Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Особенности аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции (работ, услуг), поставляемой по гособоронзаказу.

12/08/2019 

08 мая 2019 г. утверждены новые Правила аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции работ, услуг), поставляемой по государственному оборонному заказу (постановление Правительства Российской Федерации от 30 апреля 2019 г. № 548).

Новые Правила аккредитации кардинально меняют сложившуюся систему не только аккредитации, но и сертификации СМК предприятий, работающих в области государственного оборонного заказа.

Реклама





Партнеры





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: 1
Получение биллинговых данных у оператора сотовой связи
Цитата
Сергей Терехов пишет:
Антон пишет:
Я к сожалению в связи с недостатком квалификации и опыта не могу определить, являются ли ПДн те данные, которые я собрался запросить (в частности IMEI, IMSI и идентификаторы базовых станций).
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Какие из ЭТИХ данных относятся к определяемому физическому лицу??? Они относятся к оператору связи, к разработчику телефона, к чему угодно, но никак ни к субъекту персональных данных!
Изменено: Владимир Остапченко - 06.11.2015 11:20:21
Звонок из банка. проверка сотрудника..., Сотрудник хочет взять кредит
Всем привет!
Наверное, у всех были такие случаи, когда сотрудник хочет взять кредит, оставляет в банке свои сведения о работе, и потом "служба безопасности" банка звонит просто на номер фирмы, и узнаёт у секретаря/бухгалтера/менеджера (на кого попадёт), работает ли там такой человек, в какой должности, как давно... Особо рьяные пытаются спросить про размер зарплаты!
Я всех предупредил, чтобы такую информацию по телефону не предоставляли, и просили чтобы банк оформлял запрос официально, если их что-то интересует... Но пару раз было, что сотрудникам в банке потом отказывали в кредите, сославшись, что работодатель не захотел подтверждать их сведения. Начались обиды.
Вот, думаю, а как правильно вообще это сделать? Ведь правильно, что я запретил подтверждать эти сведения по телефону?
Сейчас единственное, что получается у банкиров узнать, это работает такой у нас или нет, т.к. они звонят в офис, и сразу просят соединить с "Ивановым Иваном Ивановичем". Понятно, что если такого нет, то так и ответят. Если есть, то спросят как представить и соединят. Но если потом начинаются дополнительные вопросы, то банкиры посылаются в сад.
Может быть предложить работнику давать работодателю согласие на передачу своих данных в такой-то банк по телефону, например? Захотел кредит? Оформил заявку в банке? Дай согласие на работе!
Что считаете?
Могу ли я подать жалобу в РКН на этот сайт?, В каждой шутке есть доля шутки
ДРУЗЬЯ!
Прошу не писать мне на почту письма с оскорблениями! Если есть желание обсудить вопросы по существу, то давайте их обсуждать цивилизованно!
Могу ли я подать жалобу в РКН на этот сайт?, В каждой шутке есть доля шутки
Ну, а почему бы и не попробовать? :)
В конце концов, если уж JSC "NPO "Echelon" создало такой замечательный ресурс, то правда хотят помочь людям разобраться в этой проблеме, и со своей стороны сделало всё необходимое по ПДн :)
Поехали!
Могу ли я подать жалобу в РКН на этот сайт?, В каждой шутке есть доля шутки
Цитата
Израэль Хендс пишет:
ник - не ПДн.
У нас проверка по ПДн с 1 по 20 августа. Принеприменно задам им этот вопрос :) Конечно, как официальный ответ это нельзя будет расценивать, но может хоть какуюто ясность внесут :)
Могу ли я подать жалобу в РКН на этот сайт?, В каждой шутке есть доля шутки
Цитата
Сергей С. пишет:
На сайте вы заполняете форму со своими персональными данными, и пока не поставите галочку о согласии - предоставление ваших данных невозможно технически (алгоритмически).
Так в том то и дело, что на этом форуме при регистрации такой галочки не заметил! Может, конечно, плохо смотрел из-за желания поскорее влиться в ряды пишущих :D

Цитата
Сергей С. пишет:
Аналогично на бумаге: кроме случаев, указанных выше, я не обязан соблюдать ФОРМУ согласия, определенную законом. Достаточно пункта "Согласен на обработку моих ПДн" и подпись в конце документа.
Думаю, РКН с Вами не согласится :) Ещё раз приведу ссылку на РКН, где Мегафон нагнули за то, что не определен "срок, в течение которого действует согласие, а также порядок его отзыва". А Вы говорите, простое "Согласен на обработку моих ПДн" и подпись в конце...
Могу ли я подать жалобу в РКН на этот сайт?, В каждой шутке есть доля шутки
Цитата
GoDr пишет:
Будешь проводить оперативно-розыскные мероприятия?
А где в Законе сказано, что ОПРЕДЕЛИТЬ субъект должно быть так же просто, как нажать три кнопки на компьютере? Да, при помощи оперативно-розыскных мероприятий я ЛЕГКО могу тебя найти и идентифицировать. Значит это ПДн!
Изменено: VladOst - 01.07.2011 11:28:52
Могу ли я подать жалобу в РКН на этот сайт?, В каждой шутке есть доля шутки
Цитата
Сергей С. пишет:
VladOst,

приведите примеры из закона, где еще требуется согласие именно в письменной форме.
Ст.3 п.1 даёт понятие ПДн
Ст.6 п.1 указывает на необходимость получения согласия
Ст.9 п.4 Регламентирует форму согласия

Ст.9 п.3 Возлагает ОБЯЗАННОСТЬ на оператора ДОКАЗАТЬ наличие согласия. Как ещё Вы его докажите, кроме как бумажку покажите?

Ну, и практика говорит сама за себя:
http://23.rsoc.ru/news/p60/news24586.htm
http://23.rsoc.ru/news/p60/news24355.htm
http://23.rsoc.ru/news/p45/news24749.htm
Заметьте, нигде не идёт речи о СПЕЦкатегории, Биометрии, трансграничности и прочем. Везде стандартные ФИО, паспорт, рождение и прочее... Так же "нагинают" за отсутствие согласия на обработку субъектов, указанных как РОДСТВЕННИКИ в личной карточке работника по форме Т-2. Так сразу не нашёл, но тоже на сайте РКН было в отношении Мегафона.
Могу ли я подать жалобу в РКН на этот сайт?, В каждой шутке есть доля шутки
Цитата
Сергей С. пишет:
Других случаев в законе нет
Жаль, до этого я был о Вас лучшего мнения. Предлагаю читать Законы не постатейно, а целиком. Да и практику РКН почитать не плохо бы...
Могу ли я подать жалобу в РКН на этот сайт?, В каждой шутке есть доля шутки
Цитата
Сергей С. пишет:
Проверьте.
Ст. 9 152-ФЗ:
4. В случаях, предусмотренных настоящим Федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись письменному согласию субъекта персональных данных на бумажном носителе признается согласие в форме электронного документа, подписанного электронной цифровой подписью или в случаях, предусмотренных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами, иным аналогом собственноручной подписи. Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:
(в ред. Федерального закона от 27.07.2010 N 227-ФЗ)
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
3) цель обработки персональных данных;
4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
6) срок, в течение которого действует согласие, а также порядок его отзыва;
7) собственноручную подпись субъекта персональных данных.


Я не понял, на основании чего Вы сделали вывод о том, что СОГЛАСИЕ нужно только в случае "спецкатегории, биометрия, трансграничная в страны где нет защиты, юридически значимые последствия при автоматической обработке. В остальных случаях письменное согласие не обязательно."
Изменено: VladOst - 01.07.2011 10:46:00
Могу ли я подать жалобу в РКН на этот сайт?, В каждой шутке есть доля шутки
Цитата
Сергей С. пишет:
Дочитал и эти случаи: спецкатегории, биометрия, трансграничная в страны где нет защиты, юридически значимые последствия при автоматической обработке. В остальных случаях письменное согласие не обязательно.
Тяжело верить людям на слово, когда они не тыкают пальчиком на номер статьи и Закон.
Могу ли я подать жалобу в РКН на этот сайт?, В каждой шутке есть доля шутки
Цитата
Сергей С. пишет:
Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе, за исключением случаев, предусмотренных частью 2 настоящей статьи. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.
А при чём здесь это? Вы правда считаете, что если человек Вам САМ предоставил свои ПДн, то на основании п.1 Ст.9 152-ФЗ Вы можете с него не брать согласие? :) Или Вы ещё не дочитали до п. 4 той же статьи того же Закона? :)))
Могу ли я подать жалобу в РКН на этот сайт?, В каждой шутке есть доля шутки
Цитата
Посмотри на мой Ник. Ты действительно считаешь что это моё имя или фамилия? А думаю намёк понят
Во-первых, нигде в Законе не сказано, что это должны быть ПРАВДИВЫЕ данные :)
Во-вторых, в 152-ФЗ сказано, что если ПДн принадлежат "определённому или ОПРЕДЕЛЯЕМОМУ субъекту". ОПРЕДЕЛЯЕМОМУ - т.е. тому, которого ПЫТАЮТСЯ определить. По твоему НИКу можно определить, что высказывания человека с данным НИКом принадлежат одному и тому же субъекту (НИК привязан к человеку паролем, и он уникален). В Законе есть фраза, что и "ДРУГИЕ данные" тоже могут быть ПДн, т.ч. на мой взгляд, НИК тоже ПДн. Даже "погоняло" (кличка) может быть ПДн, например, в воровской среде. Вора в законе можно по погонялу определить, ибо не бывает двух воров в законе с одним погонялом.
В-третьих, при регистрации была указана электронная почта, которая ТОЧНО принадлежит именно тебе, т.к. уникальна. И выставлять напоказ её не обязательно. Достаточно, что движок форума её хранит и АВТОМАТИЧЕСКИ отправляет на неё оповещения об ответах, например.
В четвёртых до сих пор не определйн МИНИМАЛЬНЫЙ набор данных, чтобы они считались ПДн. В Законе ВСЁ перечисленно через запятую и есть словосочетание "ЛЮБАЯ информация", т.ч. даже просто ИМЯ может быть ПДн.
Могу ли я подать жалобу в РКН на этот сайт?, В каждой шутке есть доля шутки
Допустим, я заполню все поля в своём профиле на этом сайте-форуме (ФИО, телефон, профессия, дата рождения и всё-всё-всё, что там есть). Никакой даже разрешающей галочки, не говоря уже о письменном согласии, я не давал. На каком основании здесь хранятся и обрабатываются мои ПДн? Я с полной уверенностью могу пожаловаться на JSC "NPO "Echelon" (которое указано при регистрации этого доменного имени)?
Это вопрос-шутка. Но таких форумов очень много, где просят ввести свои ПДн. Многие из них находятся на серверах за рубежом (не смотря на зону RU), значит попадают ещё и под трансграничную передачу.
КАК таким сайтам обеспечивать защиту ПДн?
Изменено: VladOst - 30.06.2011 17:55:41
Разработка Модели угроз, ЗАЧЕМ, если есть Базовая?
Цитата
Сергей С. пишет:
А где типовые ИС?
Да почти у всех (Приказ 55):

8. По заданным оператором характеристикам безопасности персональных данных, обрабатываемых в информационной системе, информационные системы подразделяются на типовые и специальные информационные системы.
Типовые информационные системы - информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных.
Специальные информационные системы - информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).
К специальным информационным системам должны быть отнесены:
информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных;
информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.

На обычных предприятиях в 1С не обрабатываются данные о здоровье, и права и законные интересы в 1С тоже не затрагиваются. У нас есть Акт классификации, который мы сами и составили, в котором классифицировали нашу ИСПДн как типовую.
Изменено: VladOst - 01.07.2011 10:57:18
Разработка Модели угроз, ЗАЧЕМ, если есть Базовая?
Цитата
Сергей С. пишет:
ИМХО в любой ИС нужно обеспечить К Ц Д , а не только К. Пример Доступность: при отключении питания - бесперебойник позволяет работать какое-то время, Целостность: раздача прав, исключающая несанкционированное изменение (кадровик не лезет к бухгалтеру и наоборот).
Вся 5 глава Базовой Модели целиком посвящена Доступу и Целостности.
Например, про НСД плотно рассматривается в 5.3 и 5.7
Разработка Модели угроз, ЗАЧЕМ, если есть Базовая?
Цитата
Сергей С. пишет:
14. По результатам анализа исходных данных типовой информационной системе присваивается один из следующих классов:
Ну что же, проигрывать тоже нужно уметь 8)
Благо, что мы свою ИСПДн классифицировали, как типовую :) Кстати, в самом первом посте речь и идёт о ТИПОВОЙ системе обычного "купи-продай"...
Изменено: VladOst - 01.07.2011 10:17:37
Разработка Модели угроз, ЗАЧЕМ, если есть Базовая?
Цитата
трехглавый приказ для типовых ИСПДн
Укажите, ГДЕ ИМЕННО в "трёхглавом" приказе это сказано???
Разработка Модели угроз, ЗАЧЕМ, если есть Базовая?
Цитата
Гость пишет:
А в третьих - частная модель угроз дает вам возможность уйти от К1 к K2, от К2 к К3
Класс ИСПДн определяется не на основании Модели угроз, а на основании 55/86/20 Приказа, ст.5, 6, 7, 14, 15. При рассчёте класса К1-К4 НИГДЕ нет упоминания о Модели угроз. Чистая табличка :)
Т.ч. ерунду написали :)
Изменено: VladOst - 01.07.2011 09:48:53
Разработка Модели угроз, ЗАЧЕМ, если есть Базовая?
А зачем, собственно, разрабатывать собственную Модель угроз? Ведь можно взять Базовую, разработанную ФСТЭК (ну, эту, всем известную, 10 Мб), сделать шапку "Утверждаю" и подписать руководителем? В ней ведь есть все угрозы, обычно встречающиеся для ОБЫЧНОГО предприятия. Естественно, если это банк, поликлиника, страховая и прочее, то, конечно. Но для простого ООО "Купи-продай" разве недостаточно?
Все те угрозы, которые там есть легко устраняются Антивирусом, Актив Директори, Фаерволом и паролями 1С. Разместить сервер с самой базой в закрываемой комнате, и всё...
То же самое и с Методикой определения актуальных угроз.
Давайте покритикуем такой подход к такому трудоёмкому занятию, как составлению Модели угроз и Методики...
Страницы: 1