Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

ФСБ: Национальному координационному центру по компьютерным инцидентам быть!

13/10/2018

Директор ФСБ России Александр Бортников распорядился создать государственный орган по борьбе с кибератаками. Текст соответствующего приказа размещен на официальном интернет-портале правовой информации.

Обучение

015.3. Системное администрирование операционной системы Astra Linux Special Edition. Специальный курс.
06 - 07 ноября 2018 года

002. Техническая защита информации. Способы и средства защиты информации от несанкционированного доступа.
12 - 16 ноября 2018 года

001. Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных. Курс согласован ФСТЭК России.
19 - 23 ноября 2018 года

026. Подготовка к CISSP и CISM (курс от профессионалов-практиков).
28 - 30 ноября 2018 года

036.2. Внедрение системы управления информационной безопасностью.
04 - 05 декабря 2018 года

036.3. Внутренний аудит СУИБ на соответствие требованиям международного стандарта ISO/IEC 27001:2013.
06 - 07 декабря 2018 года

015.1. Основы работы в операционной системе Astra Linux.
10 - 11 декабря 2018 года

015.2. Системное администрирование операционной системы Astra Linux Special Edition.
12 - 14 декабря 2018 года

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: Пред. 1 2
RSS
[ Закрыто ] Доступ к ИСПДн посредством удаленного рабочего стола
Цитата
Сергей С. пишет:
А о каком поручении может идти речь? Вы не поручаете обработку ПДн. В договоре об оказании услуг можно прописать обязанность сторон соблюдать конфиденциальность информации, доступ к которой ограничен Федеральными законами, и которая стала известна в рамках исполнения договора. Без детализации (ПДн, КТ, БТ и т.п.)
Согласен!
Как и обещал выкладываю ответ Роскомнадзора по данному вопросу от 18.01.2012:

Управление Роскомнадзора по Вашей просьбе представляет разъяснения обязательных требований в области персональных данных.
Согласно п. 3 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - ФЗ «О персональных данных»), под обработкой персональных данных понимают любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, удаление, уничтожение персональных данных.
Частью 1 ст. 6 ФЗ «О персональных данных» предусмотрено, что обработка персональных данных допускается в случае наличия согласия субъекта персональных данных либо иного законного основания.
В свою очередь, ч. 3 ст. 6 ФЗ «О персональных данных» допускает, что оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. В этом случае лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.
Таким образом, как передача персональных данных, так и поручение обработки персональных данных третьему лицу требует наличия у оператора согласия субъекта персональных данных либо иного законного основания.

К тому же, согласно ч. 3 ст. 9 ФЗ «О персональных данных», обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия иных законных оснований такой обработки возлагается на оператора.
Обращаем внимание, что законодательством РФ предусмотрены обязательные требования при обработке персональных данных, в том числе требования по соблюдению конфиденциальности и безопасности персональных данных. Юридические и физические лица, виновные в нарушении обязательных требований в области персональных данных, несут предусмотренную законодательством Российской Федерации ответственность, в том числе дисциплинарную, административную и уголовную.
Что и следовало ожидать.. Регуляторы тоже особо не мучаются и руководствуются только 152-ым.. Однако это справедливо, т.к. пока ничего другого и нет.
Вопрос возник в продолжении темы.

У нас как у оператора всё чудесно, есть согласия, система защиты построена. Но тут приходит обслуживающая ИТ-компания со своими ноутбуками и требует доступ в нашу ИСПДн и обязуются на основании договора и пунктов соглашения о неразглашении конфиденциальной информации все ПДн оставить в секрете.

Рождается 2 варианта дальнейшего развития событий:
1) Требовать привести в соответствие требованиям по защите персональных данных их информационную систему, которая будет взаимодействовать с нашей ИСПДн. Вплоть до покупки VipNet Администратор с клиентом и последующей кроссертификацией.

2) Достать со склада лицензии Dallas Lock, VipNet клиент, сертифицированный Антивирус и поставить это всё добро на их ноутбуки с полным включением в нашу ИСПДн (прописать на сервере безопасности Dallas Lock и контролировать логи, на VipNet координаторе прописать клиента, централизовано управлять антивирусом), естественно, до окончания работ. Но у нас нет лицензии на ТЗКИ, и нужна ли она в таком случае (вроде в своих интересах защищаем ПДн)?

Есть ещё 3-ий вариант: дать разгельдяям доступ к ПДн под их честное слово... Не хотелось бы.

Господа, у кого ИТ-шники сидят в отдельном юр. лице, как вы решаете этот вопрос?
Цитата
Андрей пишет:
(вроде в своих интересах защищаем ПДн)?
ключевые слова. Лицензия Вам нужно в случае предоставления услуг третьим лицам. С формальной точки зрения достаточно
Цитата
Андрей пишет:
основании договора и пунктов соглашения о неразглашении конфиденциальной информации все ПДн оставить в секрете.
С точки зрения ТЗКИ можно требовать выполнения 1 пункта, но если они отказываются и спецы . там "золотые", то можно и за свой счет. Их ноуты по бумагам провести как часть Вашей ИСПДн
Роман, спасибо за ответ! В законодательстве тьма (нет однозначных указаний на это, если я не ошибаюсь), а в голове прояснилось.
Встретил мнение ФСТЭК по этому вопросу. Либо товарищ Лукацкий контекст не до конца изложил, либо регулятор действительно считает необходимость получать лицензию на ТЗКИ сторонним обработчикам ПДн.

Цитата:
На вопрос, каким требованиям должно соответствовать облачное решение по ИБ, ФСТЭК ответила, что нужна лицензия на деятельность по технической защите конфиденциальной информации. Не могу сказать, что это ново, но по крайней мере у ИБ-стартап появилась ясность относительно тех обременений, которые повлечет за собой запуск облачного ИБ-сервиса.


Следующий вопрос был связан с тем, что облачный провайдер привлекает для ряда работ внешних подрядчиков, которым передаются ПДн для обработки или хранения. Стартап спрашивал - нужна ли привлекаемой организации лицензия ФСТЭК на ТЗКИ. Нужна!


Источник: https://lukatsky.blogspot.ru/2016/04/blog-post_21.html

Сейчас понял для себя, что облачный сервис в данном случае подразумевается ФСТЭКом как разработчик СЗИ, поэтому если привлекаются сторонние лица, то они так же должны являться лицензированными разработчиками СЗИ. Т.е. если "в своих интересах защищаем ПДн", то ТЗКИ не нужна, скорее всего...
Изменено: Андрей - 03.11.2016 12:47:42
Цитата
Андрей пишет:
поэтому если привлекаются сторонние лица, то они так же должны являться лицензированными разработчиками СЗИ. Т.е. если "в своих интересах защищаем ПДн", то ТЗКИ не нужна, скорее всего...
Если привлекаются сторонние люди для обеспечения ТЗКИ или настройки и обслуживания СЗИ, то да, у них должна быть лицензия.
Во всех остальных случаях:
30 мая 2012 года у ФСТЭК на сайте появилось Информационное сообщение № 240/22/2222
"Исходя из изложенного, получение юридическим лицом лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации является обязательным в случае, если эта деятельность направлена на получение прибыли от выполнения работ или оказания услуг по технической защите конфиденциальной информации и (или) она необходима для достижения целей деятельности, предусмотренных в учредительных документах юридического лица, а также если это юридическое лицо (уполномоченное лицо) обеспечивает техническую защиту конфиденциальной информации при ее обработке в соответствии с Федеральным законом "Об информации, информационных технологиях и о защите информации" по поручению обладателя информации конфиденциального характера и (или) заказчика информационной системы."
Вот эта часть и не понятна:
Цитата
Роман Кузнецов пишет:
а также если это юридическое лицо (уполномоченное лицо) обеспечивает техническую защиту конфиденциальной информации при ее обработке в соответствии с Федеральным законом "Об информации, информационных технологиях и о защите информации" по поручению обладателя информации конфиденциального характера и (или) заказчика информационной системы."

Передаю я обработчику ПДн, подписываю с ним соглашение о соблюдении всех норм по защите ПДн и он автоматически становится тем, кто должен иметь лицензию на ТЗКИ ("обеспечивает техническую защиту конфиденциальной информации...по поручению обладателя информации").
Цитата
Андрей пишет:
Вот эта часть и не понятна:

Цитата
Роман Кузнецов пишет:

а также если это юридическое лицо (уполномоченное лицо) обеспечивает техническую защиту конфиденциальной информации при ее обработке в соответствии с Федеральным законом "Об информации, информационных технологиях и о защите информации" по поручению обладателя информации конфиденциального характера и (или) заказчика информационной системы."

Передаю я обработчику ПДн, подписываю с ним соглашение о соблюдении всех норм по защите ПДн и он автоматически становится тем, кто должен иметь лицензию на ТЗКИ ("обеспечивает техническую защиту конфиденциальной информации...по поручению обладателя информации").
тут главное не путать "поручение на обработку ПДн" и "поручение на ТЗКИ"
Цитата
Роман Кузнецов пишет:
тут главное не путать "поручение на обработку ПДн" и "поручение на ТЗКИ"

1) Передаю ПДн, а новый оператор неожиданно решает, что это уже его ПДн и их нужно защитить, чтоб было всё по закону - тогда ТЗКИ не нужна.

2) Передаю ПДн, говорю новому оператору "защити технически и организационно полученные от меня персональные данные" - он показывает лицензию ТЗКИ и покорно защищает.

В первом случае "поручение на обработку ПДн" с ссылкой на обязательное исполнение норм законодательства. Во втором случае "поручение на ТЗКИ". Довольно тонкий момент, не находите? :)
Изменено: Андрей - 09.11.2016 12:46:48
Цитата
Андрей пишет:
Цитата
Роман Кузнецов пишет:

тут главное не путать "поручение на обработку ПДн" и "поручение на ТЗКИ"

1) Передаю ПДн, а новый оператор неожиданно решает, что это уже его ПДн и их нужно защитить, чтоб было всё по закону - тогда ТЗКИ не нужна.



2) Передаю ПДн, говорю новому оператору "защити технически и организационно полученные от меня персональные данные" - он показывает лицензию ТЗКИ и покорно защищает.



В первом случае "поручение на обработку ПДн" с ссылкой на обязательное исполнение норм законодательства. Во втором случае "поручение на ТЗКИ". Довольно тонкий момент, не находите?
главное точно определиться с формулировками и прописать на бумаге))
Страницы: Пред. 1 2
Читают тему (гостей: 2, пользователей: 0, из них скрытых: 0)