Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

SIEM ОТ MCAFEE УСПЕШНО ПРОШЛА СЕРТИФИКАЦИЮ ФСТЭК РОССИИ

01/04/2015

McAfee Security Information and Event Management (версия 9.3) успешно прошла сертификационные испытания, результатом которых стал сертификат соответствия №3353 (от 18 февраля 2015), выданный ФСТЭК России.

Реклама

Партнеры

Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: 1 2 3 4 5 6 7 8 9 10 11 ... 34 След.
Спамеры
А ведь хороший и полезный форум был...
Жаль, что никто его не чистит и не защищает от спама.
Журнал учета процедур резервного копирования
Этот журнал совсем не обязателен.
Договор заключен одним человеком, но фигурируют в нём ещё 3.
Я НАШЛА!!!)))

ГК РФ
Глава 50
. Действия в чужом интересе без поручения
Статья 980. Условия действий в чужом интересе
1. Действия без поручения, иного указания или заранее обещанного согласия заинтересованного лица в целях предотвращения вреда его личности или имуществу, исполнения его обязательства или в его иных непротивоправных интересах (действия в чужом интересе) должны совершаться исходя из очевидной выгоды или пользы и действительных или вероятных намерений заинтересованного лица и с необходимой по обстоятельствам дела заботливостью и осмотрительностью.
2. Правила, предусмотренные настоящей главой, не применяются к действиям в интересе других лиц, совершаемым государственными и муниципальными органами, для которых такие действия являются одной из целей их деятельности.

Статья 981. Уведомление заинтересованного лица о действиях в его интересе
1. Лицо, действующее в чужом интересе, обязано при первой возможности сообщить об этом заинтересованному лицу и выждать в течение разумного срока его решения об одобрении или о неодобрении предпринятых действий, если только такое ожидание не повлечет серьезный ущерб для заинтересованного лица.
2. Не требуется специально сообщать заинтересованному гражданину о действиях в его интересе, если эти действия предпринимаются в его присутствии.

Статья 982. Последствия одобрения заинтересованным лицом действий в его интересе
Если лицо, в интересе которого предпринимаются действия без его поручения, одобрит эти действия, к отношениям сторон в дальнейшем применяются правила о договоре поручения или ином договоре, соответствующем характеру предпринятых действий, даже если одобрение было устным.
Изменено: Анастасия - 28.08.2015 15:40:47
Договор заключен одним человеком, но фигурируют в нём ещё 3.
Спасибо, я так понимаю, что некоторые понятия закона, если они явно не определены, можно толковать как угодно)))
Договор заключен одним человеком, но фигурируют в нём ещё 3.
Выгодоприобретатель - это кто?
Опять же нигде не написано, кто это.
Я так понимаю, понятие выгодоприобретателя связано с получением денежной/имущественной/правовой выгоды. Но не с получением како-то услуги....
Договор заключен одним человеком, но фигурируют в нём ещё 3.
Всем привет!

Ситуация: в путешествие едет семья из 4 человек, договор заключает только 1 человек, и он же дает согласие на обработку своих персональных данных.
Что с остальными тремя? Нужно ли брать у них согласия 1) если это взрослые 2) если среди них есть ребенок .

Мне кажется, что в этом случае согласие субъектов (несовершеннолетних в том числе) брать не нужно, т.к. это условие попадает под п.5 ч.1 ст.6 ФЗ "О персональных данных": "5) обработка персональных данных необходима для...заключения договора по инициативе субъекта персональных данных".

Как обстоят дела на самом деле?

Пыталась обосновать с точки зрения представительства этим человеком интересов других, но ничего похожего в ГК не нашла.
Обработка по поручению или на основе договора, Особенности понимания приказа №21 ФСТЭК
Цитата
Денис Барков пишет:

Денис, в абзаце 1 статьи 2 речь идёт о том, что безопасность обеспечивает оператор или, если между оператором и каким-то другим лицом был заключен договор-поручение (по ч.3 ст.6 ФЗ-152), то это другое лицо. Лицензии на ТЗКИ тут никакой не надо, речь идёт об обычной обработке и защите в соответствии с законом 152.

А во 2-м абзаце имеется в виду, что оператор или другое лицо, которое обрабатывает ПДн по поручению, может нанять специализированную организацию, которая за деньги приведёт ИСПДн в соответствие с законом 152. Вот такой организации лицензия нужна. Правильно написал SOKOL, такая организация получает прибыль от этой деятельности.
Договор между фирмой и банком по зарплатному проекту. Нет поручения.
Сегодня на вебинаре Емельянникова задала ему этот вопрос.
Ответ:
обработка ПДн работников в рамках зарплатного проекта не является поручением на обработку, это договор на оказание услуг.
Договор между фирмой и банком по зарплатному проекту. Нет поручения.
Цитата
Владимир Путинков пишет:
В договоре по обслуживанию в рамках зарплатного проекта с использованием банковских карт должна быть определена обязанность банка соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке. Должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со ст. 19 ФЗ 152.

Владимир, аргументируйте.

Цитата
AlexG пишет:
И вообще, имеет ли здесь место поручение банку обработки ПДн? Или это передача ПДн для реализации определенной цели (выплата зарплаты)?

Правильно, мы должны разобрать цепочку.

Банк - оператор. Банк определяет цель - "выплата з/п", состав ПДн для реализации услуги "выплата з/п"
и действия с ними.
А ещё банк определяет угрозы и параметры безопасности ПДн клиентов в своей ИСПДн.

Фирма - оператор. Фирма берёт у работников ПДн и передаёт их в банк для реализации цели "выплата з/п".

По закону, оператор поручает обработку другому лицу, а не другому оператору.
Значит, передача ПДн другому оператору не будет поручением.

Другое лицо не является оператором и не определяет цели, состав и действия с ПДн...

Верно я рассуждаю? :)
Договор между фирмой и банком по зарплатному проекту. Нет поручения.
Цитата
AlexG пишет:
Если там вменяемые люди - докажете

Как думаете - что написать РКНу в ответ на предписание?
Можно ли банку послать письменный запрос с просьбой подтвердить в письменном виде, что у них всё защищается как надо и потом этот ответ приложить в письмо РКНу? Ведь банк не будет переделывать договор и заключать доп. соглашение...
Договор между фирмой и банком по зарплатному проекту. Нет поручения.
Есть фирма, ООО. Есть зарплатный проект. Есть договор с банком.

Клиент прошел проверку Роскомнадзора по части обработки персональных данных.

Было выдано предписание с нарушением: «отсутствие поручения об установлении обязанности Банка (в рамках зарплатного проекта) соблюдать конфиденциальность ПД и обеспечивать безопасность ПД при их обработке».

Банк же утверждает, что договор не предусматривает наличие такого поручения.

В банке принята система безопасности в соответствии со стандартами Банка России.

Есть «ПРАВИЛА ВЫПУСКА, ОБСЛУЖИВАНИЯ И ПОЛЬЗОВАНИЯ БАНКОВСКИМИ КАРТАМИ ДЛЯ КЛИЕНТОВ - ФИЗИЧЕСКИХ ЛИЦ» в п.5.4.8. указана
обязанность банка «соблюдать тайну Счета Клиента, операций по его Счету и сведений о Клиенте. Информация о Клиенте, Счете и операциях по Счету может быть
предоставлена третьим лицам только в случаях и порядке, предусмотренном действующим законодательством Российской Федерации.».

Также в Банке издана ЧАСТНАЯ ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ДЛЯ ПДН

Вопросы:

1. Кто прав? Должна ли обработка ПДн работников в рамках зарплатного проекта передаваться Банку на основании поручения на обработку (ч.3 ст.6 ФЗ-152 «О персональных данных») с указанием перечня действий (операций) с ПДн, целей обработки, обязанности соблюдать конфиденциальность и обеспечивать безопасность ПДн, требований к защите ПДн в соответствии со ст. 19 ФЗ-152?

2. Или прав Банк, и договор о зарплатном проекте отношения к обработке ПДн не имеет? Т.е. что для такого случая поручение в рамках ч.3 ст.6 ФЗ-152 «О персональных данных» не обязательно?

3. Как тогда обосновать Роскомнадзору то, что это не является нарушением?

Я разбираюсь в ситуации и представляю интересы от лица фирмы.
Буду благодарна за помощь.
Логин и пароль являются ПДн?, Логин и пароль являются ПДн?
Связка Логин + Пароль - не ПДн
Связка ФИО + логин + Пароль - ПДн
Несертифицированные СЗИ, Можно ли нейтрализовать актуальные угрозы ИСПДн несертифицированными СЗИ
Константин, это весь ответ? Если не трудно, выложите сюда письмо с ответом целиком!
Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Хотя да, согласна, это показатели здоровья всё равно. Т.е. показатель состояния конкретного органа.

А тогда тот же вопрос про:
1. листок (справку) временной нетрудоспособности
2. Сведения о приёме лекарственного препарата, применении изделия (в рецепте из аптеки)
Изменено: Анастасия - 03.07.2015 10:28:18
Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Цитата
Константин пишет:
Добрый день!
Думаю, что относятся. Но можно от обратного. У вас есть сомнения, что данные о зрении относятся к данным о состоянии здоровья?
есть
Данные о зрении - цифры. А по цифрам поставить диагноз может только врач. Цифры к сост. здоровья не относятся, диагноз - относится...
Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Здравствуйте!
Данные о зрении относятся к спец. категории?
Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Дмитрий, я думаю
Цитата
Дмитрий пишет:
можно обойтись отдельными машинами
а именно той, что стоит в столовой.
понимание понятия информационная система персональных данных
Цитата
Дмитрий пишет:
если в ЛКС нет сертифицированого межсетевого экрана, который разграничивает доступ к ресурсу содержащему ПДн, вы сможете как то доказать проверке, что с ПК на которых не должны обрабатываться ПДн этого не делается?
А я и не буду ничего никому доказывать)
Есть модель угроз, в которой написано, какие угрозы актуальные, а какие нет. Если угроза "внутреннего нарушителя" не актуальна, зачем мне МСЭ разграничивать доступ внутри ЛС? У меня же не гос.тайна всё-таки.
Есть инструкции пользователей, есть соглашение о неразглашении, есть Положение о ПДн. Там же и ответственность. Всё это сотрудники прочитали, ознакомились, подписались.
Вот пусть проверяющие и попробуют доказать, что что-то не так.

По вашей логике, нужно тогда над АРМом админа вешать камеру, которая буудет фиксировать все его действия, мало ли, что он там делает))



Цитата
Дмитрий пишет:
Мало ли к вам какая проверка приедет...Сегодня РКН, завтра ФСТЭК, потом ФСБ, а потом и маски шоу заявятся.
Всё-таки не понимаю, откуда у вас такая паранойа, что вы интересны всем проверяющим органам, и они к вам обязательно придут, причём все вместе, и обязательно не согласятся с вашими принятыми мерами защиты...



Цитата
Дмитрий пишет:
Да и для себя, если уж делать защиту то уж нормальную, а не для отписки!
Дак нормальная защита не исключает организационную защиту! Конечно же, всё зависит от конкретной организации и конкретных сотрудников..
Филиал ФГБУ "..." по ... области.., ..используем АИС включенный в реестр..кто отвечает?!
Цитата
Гость пишет:
вернее не хочу понимать))))))где так написано что только для вновь созданных или модернизируемых!?
Смотрим примечание к ФЗ-152:
"Изменения, внесенные Федеральным законом от 25.07.2011 N 261-ФЗ, распространяются на правоотношения, возникшие с 1 июля 2011 года."
261-м ФЗ как раз и внесены изменения, касающиеся 1119, уровней защищенности и т.п.
право на установку средств защиты
Марат, прочитайте ИНФОРМАЦИОННОЕ СООБЩЕНИЕ ФСТЭК от 30 мая 2012 г. N 240/22/2222 ПО ВОПРОСУ НЕОБХОДИМОСТИ ПОЛУЧЕНИЯ ЛИЦЕНЗИИ ФСТЭК РОССИИ НА ДЕЯТЕЛЬНОСТЬ ПО ТЕХНИЧЕСКОЙ ЗАЩИТЕ
КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ.

"Получение юридическим лицом лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации является обязательным в случае, если эта деятельность направлена на получение прибыли от выполнения работ или оказания услуг по технической защите конфиденциальной информации и (или) она необходима для достижения целей деятельности, предусмотренных в учредительных документах юридического лица, а также если это юридическое лицо (уполномоченное лицо) обеспечивает техническую защиту конфиденциальной информации при ее обработке в соответствии с Федеральным законом "Об информации, информационных технологиях и о защите информации" по поручению обладателя информации конфиденциального характера и (или) заказчика информационной системы.
В случае, если деятельность по технической защите конфиденциальной информации не направлена на достижение целей деятельности, предусмотренных в учредительных документах, и (или) не связана с получением прибыли от выполнения указанных работ или оказания услуг, решение о необходимости получения соответствующей лицензии может быть принято юридическим лицом самостоятельно в соответствии с законодательством Российской Федерации."

Это значит, что если деятельность не связана с получением прибыли (вы не оказываете услуги по ТЗКИ), то можете устанавливать СЗИ сами, не получая для себя лицензию и не привлекая сторонних лицензиатов.
Страницы: 1 2 3 4 5 6 7 8 9 10 11 ... 34 След.