24 апреля, среда 19:48
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Постановление Правительства РФ по персональным данным

Свернуть
Это важная тема.
X
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • #61
    Сообщение от George-on-Don Посмотреть сообщение
    Вопросик возникает - в любой банковской АБС есть данные о клиентах (справочники физичесикх лиц, данные о руководителях предприятий, сведения о паспортах и месте проживания + ФИО клиента и тд.) - т.е. любая АБС явлется "информационной системой" обрабатывающией персональные данные (согл 781 постановления правительства РФ)- а значит необходима аттестация любой АБС для работы с ПД? -и разработчики АБС обязаны привести их в соответствие требованиям пост правительства №781 ?
    Вопрос несвоевременный

    Действующие нормативные правовые акты не требуют аттестации АС, обрабатывающих ПД. Проблема может возникнуть, если обязательность аттестации будет прописана в новых НПА. Но лично я в этом сомневаюсь: органы по аттестации не умеют аттестовывать такие сложные распределенные системы как АБС, это вам в любом аттестационном уентре подтвердят Так что не думаю, что ФСТЭК сама перед собой неразрешимую задачу поставит.

    Комментарий


    • #62
      Сообщение от malotavr Посмотреть сообщение
      Вопрос несвоевременный

      Действующие нормативные правовые акты не требуют аттестации АС, обрабатывающих ПД. Проблема может возникнуть, если обязательность аттестации будет прописана в новых НПА. Но лично я в этом сомневаюсь: органы по аттестации не умеют аттестовывать такие сложные распределенные системы как АБС, это вам в любом аттестационном уентре подтвердят Так что не думаю, что ФСТЭК сама перед собой неразрешимую задачу поставит.
      Жаль а то я уже хотел нагнуть разработчиков используемой банком АБС на доработку))
      Мы продолжаем делать то, что мы уже много наделали

      Комментарий


      • #63
        Последние сведения из первых уст. Требования уже разработаны и утверждены. Сейчас они проходят регистрацию в Минюсте. Будут опубликованы в конце марта. Все это будет выполнено в виде 4-х документов, в которых в частности будет приведена классификация (6 типов) систем обработки персданных, которые будут выбирать для себя ОПЕРАТОРЫ и для каждой из которых будут свои требования по безопасности, в т.ч. и по обязательной или необязательной сертификации. Но занизить себе класс (и уйти от многих требований) регуляторы не дадут (по крайней мере на словах) и будут контролировать это.

        Комментарий


        • #64
          Сообщение от Алексей Лукацкий Посмотреть сообщение
          Последние сведения из первых уст. Требования уже разработаны и утверждены. Сейчас они проходят регистрацию в Минюсте. Будут опубликованы в конце марта. Все это будет выполнено в виде 4-х документов, в которых в частности будет приведена классификация (6 типов) систем обработки персданных, которые будут выбирать для себя ОПЕРАТОРЫ и для каждой из которых будут свои требования по безопасности, в т.ч. и по обязательной или необязательной сертификации. Но занизить себе класс (и уйти от многих требований) регуляторы не дадут (по крайней мере на словах) и будут контролировать это.
          Очень хорошо - а можно набраться наглости и попросить Вас- если у Вас появится, из того же источника, информация о том где и когда эти документы можно будет увидеть в опубликованном виде))- Вы нам просигнализируете?
          Мы продолжаем делать то, что мы уже много наделали

          Комментарий


          • #65
            в Консультанте появится. но я просигнализирую

            Комментарий


            • #66
              Презентация Михаила Емельянникова http://www.cnews.ru/reviews/articles...eljannikov.ppt

              Комментарий


              • #67
                Сообщение от barmalei Посмотреть сообщение
                Презентация Михаила Емельянникова http://www.cnews.ru/reviews/articles...eljannikov.ppt
                А на 5 странице презентации то наврали...то, что там перечислено - исключения, когда не надо получать согласия от субъекта.

                Комментарий


                • #68
                  Аттестацию придется проходить в любом случае, так как в соответствии с СТР-К объекты информатизации, обрабатывающие конфиденциальную информацию, должны быть атестованы по требованиям безопасности информации.

                  Комментарий


                  • #69
                    Извинияюсь за прошлый свой пост: попутал с датами сообщений.

                    Комментарий


                    • #70
                      shil Аттестацию придется проходить в любом случае, так как в соответствии с СТР-К объекты информатизации, обрабатывающие конфиденциальную информацию, должны быть атестованы по требованиям безопасности информации.
                      А как Вы прокомментируете это:
                      http://dom.bankir.ru/showthread.php?...94#post2277694
                      С уважением, Антон

                      Комментарий


                      • #71
                        Сообщение от Demin Посмотреть сообщение
                        shil в соответствии с СТР-К объекты информатизации, обрабатывающие конфиденциальную информацию, должны быть атестованы по требованиям безопасности информации.
                        А как Вы прокомментируете это:
                        http://dom.bankir.ru/showthread.php?...94#post2277694
                        А также вот это: "Обязательной аттестации подлежат объекты информатизации, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров."

                        Это "Положение об аттестации объектов информатизации..."

                        Комментарий


                        • #72
                          Сообщение от Алексей Лукацкий Посмотреть сообщение
                          в Консультанте появится. но я просигнализирую
                          -Март уж закончился а документов в К+ еще нет - задерживают с публикацей или до Консультанта с Плюсом еще не дошло?
                          Мы продолжаем делать то, что мы уже много наделали

                          Комментарий


                          • #73
                            Вы так ждете этих документов как будто надеетесь найти в них что-то для себя новое. Правительство РФ, ФСТЭК, ФСБ и т.п. - это не профессиональные ассоциации по защите информации, разрабатывающие какие-то новые требования и стандарты.

                            Всем операторам персональных данных надо будет как можно скорее скинутся и запастись новыми сертификатами, аттестатами и лицензиями. Если вы еще этого не сделали, то могли бы начать, и не дожидаясь официальной публикации документов

                            Комментарий


                            • #74
                              я интересовался у людей из ФСТЭК (правда в регионе) -они еще ничего не видели, даже проектов этих документов. Хотя как правило им всегда присылают все проекты новых документов на согласование. Единственное, сказали, что слышали - скоро. Думаю к концу апреля.
                              А вообще в корне не верно то, что ПД отнесли к конфиденциальной информации. Что же теперь, все должны получить лицензии и пройти аттестацию (начиная с частных предпринимателей) ???
                              И еще, у ФСТЭК нет столько сотрудников, чтобы все это дело проконтролировать. Будут чисто точечные удары и в конце концов все это дело встанет. Тем более, что ФСТЭК осталось жить недолго

                              Комментарий


                              • #75
                                Всем операторам персональных данных надо будет как можно скорее скинутся и запастись новыми сертификатами, аттестатами и лицензиями. и это делаем тоже))))
                                Мы продолжаем делать то, что мы уже много наделали

                                Комментарий


                                • #76
                                  oligarh А вообще в корне не верно то, что ПД отнесли к конфиденциальной информации. Что же теперь, все должны получить лицензии и пройти аттестацию (начиная с частных предпринимателей) ???

                                  Или заключить договор с конторой, которая такую лицензию имеет.

                                  George-on-Don Март уж закончился а документов в К+ еще нет - задерживают с публикацей или до Консультанта с Плюсом еще не дошло?

                                  Находится в МинЮсте пока. До 17-го апреля должно все появиться. Только дело в том, что доступным всем будет только совместный приказ ФСБ, ФСТЭК и Мининформсвязи по классификации систем ПДн, а вот модель угроз, рекомендации по защите и другие 4 документа будут доступны... только лицензиатам ФСТЭК (ФСБшных требований никто не видел), т.к. они имеют гриф ДСП!

                                  Комментарий


                                  • #77
                                    приказ ФСБ, ФСТЭК и Мининформсвязи по классификации систем ПДн ИМХО для начала (мне) и этого будет достаточно...
                                    Мы продолжаем делать то, что мы уже много наделали

                                    Комментарий


                                    • #78
                                      George-on-Don для начала (мне) и этого будет достаточно..

                                      Наверное... при условии, что там будут прописаны не только критерии классификации, но и требования по защите к системам разных классов. В противном случае знание классов будет совершенно бесполезным, т.к. никаикх практических следствий из него не последует.

                                      Комментарий


                                      • #79
                                        Сообщение от Алексей Лукацкий Посмотреть сообщение
                                        George-on-Don для начала (мне) и этого будет достаточно..

                                        Наверное... при условии, что там будут прописаны не только критерии классификации, но и требования по защите к системам разных классов. В противном случае знание классов будет совершенно бесполезным, т.к. никаикх практических следствий из него не последует.
                                        Угу- на это и расчитываю))
                                        Мы продолжаем делать то, что мы уже много наделали

                                        Комментарий


                                        • #80
                                          ФСТЭК РФ разработало нормативно-методические документы по защите персональных данных. Документы с грифом ДСП, публиковаться в средствах массовой информации, справочно-правовых системах Консультант Плюс, Гарант не будут. Представительства ФСТЭК по округам получили следующие документы:
                                          1.«Методика определения актуальных угроз безопасности персональных данных при их обработке, в информационных системах персональных данных» (утверждена 14 февраля 2008г. заместителем директора ФСТЭК России);
                                          2. «Базовая модель угроз безопасности персональных данных при их обработке, в информационных системах персональных данных» (утверждена 15 февраля 2008г. заместителем директора ФСТЭК России);
                                          3. «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» (утверждены 15 февраля 2008г.
                                          заместителем директора ФСТЭК России);
                                          4. «Рекомендации по обеспечению безопасности персональных данных при их обработке, в информационных системах персональных данных» (утверждены 15 февраля 2008 г. заместителем директора ФСТЭК России).
                                          Документы можно будет приобрести у ФСТЭК в ближайшее время (какое неизвестно).

                                          Комментарий


                                          • #81
                                            Сообщение от igor60 Посмотреть сообщение
                                            ФСТЭК РФ разработало нормативно-методические документы по защите персональных данных. Документы с грифом ДСП, публиковаться в средствах массовой информации, справочно-правовых системах Консультант Плюс, Гарант не будут. Представительства ФСТЭК по округам получили следующие документы:
                                            1.«Методика определения актуальных угроз безопасности персональных данных при их обработке, в информационных системах персональных данных» (утверждена 14 февраля 2008г. заместителем директора ФСТЭК России);
                                            2. «Базовая модель угроз безопасности персональных данных при их обработке, в информационных системах персональных данных» (утверждена 15 февраля 2008г. заместителем директора ФСТЭК России);
                                            3. «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» (утверждены 15 февраля 2008г.
                                            заместителем директора ФСТЭК России);
                                            4. «Рекомендации по обеспечению безопасности персональных данных при их обработке, в информационных системах персональных данных» (утверждены 15 февраля 2008 г. заместителем директора ФСТЭК России).
                                            Документы можно будет приобрести у ФСТЭК в ближайшее время (какое неизвестно).
                                            Спасибо. Можно ссылку на источник? Нужно, чтобы вчтавить в официальный запрос.

                                            Комментарий


                                            • #82
                                              Все интересно и тоскливо. Как всегда наши "регуляторы" придумывают препоны для конечного пользователя, но вероятно более выгодные для себя. Ну купим мы эти методики и рекомендации, а кто не купит, найдет в сети (добрые люди не перевелись).
                                              А от ФСБ будет чего, никто не слышал? Вроде и им поручения давали. А то кинемся выполнять рекомендации ФСТЭК, а у ФСБ все наоборот будет.

                                              Комментарий


                                              • #83
                                                А как быть с требованием "Нормативные правовые акты, затрагивающие права, свободы и обязанности человека и гражданина, устанавливающие правовой статус организаций или имеющие межведомственный характер, подлежат официальному опубликованию в установленном порядке, кроме актов или отдельных их положений, содержащих сведения, составляющие государственную тайну, или сведения конфиденциального характера"?

                                                Эти документы должны быть опубликованы.

                                                Комментарий


                                                • #84
                                                  Сообщение от malotavr Посмотреть сообщение
                                                  Спасибо. Можно ссылку на источник? Нужно, чтобы вставить в официальный запрос.
                                                  Нет никакой ссылки!Узнал по телефону от работников ФСТЭК!

                                                  Комментарий


                                                  • #85
                                                    В окружном представительстве ФСТЭК сказали, что заявки на получение документов и переводить деньги (цена еще неизвестна) можно будет только после того, как будет опубликован приказ ФСТЭК 55/86/20 от 13.02.2008 "Об утверждении порядка классификации информационных систем персональных данных". В заявке необходимо будет указать, что являетесь зарегистрированным оператором ПД, без этого документы не получите Ну, и похоже, одновременно с получением документов становитесь в очередь на проверку

                                                    Комментарий


                                                    • #86
                                                      Сообщение от kreol Посмотреть сообщение
                                                      В окружном представительстве ФСТЭК сказали, что заявки на получение документов и переводить деньги (цена еще неизвестна) можно будет только после того, как будет опубликован приказ ФСТЭК 55/86/20 от 13.02.2008 "Об утверждении порядка классификации информационных систем персональных данных". В заявке необходимо будет указать, что являетесь зарегистрированным оператором ПД, без этого документы не получите Ну, и похоже, одновременно с получением документов становитесь в очередь на проверку
                                                      Хм, а если я просто организация, предоставляющая услуги в области ИБ???

                                                      Комментарий


                                                      • #87
                                                        Сообщение от virus Посмотреть сообщение
                                                        Хм, а если я просто организация, предоставляющая услуги в области ИБ???
                                                        )) ИМХО нет проблем- если у Вас есть хотя бы один наемный работник- значит Вы обрабатываете его(их) персональные данные)) -> значит должны уведомить кого надо (сами знаете о чем) -> и становитесь "зарегистрированными")))
                                                        Мы продолжаем делать то, что мы уже много наделали

                                                        Комментарий


                                                        • #88
                                                          Сообщение от George-on-Don Посмотреть сообщение
                                                          )) ИМХО нет проблем- если у Вас есть хотя бы один наемный работник- значит Вы обрабатываете его(их) персональные данные)) -> значит должны уведомить кого надо (сами знаете о чем) -> и становитесь "зарегистрированными")))
                                                          ...если только я обрабатываю ПД в электронном виде. А я этого не делаю

                                                          Комментарий


                                                          • #89
                                                            Сообщение от virus Посмотреть сообщение
                                                            ...если только я обрабатываю ПД в электронном виде. А я этого не делаю
                                                            т.е. ведете расчет и выдачу зарплаты, учет подотчетных(материально ответственных) лиц, и кадровый учет только на бумаге? А как с данными руководителей контрагентов - тоже только на бумаге? ))) респект - счастливые люди)))!
                                                            Мы продолжаем делать то, что мы уже много наделали

                                                            Комментарий


                                                            • #90
                                                              только на бумаге? ))) респект - счастливые люди)))!

                                                              ...или несчастные ;-)

                                                              Комментарий

                                                              Пользователи, просматривающие эту тему

                                                              Свернуть

                                                              Присутствует 1. Участников: 0, гостей: 1.

                                                              Обработка...
                                                              X