложенных в обращениях граждан и информации, поступившей в Службу или ее территориальный орган.
67.1.3. Документов, подтверждающих выполнение Оператором предписаний об устранении ранее выявленных нарушений законодательства Российской Федерации в области персональных данных.
67.1.4. Письменного согласия субъекта персональных данных на обработку его персональных данных.
67.1.5. Документов, подтверждающих соблюдение требований законодательства Российской Федерации при обработке специальных категорий и биометрических персональных данных.
67.1.6. Документов, подтверждающих уничтожение Оператором персональных данных субъектов персональных данных по достижении цели обработки.
67.1.7. Локальных актов Оператора, регламентирующих порядок и условия обработки персональных данных."
Tolian, проверка у нас была внеплановая, "с целью подтверждения/неподтверждения факта проникновения в базу N обществом M".
При проверке соблюдения требований законодательства РКН трактует положения закона. Соглашаться ли с трактовкой или оспаривать ее в суде - Ваше право и Ваш выбор, но невыполнение выданных по результатам проверки предписаний в срок (а срок этот заканчивается ранее, чем дело будет рассмотрено в суде) автоматом влечет административное наказание, впрочем - не высокое, и здесь уже вопрос принятия/непринятия риска мизерного, в сущности, штрафа.

А вот приостановление деятельности - очень большой вопрос. Как правило оснований к этому нет, не помню такого в КоАП, что за непроведение классификации можно приостановить деятельность (хотя трактовка в предписании будет - невыполнение требований ст. 19 152-ФЗ).
А если мы только в сентябре провели защиту организации как ИСПДн класса К2, то теперь что - все переделывать в связи с выходом нового Постановления? там то ведь ничего про классы нет, тепреь уровни появились
Страницы: Пред. 1 2 3 4 5 6 ... 14 След.
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)