Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Особенности аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции (работ, услуг), поставляемой по гособоронзаказу.

12/08/2019 

08 мая 2019 г. утверждены новые Правила аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции работ, услуг), поставляемой по государственному оборонному заказу (постановление Правительства Российской Федерации от 30 апреля 2019 г. № 548).

Новые Правила аккредитации кардинально меняют сложившуюся систему не только аккредитации, но и сертификации СМК предприятий, работающих в области государственного оборонного заказа.

Реклама





Партнеры





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: Пред. 1 2 3 4 След.
RSS
[ Закрыто ] Открытое письмо Президенту по поводу внесений изменений в ФЗ-152
Закон должен установить рамки для правительства и регуляторов, а в этой редакции их нет.
Простор для деяетльности.
Цитата
Ronin пишет:
Основные проблемы с картбланшем у регуляторов и бесконтрольности их деятельности и принимаемых ими документов
Основная проблема с неисполнением поручения Президента и резким изменением ст.19
В предыдущей (компромисной) версии она выглядела примерно так:
Цитата
Статья 19. Меры по обеспечению безопасности персональных данных при их обработке

1. Оператор обязан принимать или обеспечивать принятие необходимых правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий с ними (далее – меры по обеспечению безопасности персональных данных). Указанные меры принимаются с учетом возможного вреда субъекту персональных данных, объема и характера обрабатываемых персональных данных, условий обработки персональных данных, актуальности угроз безопасности персональных данных, а также возможностей технической реализации этих мер.
2. Меры по обеспечению безопасности персональных данных, за исключением случаев, предусмотренных частью 3 настоящей статьи, включают в себя, в частности:
1) определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
2) применение методов (способов) защиты информации и прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
3) оценку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
4) учет машинных носителей персональных данных;
5) обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;
6) восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
7) установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
8) контроль принимаемых мер по обеспечению безопасности персональных данных.
3. Оператор, на которого в соответствии с законодательством Российской Федерации возложена обязанность обеспечивать сохранение охраняемой законом тайны, принимает меры по обеспечению безопасности персональных данных, составляющих соответствующую охраняемую законом тайну, при их обработке в информационных системах персональных данных в соответствии с требованиями, установленными для защиты сведений, составляющих соответствующую охраняемую законом тайну. Указанные меры должны обеспечивать соблюдение прав субъектов персональных данных, предусмотренных настоящим Федеральным законом.
4. Правительство Российской Федерации устанавливает с учетом частей 1 и 2 настоящей статьи:
1) требования по обеспечению безопасности персональных данных при их обработке в государственных и муниципальных информационных системах персональных данных с учетом содержания обрабатываемых персональных данных, характера и способов их обработки;
2) требования по обеспечению безопасности биометрических персональных данных, содержащихся в основных документах, удостоверяющих личность гражданина Российской Федерации, по которым граждане Российской Федерации осуществляют выезд из Российской Федерации и въезд в Российскую Федерацию.
5. Правительство Российской Федерации вправе установить требования по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности, и не являющихся государственными и муниципальными информационными системами персональных данных, в зависимости от характеристик угроз безопасности этих данных с учетом частей 1 и 2 настоящей статьи.
6. Контроль и надзор за выполнением требований по обеспечению безопасности персональных данных в государственных и муниципальных информационных системах персональных данных, установленных Правительством Российской Федерации в соответствии с частью 4 настоящей статьи, осуществляется федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.
7. Федеральные органы исполнительной власти, иные государственные органы, органы местного самоуправления, операторы, саморегулируемые организации, ассоциации, союзы и иные объединения операторов вправе издавать стандарты обеспечения безопасности персональных данных. Стандарты обеспечения безопасности персональных данных устанавливают способы обеспечения безопасности персональных данных в соответствии с частями 1 и 2 настоящей статьи, а также требований, устанавливаемых Правительством Российской Федерации в соответствии с частью 5 настоящей статьи. Стандарты обеспечения безопасности персональных данных в государственных и муниципальных информационных системах персональных данных устанавливают способы обеспечения безопасности персональных данных в соответствии с частями 1 и 2 настоящей статьи, а также требованиями, указанными в пункте 1 части 4 настоящей статьи.
8. Оператор обязан принять решение о присоединении к стандарту обеспечения безопасности персональных данных, за исключением случаев, предусмотренных частью 2.2 статьи 25 настоящего Федерального закона. В случае, если необходимый стандарт обеспечения обработки персональных данных отсутствует, оператор вправе издать стандарт обеспечения безопасности персональных данных. Решение о присоединении к стандарту обеспечения безопасности персональных данных или об издании стандарта обеспечения безопасности персональных данных оператор принимает самостоятельно, если иное не установлено федеральным законом или международным договором Российской Федерации.
9. Федеральные органы исполнительной власти, иные государственные органы, операторы, саморегулируемые организации, ассоциации, союзы и иные объединения операторов уведомляют федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, об изданных ими стандартах обеспечения безопасности персональных данных, а также о свом решении о присоединении к стандартам обеспечения безопасности персональных данных.
toparenko,, ну мы все-таки не за Президента ратуем, а за граждан РФ и различные направления бизнес-деятельности прежде всего, я надеюсь. Поручение Президента - лишь повод пожаловаться все же и попытаться отстоять свои интересы.

Ну а про изменение статьи опять же писал, что много говорится о том, что сделали не так, как хотелось. Да переиграли под свои нужды и желания, да много полезного и нужного убрали. Но странно аргументировать, что вон был когда-то текст, его показывали, а потом убрали - какие они там нехорошие все в правительстве. Предлагаю быть реалистами - есть по факту выложенный и утвержденный законопроект - против него и нужны реальные факты высказывать: в чем есть нестыковки, в чем сложности для операторов, где и как ущемляются и неучитываются права субъектов и т.д. Доводы, что вон был законопроект хороший, всем нравился, а его не приняли на гос. уровне не пройдут - это только для блогов и форумов можно, хотя прекрасно понимаю разочарование и непонимание происходящего

Вот подумалось тут на досуге... все специалисты трубят о необходимости комплексного подхода к обеспечению ИБ, но при этом хотят такие вопросы, как регулирование защиты ПДн, решить с помощью одного документа - немного странно. Все-таки стоит разработать нормальную концепцию - начиная от продуманной схемы привлечения к ответственности и механизмов регулирования связанных процессов (лицензирование, оценка соответствия, проверки) и до нормативных документов верхнего уровня - AP? постановлений и т.д. Иначе какой смысл писать всю эту ерунду, об которую все ломают копья, если нет возможности нормально выполнять все требования в текущей ситуации?
Изменено: Ronin - 10.07.2011 17:37:25
Ronin,
закон ударил прежде всего по добросовестным операторам, как говорится все, что нажито непосильным трудом... и сделано во исполнение действующего закона. Кокой перечень мер установит правительство для ГИС? Какие уровни защищенности и требования к защите установит правительство для всех операторов? Какие состав и содержание этих требований установят регуляторы для всех операторов? Кто и какие угрозы безопасности ПДн, актуальные при обработке в ИСПДн, эксплуатируемых при осуществлении соответствующих видов деятельности, будет определять? Если Банк и внебюджетные фонды (ПФР и ФОМС) понятно, то для кого будут определять органы государственной власти субъектов Российской Федерации? Что относится к Федеральным органам исполнительной власти, осуществляющим функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности?
За какое время появятся эти подзаконные акты? А времени до 01.01.2013 г. мало, или опять будут переносить? Одна надежда - в декабре 2012 конец света, все вопросы и решатся :cry:
Цитата
toparenko пишет:
Все-таки стоит разработать нормальную концепцию - начиная от продуманной схемы привлечения к ответственности и механизмов регулирования связанных процессов (лицензирование, оценка соответствия, проверки) и до нормативных документов верхнего уровня
Все это предлагалось на протяжении минимум 2-х последних лет - результат "глас вопиющего в пустыне"...

Пока мы видим, что даже те копромисные решения, которые достигаются путем кучи переговоров, согласований, убеждений, перечеркиваются одним росчерком пера...
О каком дальнейшем взаимодействии может идти речь?!?

Ну и вообще о чем можно говорить если у нас не исполняются поручения Вертикали Власти, а законодательной Власти некие "силы" могут "дать команду" на торпедирование порученного Гарантом Конституции?..
Изменено: toparenko - 11.07.2011 10:42:32
toparenko,, ну все это также не более, чем продолжение гласа вопиющего, к сожалению. Но в том-то и проблема, что без такого подхода ничего толкового не получится и так и останется компаниям раскошеливаться и покупать красивые коробочки с наклеечками вместо организации нормального СУИБа по потребностям.

И ведь, что самое смешное, все утечки, из-за которых начался шорох - слив баз из гос систем. И сливали их явно не в обход несертифицированным СЗИ.
Изменено: Ronin - 11.07.2011 10:51:59
Цитата
Ronin пишет:
Но странно аргументировать, что вон был когда-то текст, его показывали, а потом убрали - какие они там нехорошие все в правительстве
Вообще-то я видел не менее 7 вариантов текста только этой статьи до того, как компромиссный вариант появился на сайте Думы. Правил, убеждал, объяснял и т.д. - в чем-то удалось убедить, в чем-то не удалось, в чем-то пошли на компромисс - потом результат работы большого числа специалистов разного уровня выкинули в корзину...

И Вы мне (и не только мне) предлагаете опять начинать с нуля то, что уже показали непроходным вариантом???

Цитата
Ronin пишет:
И сливали их явно не в обход несертифицированным СЗИ.
В подавляющем большинстве гос. систем нет сертифицированных СЗИ - на них просто не выделяли и не выделяют денег (помнится в одном уважаемом ведомстве меня "порадовала" инструкция по проведению спецпроверки методом визуального осмотра :D ).
Не обращали внимания в рекомендациях Минсоцзрава о том, что приведение производится при наличии бюджета?
Т.е. гос-ы и далее не будет приводить свои системы - а комерсам предлагается выкинуть достаточно большие суммы на защиту от регулятора очень мало имеющего общего как с реальной защитой прав субъектов, так и с информационной безопасностью.

Да и вообще парадигма предлагаемая регуляторами практически не работает по инсайдерским рискам...
Изменено: toparenko - 11.07.2011 11:04:43
Цитата
toparenko пишет:

И Вы мне (и не только мне) предлагаете опять начинать с нуля то, что уже показали непроходным вариантом???

Да и вообще парадигма предлагаемая регуляторам практически не работает по инсайдерским рискам...

Ни в коей мере - это как раз единственный адекватный подход и не с нуля, а с учетом всех наработок разумеется. говорил лишь об аппелировании к этим фактам, так как такие жалобы наверху не найдут отклика - им откуда знать что там и как было? А если и знают, то тем более не прислушаются. Просто нужно по фактам, без спешки расписать текущий законопроект - в чем именно его проблемы (отсылы к будущим подзаконным актам снова не найдут необходимых эмоций наверху, так как это нам что-то тма понятно, а здесь нужны факты), можно предложить провести проверку на коррпционную составляющую закона, привести юридическое рассмотрение противоречий в законе и далее довести необходимость рассмотрения и доработки тех процедур, на которые ссылается законопроект (то же проведение оценки соответствия и прочие уровни защищенности...).
Это на мой взгляд адекватные доводы, а не эмоции, которых сейчас полно в сети.

Ну и вторая строка - как раз это и имел в виду, что все базы, которые мы видим в сети и на рынках сливаются не в обход средств защиты, а просто копипастом допущенными сотрудниками. И будут там также стоять CPB с наклейками или не будут - ничего принципиального не изменится.

На тему средств и проектов - практически все конкурсы и работы звучат как "приведение в соответствие", "выполнение требований", а не "защита ПДн и прав субъектов", что говорит мноое об отношении к данному законодательству и проблеме в целом ;)
Изменено: Ronin - 11.07.2011 11:12:07
toparenko,
5+, почему я должен платить штраф не за отсутствие защиты, а за отсутствие бумажки на СЗИ :o
Аналогия с автосигнализацией - самое надежное противоугонное устройство - амбарный замок на педали или руль.
Цитата
Ronin пишет:
нужно по фактам, без спешки расписать текущий законопроект - в чем именно его проблемы (отсылы к будущим подзаконным актам снова не найдут необходимых эмоций наверху, так как это нам что-то тма понятно, а здесь нужны факты), можно предложить провести проверку на коррпционную составляющую закона, привести юридическое рассмотрение противоречий в законе и далее довести необходимость рассмотрения и доработки тех процедур, на которые ссылается законопроект (то же проведение оценки соответствия и прочие уровни защищенности...).
Для начала нужно остановить тот изврат, что 13 числа будет рассматривать Совет Федерации - т.ч. без спешки ну никак не получается...

Вы готовы до 13 июля 2011 подготовить рассмотрение всех противоречий и косяков в этой версии ЗоПД и обеспечить, чтоб это попало в руки ЛПР?
В СФ остановить не получится, в повестке он почти под занавес (34 из 40), примут - и по домам.
toparenko,, ну про СФ я думаю Вы и сами не думаете серьезно - там все нормально пройдет. Так что ориентируемся на ДАМ.
На тему анализа -думаю, что это более, чем реально, тем более, что времени уже прошло прилично, текст был просмотрен многими специалистами, включая инициативную группу и основные косяки обсуждались даже. осталось только это сформулировать нормальным языком основательно. Сам готов участвовать и оказать посильную помощь, дабы не быть голословным.
На тему довдения до лиц - это больше к тем, кто имеет какие-то выходы. было бы странно возлагать это на людей с улицы, наш удел только обращения писать.
Цитата
Ronin пишет:
На тему довдения до лиц - это больше к тем, кто имеет какие-то выходы. было бы странно возлагать это на людей с улицы, наш удел только обращения писать.

Вот в этом и вся проблема ;)

Рассказать про косяки можно - были бы слушатели. Основная идея Открытого письма достучаться до них (и то если удасться создать критическую массу), потому коротко и без детализации. Остальное если удасться...
Да все с этим законом понятно... Еще одно кормушечное лобби регуляторов. Мы так ждали изменений, так надеялись... А все зря. Для большинства операторов дешевле и надежнее "покормить" проверяющих, чем выстроить защиту. И их логика понятна: множество вариантов трактования норм закона,плохое качество и нереальная дороговизна услуг в этой сфере, а самое главное- ни одна компания, занимающаяся защитой информации не гарантирует что проверяющие не тронут их клиентов после того, как они все защитят, потому что как нам сказал на семинаре представитель Роскомнадзора-"пришел с проверки и не выписал ни одного предписания, начальство скажет что взял взятку. Поэтому мы всегда найдем к чему предраться". Эти и многие другие факторы делают ЗоПД неработающим. Доказывать ничего не буду, все и так знаете что 95% ничего не защищают.
В идеале, нужно чтобы роскомнадзор вступал в игру только в качестве защитника субъекта в случае поступления в его адрес заявления или обнародованного факта утечки информации. Если заявлений от субъектов не будет, значит оператор со своей обязанностью справляется. Ведь народ лучше любого регулятора проверит операторов на прочность. Не помню где взял, но очень понравилось:"пенсионер за условную плату письменно и по телефону достанет любую организацию".
Цитата
Miksin пишет:
пенсионер за условную плату письменно и по телефону достанет любую организацию
На этом форуме.
Цитата
Miksin пишет:
потому что как нам сказал на семинаре представитель Роскомнадзора-"пришел с проверки и не выписал ни одного предписания, начальство скажет что взял взятку. Поэтому мы всегда найдем к чему предраться". Эти и многие другие факторы делают ЗоПД неработающим. Доказывать ничего не буду, все и так знаете что 95% ничего не защищают.
Именно потому, что 95% ничего не защищают, всегда найдутся недостатки.
Цитата
Miksin пишет:
В идеале, нужно чтобы роскомнадзор вступал в игру только в качестве защитника субъекта в случае поступления в его адрес заявления или обнародованного факта утечки информации.
Большая часть проверок РКН - внеплановые, на основании поступивших жалоб и обращений граждан.
Израэль Хендс,
Так 95 процентов и не будут никогда защищать, потому что это нецелесообразно.
Аж 400 внеплановых в год. А операторов 7 миллионов. И 90% всех жалоб это жалобы на банки, страховые и сотовых опрераторов. А 80% операторов вообще не работают с ПДн физиков настолько, чтобы на них жалобу писали. Попытайтесь вспомнить всех операторов кому вы оставляли любые свои ПДн. На кого бы вы пожаловались? Кому вы не доверяете? Лично я только гос органам, потому что их базы все время гуляют по свету. Лично я не собираюсь жаловаться например на автосалон где я покупал машину или магазин детских игрушек, который выдал мне карту клуба, потому что я им доверяю, потому что нормальные компании заботятся о своей репутации и еще не разу не видел своих данных, ушедших от них. Ну кроме сотовых операторов))) но от них никуда не деться. Монополисты хреновы.
Цитата
Miksin пишет:
Лично я не собираюсь жаловаться например на автосалон где я покупал машину
Вспомнил - на днях прошел бесплатную диагностику авто, выдали карту лояльного клиента, попутно спросили имя, адрес, телефон... Через несколько дней смс с рекламой. Звоню, говорю - не присылайте. Через 3 недели - опять. Еще раз пришлют, жалобу точно накатаю =)
Цитата
Miksin пишет:
только гос органам
Кроме этих баз есть еще базы по телефонным номерам, кредитам... Это не совсем госорганы.
Цитата
Miksin пишет:
Ну кроме сотовых операторов))) но от них никуда не деться. Монополисты хреновы.

Не факт, что большая их часть утекла от ОпСоС-ов - см.
Страницы: Пред. 1 2 3 4 След.
Читают тему (гостей: 3, пользователей: 0, из них скрытых: 0)