Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

AppChecker’ом по Бляйхенбахеру

01/04/2019


Эксперты НПО «Эшелон» в результате исследования открытых программных проектов выявили критическую угрозу для интернет-приложений – возможность проведения атаки Бляйхенбахера! В настоящее время самым эффективным средством для заблаговременного предупреждения данной атаки является статический анализатор кодов AppChecker!

Обучение

002. Техническая защита информации. Способы и средства защиты информации от несанкционированного доступа.
24 - 28 июня 2019 года

026. Подготовка к CISSP и CISM (курс от профессионалов-практиков).
15 - 17 июля 2019 года

003. Тестирование на проникновение: технологии хакеров для аудита информационной безопасности.
5 - 7 августа 2019 года

006. Разработка безопасного ПО в соответствии с требованиями ГОСТ Р 56939­-2016.
5 - 7 августа 2019 года

039. Межсетевое экранирование и обнаружение сетевых атак. Администрирование ПАК «РУБИКОН».
12 - 13 августа 2019 года

010. Администрирование SIEM-системы КОМРАД.
14 - 15 августа 2019 года

016.1. Основы администрирования Astra Linux SE 1.6.
19 - 21 августа 2019 года

016.2. Системное администрирование, сервисы и сетевые приложения в Astra Linux SE 1.6.
22 - 26 августа 2019 года

016.3. Администрирование комплекса средств защиты и Astra Linux Directory в Astra Linux SE 1.6.
27 - 29 августа 2019 года

016.4. Администрирование Astra Linux SE 1.6: работа в смешанных сетях.
2 - 4 сентября 2019 года 

Реклама





Партнеры





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: 1 2 След.
Банки и Роскомнадзор, Вопросы, которые вы бы хотели задать Роскомнадзору
Цитата
Сергей С. пишет:
115ФЗ это противодействие терроризму?
Да

115-й закон конечно можно отнести к законодательству РФ о противодействию терроризму. Но где в нем предусмотрены случаи допустимости обработки биометрических ПДн без согласия субъекта?
[ Закрыто] Назначение лица ответственного за организацию обработки ПДн, Кого назначить ОзООПДн
верно. в законе не сказано, что лицо подчиняется исполнительному органу. там сказано всего лишь о том, что он получает от него (причем НЕПОСРЕДСТВЕННО от него) указания и подотчетно ему. иными словами, ответственный именно от исполнительного органа узнает что и как ему нужно делать и именно исполнительному органу докладывает о проделанной работе. разве это не является признаком "подчиненности" исполнительному органу?
в том случае, если ответственное лицо само является по должности сотрудником подразделения, имеющего руководителя, то согласно положению об этом структурном подразделении и должностным инструкциям по соответствующей должности, оно обязательно подчинено руководителю структурного подразделения, обязано выполнять его указания и т.д. т.е. получается что ответственный работник даже в отношении одних и тех же ситуаций может получать указания из различных источников и отчитываться в две инстанции.
[ Закрыто] Назначение лица ответственного за организацию обработки ПДн, Кого назначить ОзООПДн
Цитата
Евгений пишет:
Вот ведь еще дело в чем, что в ст. 22.1 ФЗ-152 говорится, что ОзООПДн получает указания непосредственно от исполнительного органа организации, являющейся оператором, и подотчетно ему...

именно поэтому совершенно нелогично назначать ответственным лицо, которое по должности подчиняется еще некоему руководителю структурного подразделения. которое к тому же (как следует из проекта приказа Евгения) должно разработать пакет ОРД, которые должны обеспечить работу этого ответственного. получается это должность двойного подчинения, что принципиально неверно и не обеспечит нормального выполнения ответственным своих обязанностей.

кстати говоря, на предприятиях одного крупного российского нефтехимического холдинга принято решение назначать ответственными замов по безопасности. это к вопросу о том, у кого какая практика.
Законные основания для разработки Концепции и Политики
Цитата
mercuryn пишет:

А Вы прикинули, сколько в России будет написано и разработано???
Может сократить все отделы кадров, регистратуры, учет в банках и т.д и ввести анонимную систему на доверии???

Поясните свою мысль, пожалуйста.
Юридические последствия
Цитата
Семен пишет:
Но ошибка в трактовке ситуации кроется в "решении, порождающем... или затрагивающем...". Оно неправомерно (по причине того, что при обработке были допущены нарушения). Поэтому последствия, наступающие вследствие такого решения, нужно трактовать не как юридические последствия, а как нарушения ФЗ 152. Другие процедуры, понимаете? У субъекта не возникает обязанностей никаких. Нет обязанностей - нет последствий.

а по моему одно не исключает другое. давайте абстрагируемся от приведенного примера и обратимся к другому. идет гражданский судебный процесс, в результате которого судьей принимается решение с нарушением норм, например, процессуального права. допущенные судьей нарушения делают решение неправомерным и дают основания для его обжалования. но до тех пор, пока этого сделано не будет, решение де юре считается законным и обоснованным и подлежит исполнению. но фактически можно говорить о том, что а) решение породило для обязанного решением субъекта юр. последствия (или иным образом затронуло его права); б)решение по сути является нарушением процессуального кодекса, допущенного судьей. т.е. и нарушение есть закона есть и юр последствия есть.

чем этот пример отличается от приведенного ранее с последствиями ИА обработки и штрафом гаи?
Юридические последствия
Цитата
Сергей С. пишет:
Скорее начисление процентов по вкладу: прошел период (месяц, год, квартал) и программа автоматически начисляет проценты по всем счетам.

т.е. вы рассматриваете факт начисления процентов по вкладу за определенный период в качестве юридического последствия автомат. обработки? а разве начисление процентов и обязанность по их оплате возникла из факта обработки ПДн? по моему, соответствующая обязанность возникла из факта заключения кредитного договора. и необходимость начисления процентов и их оплаты является юридическим последствием именно этого факта, а не факта обработки ПДн.

то же самое со штрафом за скорость. даже если предположить, что там все от и до без участия человека. да, штраф выписан при помощи автоматизированных систем, но в результате административного правонарушения. т.е. именно оно является тем юридическим фактом, который повлек за собой наступление юридического последствия в виде обязанности оплатить штраф.
Юридические последствия обработки пдн, пп. 6 п. 4 ст. 14 гл. 3 №152ФЗ о ПДн
Цитата
Израэль Хендс пишет:

Был реальный случай. В автоматизированной системе - сбой. Решения суда прикрепили к левым ФИО. Приставы пришли трясти ни в чем не повинных людей. Это не юридические последствия?

последствия являются юридическими тогда, когда они представляют собой возникновение, изменение или прекращение прав и обязанностей в результате свершившегося юридического факта. (слово "юридический" и в 1 и во 2 случае имеет первостепенное значение). это во первых.

во-вторых, в данном примере последствия наступили в результате принятия неправильного решения, а не в результате обработки ПДн этих субъектов как таковой.
Юридические последствия обработки пдн, пп. 6 п. 4 ст. 14 гл. 3 №152ФЗ о ПДн
Цитата
Ronin пишет:
Касательно 5 пункта и что имел в виду привожу пример - есть БД номеров а/м, их владельцев и адресов. Допустим, было совершено нарушение и должен был быть сгенерирован штраф. Все это делалось автоматизированно - система распознала номер, сопоставила данные из БД, сгенерировала штраф и выслала его нарушителю. А теперь предположим, что из-за ошибки ПО или оператора были подставлены неверные сведения о владельце авто или его адресе или сумме штрафа. Я подразумевал именно такие случаи прежде всего. То есть возможные ошибки, связанные с нарушением работы ИСПДн или реализацией каких-то атак и те последствия, которые могут повлечь за собой такие события.
То есть штраф выписан из-за нарушения, но вот выписан не тому или не тот штраф - из-за дополнительной ошибки, связанной с автоматизированной обработкой

так. продолжайте свою мысль. и какие же последствия юридические наступают для субъекта ПДн? разе у того, кому ошибочно выписали штраф, возникла обязанность его оплатить?
Юридические последствия обработки пдн, пп. 6 п. 4 ст. 14 гл. 3 №152ФЗ о ПДн
Значит по порядку.
1. вопрос не в моей трактовке, а в том, что законодатель понимал под юридическими последствиями. и у меня сложилось впечатление, что он под юридическими последствиями понимал нечто, отличное от того, что под ними понимает юридическая наука. Но т.к. я обученный юрист, я то ничего другого под ними понимать не могу! Видите ли в чем дело. Закон - он, конечно, порой как дышло... Но все ж не до такой степени. Мы же с Вами не где-нибудь в галерее пялимся на "черный квадрат".
2. закон говорит не только о юр. последствиях автоматизированной обработки. Про нее в ст.16. А вот ст.14 в своей ч.4 говорит о том, что по запросу субъекта оператор должен сообщить ему в т.ч. о том, "какие юридические последствия для субъекта ПДн может повлечь за собой обработка его ПДн". т.е. по смыслу закона любая обработка может повлечь за собой юр. последствия. а может и не повлечь.
3. сказать я хотела скорее всего именно то, что сказала, а не то, что расписывалось по теме. собственно, я высказала свое мнение о юр последствиях, потому что меня саму это волнует с 2006года.
4. увольнение является юридическим последствием не факта обработки ПДн, а одного из фактов, предусмотренных в трудовом кодексе в качестве оснований для увольнения. юр. последствием штрафа является факт совершение правонарушения или преступления.
5. право применить к субъекту ПДн определенную санкцию возникло не из самой автомат. обработки как таковой, а именно из факта совершения субъектом деяния, состав которого предусматривает возможность применения санкции. вот вам пример. видеофиксация нарушения пдд. автолюбитель-нарушитель получил квитанцию на оплату штрафа за нарушение пдд, зафиксированное средствами видеофиксации. для него наступили неблагоприятные юридические последствия - это очевидно. но разве они явились следствием обработки ПДн? они явились исключительно следствием совершения административного правонарушения, предусмотренного КоАП РФ. да, автоматизированная обработка имела место быть. но штраф выписан НЕ ИЗ-ЗА НЕЕ, НЕ ВСВЯЗИ с обработкой. а ВСВЯЗИ с нарушением.
Юридические последствия обработки пдн, пп. 6 п. 4 ст. 14 гл. 3 №152ФЗ о ПДн
мда.... "давненько я не брал в руки шашек"...

Вообще, в теории права под юридическими последствиями понимают возникновение, изменение и прекращение в результате наступления какого либо юридического факта тех или иных прав и обязанностей. По смыслу п.6 ч.4 ст.14 ФЗ 152 под таким юридическим фактом в Законе понимается именно сам факт обработки ПДн, т.е. факт совершения каких-либо действий с ПДн. Очевидно, что для человека факт совершения с его ПДн каких-либо операций (т.е. факт обработки ПДн) порождает возникновение у него комплекса прав, присущих субъекту ПДн и прямо предусмотренных ФЗ 152, а именно: право на доступ к своим ПДн, право на получение сведений об операторе, право требовать уточнения, блокирования или уничтожения ПДн, право отозвать согласие на обработку ПДн и т.п. Таким образом, юридически корректным было бы рассматривать в качестве юридических последствий обработки ПДн возникновение у физического лица прав, присущих субъекту ПДн и предусмотренных ст.14 ФЗ «О персональных данных".

есть мнение, что юридическими последствиями обработки ПДн, например, работника является возникновение у него права на оплату его труда или обязанности выполнять работу и т.д. Но это принципиально не верно! Потому что такое юридическое последствие, как право на оплату труда, на получение других гарантий и компенсаций, связанных с трудовыми отношениями, а также возникновение обязанностей из этих трудовых отношений являются юридическими последствиями совершенно другого юридического факта - факта заключения сторонами трудового договора, а вовсе не факта обработки ПДн. Тоже самое и применительно к другим категориям субъектов. У абонента возникает право пользоваться услугами связи и обязанность оплачивать из факта заключения договора с оператором связи, а не из факта обработки им его ПДн. У застрахованного лица появилось право на выплату - из факта договора и факта наступления страхового случая. У пациента - из факта его мед страхования или обращения за мед помощью. и т.д.

я юрист. и после долгих размышлений я не смогла придумать ни одного юридического последствия, которое возникает непосредственно из факта обработки ПДн (ну кроме тех последствий, о которых сказала ранее).
Передача персональных данных, Передача ПДн работников в Ростехнадзор, Министерство регионального развития, профком
если передача ПДн прямо не проистекает из требований законодательства, то она должна осуществляться с согласия субъекта ПДн.
Понятие "оператор персональных данных" все же кто он?
Цитата
Евгений пишет:
А можно ли в этом случае - неясности определения оператора, использовать принцип аналогии закона?

Нельзя. Во-1ых, аналогия закона применяется лишь в гражданском праве и только в тех случаях, когда соответствующие общественные отношения, по поводу которых возник спор, не урегулированы законодательством или соглашением сторон или отсутствуют в этой сфере обычаи делового оборота, и имеются другие законодательные акты, регулирующие сходные отношения.
Во-2х, в РФ насчитывается около полутора тысяч законодательных актов федерального уровня, не считая постановлений правительства, указов президента и т.д. Вы себе можете хотя бы приблизительно представить, какая это была бы аЦкая работа - подыскивать аналогию для "а также" в этом сонме актов государственного волеизъявления???
«Обойдемся без лицензии» или самостоятельная апендоктомия
Цитата
Newby пишет:
Ludmila,
Цитата
Ludmila пишет:
В связи с чем у меня вызывает недоумение и протест тот факт, что один оператор ПДн будет руководствоваться федеральным законодательством, а другой при тех же условиях будет руководствоваться стандартом, пренебрегая требованиями Закона.
Банки обязаны выполнять требования Закона. СТО БР ИББС (речь идет о нем, как я полагаю) не заменяет и не может заменить закон, а замещает в области обеспечения безопасности всем известные Постановления.
Цитата
На выходе у соседа ПДн защищены по закону, а у меня по стандарту. Я что хуже соседа?
И у вас, и у него ПДн защищены по закону.

Уважаемый Newby! Вы это не мне объясните, а представителям банковского сектора, которые полагают, что а) на них вообще ни в какой части не распространяется закон 128; б) что с принятием стандарта (вы правильно поняли речь о СТО БР ИББС) им тем более не требуется никаких лицензий.
Если Вы прочтете эту ветку с самого начала, то увидите, что мое мнение как раз таки заключается в том, что стандарт не может отменять или заменять ничего, что прямо предусмотрено законом.
«Обойдемся без лицензии» или самостоятельная апендоктомия
to Дмитрий

Выше Вы любезно процитировали меня в моих рассуждениях на тему защиты ПДн страховой компанией и банком. Но в своих высказываниях я никогда, в т.ч. и в этой цитате, не говорила о том, что "у тех, кто имеет лицензию информация ЛУЧШЕ защищена". Это Ваша фантазия. Внимательнее читайте сообщения и не пытайтесь увидеть между строк то, чего нет. Я говорила лишь о том, что Закон распространяется в равной степени на всех. В связи с чем у меня вызывает недоумение и протест тот факт, что один оператор ПДн будет руководствоваться федеральным законодательством, а другой при тех же условиях будет руководствоваться стандартом, пренебрегая требованиями Закона. Я не делаю из этого вывода о качестве защиты. Я из этого делаю вывод о том, что субъекты ПДн ставятся в неравное положение при прочих равных условиях.
«Обойдемся без лицензии» или самостоятельная апендоктомия
Цитата
Дмитрий пишет:
Людмила, откройте тайну, каким образом наличие лицензии увеличивает степень защиты информации? А то вы всё настаиваете на том, что у тех, кто имеет лицензию, информация лучше защищена.


хм. а где конкретно покажите я на этом настаивала?
«Обойдемся без лицензии» или самостоятельная апендоктомия
Цитата
Тыковкин пишет:

Да что ж Вы беситесь-то так, Людмила?)) Лучше бы советом конструктивным помогли, вместо того, чтобы злобно язвить) Я понимаю, конечно, лично Вашу, как субъекта ПДн, суровую неприязнь к банкам, но я к ним имею непосредственное отношение только с технической стороны. В юридической стороне вопроса приходится разбираться буквально на ходу.

ой! Вы что-то мне обидно как-то сказали. Что же, по Вашему, суровая критика - признак бешенства? Я вовсе даже не бешусь. И даже не язвлю. А просто привожу образные примеры.
По поводу помощи. Кому именно помочь то? Банкам? А ими по ходу любая помощь может рассматриваться как конструктивная только тогда, когда она в полной мере их собственным потребностям. Из моей практики - банки не приемлют компромиссных решений. У них ж - у банков - так: или по нашему, или все свободны. Это по любым вопросам.
Лично же Вам, как человеку, имеющему непосредственное отношение только с технической стороны, могу посоветовать только одно. До тех пор, пока судьба стандарта (точнее его отдельных положений в их взаимосвязи с законами) не будет ясна - всеми силами избегайте роли лица, ответственного за обеспечение безопасности ПДн в Вашей организации. Т.е. роль исполнителя - пожалуйста. А вот роль лица, самостоятельно принимающего решения, может быть чревата. Если Ваш банк примет стандарт и ничего не останется, кроме как реализовывать его положения, то рекомендую письменно запросить заключения вашей юр службы о соответствии требованиям законов тех мер, которые должны быть в рамках стандарта осуществлены. Не лишним будет затеять переписку и с вышестоящими вашими организациями и ассоциациями. Ну и с регуляторами, разумеется.
«Обойдемся без лицензии» или самостоятельная апендоктомия
Цитата
Тыковкин пишет:

Для кредитной организации, я вижу выход из складывающегося положения в принятии Стандарта, последующем уведомлении всех уполномоченных органов. После чего, следовало бы направить официальный запрос в территориальный отдел ФСТЭК и действовать далее уже исходя из полученного ответа.

Ага ага. так и вижу. Ребята! Тут вот по фз 152 мы должны принимать кое какие технические меры для защиты ПДн. И вроде как из кое каких нормативно-правовых актов следует, что надо техническую защиту конфиденциальной информации. А по фз 128 это лицензируемый вид деятельности. То есть нам лицензию надо. Но нам непросто так по жизни - мы ж банки. Поэтому мы тут стандарт придумали и будем им заместо законов руководствоваться. Вот. Ставим вас - уполномоченных органов - в известность.
«Обойдемся без лицензии» или самостоятельная апендоктомия
Цитата
Тыковкин пишет:
Вам этого достаточно для уверенности в соответствии требованиям Стандарта и соблюдении ФЗ-152?

Нет. Мне этого не достаточно. И мне показалось, что я изначально явно обозначила почему. Да, стандарт - во исполнение ФЗ 152. Но почему то получается, что одновременно он ВМЕСТО ФЗ 128. Т.е. данные моего соседа страховая компания защищает во исполнение 152 и руководствуясь 128. А необходимость руководствоваться 128 проистекает из 152. А мои ПДн банк также во исполнение 152 защищает руководствуясь уже стандартом. Хотя ни в 152, ни в 128 нет оговорок о возможности введения отраслевых стандартов, о возможности выбора - либо 128 либо стандарт.

А что касается оценки. То собственно в письме шестерых и сказано, что аудит должны проводить спец организации, а если у банка отсутствует возможность по их привлечению - то самооценка. Вот интересно где критерии возможности-невозможности привлечения специалистов? Видимо в они в той же плоскости лежат, где и необходимость-отсутствие необходимости получения лицензии на ТЗКИ или привлечения лицензиата "для собственных нужд". Отлично известно, что операторы ПДн из банковской сферы (впрочем как и другие крупнячки) "чухнулись" на излете 2009г. Два года должно было пройти после вступления закона в силу, прежде чем они вдруг сообразили, что реализация фз 152 это им дорого, неудобно и вообще может серьезно затруднить банковские операции и не позволить заработать много денюжек. И началось нытье с переносом сроков. Ок. Пролоббировали. И тут вдруг опять на излете очередного года внезапно оказалось, что перенести сроки мало. Надо оказывается и правда что-то предпринимать. И - какая неожиданность! - вроде как лицензии какие-то нужны. Ну а чо ... все люди как люди, а я королевна. Давайте примем стандарт, выдумаем собственные нужды банка. А то, что ПП 504 не знает понятия "собственных нужд" - это ничего. Не даром же президент АРБ в действующих депутатах Гос думы. Он ж так убедителен был в прошлый раз, когда говорил на слушаниях о том, как банкам в кризис тяжело деньги добывать …даже нет… «изыскивать» на куда более важные вещи, чем защита ПДн. То есть другим – операторам связи, мед учреждениям, нефтехимической отрасли не трудно, а банкам ох как тяжело. Опять же есть риски рейдерских захватов банков посредством субъектов ПДн в лице «ста бабушек». То есть надо что то делать! И тут удачная мысль про собственные нужды. На этом фоне обосновать «невозможность проведения оценки соответствия силами сторонней организации» и самооцениться – это даже и не проблема вовсе я полагаю.
«Обойдемся без лицензии» или самостоятельная апендоктомия
Цитата
Breghnev пишет:

Это не так. Данный закон не распространяется на деятельность кредитных организаций (под деятельностью кредитной организации понимается осуществление банковских операций - ФЗ 395-1), а не на сами кредитные организации.
Это означает, как уже сто раз писали умные люди, что если кредитная организация захочет заниматься (помимо своей основной деятельности) любой деятельностью , попадающей в поле действия 128-ФЗ (в том числе деятельностью по ТЗКИ), то ей необходимо получить лицензию на осуществление такой деятельности.

Дык вот и я о том же самом.
[ Закрыто] Собственных нужд не бывает?
Цитата
Гость пишет:
Поменьше верьте рекламе

а по существу? мне что то тоже кажется что их не бывает. Ну в тех случаях, когда речь идет об обязанностях, опосредованных конституционным правами личности.
Страницы: 1 2 След.