Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

SIEM ОТ MCAFEE УСПЕШНО ПРОШЛА СЕРТИФИКАЦИЮ ФСТЭК РОССИИ

01/04/2015

McAfee Security Information and Event Management (версия 9.3) успешно прошла сертификационные испытания, результатом которых стал сертификат соответствия №3353 (от 18 февраля 2015), выданный ФСТЭК России.

Реклама

Партнеры

Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: Пред. 1 2 3 4 5 ... 8 След.
Ответить
RSS
Лицензирование деятельности при защите персональной информации.
Цитата
Игорь Ю. Шахалов пишет:
об оценке соответствия ИСПДн
ФСТЭК во всех документах говорит, что обязательная сертификация систем проходит в форме обязательной аттестации объектов информатизации, а обязательная сертификация продукции - в форме обязательной сертификации СЗИ. В ФСБ такого разделения нет. Какие еще должны быть разъяснения? На курсах по ТЗКИ и аттестации чему-нибудь учат?!! Или свидетельсва так раздают?
Аудитор "Это лицо (юрлицо) проводит работы по защите конфиденциальной информации для стороннего лица (личная и семейная тайна аемного персонала)"Это что за бред? Какая еще личная и семейная тайна?
Цитата
Oleg пишет:
Это что за бред? Какая еще личная и семейная тайна?
В трактовке Указа Президента Российской Федерации № 188 (п.1) и Конституции Российской Федерации (ст.23).
Вы писали, что юр.лицо проводит работы по защите личной и семейной тайны персонала - вот это бред, не надо ссылаться на конституцию.
Цитата
Oleg пишет:
юр.лицо проводит работы по защите личной и семейной тайны персонала - вот это бред, не надо ссылаться на конституцию
Защищают тайны, а не абстрактный формат данных. В данном случае ПДн являются личной и семейной тайной.
А почему не надо ссылаться на Конституцию? На что ссылаться, на Вас?
"это бред" - не аргумент (почитайте в любой литературе по психологии).
Да защищают тайны. Но не личную и семейную. Вы допустим при устройстве на работу , что несете личную и семейную тайну? Эти данные нужны каким либо юр.лицам для выполнения каких либо целей? Конституция как раз нас защищает. наши свободы.
Ок.
Все проблемы споров вокруг обязательности требований по защите информации и саморегулировании в области защиты информации лежат в основе понимания тайн.

* Гостайна, служебная тайна и др.тайны - как правило гос.учереждения. Все должно регулировать государство по её же требованиям.

* Коммерческая тайна - как правило, ком.организации. Здесь разумно включить саморегулирование (гипотиза: ком.оргнизации живут по законам рынка).
Еще можно добавить 45 видов тайн (тайна контракта, тайна полезной модели, профессиональная тайна, тайна переписки ...). Теоретически можно разграничить, где гос., где негос.(частные организации, коммерческие, некоммерческие и др.).

* С ПДн все сложнее - фактически это личная (а также семейная) тайна, "тайна частной жизни". Эта тайна не организации, а личности. (К примеру, мы сообщаем организации СВОИ специфические приватные данные, эта организация не должна их публиковать в СВОИХ интересах).
Вот мы и видим попытку государства защитить эту личную тайну по требованиям государства, что, однако затратно (при "жесткости" регуляторов) для частных компаний микро и малого бизнеса.

PS. Некоторые моменты о ПДн и личной (семейной) тайне: см. ФЗ-152 ст.2 (Цель настоящего ФЗ), УК РФ Ст.137 (Нарушение неприкосновенности частной жизни). Про Конституцию уже говорили.
Понятия личной и семейной тайны законодательно нигде не закреплены. Поэтому мы можем только делать свои догадки.
2 Аудитор:
При чем здесь статья ст.171 УК РФ "Незаконное предпринимательство"!?!?
Если человек, имея высшее образование по "Организации и технологии защиты информации",
работает в организации (у Оператора) по трудовому договору, скажем в составе ИТ-отдела и
занимается вопросами защиты ИСПДн, а именно:
приобретением/установкой/настройкой СЗИ и разработкой ОРД на своём предприятии, а не у кого-то.
В каком месте здесь предпринимательство?

Про ст. 23 Конституции РФ и Указа Президента РФ № 188:
Как уже указал Oleg, оператор не в праве согласно этим документам, требовать с работника или клиента "Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность".
При трудоустройстве у меня не спрашивали в каких отношениях я с родными, сколько раз я женился, менял половых партнёров и т.п. личную и семейную тайну. Следовательно у рядового Оператора просто не могут обрабатываться такие сведения.
Цитата
Аудитор пишет:
* С ПДн все сложнее - фактически это личная (а также семейная) тайна, "тайна частной жизни".
У каждого Оператора должен иметься отдельным документом "Перечень обрабатываемых персональных данных",
где по пунктам расписано, какие ПДн обрабатывает Оператор, например: Пол; Ф.И.О; дата рождения; место рождения, адрес по прописке; адрес фактического проживания; ИНН; № страхового свидетельства; стаж работы; семейное положение и т.п.
Как только в этом перечне появиться пункт "Личная и семейная тайна" и в ИСПДн будут обрабатываться "Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность". Только тогда можно утверждать, что идёт обработка "тайны частной жизни". Не так ли?

В общем и целом мы уже далеко ушли от темы Лицензирования.
Цитата
Максим пишет:При чем здесь статья ст.171 УК РФ Незаконное предпринимательство!?!?
Стоп, просто по этой статье привлекаются организации, выполняющие работы без лицензии, если такая необходима.
Например, Вы выполнили ЛЮБЫЕ работы по защите конфиденциальной информации, а эта деятельность подлежит обязательному лицензированию. Я, как аудитор, должен вписать замечание. И т.д.

QUOTE]Максим пишет: При трудоустройстве у меня не спрашивали сколько раз я женился[/QUOTE], например, плачу ли я алименты? Я не приношу справку по инвалидности, не заполнял анкету по форме 3, не оформлял через фирму загранпаспорт, я не скорываю от подруг, что женат, плохо работаю, имею взыскания, мои все мобильные телефоны, премии, доход, имею ли жилплощадь и гараж, девичью фамилию, что остался на второй год, когда учился и т.д.
Ну и прекрасно! Значит у Вас не обрабатывают ПДн. Трудовая инспекция будет рада.
пардон, еще три компейки.
Цитата
Максим пишет:
У каждого Оператора должен иметься отдельным документом "Перечень обрабатываемых персональных данных",
У каждой организации должен быть документ "Перечень информации конфиденциального характера". Как правило, туда вписывают ПДн (не нарушать же Указ Президента!).
В "Перечне ПДн" не будет слово тайна. В перечне могут быть данные, составляющие сведения, отнесенные к открытой информации и к тайнам.

К слову, извините, даже, если у вас есть ОТКРЫТАЯ информация, то в ряде случаем вы тоже должны иметь лицензию :) Например, если у вас госорганизация, имеющая доступ из Инет. Имеется ввиду создание защищенного доступа к открытой информации, в том числе с криптосредствами.
Цитата
Аудитор пишет:
по этой статье привлекаются организации, выполняющие работы без лицензии, если такая необходима.
Опять же с оговоркой, если необходима.
Вопрос как раз стоит, а необходима ли лицензия на ТЗКИ, официально по ТК трудоустроенному работнику Оператора, занимающемуся вопросами защиты ПДн у самого же Оператора. Ведь такой сотрудник не организация и даже не ИП, а физ. лицо.
И он не занимается коммерческой деятельностью о предоставлении услуг по защите конфиденциальной информации, на которую необходима лицензия.
Цитата
Аудитор пишет:
У каждой организации должен быть документ "Перечень информации конфиденциального характера..."
Не нужно путать мягкое с теплым, в перечне находится именно перечень, а не конкретные сведения/данные субъекта ПДн.
Перечень указывает, что оператор обрабатывает, например, ФИО и Адрес сотрудников/клиентов, но не содержит конкретно ФИО и Адреса сотрудников/клиентов.
Если кроме ПДн у Оператора не обрабатывается какая либо информация отнесенная к конфиденциальной, то документ и будет "Перечнем обрабатываемых ПДн", а не обобщенным "Перечнем инф. конф. характера".
Цитата
Аудитор пишет:
даже, если у вас есть ОТКРЫТАЯ информация
Если у Оператора есть открытые/общедоступные ПДн, то они имеют 4 класс и оператор сам решает, что и как с ними делать.
Цитата
Аудитор пишет:
должны иметь лицензию Например, если у вас госорганизация, имеющая доступ из Инет.
Мне ни кто не предъявил, что я должен иметь какую-то лицензию на деятельность,
приобретая/устанавливая/настраивая/используя программы по отправке отчетов в налоговую и ПФР, в отчетах содержится далеко не открытая информация. Передается она с использованием криптосистем программ сертифицированных ФСБ.

Уважаемый Аудитор(Гость):
Если не секрет, Вы являетесь представителем какой организации или ведомства?
Не являетесь ли вы выходцем из МВД, ФСБ или иных, может быть военных структур?
Изменено: Максим - 27.12.2010 07:57:02
Цитата
Максим пишет:
коммерческой деятельностью о предоставлении услуг по
ключевое слово "услуг" другому лицу, а не коммерческих (у нас есть некомм.ассоциации, организации, органы и много других).
Цитата
Максим пишет:
Не нужно путать мягкое с теплым
Вы меня не слушаете. Если на предприятии нет перечня информации конфиденциального характера, то вся информация на предприятии ОТКТЫТАЯ, а ПДн, следовательно, 4 класса. Проверяющий и аудитор это может легко выяснить, открыв любой контракт или договор (даже трудовой).
Цитата
Максим пишет:
Если у Оператора есть открытые/общедоступные ПДн
Эх. Как все запущено.. Шутка. Почитайте Указы Президента про международный обмен. Нет времени на неконструктивный спор.
Цитата
Максим пишет:
Мне ни кто не предъявил, что я должен иметь какую-то лицензию на деятельность
см.выше.
Цитата
Максим пишет:
Если не секрет, Вы являетесь представителем какой организации или ведомства
Вы хотите сменить тему? Я же подписался - аудитор, реально привлекаюсь по линии аудиторских организаций негос. и гос. контролирующих органов. Описал, как будут думать многие юристы со стороны аудитора в отношении, какие тайны (коммерческую, банковскую, служебную, ПДн) Вы защищаете, кому она принадлежит. Вам не нравится моя позиция. Я что против? :) Пишите в Думу, может государство отменит защиту ПДн (точнее, защиту личной (семейной) тайны частной жизни) или регуляторы сделают реально выполнимые требования.

Всего доброго.
Статья 2. Цель настоящего Федерального закона
Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Личную и семейную тайну обрабатывать вообще нельзя. Было бы неплохо если бы в законе еще прописали, что это такое. Хотя догадываться можно.
Цитата
Аудитор пишет:
Стоп, просто по этой статье привлекаются организации, выполняющие работы без лицензии, если такая необходима.
Например, Вы выполнили ЛЮБЫЕ работы по защите конфиденциальной информации, а эта деятельность подлежит обязательному лицензированию. Я, как аудитор, должен вписать замечание. И т.д.
Вы всерьёз хотите сказать, что установка металлической двери в помешение, где обрабатываются персональные данные (а это одна из мер, прямо прописанных во ФСТЭКовском Положении), без лицензии на ТКЗИ запрещена?
Цитата
Аудитор пишет:

Если на предприятии нет перечня информации конфиденциального характера, то вся информация на предприятии ОТКТЫТАЯ, а ПДн, следовательно, 4 класса. Проверяющий и аудитор это может легко выяснить, открыв любой контракт или договор (даже трудовой).

Господин "Аудитор", :) не сочтите за труд, разъясните выделенную мной мысль - какого класса ПДн?
И что можно выяснить, открыв трудовой договор?

Очень забавная, кстати, у вас трактовка трудовых отношений, согласно которой работодатель оказывается оказывает услуги по хранению конфиденциальной информации (некие личные и семейные тайны) своих работников, являющихся для него "третьими лицами". :)
Цитата
Это лицо (юрлицо) проводит работы по защите конфиденциальной информации для стороннего лица (личная и семейная тайна аемного персонала). Такая деятельность лицензируемая.
Вот негде мне хранить свои страшные семейные тейны... Пойду, сдам их в свой отдел кадров на хранение..
Изменено: Андрей [Пилотов] - 27.12.2010 14:30:09
Ух ты, сколько за выходные накидали!
Прямо не верится, что Новый год уже скоро!

Аудитрору +1000!

Вот, реальноt проверяющее официальное лицо выступило в нашем форуме.

О чём спор коллеги?!
Вам здесь говорят - КАКбудет проходить проверка, НА ЧТО обратить внимание, а вы пытаетесь его переубедить, ссылаясь только на личные впечатления от прочитанных законов и положений? Ну-ну...

Вы всё ещё спорите?
Тогда "Аудитор" идёт к ВАМ!
:D

Цитата
Виктор Плюснин пишет:
Вы всерьёз хотите сказать, что установка металлической двери в помешение, где обрабатываются персональные данные (а это одна из мер, прямо прописанных во ФСТЭКовском Положении), без лицензии на ТКЗИ запрещена?
Виктор, вы где про установку дверей по правилам ФСТЭК вычитали? Ключевые слова здесь - "по правилам ФСТЭК".
Шутник, Вы, однако...
Не путайте Божий дар с яичницей, а ТЗКИ с оргмерами!

Цитата
Андрей [Пилотов] пишет:
Господин "Аудитор", не сочтите за труд, разъясните выделенную мной мысль - какого класса ПДн?
Андрей, не сочтите за труд, объясните, пожалуйста, Вашу мысль, заложенную в цитату.
Вы не помните классификатор?
Да неужели?!

Да и ёрничать не надо бы было...
Вы сделайте паузу, ещё раз внимательно, сами себе, ответьте на вопрос: "а, что, собственно говоря, кроется под аббревиатурой "ПДн"? Какие такие тайны входят в эти самые ПДН?"
Глядишь, и мнение Ваше колебнётся...
Изменено: Игорь Ю. Шахалов - 27.12.2010 14:35:53
С уважением, Шахалов И.Ю.
Цитата
Игорь Ю. Шахалов пишет:

Андрей, не сочтите за труд, объясните, пожалуйста, Вашу мысль, заложенную в цитату.

Вы не помните классификатор?

Да неужели?!

А разве классификатор относится к персональным данным, а не к информационным системам, обрабатывающим персональные данные?

Да неужто?!

PS. Любой участник форума с гостевым статусом может назваться хоть Президентом Всемирной Федерации, хоть Рыцарем Джедаем. Ни то, ни другое не обязывает остальных относиться к нему с пиететом только лишь на основании его никнейма).

PPS. Я не ёрничаю. Мне кажется странным, что человек, назвавшийся Аудитором (не больше , не меньше) так неточен в обращении с формулировками.
Изменено: Андрей [Пилотов] - 27.12.2010 14:41:41
Цитата
Андрей [Пилотов] пишет:
А разве классификатор относится к персональным данным, а не к информационным системам , обрабатывающим персональные данные?
Да неужто?!
PS. Любой участник форума с гостевым статусом может назваться хоть Президентом Всемирной Федерации, хоть Рыцарем Джедаем. Ни то, ни другое не обязывает остальных относиться к нему с пиететом только лишь на основании его никнейма).
PPS. Я не ёрничаю. Мне кажется странным, что человек, назвавшийся Аудитором (не больше , не меньше) так неточен в обращении с формулировками.
Согласен по классификатору, я невнимательно прочитал, в отличие от Вас.
Конечно же речь должна идти об ИСПДн, а не о ПДн.

Но, сдаётся мне, что я этого Аудитора знаю.
И понимаю, почему он не афиширует себя. По крайней мере, он не скрывается под безликим ником "Гость", как это делают многие.
А по поводу формулировок - думаю, что это просто описка, сделанная в запале полемики.
С уважением, Шахалов И.Ю.
Страницы: Пред. 1 2 3 4 5 ... 8 След.
Ответить
Читают тему (гостей: 4, пользователей: 0, из них скрытых: 0)
Форма ответов
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.