Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

ФСБ: Национальному координационному центру по компьютерным инцидентам быть!

13/10/2018

Директор ФСБ России Александр Бортников распорядился создать государственный орган по борьбе с кибератаками. Текст соответствующего приказа размещен на официальном интернет-портале правовой информации.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: 1 2 3 4 5 6 7 8 9 10 11 ... 16 След.
ИСПДН или справочник контактов в Outlook, ИСПДН или справочник контактов в Outlook
Тут вопрос, для достижения каких целей размещаются фотографии. Если для того, чтобы можно было узнать работников - это биометрические ПДн без вариантов.

По поводу биометрии есть разъяснения РосКомНадзора:
https://pd.rkn.gov.ru/press-service/subject1/news2729/

А так, да, надо брать согласие субъектов, причем обязательно в письменной форме, как того требует 152-ФЗ.
[ Закрыто] Что делать если клиент отказывается подписать согласие на обработку ПДн?
Цитата
У клиентов мы берем меньше ПДн,...а предоставил я список того, что подавали в Роскомнадзор, а там и ПДн сотрудников попали, поэтому так много и получилось.
Так Вы и пишите в согласии для клиентов только те персональные данные, обработка которых необходима для заключения и выполнения договора с ними.
Перечень, который подан в Роскомнадзор является расширительным, т.е. с одной категории субъектов ПДн (работников своей фирмы) собирается один перечень ПДн, с клиентов - другой.
План проверок
Владимир, посмотрите на сайте прокуратуры субъекта Федерации. Там может быть план в виде Excel (по крайней мере, так у прокуратуры СПб и ЛО).
План проверок
Сергей С., спасибо за идею! На сайте нашего ТУ опубликован уже полный план проверок на 2013 год.
Теперь ждем план проверок ФСТЭК
Изменено: Kutyrs - 13.12.2012 10:21:05
Уведомление контролирующих органов, в связи с изменением в кадровой структуре
Цитата
Gosha пишет:
С месяц назад прошла проверка РКН на одном из наших предприятий. Уведомления они не подавали - мол у нас только трудовые отношения. После проверки естественно уведомление срочным образом составили и отослали. В акте проверки было написано замечание: предприятие обрабатывает ПДн кандидатов на трудоустройство - значит не подпадает под исключение, трудовых отношений нет, уведомление обязаны отослать.
Я конечно не знаю подробностей. но почему Вы не сослались на второе исключение из п.2 ст.22:
2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
....
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

Изменено: Kutyrs - 03.12.2012 09:14:11
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Карбер, я не согласен с тем, что можно умолчать, "если будут ставить для веселья".
Т.е. умолчать-то конечно можно, но тогда аттестат соответствия уже действовать не будет, да и говорить о обеспечении безопасности ПДн будет нельзя.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Карбер, а я не согласен.
Судя по любимому адептами аттестации ИСПДн СТР-К, в аттестате соответствия должно быть сказано:
Цитата
При эксплуатации АС запрещается:
• вносить изменения в комплектность АС, которые могут снизить уровень защищенности информации;
• подключать к основным техническим средствам нештатные блоки и устройства;
• вносить изменения в состав, конструкцию, конфигурацию, размещение средств вычислительной техники;
Поэтому при проведении wi-fi на ПК, входящие в аттестованную ИСПДн, всю тягомотину с аттестацией придется проводить еще раз.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Цитата
Карбер пишет:
По защите ПД, которые тоже конфиденциальные с госучреждениями уже сказал
Но есть еще один нюанс: СТР-К не распространяется на защиту персональных данных.
Поэтому, можно сказать, что требование СТР-К по аттестации ГИР - общая правовая норма, отсутствие прямых требований по аттестации ИСПДн (даже в гос.учреждениях) - частная правовая норма ;)
Аттестация ИСПДн
Цитата
Гость пишет:
Вот и делайте выводы....
это интерент версия СТР-к, закрытую версию цитировать не буду ( она почти не отличается касательно данных строк)
Делать выводы из чего? Из интернет-версии, что ли?
И насколько она коррелирует с действующей версией? По моим сведениям - практически не коррелирует, емнип даже нумерация другая. :D

И зачем тогда ФСТЭК мутил воду сначала с четырехкнижием, а потом с 58 приказом, раз по-Вашему СТР-К распространяется на защиту ПДн?
Изменено: Kutyrs - 27.12.2011 12:25:36
Аттестация ИСПДн
Цитата
Гость пишет:
Не корректно написал. Не определено словосочетание конфиденциальная информация, есть лишь конфиденциальность информации, но сути не меняет.
Меняет, причем кардинально.
149-ФЗ устанавливает определнные виды информации, а также требование, что
Цитата
Информация в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа).
Поэтому применять для определения информации, доступ к которой ограничен, указ № 188 неверно с юр. точки зрения.

Цитата
Гость пишет:
Требования СТР-к относятся к ПДн
Нет, требования СТР-К не относятся к ПДн, т.к. в этом случае состоялось бы решение ФСТЭК о распространении СТР-К на защиту ПДн. Однако ФСТЭК разработал отдельные документы по защите ПДн.

Цитата
в СТР-к написано что он ОБЯЗАТЕЛЕН для исполнения в гос органах.
В каком пункте это написано?
Аттестация ИСПДн
Цитата
Гость пишет:
информаиця делется на общедоступную и с ограниченным доступом, с ограниченным доступом делется на секретнуюи конфиденциальную.
Цитату не приведете?
емнип в 149-ФЗ вообще не употребляется термин "конфиденциальная информация".

Цитата
Maxim пишет:
ПД - информация конфиденциальная (Указ Президента Российской Федерации от 6 марта 1997 года № 188)
В соответствии с 149-ФЗ, категории информации устанавливаются только федеральными законами. В 149-ФЗ термина "конфиденциальная информация" нет, поэтому Ваша цепочка не имеет юр.силы.

Цитата
Maxim пишет:
СТР-к - обязательны для выполнения гос. учреждениями.
Не свосем так. Требования СТР-К распространяются на защиту государственных информационных ресурсов.
Изменено: Kutyrs - 26.12.2011 15:02:35
[ Закрыто] Согласие на обработку ПДн, Согласие на дисклеймерах
Цитата
Николай пишет:
я имел ввиду внутрипринятые анкеты для приема на работу, в каждой организации они есть, согласия как я счетаю письменного в установленной форме брать не нужно, а вот соответствовать ПП687 они должны? они может и типовые, но для конкретной организации
Утвердите форму этих анкет отдельным приказом, напишите инструкцию по их заполнению и включите в нее требуемые положения по персональным данным.
Обязательство о неразглашении
Цитата
incognitus пишет:
Вопрос такой: можем ли мы брать обязательство о неразглашении с сотрудников другого юр.лица при предоставлении доступа к нашей ИСПДн.
имхо: если с этим юр.лицом заключен договор, включающий обязательства этого юр.лица сохранять конфиденциальность ПДн, а также положение, что юр.лицо несет ответственность за действия своих работников - то Вам брать обязательство не нужно. Пусть этим озадачивается контрагент.
[ Закрыто] О пд НЕКОТОРЫЕ ВОПРОСЫ
емнип оно секретное...
Изменено: Kutyrs - 08.12.2011 09:41:44
ПЛАН ПРОВЕРОК 2012, Роскомнадзор опубликовал план проверок на 2012 год
Да Вы что? Тут рядом: http://www.ispdn.ru/forum/index.php?PAGE_NAME=read&FID=1&TID=2282
Изменено: Kutyrs - 30.11.2011 12:35:38
[ Закрыто] Новые требования, В 2012 году у Закона о защите персональных данных появятся новые подзаконные акты
Подниму тему. Нашел на сайте Роскомнадзора следующую информацию:
Цитата
"Сейчас органы Федеральной службы безопасности и Федеральной службы по техническому и экспортному контролю разработают некие минимальные требования, в соответствии с которыми каждый оператор персональных данных уже будет устанавливать достаточную систему защиты. В соответствии с графиком, эти документы будут готовы до конца года", - заключил он [замглавы Роскомнадзора Роман Шередин].
http://www.pd.rsoc.ru/press-service/subject1/news1103.htm
т.е.. ждем подзаконники уже в этом году? :o
Изменено: Kutyrs - 28.11.2011 14:30:21
Лицензия на составление документации
Да, читайте Положение о лицензировании ТЗКИ, там четко определено, что относится к ТЗКИ. Оформление организационных документов не притянуть ни под один пункт.
Помогите разобраться с юр. вопросом
Настя, этому спору уже больше двух лет. Копий по вопросу необходимости получения оператором лицензии на ТЗКИ в случае, если он самостоятельно принимает меры по защите ПДн, сломано немало.
Я также поддерживаю Ваше мнение, что лицензия по ТЗКИ не нужна в случае, если оператор не осуществляет предпринимательскую деятельность (т.е. деятельность, направленную на извлечение прибыли) по ТЗКИ. А ведь именно такие виды деятельности должны быть прописаны в учредительных документаз оператора. Единственное исключение - виды деятельности, обязательность лицензирования которых прописана специальными правовыми нормами.
Лучшие мировые практики по защите персональных данных
Сомневаюсь я однако в отношении Анголы, Бенина, Кабо-Верде, Сенегала и Туниса...
[ Закрыто] Лицензирование на проведение работ по ГТ. Оборудование для ГТ
Отвечаю:
Цитата
в каком документе предъявлены требования к оборудованию (их технические требования) для проведения работ по аттестации ГТ для АРМ и ВП
Есть соответствующие "Методики контроля", к ним приложением идет "Перечень технических характеристик измерительных приборов и устройств, используемых в работах по методикам". Если я правильно помню, для аттестации по ГТ они секретные, поэтому их просто так не получить, нужно запрашивать во ФСТЭК.

Цитата
А также порядок проведения работ для получении лицензий по ГТ
Постановление правительства РФ № 333 от 1995 года
Страницы: 1 2 3 4 5 6 7 8 9 10 11 ... 16 След.