Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

SIEM ОТ MCAFEE УСПЕШНО ПРОШЛА СЕРТИФИКАЦИЮ ФСТЭК РОССИИ

01/04/2015

McAfee Security Information and Event Management (версия 9.3) успешно прошла сертификационные испытания, результатом которых стал сертификат соответствия №3353 (от 18 февраля 2015), выданный ФСТЭК России.

Реклама

Партнеры

Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1 2 3 4 След.
Ответить
RSS
Передача персональных данных по e-mail, Ответы на запросы
Здравствуйте!

Интересует вопрос в плане ответа на запросы по электронной почте. Люди пишут гневные письма по поводу того, что ответы отправляются на бумажных носителях.
Чем руководствоваться, чтобы корректно дать ответ почему нельзя передавать ПД через электронную почту?
Может быть, как-то так/в этом духе:
В соответствии с законодательством РФ в области персональных данных Оператор обязан применять организационно-технические меры по защите персональных данных. Передача персональных данных через незащищённые каналы связи (интернет) может привести к возникновению и реализации угроз безопасности (нарушению конфиденциальности, целостности, доступности) этих данных, в связи с чем в плане снижения рисков, связанных с реализацией угроз безопасности видится актуальным передача персональных данных постой на бумажных носителях
Спасибо большое за совет!
Чегото не могу зайти на форум под своим логином
Можно еще сослаться на ТИПОВЫЕ ТРЕБОВАНИЯ № 149/6/6-622 от 21 февраля 2008 года и на МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ № 149/54-144 от 21 февраля 2008 года и разработанную модель угроз в соответствии с данными нормативными документами.
Или
1. Можно взять с пользователей согласие на передачу персональных данных по открытым каналам связи, например, и отправлять по электронной почте. Только компьютер, с которого отправляется почта, необходимо будет защитить.
2. Можно предложить пользователям купить токен с крипто-про) но тут затраты со стороны Оператора будут больше.
На практике однако хватает просто согласия субъекта.
Не встречал еще замечаний, если персональные данные направлялись субъекту по почте с его просьбы.

Тут можно даже подвести под моделирование угроз - субъект сам просил направить по электронной почти ПДн - значит ущер субъекту отсутствует. Отсутсвует ущерб - отсутствует угроза - отсутствуют средства защиты.

Так себе, но порой без электронной почты-то не обойтись.
При моделировании угроз все равно без согласия не обойтись. Как доказать, что субъект просит отправить по электронной почте?
Цитата
Павел пишет:
При моделировании угроз все равно без согласия не обойтись. Как доказать, что субъект просит отправить по электронной почте?
Никак разумеется. Согласие тут первично. Моделирование уже постолько-поскольку. т.к. Опционально то бишь.
Изменено: Владимирович - 18.11.2013 18:28:02
Цитата
Павел пишет:
Можно взять с пользователей согласие на передачу персональных данных по открытым каналам связи, например, и отправлять по электронной почте.
Согласие на передачу ПДн по эл. почте не означает согласия на отсутствие их защиты. Защищать ПДн оператор обязан независимо от наличия согласия на обработку или на передачу ПДн.
Нигде не сказано, что криптография является обязательным элементом защиты. Ее необходимость складывается из модели угроз/нарушителя.
Мы берем с субъекта ПДн согласие на передачу персональных данных по открытым каналам связи. Это означает, что ущерб при перехвате ПДн равен нулю, угроза неактуальна.
И никто не говорит, что ПДн не защищаются, в пределах КЗ защищаются.
Портал персональных данных Роскомнадзора, электронная форма уведомления:

Порядок подачи уведомления в электронном виде:
После заполнения формы уведомления о намерении осуществлять обработку персональных данных и отправки ее в информационную систему Уполномоченного органа по защите прав субъектов персональных данных, Вам необходимо распечатать заполненную форму, после чего ее подписать и направить в соответствующий территориальный орган Роскомнадзора по месту регистрации оператора.
Я ознакомлен(ознакомлена) с порядком подачи уведомления в электронном виде
Я подтверждаю своё согласие на передачу информации в электронной форме уведомления (в том числе персональных данных) по открытым каналам связи сети Интернет.
Здравствуйте,
Скажите требование комитета по здравоохранению о предоставлении ежедневной сводки по летальности(умерших) через интернет (на почтовый ящик yandex)в открытом доступе правомерно?
На какие документы можно сослаться,что передавать ПДн нужно по защищенным каналам связи в 152 этого нет?
Если это умершие это ведь не отменяет обязанность защищать ПДн(их ПДн могут нанести ущерб родственникам)?
Сведения об умерших для некоторых намного важнее, чем о живых - бизнес огромный. У вас есть положение об обработке и защите ПДн? Желательно это положение согласовать в этом комитете (все равно читать не будут) и прописать в нем передачу ПДн по защищенным каналам (требование 21/17 приказов). А потом посылать (отсылать) к этому документу.
В Приказе 21 ФСТЭК ЗИС.3 можно на него сослаться ,как требование защищенного канала?
Можно
Здравствуйте! Будьте добры, ответьте соблюдены ли будут требования по защите ПДн в случае отправки заархивированного с паролем файла по незащищенному каналу связи обычной эл.почтой? Я предполагаю, что как временный вариант, пока не куплена шифровальная программа, то можно так пересылать файлы, содержащие ПДн в другой город. Но проблема в том, каким образом сообщать пароль, оперативно. Письмо все же долго идет. Если по телефону, то уже будет актуальна угроза утечки информации? Или этим можно пренебречь в данном случае?
Заранее благодарна.
Нет, требования соблюдены не будут, так как архиватор не является средством защиты конфиденциальной информации.
Здравствуйте, Виталий! Благодарю за ответ. В таком случае, каким образом можно передавать файлы с ПДн в другой город, чтобы за 1-2 дня были доставлены? Курьера посылать - это не вариант. Остается Почта России, доставляет за 3-4 дня.
Вчера я изменила мой логин, с Татьяна на Татьяна_Карелия
Позволю себе не согласится с Виталием. Да, архиватор не является средством защиты в чистом виде, так же как винда, к примеру, но они имеют встроенные механизмы защиты, да не сертифицированные, да не очень надежные, но пароль это все таки защита от НСД, и если признать угрозу перехвата сообщения с последующим взломом пароля не актуальной, то как временная мера вполне прокатит.
Здравствуйте, Сергей! Благодарю за компетентный и своевременный ответ. Данная иформация для меня весьма нужная и актуальная.
А какой сертифицированной ФСТЭК, программой можно делать шифровку и паролирование ПДн? Чтобы потом можно было передавать эти данные.

Или есть какая то почтовая программа сертифицированная которая это сама делает автоматически?
Страницы: 1 2 3 4 След.
Ответить
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку