Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

В России хотят создать мегарегулятора информационной безопасности, взяв пример с США

18/11/2017

В рамках реализации программы «Цифровая экономика» предлагается определить единый госорган, ответственный за требования к средствам информационной безопасности.

Реклама

Партнеры

Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1
Ответить
RSS
Оценка вреда и компетенция ФСТЭК
Давно интересовал вопрос оценки вреда и кто из hегуляторов с ним должен определиться. Вот, наткнулся на версию Роскомнадзора.
http://do.noucpp.ru/file.php/26/Roskomnadzor.pdf
Интересно, почему собственно, ФСТЭК это должен делать? Вообще такое ощущение, что перепихивают друг на друга
По закону (ст.18.1) оценка вреда - обязанность оператора - одна из принимаемых им мер.
Задавал этот вопрос в роскомнадзор. Ответ: "мы еще не знаем как она должа выглядеть. Ждем под законные акты. Но так как она должна быть придумайте что-нибудь"))
В общем что то надо придумать)) посоветовали посмотреть 55 приказ где в 14 пункте говорится о последствиях в зависимости от классов. Типа если в организации 1 класс то последствия будут значительными негативными и в оценке надо написать что вред особо крупный и так далее...
С одной стороны то что они посоветовали это полный бред, но с другой стороны, так как ничем не определен порядок проведения этой самой оценки и никто не знает как ее делать то почему бы и так не сделать? Ни один суд не осудит)
Изменено: Miksin - 08.11.2011 10:05:36
оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом;

Количество градаций вреда любое: отсутствует, маленький, существенный, большой, невосполнимый ...
Дальше сделал таблицу, по строкам - меры из ст. 18.1, по столбцам степень вреда в случае выполнения мер и в случае невыполнения. Конечно по принципу ППП (пол-палец-потолок). Формально придраться не к чему, РКН проверяет факт оценки, а не ее качество. И в отсутствие официальных методик оценить качество невозможно. Опять же все относительно.
В модели угроз есть показатель опасности угроз, зависит от уровня негативных последствий.
Может быть можно к нему привязаться как к оценке вреда?
ИМХО это другой вред. Оценивать нужно вред, причиненный в результате невыполнения закона оператором
Не буду повторятьcя, но оценка именно вреда, а не ущерба (как было ранее) была рассмотрена на прошедшем вэбинаре «Изменения в законе о защите персональных данных»
http://smartsourcing.ru/blogs/informatsionnaya_bezopasnost/1062

В сообществе прошел вебинар по изменениям в законе о персональных данных, которые вступили в силу с 1 июля 2011 года. вступил в действие ФЗ-152 «О защите персональных данных». Ведущий Евгений Царев рассказал о новых моментах в законодательстве, а также ответил на множество вопросов участников вебинара.
Основные темы вебинара:
Основные изменения в законе о персональных данных
Принципы обработки персональных данных
Обязанности оператора при сборе персональных данных
Меры по обеспечению безопасности персональных данных при их обработке
Обработка персональных данных с использованием средств автоматизации и без них
Меры по приведению организации в соответчике с требованиями ФЗ-152
Лицензирование деятельности по защите персональных данных
Ответственность по вопросам защиты персональных данных
Изменено: Svyazist - 08.11.2011 21:58:07
Страницы: 1
Ответить
Читают тему (гостей: 4, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку