Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Минюст обязал банки проводить пентесты и аудит кибербезопасности

13/08/2018

Банки обяжут соблюдать новые меры кибербезопасности, среди которых обязательными являются аудит информационной безопасности, различные тестирования на проникновение (пентесты), обязательная сертификация использованного программного обеспечения.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: Пред. 1 2 3 4 5 6 ... 14 След.
RSS
[ Закрыто ] П-1119 по ПДн, Постановление от 1 ноября 2012 г. №1119 Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных
Tolian пишет:
Цитата
Никто почему то из Вас не обратил внимания, что ПП1119 ещё не вступило в силу и прежние документы ещё работают
Цитата
Николай пишет:
Почему не вступило в силу?
Источник публикации "Российская газета", N 256, 07.11.2012
Вступает в силу по истечении 7 дней после дня официального опубликования.
:)

Т.е. 58 приказ действует до 15 ноября. Готовимся)
Изменено: Настя - 08.11.2012 08:43:54
Tolian, предлагаю сменить ник на Trolian :)
Побольше конструктива. Покурите для начала форум, тут есть примеры проверок, перечни документов. Не надо быть юристом, чтобы понять, что приказ уполномоченного органа о проведении проверки обязателен для проверяемого. С регулятором нужно работать, иначе ждите судебного решения о запрете обработки ПДн = прекращение деятельности.
Цитата
Сергей С. пишет:
Tolian, предлагаю сменить ник на Trolian :)
Побольше конструктива. Покурите для начала форум, тут есть примеры проверок, перечни документов. Не надо быть юристом, чтобы понять, что приказ уполномоченного органа о проведении проверки обязателен для проверяемого. С регулятором нужно работать, иначе ждите судебного решения о запрете обработки ПДн = прекращение деятельности.
Извиняюсь, что я лезу в ваши дела. Про конструктив вы работаете в соответствии с законодательствами РФ так и будьте добры на основании его и давать комментарии (в частности в другой теме я вам написал про законность. Вы рекомендовали что нужно сделать, а требования ещё не вступили в силу). В Федеральном законе № 294-ФЗ четко прописано кто и и кому направляет уведомление как и сам приказ. О том что данный приказ должен быть направлен в проверяемую организацию там нет ни слова. И придумывать здесь ничего не нужно, все четко прописано в документах.

Тогда подробней сообщите с каким регулятором нужно работать, и про судебные решения посмеялся..... Прекращение деятельности организации? пункты нормативных правовых актов, в соответствии с которыми это могут сделать сообщите пожалуйста. Организацию в которой я работаю назвать по понятным причинам не могу, но это орган государственной власти, с регуляторами общаться приходится в основном из ФСТЭКа.
Цитата
Tolian пишет:
Цитата
Сергей С. пишет:
Tolian, предлагаю сменить ник на Trolian :)
Побольше конструктива. Покурите для начала форум, тут есть примеры проверок, перечни документов. Не надо быть юристом, чтобы понять, что приказ уполномоченного органа о проведении проверки обязателен для проверяемого. С регулятором нужно работать, иначе ждите судебного решения о запрете обработки ПДн = прекращение деятельности.
Извиняюсь, что я лезу в ваши дела. Про конструктив вы работаете в соответствии с законодательствами РФ так и будьте добры на основании его и давать комментарии (в частности в другой теме я вам написал про законность. Вы рекомендовали что нужно сделать, а требования ещё не вступили в силу). В Федеральном законе № 294-ФЗ четко прописано кто и и кому направляет уведомление как и сам приказ. О том что данный приказ должен быть направлен в проверяемую организацию там нет ни слова. И придумывать здесь ничего не нужно, все четко прописано в документах.

Тогда подробней сообщите с каким регулятором нужно работать, и про судебные решения посмеялся..... Прекращение деятельности организации? пункты нормативных правовых актов, в соответствии с которыми это могут сделать сообщите пожалуйста. Организацию в которой я работаю назвать по понятным причинам не могу, но это орган государственной власти, с регуляторами общаться приходится в основном из ФСТЭКа.
А округ федеральный назвать можно или это тоже тайна))))
Странное у Вас общение с Управлением ФСТЭК, видимо для вас сделали исключение...
Насчет судебных решений это больше к Роскомнадзору, но я думаю для Вашего руководства хватит просто недостатков в Акте.
Прекращение деятельности организации, видимо имелось ввиду что регулятор выпишет предписание о запрещение обработки информации в ИСПДн - этого мало?
Да и вывод о вашей компетентности тоже в акте проскочит.
А округ федеральный назвать можно или это тоже тайна))))
Странное у Вас общение с Управлением ФСТЭК, видимо для вас сделали исключение...
Насчет судебных решений это больше к Роскомнадзору, но я думаю для Вашего руководства хватит просто недостатков в Акте.
Прекращение деятельности организации, видимо имелось ввиду что регулятор выпишет предписание о запрещение обработки информации в ИСПДн - этого мало?
Да и вывод о вашей компетентности тоже в акте проскочит.
Цитата
Валентин С пишет:
Прекращение деятельности организации, видимо имелось ввиду что регулятор выпишет предписание о запрещение обработки информации в ИСПДн - этого мало?
Предписание о запрещении обработки информации в ИСПДн ...... вы прекрасно знаете что и как у нас в стране делается, запретят её по новому назовут и все, работа не остановится. Это вам не гос. тайна здесь так все не пройдет.
Цитата
Настя пишет:
Tolian пишет:
Цитата
Никто почему то из Вас не обратил внимания, что ПП1119 ещё не вступило в силу и прежние документы ещё работают
Цитата
Николай пишет:
Почему не вступило в силу?
Источник публикации "Российская газета", N 256, 07.11.2012
Вступает в силу по истечении 7 дней после дня официального опубликования.
:)

Т.е. 58 приказ действует до 15 ноября. Готовимся)
Приказ 58 и приказ трех и другие НПА никто не отменял. НПА отменяются тем же органом, который их утвердил (выпустил приказом)
Цитата
Гость пишет:
Приказ 58 и приказ трех и другие НПА никто не отменял. НПА отменяются тем же органом, который их утвердил (выпустил приказом)
Новым постановлением утверждаются уровни защищенности. В 58 приказе требования к классам. В ФЗ 152 о классах нет ни слова, есть об уровнях защищенности. Как пользоваться 58 приказом, если в нём требования к несуществующим больше классам? :)
Коллеги, а вам случаем не бросились в глаза слова про "наличие недокументированных (недекларируемых) возможностей в системном ПО/прикладном ПО"??? Почему-то лично мне кажется, что это "добровольно-принудительное" отправление эксплуатировать ПО, у которого есть сертификат по такому-то уровню от НДВ, что влечет за собой закупку ПО только из списка средств, указанных в реестре ФСТЭК??? Иначе каким образом легально сказать, что в используемым ныне ПО такие недекларированные возможности отсутствуют?
Цитата
ckopn пишет:
Иначе каким образом легально сказать, что в используемым ныне ПО такие
недекларированные возможности отсутствуют?
Проблема не в наличии/отсутствии НДВ, а в актуальности угрозы их реализации. Использование НДВ внутренним нарушителем, как правило, бессмыслено по причине наличия легального доступа, а от внешнего можно защититься иным способом.
Цитата
Сергей С. пишет:
Цитата
ckopn пишет:
Иначе каким образом легально сказать, что в используемым ныне ПО такие
недекларированные возможности отсутствуют?
Проблема не в наличии/отсутствии НДВ, а в актуальности угрозы их реализации. Использование НДВ внутренним нарушителем, как правило, бессмыслено по причине наличия легального доступа, а от внешнего можно защититься иным способом.
согласен полностью... но чтобы не быть индюком - хочется легализации... нет у меня внешних нарушителей в принципе, как и связей с сетями общего доступа, но вот попробуй ТАМ объясни, что именно это и говорит о том, что данная угроза (ндв) для меня неактуальна
Цитата
Настя пишет:
Цитата
Гость пишет:
Приказ 58 и приказ трех и другие НПА никто не отменял. НПА отменяются тем же органом, который их утвердил (выпустил приказом)
Новым постановлением утверждаются уровни защищенности. В 58 приказе требования к классам. В ФЗ 152 о классах нет ни слова, есть об уровнях защищенности. Как пользоваться 58 приказом, если в нём требования к несуществующим больше классам? :)
Приказ "Трех" тоже никто не отменял, там классификация и классы. Только принуждение к классификации из 781 "улетучилось". Поэтому пока нет новых НПА, а существует необходимость закрывать текущие договора-контракты - пользуемся старыми действующими НПА и новым ПП.
Всего то нужно: определить актуальные угрозы ( допустим в Модели угроз, причем самостоятельно)), определить УЗ (уровень защищенности) и построить СЗПДн, которая покроет (нейтрализует) актуальные угрозы и удовлетворит требования к установленному УЗ. И будет «щастье»…
Самая опасная проблема кроется в подготавливаемых НПА (нормативно-правовых актах) ФСБ и ФСТЭК, которые могут внести еще больше сумбура и разрозненности.
А угрозу по НДВ в модели угроз сделать неакутальной и тем самым подвести систему к 3 типу угроз. То есть УЗ будет в любом случае ниже 1.
Цитата
Гость пишет:
А угрозу по НДВ в модели угроз сделать неакутальной
вот это решение самое очевидное, только вопрос - как обосновать неактуальность НДВ??
Цитата
Настя пишет:
Цитата
Гость пишет:
А угрозу по НДВ в модели угроз сделать неакутальной
вот это решение самое очевидное, только вопрос - как обосновать неактуальность НДВ??
вот и я об этом речь веду... это единственное что я не понял из нового ПП
Цитата
Tolian пишет:
О том что данный приказ должен быть направлен в проверяемую организацию там нет
ни слова.
Кроме ФЗ есть еще и подзаконные акты, например административный регламент РКН:
34. О проведении плановой проверки Оператор уведомляется не позднее чем в течение трех рабочих дней до начала ее проведения посредством направления копии приказа руководителя, заместителя руководителя Службы...
Цитата
Настя пишет:
вот это решение самое очевидное, только вопрос - как обосновать неактуальность НДВ??
Судя по Постановлению, нужно обосновать неактуальность опасности нарушения безопасности ПДн :)
Похоже, авторы Постановления не задумывались о таких "мелочах".
Цитата
Сергей С. пишет:
Кроме ФЗ есть еще и подзаконные акты, например административный регламент РКН:
Какое действие на меня гражданина России имеет административный регламент какого то РКН? И разве данный подзаконный акт противоречит ФЗ? Ну написали они себе такое в свой регламент значит пусть высылают копии приказа, это их право. Только это не меняет суть вопроса про проверку. Направляется все таки в проверяемую организацию уведомление (письмо или другой документ не суть важно) с копией приказа тогда правильно?
Цитата
Tolian пишет:
Вы ничего не путаете? Какой приказ? Разжевывать простые вещи вам никто не будет, учите матчасть. Регулятор направляет письмо. В чем разница между приказом и письмом вы понимаете? Какие слова вы о чем вообще? Есть методики поверок в которых все прописано от и до.
Увжаемый Tolian, вы взялись рассуждать о вещах, о которых имеете весьма смутное представление. Почтайте для начала
Административный регламент исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных.

"46. В приказе о проведении проверки указываются:
46.1. Наименование органа федерального государственного контроля (надзора).
46.2. Фамилии, имена, отчества должностных лиц, проводящих проверку.
46.3. Наименование (фамилия, имя, отчество) Оператора.
46.4. Цели, задачи, предмет проверки и срок ее проведения.
46.5. Правовые основания проведения проверки, в том числе подлежащие проверке обязательные требования законодательства Российской Федерации в области персональных данных.
46.6. Сроки проведения и перечень мероприятий по контролю, необходимых для достижения целей и задач проведения проверки.
46.7. Перечень административных регламентов проведения мероприятий по контролю.
46.8. Перечень документов, представление которых Оператором необходимо для достижения целей и задач проведения проверки.
46.9. Даты начала и окончания проведения проверки."
"60. Копия приказа о проведении проверки, заверенная печатью Службы или ее территориального органа, предъявляется должностным лицом, проводящим проверку, руководителю или иному уполномоченному представителю Оператора одновременно со служебным удостоверением."
"67. В ходе проведения проверки Служба или ее территориальный орган осуществляют следующие мероприятия по контролю:
67.1. Рассмотрение документов Оператора, в том числе:
67.1.1. Уведомление об обработке персональных данных.
67.1.2. Документов, необходимых для проверки фактов, содержащих признаки нарушения законодательства Российской Федерации в области персональных данных, изложенных в обращениях граждан и информации, поступившей в Службу или ее территориальный орган.
67.1.3. Документов, подтверждающих выполнение Оператором предписаний об устранении ранее выявленных нарушений законодательства Российской Федерации в области персональных данных.
67.1.4. Письменного согласия субъекта персональных данных на обработку его персональных данных.
67.1.5. Документов, подтверждающих соблюдение требований законодательства Российской Федерации при обработке специальных категорий и биометрических персональных данных.
67.1.6. Документов, подтверждающих уничтожение Оператором персональных данных субъектов персональных данных по достижении цели обработки.
67.1.7. Локальных актов Оператора, регламентирующих порядок и условия обработки персональных данных."
"60. Копия приказа о проведении проверки, заверенная печатью Службы или ее территориального органа, предъявляется должностным лицом, проводящим проверку, руководителю или иному уполномоченному представителю Оператора одновременно со служебным удостоверением."
"67. В ходе проведения проверки Служба или ее территориальный орган осуществляют следующие мероприятия по контролю:
67.1. Рассмотрение документов Оператора, в том числе:
67.1.1. Уведомление об обработке персональных данных.
67.1.2. Документов, необходимых для проверки фактов, содержащих признаки нарушения законодательства Российской Федерации в области персональных данных, изложенных в обращениях граждан и информации, поступившей в Службу или ее территориальный орган.
67.1.3. Документов, подтверждающих выполнение Оператором предписаний об устранении ранее выявленных нарушений законодательства Российской Федерации в области персональных данных.
67.1.4. Письменного согласия субъекта персональных данных на обработку его персональных данных.
67.1.5. Документов, подтверждающих соблюдение требований законодательства Российской Федерации при обработке специальных категорий и биометрических персональных данных.
67.1.6. Документов, подтверждающих уничтожение Оператором персональных данных субъектов персональных данных по достижении цели обработки.
67.1.7. Локальных актов Оператора, регламентирующих порядок и условия обработки персональных данных."
Tolian, проверка у нас была внеплановая, "с целью подтверждения/неподтверждения факта проникновения в базу N обществом M".
При проверке соблюдения требований законодательства РКН трактует положения закона. Соглашаться ли с трактовкой или оспаривать ее в суде - Ваше право и Ваш выбор, но невыполнение выданных по результатам проверки предписаний в срок (а срок этот заканчивается ранее, чем дело будет рассмотрено в суде) автоматом влечет административное наказание, впрочем - не высокое, и здесь уже вопрос принятия/непринятия риска мизерного, в сущности, штрафа.

А вот приостановление деятельности - очень большой вопрос. Как правило оснований к этому нет, не помню такого в КоАП, что за непроведение классификации можно приостановить деятельность (хотя трактовка в предписании будет - невыполнение требований ст. 19 152-ФЗ).
А если мы только в сентябре провели защиту организации как ИСПДн класса К2, то теперь что - все переделывать в связи с выходом нового Постановления? там то ведь ничего про классы нет, тепреь уровни появились
Страницы: Пред. 1 2 3 4 5 6 ... 14 След.
Читают тему (гостей: 2, пользователей: 0, из них скрытых: 0)