Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Минюст обязал банки проводить пентесты и аудит кибербезопасности

13/08/2018

Банки обяжут соблюдать новые меры кибербезопасности, среди которых обязательными являются аудит информационной безопасности, различные тестирования на проникновение (пентесты), обязательная сертификация использованного программного обеспечения.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: 1 2 3 4 5 6 7 8 9 10 11 ... 34 След.
Журнал учета процедур резервного копирования
Этот журнал совсем не обязателен.
Договор заключен одним человеком, но фигурируют в нём ещё 3.
Я НАШЛА!!!)))

ГК РФ
Глава 50
. Действия в чужом интересе без поручения
Статья 980. Условия действий в чужом интересе
1. Действия без поручения, иного указания или заранее обещанного согласия заинтересованного лица в целях предотвращения вреда его личности или имуществу, исполнения его обязательства или в его иных непротивоправных интересах (действия в чужом интересе) должны совершаться исходя из очевидной выгоды или пользы и действительных или вероятных намерений заинтересованного лица и с необходимой по обстоятельствам дела заботливостью и осмотрительностью.
2. Правила, предусмотренные настоящей главой, не применяются к действиям в интересе других лиц, совершаемым государственными и муниципальными органами, для которых такие действия являются одной из целей их деятельности.

Статья 981. Уведомление заинтересованного лица о действиях в его интересе
1. Лицо, действующее в чужом интересе, обязано при первой возможности сообщить об этом заинтересованному лицу и выждать в течение разумного срока его решения об одобрении или о неодобрении предпринятых действий, если только такое ожидание не повлечет серьезный ущерб для заинтересованного лица.
2. Не требуется специально сообщать заинтересованному гражданину о действиях в его интересе, если эти действия предпринимаются в его присутствии.

Статья 982. Последствия одобрения заинтересованным лицом действий в его интересе
Если лицо, в интересе которого предпринимаются действия без его поручения, одобрит эти действия, к отношениям сторон в дальнейшем применяются правила о договоре поручения или ином договоре, соответствующем характеру предпринятых действий, даже если одобрение было устным.
Изменено: Анастасия - 28.08.2015 15:40:47
Договор заключен одним человеком, но фигурируют в нём ещё 3.
Спасибо, я так понимаю, что некоторые понятия закона, если они явно не определены, можно толковать как угодно)))
Договор заключен одним человеком, но фигурируют в нём ещё 3.
Выгодоприобретатель - это кто?
Опять же нигде не написано, кто это.
Я так понимаю, понятие выгодоприобретателя связано с получением денежной/имущественной/правовой выгоды. Но не с получением како-то услуги....
Договор заключен одним человеком, но фигурируют в нём ещё 3.
Всем привет!

Ситуация: в путешествие едет семья из 4 человек, договор заключает только 1 человек, и он же дает согласие на обработку своих персональных данных.
Что с остальными тремя? Нужно ли брать у них согласия 1) если это взрослые 2) если среди них есть ребенок .

Мне кажется, что в этом случае согласие субъектов (несовершеннолетних в том числе) брать не нужно, т.к. это условие попадает под п.5 ч.1 ст.6 ФЗ "О персональных данных": "5) обработка персональных данных необходима для...заключения договора по инициативе субъекта персональных данных".

Как обстоят дела на самом деле?

Пыталась обосновать с точки зрения представительства этим человеком интересов других, но ничего похожего в ГК не нашла.
[ Закрыто] Обработка по поручению или на основе договора, Особенности понимания приказа №21 ФСТЭК
Цитата
Денис Барков пишет:

Денис, в абзаце 1 статьи 2 речь идёт о том, что безопасность обеспечивает оператор или, если между оператором и каким-то другим лицом был заключен договор-поручение (по ч.3 ст.6 ФЗ-152), то это другое лицо. Лицензии на ТЗКИ тут никакой не надо, речь идёт об обычной обработке и защите в соответствии с законом 152.

А во 2-м абзаце имеется в виду, что оператор или другое лицо, которое обрабатывает ПДн по поручению, может нанять специализированную организацию, которая за деньги приведёт ИСПДн в соответствие с законом 152. Вот такой организации лицензия нужна. Правильно написал SOKOL, такая организация получает прибыль от этой деятельности.
[ Закрыто] Договор между фирмой и банком по зарплатному проекту. Нет поручения.
Сегодня на вебинаре Емельянникова задала ему этот вопрос.
Ответ:
обработка ПДн работников в рамках зарплатного проекта не является поручением на обработку, это договор на оказание услуг.
[ Закрыто] Договор между фирмой и банком по зарплатному проекту. Нет поручения.
Цитата
Владимир Путинков пишет:
В договоре по обслуживанию в рамках зарплатного проекта с использованием банковских карт должна быть определена обязанность банка соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке. Должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со ст. 19 ФЗ 152.

Владимир, аргументируйте.

Цитата
AlexG пишет:
И вообще, имеет ли здесь место поручение банку обработки ПДн? Или это передача ПДн для реализации определенной цели (выплата зарплаты)?

Правильно, мы должны разобрать цепочку.

Банк - оператор. Банк определяет цель - "выплата з/п", состав ПДн для реализации услуги "выплата з/п"
и действия с ними.
А ещё банк определяет угрозы и параметры безопасности ПДн клиентов в своей ИСПДн.

Фирма - оператор. Фирма берёт у работников ПДн и передаёт их в банк для реализации цели "выплата з/п".

По закону, оператор поручает обработку другому лицу, а не другому оператору.
Значит, передача ПДн другому оператору не будет поручением.

Другое лицо не является оператором и не определяет цели, состав и действия с ПДн...

Верно я рассуждаю? :)
[ Закрыто] Договор между фирмой и банком по зарплатному проекту. Нет поручения.
Цитата
AlexG пишет:
Если там вменяемые люди - докажете

Как думаете - что написать РКНу в ответ на предписание?
Можно ли банку послать письменный запрос с просьбой подтвердить в письменном виде, что у них всё защищается как надо и потом этот ответ приложить в письмо РКНу? Ведь банк не будет переделывать договор и заключать доп. соглашение...
[ Закрыто] Договор между фирмой и банком по зарплатному проекту. Нет поручения.
Есть фирма, ООО. Есть зарплатный проект. Есть договор с банком.

Клиент прошел проверку Роскомнадзора по части обработки персональных данных.

Было выдано предписание с нарушением: «отсутствие поручения об установлении обязанности Банка (в рамках зарплатного проекта) соблюдать конфиденциальность ПД и обеспечивать безопасность ПД при их обработке».

Банк же утверждает, что договор не предусматривает наличие такого поручения.

В банке принята система безопасности в соответствии со стандартами Банка России.

Есть «ПРАВИЛА ВЫПУСКА, ОБСЛУЖИВАНИЯ И ПОЛЬЗОВАНИЯ БАНКОВСКИМИ КАРТАМИ ДЛЯ КЛИЕНТОВ - ФИЗИЧЕСКИХ ЛИЦ» в п.5.4.8. указана
обязанность банка «соблюдать тайну Счета Клиента, операций по его Счету и сведений о Клиенте. Информация о Клиенте, Счете и операциях по Счету может быть
предоставлена третьим лицам только в случаях и порядке, предусмотренном действующим законодательством Российской Федерации.».

Также в Банке издана ЧАСТНАЯ ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ДЛЯ ПДН

Вопросы:

1. Кто прав? Должна ли обработка ПДн работников в рамках зарплатного проекта передаваться Банку на основании поручения на обработку (ч.3 ст.6 ФЗ-152 «О персональных данных») с указанием перечня действий (операций) с ПДн, целей обработки, обязанности соблюдать конфиденциальность и обеспечивать безопасность ПДн, требований к защите ПДн в соответствии со ст. 19 ФЗ-152?

2. Или прав Банк, и договор о зарплатном проекте отношения к обработке ПДн не имеет? Т.е. что для такого случая поручение в рамках ч.3 ст.6 ФЗ-152 «О персональных данных» не обязательно?

3. Как тогда обосновать Роскомнадзору то, что это не является нарушением?

Я разбираюсь в ситуации и представляю интересы от лица фирмы.
Буду благодарна за помощь.
[ Закрыто] Логин и пароль являются ПДн?, Логин и пароль являются ПДн?
Связка Логин + Пароль - не ПДн
Связка ФИО + логин + Пароль - ПДн
Несертифицированные СЗИ, Можно ли нейтрализовать актуальные угрозы ИСПДн несертифицированными СЗИ
Константин, это весь ответ? Если не трудно, выложите сюда письмо с ответом целиком!
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Хотя да, согласна, это показатели здоровья всё равно. Т.е. показатель состояния конкретного органа.

А тогда тот же вопрос про:
1. листок (справку) временной нетрудоспособности
2. Сведения о приёме лекарственного препарата, применении изделия (в рецепте из аптеки)
Изменено: Анастасия - 03.07.2015 10:28:18
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Цитата
Константин пишет:
Добрый день!
Думаю, что относятся. Но можно от обратного. У вас есть сомнения, что данные о зрении относятся к данным о состоянии здоровья?
есть
Данные о зрении - цифры. А по цифрам поставить диагноз может только врач. Цифры к сост. здоровья не относятся, диагноз - относится...
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Здравствуйте!
Данные о зрении относятся к спец. категории?
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Дмитрий, я думаю
Цитата
Дмитрий пишет:
можно обойтись отдельными машинами
а именно той, что стоит в столовой.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Цитата
Гость пишет:
документ о учете применяемых технических средств защиты информации, эксплуатационной и технической документации ? если да, то что именно в нем должно быть отражено ?
Он называется Журнал УЧЕТА средств защиты информации, эксплуатационной и технической документации к ним.
Содержит таблицу:
1. № пп
2. Наименование СЗИ
3. Зав.№ СЗИ
4. Дата ввода в эксплуатацию
5. Сведения о сертификате на СЗИ
6. Название организации / ФИО сотрудника, установившего СЗИ
7. Примечание.
понимание понятия информационная система персональных данных
Цитата
Дмитрий пишет:
если в ЛКС нет сертифицированого межсетевого экрана, который разграничивает доступ к ресурсу содержащему ПДн, вы сможете как то доказать проверке, что с ПК на которых не должны обрабатываться ПДн этого не делается?
А я и не буду ничего никому доказывать)
Есть модель угроз, в которой написано, какие угрозы актуальные, а какие нет. Если угроза "внутреннего нарушителя" не актуальна, зачем мне МСЭ разграничивать доступ внутри ЛС? У меня же не гос.тайна всё-таки.
Есть инструкции пользователей, есть соглашение о неразглашении, есть Положение о ПДн. Там же и ответственность. Всё это сотрудники прочитали, ознакомились, подписались.
Вот пусть проверяющие и попробуют доказать, что что-то не так.

По вашей логике, нужно тогда над АРМом админа вешать камеру, которая буудет фиксировать все его действия, мало ли, что он там делает))



Цитата
Дмитрий пишет:
Мало ли к вам какая проверка приедет...Сегодня РКН, завтра ФСТЭК, потом ФСБ, а потом и маски шоу заявятся.
Всё-таки не понимаю, откуда у вас такая паранойа, что вы интересны всем проверяющим органам, и они к вам обязательно придут, причём все вместе, и обязательно не согласятся с вашими принятыми мерами защиты...



Цитата
Дмитрий пишет:
Да и для себя, если уж делать защиту то уж нормальную, а не для отписки!
Дак нормальная защита не исключает организационную защиту! Конечно же, всё зависит от конкретной организации и конкретных сотрудников..
Филиал ФГБУ "..." по ... области.., ..используем АИС включенный в реестр..кто отвечает?!
Цитата
Гость пишет:
вернее не хочу понимать))))))где так написано что только для вновь созданных или модернизируемых!?
Смотрим примечание к ФЗ-152:
"Изменения, внесенные Федеральным законом от 25.07.2011 N 261-ФЗ, распространяются на правоотношения, возникшие с 1 июля 2011 года."
261-м ФЗ как раз и внесены изменения, касающиеся 1119, уровней защищенности и т.п.
право на установку средств защиты
Марат, прочитайте ИНФОРМАЦИОННОЕ СООБЩЕНИЕ ФСТЭК от 30 мая 2012 г. N 240/22/2222 ПО ВОПРОСУ НЕОБХОДИМОСТИ ПОЛУЧЕНИЯ ЛИЦЕНЗИИ ФСТЭК РОССИИ НА ДЕЯТЕЛЬНОСТЬ ПО ТЕХНИЧЕСКОЙ ЗАЩИТЕ
КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ.

"Получение юридическим лицом лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации является обязательным в случае, если эта деятельность направлена на получение прибыли от выполнения работ или оказания услуг по технической защите конфиденциальной информации и (или) она необходима для достижения целей деятельности, предусмотренных в учредительных документах юридического лица, а также если это юридическое лицо (уполномоченное лицо) обеспечивает техническую защиту конфиденциальной информации при ее обработке в соответствии с Федеральным законом "Об информации, информационных технологиях и о защите информации" по поручению обладателя информации конфиденциального характера и (или) заказчика информационной системы.
В случае, если деятельность по технической защите конфиденциальной информации не направлена на достижение целей деятельности, предусмотренных в учредительных документах, и (или) не связана с получением прибыли от выполнения указанных работ или оказания услуг, решение о необходимости получения соответствующей лицензии может быть принято юридическим лицом самостоятельно в соответствии с законодательством Российской Федерации."

Это значит, что если деятельность не связана с получением прибыли (вы не оказываете услуги по ТЗКИ), то можете устанавливать СЗИ сами, не получая для себя лицензию и не привлекая сторонних лицензиатов.
Страницы: 1 2 3 4 5 6 7 8 9 10 11 ... 34 След.