19 ноября, понедельник 11:52
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

saas и персональные данные

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • saas и персональные данные

    Добрый день!
    Скажите свое мнение по такому вопросу:
    Существует сдаваемое в аренду ПО(классический вариант saas).В данном ПО(одно из предназначений) предусмотрен ввод ПДн клиентов в различные поля интерфейса и хранение данных ПДн на сервере обладателя ПО.В данном случае как правильно организовать защиту ПДн?учитывая следующие аспекты:
    1)ПДн вводятся именно компаниями, которые эксплуатируют это ПО на договорной основе?
    есть ли необходимость уведомлять РКН о том,что обладатель ПО является оператором (какие-либо договорные отношения с субъектом ПДн отсутствуют)?
    есть ли необходимость уведомлять субъекта обладателем ПО о том,что ПДн субъекта получены и будут обрабатываться? В принципе, необходимости в том, чтобы обладателю ПО были видны вводимые ПДн нет. Но такая возможность реализована - будет ли это являться обработкой ПДн для обладателя ПО?
    2) при проектировании ПО учли требования ФЗ 152 и реализовали мероприятия по технической защите сервера с ПО и рабочих мест администраторов ресурса. Обращение к ПО будет по интернет по протоколу http с использованием e-tocken для авторизации пользователей. Этого достаточно,чтобы обеспечить адекватную защиту, непротиворечащую настоящим требованиям законодательства?
    3) ПДн при желании компании могут быть видны другим пользователям этого ПО.

  • #2
    Сообщение от Aleks305 Посмотреть сообщение
    Добрый день!
    Скажите свое мнение по такому вопросу:
    Существует сдаваемое в аренду ПО(классический вариант saas).В данном ПО(одно из предназначений) предусмотрен ввод ПДн клиентов в различные поля интерфейса и хранение данных ПДн на сервере обладателя ПО.В данном случае как правильно организовать защиту ПДн?учитывая следующие аспекты:
    1)ПДн вводятся именно компаниями, которые эксплуатируют это ПО на договорной основе?
    есть ли необходимость уведомлять РКН о том,что обладатель ПО является оператором (какие-либо договорные отношения с субъектом ПДн отсутствуют)?
    есть ли необходимость уведомлять субъекта обладателем ПО о том,что ПДн субъекта получены и будут обрабатываться? В принципе, необходимости в том, чтобы обладателю ПО были видны вводимые ПДн нет. Но такая возможность реализована - будет ли это являться обработкой ПДн для обладателя ПО?
    2) при проектировании ПО учли требования ФЗ 152 и реализовали мероприятия по технической защите сервера с ПО и рабочих мест администраторов ресурса. Обращение к ПО будет по интернет по протоколу http с использованием e-tocken для авторизации пользователей. Этого достаточно,чтобы обеспечить адекватную защиту, непротиворечащую настоящим требованиям законодательства?
    3) ПДн при желании компании могут быть видны другим пользователям этого ПО.
    Бррр...
    Это во многом зависит от того:
    1. Какая услуга оказывается и кому
    2. Какие ПД вводятся, зачем и почему субъект об это не знает
    3 .Какими правоотношщениями связыны оператор и субъект
    4. Какие угрозы ПД актуальны

    Короче, нужно описание системы.

    Комментарий


    • #3
      malotavr,
      по пунктам:
      1)между субъектом ПДн и организацией-арендателем(та, которая по договору пользуется ПО) заключен договор. В Договоре прописано,что для реализации его возможна передача третьим лицам с сохранением конфиденциальности ПДн.
      Между субъектом ПДн и организацией-арендодателем(та, которая дает в эксплуатацию ПО) никакого договора нет. Но есть договор на аренду ПО между арендателем и арендодателем. В функции ПО входит входит внесение ПДн субъектов Организацией-арендателем, причем эти ПДн могут видеть и остальные Арендатели, при желании первого Арендателя(ну это его головная боль на мой взгляд).
      2)ПДн, которые вводятся, по своему составу попадают под вторую категорию, то есть позволяющие установить его и получить о нем дополнительную информацию(конкретизировать не буду).Субъект об этом может узнать - просто необходимо понять, будет ли в этом случае являться оператором ПДн Арендодатель или нет? Субъект дает "неконкретное" согласие Арендателю на передачу ПДн третьим лицам в целях реализации договора(уже сказал выше).
      3)Сказал уже выше - Арендодатель и субъект не связаны никакими отношениями. Арендатель и субъект связаны договорными отношениями.
      4)По Модели угроз - у меня нет ее на руках - с бухты-барахты не хочу говорить.
      Хотелось бы определиться с теми вопросами, которые в первом сообщении написал. На мой взгляд ситуация достаточно нетривиальная, требует детального изучения и рассмотрения

      Комментарий


      • #4
        Сообщение от Aleks305 Посмотреть сообщение
        malotavr,
        по пунктам:
        1)между субъектом ПДн и организацией-арендателем(та, которая по договору пользуется ПО) заключен договор. В Договоре прописано,что для реализации его возможна передача третьим лицам с сохранением конфиденциальности ПДн.
        Между субъектом ПДн и организацией-арендодателем(та, которая дает в эксплуатацию ПО) никакого договора нет. Но есть договор на аренду ПО между арендателем и арендодателем. В функции ПО входит входит внесение ПДн субъектов Организацией-арендателем, причем эти ПДн могут видеть и остальные Арендатели, при желании первого Арендателя(ну это его головная боль на мой взгляд).
        2)ПДн, которые вводятся, по своему составу попадают под вторую категорию, то есть позволяющие установить его и получить о нем дополнительную информацию(конкретизировать не буду).Субъект об этом может узнать - просто необходимо понять, будет ли в этом случае являться оператором ПДн Арендодатель или нет? Субъект дает "неконкретное" согласие Арендателю на передачу ПДн третьим лицам в целях реализации договора(уже сказал выше).
        3)Сказал уже выше - Арендодатель и субъект не связаны никакими отношениями. Арендатель и субъект связаны договорными отношениями.
        4)По Модели угроз - у меня нет ее на руках - с бухты-барахты не хочу говорить.
        Хотелось бы определиться с теми вопросами, которые в первом сообщении написал. На мой взгляд ситуация достаточно нетривиальная, требует детального изучения и рассмотрения
        Это для вас она нетривиальная. Читателю вообще непонятно: кто на ком стоял и зачем он это делал?

        Давайте договоримся о терминах. Поскольку к интеллектуальной собственности неприменимо понятие "аренда", у нас есть три стороны:
        • правообладатель (лицо, которое вы называете арендодатором, то обладателем ПО, и которое на самом деле предоставляет право пользования своим (?) ПО пользователю);
        • пользователь ПО (лицо, заключившее возмездный лицензионный договор с правообладателем)
        • субъект ПД.


        Что я из вашего текста понял:
        1. Есть некоторая автоматизированная система, у которой есть правообладатель
        2. Автоматизированная система существует в единственном экземпляре, ее серверная часть размещена на площадке правообладателя и он же обеспечивает технической обслуживание этой серверной части.
        3. Этот правообладатель на основании лицензионного договора предоставляет пользователю право использования своей системой для оказания услуг субъекту ПД
        4. Услуги оказываются на основании договора между субъектом и пользователем.
        5. Эксплуатация АС требует от пользователя ввода базу данных АС ПД субъекта, и эти ПД по своему составу относятся ко второй категории.
        6. Договор оказания услуг предусматривает передачу этих ПД третьим лицам.
        7. Техническое обслуживание серверной части не требует от правообладателя доступа к этим ПД, хотя техническая возможность есть.
        8. Более того, технически возможен доступ к этим ПД других пользователей системы.


        Ничего не упустил?

        Осталось непонятным:
        1. С какими целями обрабатываются ПД и соответствут ли эти цели предмету договора оказания услуг субъекту?
        2. Есть ли у правообладателя надежные гарантии того, что со всеми субъектами ПД заключены договоры оказания услуг?
        3. В чем именно заключается обработка ПД?



        Теперь по пунктам.
        1. Как правильно организовать защиту?

        В соответствии с разделом 2 58-го приказа ФСТЭК, на основании модели угроз.

        2. Есть ли необходимость уведомлять РКН о том, что правообладатель
        является оператором?

        Если правообладатель является оператором - то да, необходимо. Ответ на вопрос, является правообладатель оператором, зависит от нескольких факторов, в том числе - от содержания лицензионного договора и от того, в чем именно заключается обработка ПД.

        3. Есть ли необходимость уведомлять субъекта о том,что ПДн субъекта получены правообладателем и будут обрабатываться?

        Если правообладатель является оператором - то да, необходимо.

        4. Обеспечивают ли принятые меры безопасности адекватную защиту, непротиворечащую настоящим требованиям законодательства?

        Для ответа на этот вопрос нужна проектная документация подсистемы информационной безопасности АС и модель угроз.

        З.Ы. Вы не спрашивали, но отвечу: если правообладатель НЕ является оператором, ему нужна лицензия на техническую защиту конфиденциальной информации.
        Последний раз редактировалось malotavr; 22.03.2010, 19:26.

        Комментарий


        • #5
          malotavr,
          Спасибо за исчерпывающие ответы. Отвечаю на то,что осталось непонятным:
          1)Правообладатель предоставляет услугу по пользованию именно своего ПО(собственной разработки).
          2)Насчет оказания услуг субъекту ПДн пользователем ПО - пользователь ПО оказывает услуги субъекту ПДн. Использование ПО Правообладателя зависит от желания пользователя - он как может обратиться к этим услугам, так может и не обратиться. То есть, пользователь ПО и субъект ПДн связаны договором, и как будет он реализован со стороны пользователя ПО субъекта ПДн не интересует,т.к. он дает согласие на передачу ПДн третьим лицам в целях реализации договора. Договор может быть реализован пользователем ПО без обращения к ПО правообладателя. При появлении определенных условий пользователь ПО принимает решение для внесения ПДн ПО правообладателя с целью(главной целью) найти "субподрядчика" для выполнения условий договора с субъектом ПДн.
          3)При заключении договора между Правообладателем и пользователем ПО обязательным пунктом является прописать тот момент,что между пользователем ПО и субъектами, ПДН которых вносятся в систему(АС),заключены договоры на оказание определенных видов услуг. - это является достаточной гарантией того, что со всеми субъектами ПД заключены договоры оказания услуг?
          4)Обработка ПДн заключается: в введении ПДн в базу данных правообладателя, их хранение, изменение или удаление при необходимости пользователем ПО,который их ввел, просмотр ПДн другими пользователями ПО без возможности их изменения.
          5)Про то,что правильно организовать защиту необходимо на основании Модели угроз - у меня вопросов и не возникало. мне больше всего интересе тот момент, как организовать доступ удаленно пользователей к данной системе, чтобы это было и экономически не особо затратно и соответствовало требованиям пр.58.
          6)как уйти от того,чтобы обладатель не являлся оператором? Вы написали про содержание лицензионного соглашения и про обработку ПДн?
          7)немножко не понял,почему нужна лицензия...на мой взгляд все же быть лучше оператором, чем лицензиатом - долго и затратно как-то все это.
          А вариант с заключением договора с лицензиатом на сопровождение системы не подойдет не являясь оператором?

          Комментарий


          • #6
            Сообщение от Aleks305 Посмотреть сообщение
            malotavr,
            Спасибо за исчерпывающие ответы. Отвечаю на то,что осталось непонятным:
            1)Правообладатель предоставляет услугу по пользованию именно своего ПО(собственной разработки).
            2)Насчет оказания услуг субъекту ПДн пользователем ПО - пользователь ПО оказывает услуги субъекту ПДн. Использование ПО Правообладателя зависит от желания пользователя - он как может обратиться к этим услугам, так может и не обратиться. То есть, пользователь ПО и субъект ПДн связаны договором, и как будет он реализован со стороны пользователя ПО субъекта ПДн не интересует,т.к. он дает согласие на передачу ПДн третьим лицам в целях реализации договора. Договор может быть реализован пользователем ПО без обращения к ПО правообладателя. При появлении определенных условий пользователь ПО принимает решение для внесения ПДн ПО правообладателя с целью(главной целью) найти "субподрядчика" для выполнения условий договора с субъектом ПДн.
            3)При заключении договора между Правообладателем и пользователем ПО обязательным пунктом является прописать тот момент,что между пользователем ПО и субъектами, ПДН которых вносятся в систему(АС),заключены договоры на оказание определенных видов услуг. - это является достаточной гарантией того, что со всеми субъектами ПД заключены договоры оказания услуг?
            4)Обработка ПДн заключается: в введении ПДн в базу данных правообладателя, их хранение, изменение или удаление при необходимости пользователем ПО,который их ввел, просмотр ПДн другими пользователями ПО без возможности их изменения.
            5)Про то,что правильно организовать защиту необходимо на основании Модели угроз - у меня вопросов и не возникало. мне больше всего интересе тот момент, как организовать доступ удаленно пользователей к данной системе, чтобы это было и экономически не особо затратно и соответствовало требованиям пр.58.
            6)как уйти от того,чтобы обладатель не являлся оператором? Вы написали про содержание лицензионного соглашения и про обработку ПДн?
            7)немножко не понял,почему нужна лицензия...на мой взгляд все же быть лучше оператором, чем лицензиатом - долго и затратно как-то все это.
            А вариант с заключением договора с лицензиатом на сопровождение системы не подойдет не являясь оператором?
            Примерно понятно.

            В данной ситуации проще всего пойти по стандартному пути и признать себя оператором. Вариант: "Мы только обслуживаем систему" никаких преимуществ не дает, и при этом имеет два больших недостатка:
            1. РКН все равно выйдет на правообладателя по результатам проверки одного из пользователей, но при этом у него уже будт предубеждение: "Не уведомили - значит есть и другие нарушения".
            2. Правообладатель обеспечивает защиту серверной части. Открествшись от обрабатываемых данных, он фактически заявит, что на возмезднной основе оказывает пользователям ряд услуг, среди которых - защита обрабатываемых пользователями данных, а это - лицензируемый вид деятельности.

            Признав себя оператором и выполнив ритуальный танец по уведомлению РКН, правообладатель становится белым и пушистым. При этом он защищает "свою" информацию, пожтому требования по лицензированию к нему не предъявляются.

            Уведомлять каждого субъекта о факте внесения в АС его ПД не нужно, можно внести в лицензионый договор обязанность пользваотеля сделать такое уведомление. Но остается вопрос гарантий - что вы будете делать, если пользователь не уведомил субъекта или по какой-то причине внес в АС сведения о субъекте, с которым не заключен договор? На месте проверяющего из РКН я счел условия договора недостаточной мерой, но это - мои личные тараканы (любой чих должен иметь объективное подтверждение). Так что этот вопрос лучше оставить на усмотрение юриста, который будет сопровождать деятельность системы.

            При межсетевом взаимодейтсвии вам требуется (п. 2.4 приказа):
            - межсетевое экранирование (наверняка есть);
            - IDS;
            - средства анализа защищенности (хоть простейший сетевой сканер);
            - механизмы защита информации при ее передаче по каналам связи;
            - ваш e-Token для аутентификации пользователей;
            - использование средств антивирусной защиты;
            - централизованное управление системой защиты персональных данных информационной системы (есть by design).

            Единственная сложность - защита данных при передаче. Предполагается, что это - шифрование, и тут у вас, опять же, два варианта:
            1. Использовать сертифицированную криптографию
            2. Использовать несертифицированную криптографию.

            В первом случае вам придется получать, как минимум, две лицензии ФСБ (на обслуживание шифровальных средств и на оказание услуг в области шифрования данных), а если вы будете передавать пользователям СКЗИ - то и на распространение шифровальных средств. Это не сложно, но по первому разу немножко геморройно, а главное - возможно, в финальной версии документов от ФСБ для вашего случая может не быть требований по использованию сертифицированной криптографии (я такое предложение писал, вроде бы даже обещали учесть).

            Во втором случае вы рискуете тем, что требования по безусловному использованию сертифицированных сКЗИ моожет остаться, и придется срочно переделывать протокол и получать все те же лицензии.

            А так, в принципе, ничего сложного нет.

            Комментарий


            • #7
              malotavr,
              Получается, возможно, методические документы ФСБ возможно тоже изменятся, как и ФСТЭКовские? и не будет требования использовать сертифицированную криптографию...
              ситуация осложняется тем, что возможно правообладатель будет заключать договоры на использование ПО с иностранными юр. лицами. Как в этом случае обеспечить использование СКЗИ(сертифицированных)иностранными гражданами?
              тут больше важна конечно юридическая сторона вопроса. Механизм получения разрешения разрешения на вывоз сертифицированных СКЗИ я знаю - но это просто геморр.
              А если рассмотреть вариант удаленного доступа пользователей в систему с использованием ssh или vpn?
              У нас вот в организации на данный вариант между удаленными офисами и центральными осуществляется передача данных(в том числе и ПДн) с использованием vpn. Правда еще и оператор, который предоставляет каналы связи утверждает, что у используется сертифицированная криптография.

              Комментарий


              • #8
                Сообщение от Aleks305 Посмотреть сообщение
                malotavr,
                Получается, возможно, методические документы ФСБ возможно тоже изменятся, как и ФСТЭКовские? и не будет требования использовать сертифицированную криптографию...
                Они точно изменятся.

                Сообщение от Aleks305 Посмотреть сообщение
                и не будет требования использовать сертифицированную криптографию...
                А вот это врядли... http://lukatsky.blogspot.com/2009/06/334.html

                Комментарий


                • #9
                  malotavr, что скажете насчет моего последнего сообщения???очень интересно...

                  Комментарий


                  • #10
                    Сообщение от Aleks305 Посмотреть сообщение
                    malotavr,
                    Получается, возможно, методические документы ФСБ возможно тоже изменятся, как и ФСТЭКовские? и не будет требования использовать сертифицированную криптографию...
                    Они точно изменятся. Пооявятся ли вних исключения для использования несертифицированных средств - вопрос открытый.

                    Сообщение от Aleks305 Посмотреть сообщение
                    ситуация осложняется тем, что возможно правообладатель будет заключать договоры на использование ПО с иностранными юр. лицами. Как в этом случае обеспечить использование СКЗИ(сертифицированных)иностранными гражданами?
                    Никак. Помимо нашего экспортного контроля СКЗИ, ваш контрагент попадает еще и на контроль импорта СКЗИ, так что использование сертифициролванных ССКЗИ в этом случае - не вариант.

                    Сообщение от Aleks305 Посмотреть сообщение
                    А если рассмотреть вариант удаленного доступа пользователей в систему с использованием ssh или vpn?

                    У нас вот в организации на данный вариант между удаленными офисами и центральными осуществляется передача данных(в том числе и ПДн) с использованием vpn.
                    Это - тоже использование СКЗИ

                    Сообщение от Aleks305 Посмотреть сообщение
                    Правда еще и оператор, который предоставляет каналы связи утверждает, что у используется сертифицированная криптография.
                    Бывает Но вы же не собираетесь арендовать отдельный шифрованныцй канал для каждого пользователя, правда? А для сетей общего пользования нужны абонентские средства шифрования.

                    Комментарий


                    • #11
                      malotavr, спасибо за ответ. Судя по всему, придется для российских пользователей придется использовать сертифицированные СКЗИ, для зарубежных(если такие будут) несертифицированные. Немножко меня смущает вопрос с получением лицензий ФСБ(((наверное от этого только можно уйти путем заключения договора с уже действующим лицензиатом. Хотя наверное, тоже самое по деньгам выйдет. Аттестацию тоже не так просто будет выполнить, т.к. система взаимодействует с другими системами и число их будет постоянно изменяться. Или возможно понадобится только аттестовать сервер с рабочим местом администратора?
                      Как по-Вашему, malotavr, проект при таких начальных условиях возможно будет выполнить? главное для правообладателя - обезопасить со стороны проверок регуляторами...

                      Комментарий


                      • #12
                        Как уже отмечал malotavr, в схеме организации предоставления ПО как услуги(аренда) могут участвовать:
                        1. Правообладатель ПО (ну назовем Система СРМ);
                        2. SaaS-провайдер (необязательно Правообладатель, в случае если узел связи (сервера) размещаются на площадке сторонней организации - у хостера);
                        3. Пользователь ПО или СРМ (пусть будет юр.лицо) т.е. компания, сотрудники которой посредствам интернет получают удаленный доступ к сервисам СРМ выделенные конкретно под эту организацию.
                        4. Субъекты ПД - это могут быть как клиенты (физ.лица и юр.лица), так и сами сотрудники компании, которая является Пользователем СРМ.

                        Теперь собственно сами вопросы:
                        1. Правообладатель должен ли иметь на свое программное обеспечение (СРМ)сертификат удовлетворяющий требованиям:
                        1.1. Закона №152-ФЗ «О персональных данных»;
                        1.2. РД «Защита от несанкционированного доступа к информации. Часть I. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999);
                        1.3. «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (Гостехкомиссия России, 1992 г.)???

                        2. В случае использования в ПО CЗИ необходимо ли Правообладателю иметь лицензии ФСТЭК на разработку СЗКИ и лицензии ФСБ на СЗИ ???

                        3. В случае если Правообладатель сам на своих мощностях (на своих серверах) предоставляет свое ПО как SaaS, должен ли он иметь лицензию ФСНпоСвязи на предоставление телематических услуг + разрешение на эксплуатацию сети связи (узла связи)??? И дополнительно должен ли Правообладатель в этом случае зарегистрироваться как оператор ПД ?

                        4. Должен ли Пользователь ПО тоже регистрироваться как оператор ПД при использовании такого ПО (СРМ) в режиме SaaS, при условии что Пользователь будет вести в системе (СРМ) персональные данные (ФИО, должность, организация, телефоны, e-mail и др. контактные данные) своих клиентов и сотрудников (кадровая информация о своих сотрудниках)???

                        Комментарий


                        • #13
                          Сообщение от Aleks305 Посмотреть сообщение
                          Как по-Вашему, malotavr, проект при таких начальных условиях возможно будет выполнить? главное для правообладателя - обезопасить со стороны проверок регуляторами...
                          Упс. Не видела вопроса.
                          По мне - так да, реально.

                          Комментарий


                          • #14
                            Сообщение от Ivaz Посмотреть сообщение
                            Теперь собственно сами вопросы:
                            1. Правообладатель должен ли иметь на свое программное обеспечение (СРМ)сертификат удовлетворяющий требованиям:
                            1.1. Закона №152-ФЗ «О персональных данных»;
                            1.2. РД «Защита от несанкционированного доступа к информации. Часть I. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999);
                            1.3. «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (Гостехкомиссия России, 1992 г.)???

                            2. В случае использования в ПО CЗИ необходимо ли Правообладателю иметь лицензии ФСТЭК на разработку СЗКИ и лицензии ФСБ на СЗИ ???

                            3. В случае если Правообладатель сам на своих мощностях (на своих серверах) предоставляет свое ПО как SaaS, должен ли он иметь лицензию ФСНпоСвязи на предоставление телематических услуг + разрешение на эксплуатацию сети связи (узла связи)??? И дополнительно должен ли Правообладатель в этом случае зарегистрироваться как оператор ПД ?

                            4. Должен ли Пользователь ПО тоже регистрироваться как оператор ПД при использовании такого ПО (СРМ) в режиме SaaS, при условии что Пользователь будет вести в системе (СРМ) персональные данные (ФИО, должность, организация, телефоны, e-mail и др. контактные данные) своих клиентов и сотрудников (кадровая информация о своих сотрудниках)???
                            1.1 - такого не существует

                            1.2, 1.3 - нет, этот вопрос уже не раз обсуждался

                            2 - нет. В контексте системы сертификации программное средство общего назначения может рассматриваться к средство защиты информации. В контексте системы лицензхирования деятельность по разработке программных редств общего назначения не может рассматриваться как созданеие средств защиты. Вот такой парадокс

                            3 - нет, правообладатель не предоставлояет телематических услуг. Он на возмездной основе предоставляет пользователю право пользования результатом своей интеллектуальной деятельности.

                            4 - да, и дело не в том, что он польуезтся такой системой, а в том, что он, как минимум, собирает персональные данные.

                            Комментарий


                            • #15
                              Сообщение от malotavr Посмотреть сообщение
                              1.1 - такого не существует
                              1.2, 1.3 - нет, этот вопрос уже не раз обсуждался
                              2 - нет. В контексте системы сертификации программное средство общего назначения может рассматриваться к средство защиты информации. В контексте системы лицензхирования деятельность по разработке программных редств общего назначения не может рассматриваться как созданеие средств защиты. Вот такой парадокс
                              3 - нет, правообладатель не предоставлояет телематических услуг. Он на возмездной основе предоставляет пользователю право пользования результатом своей интеллектуальной деятельности.
                              4 - да, и дело не в том, что он польуезтся такой системой, а в том, что он, как минимум, собирает персональные данные.
                              Уважаемый, malotavr!
                              1.1. Вы имели ввиду нет такого сертификата? правильно я вас понял?

                              1.2 и 1.3. Очень сейчас актуально, просьба, дайте пож-та ссылку на обсуждение, где дается развернутый ответ?!

                              2. А вот тут конечно начинааются игрища в определения и классификацию ПО на типовую и специальную.
                              В Приказе «трех» есть четкое определение типовой ИСПДн:
                              «Типовые информационные системы - информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных».
                              А если нужно обеспечить еще и защиту целостности данных, то это будет уже специальная система, независимо от категории обрабатываемых данных:
                              “Специальные информационные системы - информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий)”. Сложно представить систему, данные которой не требовалось бы защищать от изменения, блокирования или уничтожения. (взято здесь www.zki.infosec.ru/faq/)

                              Получается, что если рассматривать в разрезе специальной ИС, то лицензии нужны?

                              3. Да, верно. Правообладатель предоставляет право на использование...но посредством чего он осуществляет такую возможность? Получается, что предоставляя согласно Постановления Правительства РФ от 29.12.2005 N 837 Правообладатель будет предоставлять доступ к информации с использованием инфокоммуникационных технологий. (а это лицензия на телематику). Возможно я и ошибаюсь, но в данном случае можно рассуждать так: если Правообладатель по договору передал другому юр.лицу (Провайдер SaaS) неисключительное имущественное право на ПО с целью предоставления последним распрастранения этого права среди третьих лиц (клиентов), то такой провайдер SaaS может считаться организацией, которая будет оказывать хостинговые услуги. И получается ей необходимо иметь лицензию на телематику. Теперь если убрать из цепочки промежуточное звено, получим что сам Правообладатель теперь является хостером, который предоставляет свое право другим посредством сети интернет или предоставляет доступ к информации с использованием инфокоммуникационных технологий.
                              Вот как то, так я это вижу...

                              4. А что будет в случае когда Пользователь ПО является резидентом РФ, при этом он собирает персональные данные и при этом использует программное обеспечение в режиме SaaS иностранного производителя, с серверами установленными за границей РФ???

                              Комментарий


                              • #16
                                Сообщение от Ivaz Посмотреть сообщение
                                2. А вот тут конечно начинааются игрища в определения и классификацию ПО на типовую и специальную.
                                ПО и ИСПДн - это совсем не одно и тоже. ПО - это только ее часть.

                                Сообщение от Ivaz Посмотреть сообщение
                                Сложно представить систему, данные которой не требовалось бы защищать от изменения, блокирования или уничтожения. (взято здесь www.zki.infosec.ru/faq/)
                                В качестве только комментария - у авторов этого сайта позиция колеблется вместе с позицией ФСТЭК ;-) Раньше они считали, что большинство систем типовых. Теперь, что большинство специальных ;-)

                                Сообщение от Ivaz Посмотреть сообщение
                                4. А что будет в случае когда Пользователь ПО является резидентом РФ, при этом он собирает персональные данные и при этом использует программное обеспечение в режиме SaaS иностранного производителя, с серверами установленными за границей РФ???
                                В этом случае пользователь обкладывается бумажками, что заграницей все спокойно и соответствует требованиям той страны, где расположена SaaS-инфраструктура. Это если не считать, что это вообще не проблема Пользователя, т.к. он не владелец этой ИСПДн, а всего лишь арендует ее и не может от настоящего владельца SaaS-ИСПДн чего-то требовать. Он подключается на условиях SaaS, а не наоборот.

                                Комментарий


                                • #17
                                  Сообщение от Алексей Лукацкий Посмотреть сообщение
                                  ПО и ИСПДн - это совсем не одно и тоже. ПО - это только ее часть.
                                  Предыдущие мои посты под ПО подразумевали некое программное обеспечение, которое является web-приложением и относится к классу CRM. Видимо отсюда получается, что CRM можно и нужно рассматривать как ИСПДн при чем именно специальную.

                                  Сообщение от Алексей Лукацкий Посмотреть сообщение
                                  В этом случае пользователь обкладывается бумажками, что заграницей все спокойно и соответствует требованиям той страны, где расположена SaaS-инфраструктура. Это если не считать, что это вообще не проблема Пользователя, т.к. он не владелец этой ИСПДн, а всего лишь арендует ее и не может от настоящего владельца SaaS-ИСПДн чего-то требовать. Он подключается на условиях SaaS, а не наоборот.
                                  А что будет если при работе Пользователя через иностранного SaaS-Провайдера (Правообладателя) с CRM произойдет утечка ПДн Российских клиентов? Сможет ли отечественная госструктура использовать в качестве CRM систему иностранную с серверами за границей? Думаете это будет не проблема Пользователя?

                                  Комментарий


                                  • #18
                                    Получается, что в соответсвии с ФЗ "О персональных данных" любая компания, которая использует в своей деятельности CRM систему (система управления взаимоотношениями с клиентами) и соответсвенно заполняет карточки клиентов, т.е вносят в CRM контактную информацию о клиентах, которая является персональными данными, должна будет получать подтверждение от каждого клиента на сбор такой информации, правильно??
                                    Интересно, а каким образом такое согласие можно будет получить?

                                    Комментарий


                                    • #19
                                      Через договор, включая оферту

                                      Комментарий


                                      • #20
                                        Сообщение от Алексей Лукацкий Посмотреть сообщение
                                        Через договор, включая оферту
                                        Согласно ФЗ №152 Статья 9. Согласие субъекта персональных данных на обработку своих персональных данных:
                                        3. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных, а в случае обработки общедоступных персональных данных обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на оператора.

                                        4. В случаях, предусмотренных настоящим Федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:

                                        1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

                                        2) наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;

                                        3) цель обработки персональных данных;

                                        4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

                                        5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

                                        6) срок, в течение которого действует согласие, а также порядок его отзыва.

                                        5. Для обработки персональных данных, содержащихся в согласии в письменной форме субъекта на обработку его персональных данных, дополнительное согласие не требуется.
                                        Как то не вписывается в эти требования договор оферты...? Особенно письменное согласие...

                                        Комментарий


                                        • #21
                                          Сообщение от Ivaz Посмотреть сообщение
                                          Согласно ФЗ №152 Статья 9. Согласие субъекта персональных данных на обработку своих персональных данных:


                                          Как то не вписывается в эти требования договор оферты...? Особенно письменное согласие...
                                          Вы не ту статью читаете.
                                          См. ч.2 ст.6.
                                          Договор публичной оферты - это договорные отношения

                                          Комментарий


                                          • #22
                                            Сообщение от Toparenko Посмотреть сообщение
                                            Вы не ту статью читаете.
                                            См. ч.2 ст.6.
                                            Договор публичной оферты - это договорные отношения
                                            гл.2 ст.6 п.2:
                                            2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

                                            Хорошо, а как быть в случае холодных звонков и продажах по телефону, когда информация о потенциальном клиенте только собирается?

                                            Комментарий


                                            • #23
                                              Сообщение от Ivaz Посмотреть сообщение
                                              а как быть в случае холодных звонков и продажах по телефону, когда информация о потенциальном клиенте только собирается?
                                              В этих случаях:
                                              - если инициатива от Вас - то продвижение товаров и услуг т.е. ст.15 => наличие согласия на обработку ПДн (если обрабатываются ПДн, а не анонимное продвижение или спам). Хотя в 152-ФЗ здесь есть "косяк" - в согласии избыточность ПДн, которые вообще-то не требуются для цели продвижения товаров и услуг т.е. нарушение Евроконвенции (ратифицирована):
                                              Статья 5. Требования, предъявляемые к данным
                                              Персональные данные, проходящие автоматическую обработку:
                                              а. должны быть получены и обработаны добросовестным и законным образом;
                                              b. должны накапливаться для точно определенных и законных целей и не использоваться в противоречии с этими целями;
                                              с. должны быть адекватными, относящимися к делу и не быть избыточными применительно к целям, для которых они накапливаются;
                                              d. должны быть точными и в случае необходимости обновляться;
                                              е. должны храниться в такой форме, которая позволяет идентифицировать субъектов данных не дольше, чем этого требует цель, для которой эти данные накапливаются.
                                              - если инициатива от субъекта и Вы производите преддоговорное изучение потенциального клиента - то, чего нет в 152-ФЗ и что есть в Евродирективе 95/46/ЕС (в РФ не ратифицирована):
                                              Раздел II
                                              Критерии для легитимизации обработки данных
                                              Статья 7
                                              Государства-участники обеспечат, что личные данные будут обрабатываться только в случае, если:
                                              (а) субъект данных недвусмысленно дал свое согласие; или
                                              (b) обработка необходима для исполнения контракта, в котором субъект данных является стороной или для принятия мер до заключения контракта по просьбе субъекта данных; или
                                              (с) обработка необходима для выполнения определенного законом обязательства, субъектом которого является контролер; или
                                              (d) обработка необходима для защиты жизненных интересов субъекта данных; или
                                              (е) обработка необходима для достижения общественно значимых целей или ее осуществление возложена законом в рамках властных полномочий на контролера или третью сторону, которой персональные данные раскрыты; или
                                              (f) обработка необходима в целях обеспечения законных интересов контролера или третьей стороны (сторон), которым раскрыты данные, кроме случаев, когда такие интересы перекрываются интересами фундаментальных прав и свобод субъекта данных, защита которых требуется согласно Статье 1(1).

                                              Комментарий


                                              • #24
                                                а как быть в случае холодных звонков и продажах по телефону, когда информация о потенциальном клиенте только собирается?
                                                А у вас в базе легитимно полученная информация, которую вы используете для звонков? И согласие в соответствии с 152ФЗ тоже имеется? Если нет, то это спам, как минимум.

                                                Комментарий


                                                • #25
                                                  Сообщение от UzbekRus Посмотреть сообщение
                                                  а как быть в случае холодных звонков и продажах по телефону, когда информация о потенциальном клиенте только собирается?
                                                  А у вас в базе легитимно полученная информация, которую вы используете для звонков? И согласие в соответствии с 152ФЗ тоже имеется? Если нет, то это спам, как минимум.
                                                  1. Неперсонифицированный спам под 152-ФЗ не попадает И, реально, в РФ не запрещен (к сожалению подчас операторов вынуждают на него переходить чем-нибудь типа 152-ФЗ).
                                                  2. Оптимально (естественно есть недостатки, но уже более низкоуровневые риски) - согласие на продвижение товаров и услуг без ПДн вообще. Т.е. "Я (без раскрытия кто именно) согласен на оповещения меня о новых продуктах и услугах такой-то компании. Контакт по телефону/мылу такому-то. Подпись (без расшифровки), дата". И/или форма подписки на рассылку на сайте (указание мыла для рассылки, подтверждение подписки с указанного мыла, форма для отказа от подписки).

                                                  Комментарий


                                                  • #26
                                                    Сообщение от UzbekRus Посмотреть сообщение
                                                    а как быть в случае холодных звонков и продажах по телефону, когда информация о потенциальном клиенте только собирается?
                                                    А у вас в базе легитимно полученная информация, которую вы используете для звонков? И согласие в соответствии с 152ФЗ тоже имеется? Если нет, то это спам, как минимум.
                                                    Было бы интересно увидеть юридическое определение спама на сегодняшний момент?
                                                    Спам (англ. spam) — массовая неперсонифицированная рассылка коммерческой, политической и иной рекламы или иного вида сообщений лицам, не выражавшим желания их получать.

                                                    А вот про согласие как раз и был вопрос , т.е. я задался целью произвести продажу продукта в ваш Банк, для этого захожу в ваш профиль, вижу там название банка и ваш рабочий телефон, записываю это в свою СРМ и помечаю вас как потенциальный контакт, дальше звоню вам предлагаю или выясняю кто у вас может рассмотреть мое предложение (+ еще контакт) и дальше по сценарию... Получается, что каждый раз нужно запрашивать у контакта разрешение внести его в свою базу CRM, при чем я должен иметь доказательное подтверждение этого разрешения?!

                                                    Для холодных звонков и прямых продаж информация собирается (в порядке использования): из открытых источников (справочники фирм, каталоги фирм, корпоративные сайты и т.д.), непосредственно у сотрудника(ов) потенциала, из входящих сообщений электронной почты, входящих телефонных звонков.

                                                    Обычно в CRM собирают и хранят следующую информацию о контактах и организациях:
                                                    - Название и правовая форма организации (ее почтовые и банковские реквизиты)
                                                    - ФИО сотрудника (директор, бухгалтер, менеджер и т.д.)
                                                    - должность
                                                    - рабочий адрес
                                                    - конт. рабочий телефон
                                                    - мобильный
                                                    - e-mail
                                                    - www
                                                    - часовой пояс
                                                    - день рождения
                                                    и др.

                                                    Многие из этих данных возможно получить именно из открытых источников, при дальнейшем общении с клиентом параллельно пополняется и информация в CRM, относящаяся к текущему статусу или состоянию взаимоотношений с данным клиентом:
                                                    - график или календарь встреч, звонков, презентаций и т.д.
                                                    - итоги переговоров и текущий статус
                                                    - финансовые показатели сделок и т.д.

                                                    Комментарий


                                                    • #27
                                                      Сообщение от Toparenko Посмотреть сообщение
                                                      1. Неперсонифицированный спам под 152-ФЗ не попадает И, реально, в РФ не запрещен (к сожалению подчас операторов вынуждают на него переходить чем-нибудь типа 152-ФЗ).
                                                      Реально запрещен, только запрет реально не работает ;-) Ст.18 ФЗ "О рекламе"

                                                      Комментарий


                                                      • #28
                                                        Сообщение от Ivaz Посмотреть сообщение
                                                        Было бы интересно увидеть юридическое определение спама на сегодняшний момент?
                                                        Спам (англ. spam) — массовая неперсонифицированная рассылка коммерческой, политической и иной рекламы или иного вида сообщений лицам, не выражавшим желания их получать.
                                                        Реклама - информация, распространенная любым способом, в любой форме и с использованием любых средств, адресованная неопределенному кругу лиц и направленная на привлечение внимания к объекту рекламирования, формирование или поддержание интереса к нему и его продвижение на рынке.

                                                        Комментарий


                                                        • #29
                                                          Сообщение от Алексей Лукацкий Посмотреть сообщение
                                                          Реально запрещен, только запрет реально не работает ;-) Ст.18 ФЗ "О рекламе"
                                                          Вот и я о том же

                                                          Формально запрещен, но реально запрет не работает - см.

                                                          Комментарий


                                                          • #30
                                                            Начали с saas,а пришли к рекламе и спаму. Для себя я сделал следующий вывод по этой теме:
                                                            1)Для того чтобы предоставлять услуги по использованию ПО(содержащему персональные данные, вносимых пользователем) правообладателю нет необходимости отправлять уведомление в Роскомнадзор, о том, что он является оператором.
                                                            2)При этом он должен иметь лицензию на выполнение работ по технической защите КИ и если будет распространять СКЗИ пользователям для доступа через интернет к этому самому ПО,то и как минимум 2 лицензии ФСБ.
                                                            3)Для меня осталось вопросом,что делать если пользователем ПО, будет являться юр. лицо иностранного государства? Просто по умолчанию одной из целей, которые преследовались при создании ПО - это просмотр договоров (включая и ПД) заключенных между субъектом и пользователем ПО другим пользователем ПО, для того чтобы удовлетворить пожелания субъекта, если первый пользователь ПО не может выполнить принятые обязательства по договору(извините,что так сложно).То есть фактически ознакомление с ПДн будет происходить любым пользователем ПО(естественно,только если на это даст разрешение пользователь ПО, внесший ПДн субъекта). В этом случае: чья "головная боль" за распространение ПДн(правообладателя или пользователя)?а если это трансграничная передача ПДн(в смысле ПДн рассматривают пользователи иностранных государств)?
                                                            4)Существенным моментом в этой истории является "правильное" лицензионное соглашение между правообладателем ПО и его пользователем. То есть необходимо учесть все моменты касающиеся 152 ФЗ,чтобы не подставить себя.(а я лично представляю правообладателя).
                                                            5)Возможно ли выйти из ситуации с Лицензиями ФСТЭК и ФСБ заключением договора со сторонней организацией - Лицензиатом?

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X