Объявление

**malotavr** · 24.11.2007, 17:13

Было бы интересно, ада толку от него. Положение фактически описывает, какие требования кто регулирует и дает регуляторам рехмесячный срок на то, чтобы утвердить требования.

**Stnslav** · 25.11.2007, 15:07

Просто надо готовиться, что "регуляторы" что то очередной раз нахомячат. Придумают допустим лицензирование (а это заработанные бабки для них) или еще какую аналогичную чушь.

**box_roller** · 26.11.2007, 09:29

Интересен 10-й пункт.
В случае инцидента "стрелочника" теперь искать не надо.
Его назначают официально

**George-on-Don** · 26.11.2007, 10:22

))ИМХО - это теперь, если исходить из п.4-5 - разработчики всяких там "зарплат и кадров", а так же всех АБС - автоматом - обязаны обеспечивать безопасность персональных данных в своем ПО? А значит обязательно сертификация их программ на соответствие НДВ и защиту от НСД?))) - вот было бы здорово....

**Пух575** · 26.11.2007, 13:01

George-on-Don
Боюсь, что такой халявы не будет, ибо разработчик при создании системы не собирает ПД и не обрабатывает их, ergo - проблемы поиска НДВ и "дырок" для НСД лягут на конечного пользователя системы, при этом над ним же (пользователем) будет стоять "дядя" из ФСТЭК (ФСБ,МИТС) и требовать отчёта о закрытии этих самых дырок в соответствии с требованиями законодательства Российской Федерации.Типично россиянский подход к делу, не находите?

Опять же, интересно получается: с одной стороны, банк как оператор обработки ПД обязан обеспечить их безопасность при обработке, но при этом (п.2 статьи 22 ФЗ "О персональных данных") он как тот же оператор обработки вправе обрабатывать ПД без уведомления тех самых "уполномоченных органов по защите прав субъектов персональных данных".Т.е. получается - "дуй каждый, во что горазд", только не нарушай законодательство и помни про "дядю"...

**George-on-Don** · 26.11.2007, 13:18

2 ПУХ575 - а как тогда понимать вот эти требования "5. Запросы пользователей информационной системы на получение персональных данных, включая лиц, указанных в пункте 14 настоящего Положения, а также факты предоставления персональных данных по этим запросам регистрируются автоматизированными средствами информационной системы в электронном журнале обращений....
17. Реализация требований по обеспечению безопасности информации в средствах защиты информации возлагается на их разработчиков." -это прямое указание разработчикам - теперь допустим 1Сзарплата и кадры или любое другое ПО обрабатывающее персональные данные- должны вести протоколы доступа, аудит действий с записями и тд?
К тому же ДАЖЕ есть АБС в которых это не реализовано-

- и у меня уже появляются вопросы к разработчикам одной из этих АБС))))

**malotavr** · 26.11.2007, 13:41

Не нужно путать разработчиков системы и разработчиков софта. Ответственность за обеспечение безопасности несет оператор, то есть владелец системы. В случае АБС владелец чаще всего является одноременно и разработчиком системы. Если используемые им программные продукты не имеют встроенных сертифицированных средств защиты, ему придется применять наложенные средства защиты.

Проблема не в этом, проблема в том, что, исходя из этого положения, всем без исключения юридическим лицам придется проходить аттестацию ФСТЭК. Если только ФСТЭК не разрабогтает отдеьное положение по аттестации для персональных данных, в чем я лично, зная эту гнилую контору, сильно сомневаюсь.

**Пух575** · 26.11.2007, 13:51

George-on-Don
Что касается п.15 - надо полагать, что "спасение утопающих - дело рук самих утопающих", т.е. или "крутим" разработчиков на создание отдельного доп.модуля или пишем его сами...
По п.17 - imho, он относится именно к средствам защиты информации, содержащей ПД, а не к самой информации.Т.е. если разработчик идёт навтречу требованиям пользователя своего продукта и встраивает в продукт какие-то средства защиты, то на разработку и использование этих самых средств он должен иметь лицензию.Лично мне кажется, что вся эта эпопея завершится тем, о чём уже упоминал коллега Stnslav - лицензированием продуктов разработчика и самого разработчика...
Кстати, по поводу 1С "Зарплата и кадры" - опять же п.2 статьи 22 ФЗ "О персональных данных"

malotavr
Вы полагаете, что именно ФСТЭК (или её подразделение) будет тем самым "уполномоченным органом по защите прав субъектов персональных данных"?А вот насчёт возможной аттестации соглашусь, но готов поспорить что это превратится в пустую формальность: некая сумма денежных средств - и аттестация пройдена....

**malotavr** · 26.11.2007, 14:25

Сообщение от Пух575 Посмотреть сообщение

malotavr
Вы полагаете, что именно ФСТЭК (или её подразделение) будет тем самым "уполномоченным органом по защите прав субъектов персональных данных"?А вот насчёт возможной аттестации соглашусь, но готов поспорить что это превратится в пустую формальность: некая сумма денежных средств - и аттестация пройдена....

Нет, "уполномоченный по защите прав" еще не назначен. Скорее всего им будет МинИнформСвязь (поскольку защита тайны личной жизни уже частично подподает в его юрисдикцию благодаря закону "О связи"). Но они меня интересуют в последнюю очередь.

П 3 статьи 19 закона "О персональных данных" поручает ФСБ и ФСТЭК регулировать требования по ИБ. С принятием закона образовалась совершенно дурацкая ситуация: закон отнес персональные данные к сведениям, охраняемым в соответствии с федеральными законами. Из-за этого защита персональных данных автоматически стала лицензируемым видом деятельности (см. соответствующее положение ФСТЭК). Получилось, что каждое юридическое лицо, ведущее кадровый учет, осуществляет лицензируемый вид деятельности, а значит - обязано получить лицензию ФСТЭК. Это бред, и я рассчитывал, что этот бред правительство исправит.

Получилось хуже. ситуация не только не исправилась, но добавился и еще один бредовый момент: "Достаточность принятых мер по обеспечению безопасности персональных данных при их обработке в информационных системах оценивается при проведении государственного контроля и надзора.". Сейчас существует единственный метод оценки достаточности - атестация ФСТЭК (см. "Положение по аттестации объектов информатизации по требованиям безопасности информации"). В случае персональных данных эта аттестация является добровольной.

Одно из аттестационных требований - использование при обработке персональных данных средств защиты, сертифицированных на уровнень 1Д РД Гостехкомиссии (см. "Специальные требования и рекомендации по технической защите конфиденциальной информации"). Поскольку аттестацуция является делом добровольным, до сих пор клал я и на ФСТЭК, и на их СТР-К, и на их сертифицированные продукты - не было у них полномочий меня контролировать без моего на то соизволения

Теперь, в соответствии с этим положением, я обяазн использовать только сертифицированные средства, а ФСТЭК, в порядке надзора, может меня контролировать.

В общем, не нравится мне все это. Я, и в банк-то ушел, чтобы с этим гуано больше не сталкиваться

**Пух575** · 26.11.2007, 14:40

malotavr
Мдяяя...

Но как-то с трудом верится в описанный вами ужос: масштабы работ таковы, что "либо эмир умрёт, либо ишак сдохнет"(с), т.е. либо аттестация будет носить чисто формальный характер, либо в перспективе нас ожидают кризисы

Пойти что ли, закупить впрок мыла, соли и спичек

**malotavr** · 26.11.2007, 14:53

"Строгость российского законодательства компенсируется необязательностью его исполнения".

К примеру, у половины российскких банков нет лиццензий на предоставление услуг в области распространения/обслуживания шифровальных средств. Подсудное, кстати, дело, при наличии клиент-банка с криптографией

И ничего

Никто же не собирается всех к ногтю прижимать. Просто всегда есть возможность по-быстрому срубить бабла.

**Пух575** · 26.11.2007, 15:18

malotavr
Никто же не собирается всех к ногтю прижимать
Пока "сверху" не дадут команду на организацию "образцово-показательной" порки

**Антон Дёмин** · 26.11.2007, 17:47

Коллеги, не будем горячиться.
Данное постановление принято согласно статьи 19 152-ФЗ.
Мое мнение заключается в том, что согласно пункта 1 статьи 4 те персональные данные, которые получаем мы как кредитные организации, подпадают под иные федеральные законы. Типа ПОД/ФТ.

А вот договора на прием, например, коммунальных платежей надо бы пересмотреть на предмет присутствия в них пункта согласно пункта 4 статьи 6 упомянутого закона.

**malotavr** · 26.11.2007, 18:06

Сообщение от Demin Посмотреть сообщение

Мое мнение заключается в том, что согласно пункта 1 статьи 4 те персональные данные, которые получаем мы как кредитные организации, подпадают под иные федеральные законы.

"Законодательство Российской Федерации в области персональных данных основывается на Конституции Российской Федерации и международных договорах Российской Федерации и состоит из настоящего Федерального закона и других определяющих случаи и особенности обработки персональных данных федеральных законов." И что в этом пункте указывает на то, что на кредитные организации закон не распространяется?

И этот закон, и ратифицированная думой Конвенция Совета Европы относят к защищаемым персональным данным "любые сведения об идентифицированном субъекте или субъекте, который может быть идентифицирован". В том числе - паспортные данные, сведения о финансовых операциях и т.п.

**Антон Дёмин** · 26.11.2007, 18:53

malotavr Ну, хорошо. Вы уже соблюли пункт 3 статьи 22 152-ФЗ?

**malotavr** · 27.11.2007, 10:57

НЕт

А "уполномоченный по правам", которого нужно уведомить, уже назначен?

**Пух575** · 27.11.2007, 13:34

Demin
А не скажете, каким именно образом нужно выполнять сей пункт, если согласно п.2 этой же статьи (уже писал выше) банк как оператор вправе обрабатывать ПД без уведомления этого самого "уполномоченного..."???Посылать пустые письма?

**malotavr** · 27.11.2007, 13:59

Точно

**Антон Дёмин** · 27.11.2007, 14:27

Пух575 malotavr Тогда какой смысл копья ломать? Или Стандартов ИБ Банка России нам мало?

**Пух575** · 27.11.2007, 15:16

Demin
Так вроде никто ничего и не ломал - просто посмотрели на проблему с разных сторон...

Но в том-то и дело, что закон принят не вместо, а в дополнение к уже существующим, т.е.: "мухи - отдельно, котлеты - отдельно" (с).Применительно же к ситуации вокруг ПД выглядит сие так: банк вправе не уведомлять "орган" об обработке ПД, но принять все меры (в т.ч. и аппаратно-программного характера) для безопасности этой обработки он обязан, а поскольку основная часть этих мер "завязана" на шифрование и иже с ним, на площадку вызываются два основных регулятора и контролёра в этой области - ФСБ и ФСТЭК.Вот и обсуждаем: какова будет практическая реализация всего вышеперечисленного и чем это кому чревато...

**Zems** · 27.11.2007, 20:20

Чушь какая то. Смысл этого постановления ?

**imp1ant** · 28.11.2007, 16:10

да ладно, в любом случае теперь ждать 3 месяца пока не будут разработаны четкие методические процедуры ФСБ, по которым мы и будем данный документ приводит у себя в действие. так что пока можно отдохнуть и для начала хотябы определить где в компании хранятся эти персональные данные, чтобы потом шухера было меньше.

**Savir50** · 14.01.2008, 16:08

Добрый день, коллеги!
А я вот читаю Рекомендации АРБ по реализации ФЗ №152-ФЗ. И там написано:
"В целях соблюдения положений Закона рекомендуем КО предпринимать следующие действия:
1. Уведомить по форме, предусмотренной п.3 ст.22 Закона, уполномоченный орган по защите прав субъектов ПД о намерении осуществлять обработку данных....

...Уполномоченным органом согласно ст.23 Закона является Федеральная служба по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия...

...Также обращаем внимание КО на то, что исходя из имеющейся информации, ...после 10 января 2008 года названный уполномоченный орган, обладающий широкими полномочиями (вплоть до обращения в надзорный орган с просьбой об отзыве лицензии), будет осуществлять массовые проверки исполнения Закона."

У кого какие мнения? Кто-нибудь уведомил уже???

**malotavr** · 20.01.2008, 17:44

Сообщение от Savir50 Посмотреть сообщение

У кого какие мнения? Кто-нибудь уведомил уже???

Мы - нет. По мнению наших юристов, вся наша деятельность связана с выполнением договорных обязательств, а значит - подпадает под оговоренные в ФЗ исклбчения.

**Lucea** · 11.02.2008, 21:24

а то что ЦБ готовит уведомление в эту Федслужбу, так это вашим юристам не указ ? (см. Письмо ЦБ РФ от 11.01.2008 года №1-Т)

**George-on-Don** · 12.02.2008, 08:20

Письмо ЦБ РФ от 11.01.2008 года №1-Т а Консультанте или в Гаранте эти письмо есть?) Где можно с ним ознакомиться?

**malotavr** · 12.02.2008, 14:00

Сообщение от Lucea Посмотреть сообщение

а то что ЦБ готовит уведомление в эту Федслужбу, так это вашим юристам не указ ? (см. Письмо ЦБ РФ от 11.01.2008 года №1-Т)

Естественно, готовит - в отличие от нас ЦБ РФ не имеет договорных обязательств перед физическими лицами, и исключения, прописанные в законе, на него не распространяются. Они обязаны уведомить уполномоченный орган, и они это делают.

**Алексей Лукацкий** · 12.02.2008, 14:22

Сообщение от Lucea Посмотреть сообщение

а то что ЦБ готовит уведомление в эту Федслужбу, так это вашим юристам не указ ? (см. Письмо ЦБ РФ от 11.01.2008 года №1-Т)

Как гласит это письмо ЦБ "следует учитывать, что в соответствии с частью 2 статьи 22 Федерального закона "О персональных данных" оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных, в частности:
1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
3) являющихся общедоступными персональными данными;
4) включающих в себя только фамилии, имена и отчества субъектов персональных данных;
5) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
6) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
7) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных."

**evgeniy_v** · 12.02.2008, 14:45

2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
3) являющихся общедоступными персональными данными;
Если я клиент-физик банка и осуществляю платеж, о котором сообщается в ФСФМ, то мои данные видимо передаются третьей стороне без моего согласия - значит Банки под это исключения не попадают. Надеюсь, я ошибся в своих рассуждениях??

Объявление

Постановление Правительства РФ по персональным данным

Постановление Правительства РФ по персональным данным

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий