3 марта, среда 08:24
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Обновления нормативных документов по ПДн (ПП1119 + новое от регуляторов)

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Обновления нормативных документов по ПДн (ПП1119 + новое от регуляторов)

    С учетом появления нового Постановления Правительства РФ №1119 и информационного сообщение ФСТЭК России от 20 ноября 2012 г. №240/24/4669 "Об особенностях защиты ПДн при их обработке в ИСПДн и сертификации СЗИ, предназначенных для защиты ПДн", а также в ожидании новых нормативных документов от ФСТЭК России и ФСБ России, имеет смысл их обсуждение вынести в отдельную ветку. Обсуждать есть чего, например:

    1. Что необходимо изменить в СЗПДн если уже было все сделано?
    2. Как оценить актуальность угроз НДВ.? Можно ли обосновать наличие актуальных угроз только 3 типа?
    3. Что делать с "нетипичными" ИСПДн, которые раньше относили к 4 классу и толком не защищали, а сейчас надо использовать "сертифицированные" СЗИ (имею в виду прошедшие оценку...). Например, забавная ситуация получается со СКУДом.
    4. По каким принципам выбирасть сертифицированные СЗИ? Раньше были классы ИСПДн и производители четко писали какое СЗИ для какого класса...
    5. Стало меньше требований, т.к. ПП781 отменили, или все также/ больше? С учетом ПП1119 и ожидаемых документов регуляторов...
    6. Появится ли требование про аттестацию ИСПДн?
    и много другое.

  • #2
    1. До выхода доков ФСТЭК и ФСБ рано обсуждать.
    2. Как и раньше - экспертным путем. Можно.
    3. Защищать ;-)
    4. По информационному сообщению ФСТЭК. Там все понятно
    5. Ждем документов.
    6. Для госов - да. Для остальных - нет.

    Комментарий


    • #3
      Сообщение от Алексей Лукацкий Посмотреть сообщение
      1. До выхода доков ФСТЭК и ФСБ рано обсуждать.
      2. Как и раньше - экспертным путем. Можно.
      3. Защищать ;-)
      4. По информационному сообщению ФСТЭК. Там все понятно
      5. Ждем документов.
      6. Для госов - да. Для остальных - нет.

      Это ты упрощаешь)))

      Комментарий


      • #4
        Ну, а так да. Ждем документов ФСТК и ФСБ.

        Комментарий


        • #5
          Что я упрощаю? Все как раз очень просто по твоим вопросам

          Комментарий


          • #6
            Сообщение от Алексей Лукацкий Посмотреть сообщение
            Что я упрощаю? Все как раз очень просто по твоим вопросам
            ну, смотри:
            1. Ок, ждем. Вопрос поднимем в ближайшие дни снова...
            2. Вопрос скорее как повысить точность оценки и обоснованность. Сейчас получается, что толком нет методики, и если уж совсем по хорошему ,то все подпадают по Тип1. Но ничего не мешает написать ,что тип 3. А так как тип серьезно влияет на требования к защите, то и решать и обосновывать нужно правильно. Пока это "шаманство".
            3. Ответ правильный, но есть сложности связанные с реализацией системы защиты. Не всегда можно установаить сертифицированное СЗИ, да и стоимость мер намного превышает возможный ущерб.
            4. В письме есть необоснованное смещение взглядов в сторону К1, + не для всех ситуаций понятно, что делать. Ждем расширенные комментарии и документы от ФСТЭК.
            5. Ок, ждем. Вопрос поднимем в ближайшие дни снова...
            6. А вот не уверен...

            Комментарий


            • #7
              Сегодня опубликовано:
              http://www.fstec.ru/_lenta/_lno.htm

              Проект приказа ФСТЭК России
              "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах "
              http://www.fstec.ru/_licen/pr_za.doc

              Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах
              http://www.fstec.ru/_licen/treb.doc

              Сводка замечаний и предложений по проекту Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных ин-формационных системах http://www.fstec.ru/_docs/svodka.doc

              Информационное сообщение о проекте Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах от 6 декабря 2012 г. № 240/20/4935
              http://www.fstec.ru/_docs/infsoob_06_12_2012.doc
              Последний раз редактировалось Svyazist; 06.12.2012, 19:44.

              Комментарий


              • #8
                Боюсь сглазить, но неужели выбор мер отдали на операторам? Подход логичен: если нет прав контролировать, то зачем тогда устанавливать требования. Но это же революция в сознании!

                Комментарий


                • #9
                  Сообщение от Berckut Посмотреть сообщение
                  Боюсь сглазить, но неужели выбор мер отдали на операторам? Подход логичен: если нет прав контролировать, то зачем тогда устанавливать требования. Но это же революция в сознании!
                  Это кропотливая работа с регуляторами ;-) Там не так просто. Как минимум для госов: Есть базовый набор. Есть расширенный (по желанию оператора). И есть компенсационные меры. По такому принципу же строится документ по ПДн.

                  Комментарий


                  • #10
                    Andrey Prozorov,

                    2. Ты по аналогичной методике живешь 4 года уже. В действующей пока методике ФСТЭК по моделированию угроз все делает только оператор экспертным путем. Ничего не поменяется.
                    3. В законе написано "прошедшие оценку соответствия". ФСТЭК не может физически уйти с этой позиции, как бы не хотел ;-( Я с ними это проговаривал. Как и вариант с переходным периодом. Тоже не прошло, т.к. в законе написано "прошедшие оценку соответствия".
                    4. Письмо не имеет отношения к ПДн. Всего лишь написано как читать сертификаты и все. Посмотри "новый СТР-К" (последний пункт) - примерно также должно быть сделано и для ПДн.
                    6. Я уверен. Поверь. Аттестации для коммерсантов не будет.

                    Комментарий


                    • #11
                      Новый проект приказа ФСТЭК, очень напоминающий вчерашний:-) http://www.fstec.ru/_lenta/_lno.htm

                      Комментарий


                      • #12
                        Переделал таблицу по базовым мерам по ПДн. Теперь стало понятно сколько их всего (104), и какие надо использовать для какого уровня защищенности.
                        Пользуйтесь, может и Вам пригодится: http://80na20.blogspot.ru/2012/12/blog-post_8.html

                        Интересно, что есть обязательные (базовые меры) и дополнительны... Это что-то новое для ФСТЭК России.

                        Комментарий


                        • #13
                          Есть еще и компенсационные ;-)

                          Комментарий


                          • #14
                            Сообщение от Алексей Лукацкий Посмотреть сообщение
                            Есть еще и компенсационные ;-)
                            ДА, довольно необычно сделали...

                            Комментарий


                            • #15
                              Вполне нормальная и здравая схема. Ее давно надо было сделать. В 382-П я ее тоже пытался включить, но не прошло. А тут сработало.

                              Комментарий


                              • #16
                                Сообщение от Алексей Лукацкий Посмотреть сообщение
                                Вполне нормальная и здравая схема. Ее давно надо было сделать. ...
                                Согласен - схема нормальная, действующая. Осталось еще стандарт Банка России подправить в части учета активов и сред, да наложить друг на друга. 382-П - не то место.

                                Комментарий


                                • #17
                                  Это классическая диллема ;-) Что круче и важнее для банка - рекомендательный СТО или обязательный 382-П? Что куда включено - требования СТО в 382-П или требования 382-П в СТО? Но идею я понял.

                                  Комментарий


                                  • #18
                                    Сообщение от Алексей Лукацкий Посмотреть сообщение
                                    Это классическая диллема ;-) Что круче и важнее для банка - рекомендательный СТО или обязательный 382-П? Что куда включено - требования СТО в 382-П или требования 382-П в СТО? Но идею я понял.
                                    Дилема отсутствует. СТО содержит модели, требования к учету активов (среда+информация) и т.д. Он изначально шире 382-П. ФСТЭКовский документ замечательно наложится на приложение 5 СТО.

                                    Комментарий


                                    • #19
                                      добрый день, коллеги
                                      очередной, ламерский вопрос от меня
                                      в последней редакции 152-ФЗ введена статья 18.1 "Меры, направленные на обеспечение выполнения оператором обязанностей..."
                                      необходимо ли включать в документ орагнизации "Порядок обработки ПДн" данную статью?
                                      аналогично по статье 22.1

                                      Комментарий


                                      • #20
                                        18.1 я рекомендую включать общими фразами в "Политику оператора...". А если более детально, то в "Положение об обеспечении безопасности ПДн".

                                        22.1 Тоже лучше в Политику, что-то типа "оператор уведомил уполномоченный орган...", но можете и в "Порядок обработки..." (кстати, его лучше назвать Положение об обработке ПДн, так будет точнее, т.к. вы скорее прописываете требования, а не процедуры)


                                        P.S. Посмотрите еще вот тут про Политику ПДн: http://80na20.blogspot.ru/2012/02/blog-post_12.html
                                        и тут про перечень документов по ПДн http://80na20.blogspot.ru/2012/12/blog-post.html

                                        Комментарий


                                        • #21
                                          Andrey Prozorov
                                          спасибо!

                                          Комментарий


                                          • #22
                                            А что слышится в Интернетах по вопросу обновлять/не обновлять уведомления для РКН до 01 января?
                                            (и на основании чего)

                                            Комментарий


                                            • #23
                                              Сообщение от Шауро Евгений Посмотреть сообщение
                                              А что слышится в Интернетах по вопросу обновлять/не обновлять уведомления для РКН до 01 января?
                                              (и на основании чего)
                                              Ну вообще решать вам.
                                              Так что подавай или не подавай уведомление, все равно рано или поздно организация может быть подвергнута проверки.
                                              В случае предоставления Оператором неполных или недостоверных сведений, предусмотренных ч. 3 ст. 22 Федерального закона, Управление Роскомнадзора вправе запросить у Оператора недостающие сведения для внесения в реестр, а так же могут последовать санкции вплоть до передачи дела в суд по статье 19,7 КоАП . Стоит ли рисковать ввиду ближайших изменений штрафов по данной статье? мне кажется нет.

                                              Комментарий


                                              • #24
                                                Обновление уведомления в РКН

                                                Евгений задал хороший вопрос: обновлять или нет данные в реестре операторов ПД до 01.01.2013, в соответствии с новой формой уведомления (Приказ Роскомнадзора от 19.08.2011 № 706 утверждена новая форма «Уведомления об обработке персональных данных физических лиц», а также рекомендации по его заполнению, приказ смотри во вложении).

                                                «Операторы персональных данных (в том числе ранее зарегистрированные в Реестре), обязаны направить в Роскомнадзор обновленные уведомления с учетом сведений, указанных в пунктах 5, 7.1, 10 и 11 части 3 статьи 22 Федерального закона «О персональных данных», не позднее 1 января 2013 г. (соответственно в пункте 5 - правовое основание обработки персональных данных; в пункте 7.1 - фамилию, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты; в пункте 10 - сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки; в пункте 11 - сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации).»

                                                В новой форме уведомления появились дополнительные поля и их нужно заполнить, а вот то что срок до 01.01.2013 для обновления нигде явно не написано.

                                                Коллеги, у кого какие мысли по этому поводу.
                                                Вложения

                                                Комментарий


                                                • #25
                                                  Сообщение от alex.a.fedorov Посмотреть сообщение
                                                  а вот то что срок до 01.01.2013 для обновления нигде явно не написано.
                                                  а как же п.2.1 ст.25 ФЗ-152 "Операторы, которые осуществляли обработку персональных данных до 1 июля 2011 года, обязаны представить в уполномоченный орган по защите прав субъектов персональных данных сведения, указанные в пунктах 5, 7.1, 10 и 11 части 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2013 года"
                                                  Сообщение от H4mek Посмотреть сообщение
                                                  а так же могут последовать санкции вплоть до передачи дела в суд по статье 19,7 КоАП . Стоит ли рисковать ввиду ближайших изменений штрафов по данной статье?
                                                  мне казалось, изменения в КоАП планировались только по ст.13.11, может я что-то упустил?
                                                  Последний раз редактировалось Ололош; 13.12.2012, 09:32.

                                                  Комментарий


                                                  • #26
                                                    А еще посмотрите из 152-ФЗ
                                                    ст.22.п.7 В случае изменения сведений, указанных в части 3 настоящей статьи, а также в случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.

                                                    А в п.3 есть, например, "6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;
                                                    7) описание мер, предусмотренных статьями 18.1 и 19 настоящего Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
                                                    11) сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации."

                                                    Значит, что если вносим изменения в СЗПДн, то должны отправить уведомление...

                                                    Комментарий


                                                    • #27
                                                      Всем добрый день! Коллеги, а вообще кто-нибудь направлял это уведомление, хотелось бы хоть одним глазком посмотреть как это выглядит в готовом виде, ну хоть примерно? Я дошла до описания мер, предусмотренных ст. ст. 18.1 и 19 152-ФЗ., и наглухо застряла. У меня вопросов уйма, но первый это в части указания Ф.И.О. сотрудников, ответственных за организацию обработки ПнД их контактные телефоны, почтовые адреса и адреса электронной почты. Если этих сотрудников несколько (ну например 10), что про всех писать? Или же можно только указать руководителя подразделения?

                                                      Комментарий


                                                      • #28
                                                        Сообщение от svkand Посмотреть сообщение
                                                        Всем добрый день! Коллеги, а вообще кто-нибудь направлял это уведомление, хотелось бы хоть одним глазком посмотреть как это выглядит в готовом виде, ну хоть примерно? Я дошла до описания мер, предусмотренных ст. ст. 18.1 и 19 152-ФЗ., и наглухо застряла. У меня вопросов уйма, но первый это в части указания Ф.И.О. сотрудников, ответственных за организацию обработки ПнД их контактные телефоны, почтовые адреса и адреса электронной почты. Если этих сотрудников несколько (ну например 10), что про всех писать? Или же можно только указать руководителя подразделения?
                                                        на сайте Роскомнадзора есть рекомендации по заполнению уведомления

                                                        Комментарий


                                                        • #29
                                                          Сообщение от H4mek Посмотреть сообщение
                                                          на сайте Роскомнадзора есть рекомендации по заполнению уведомления
                                                          Спасибо за ответ, но дело в том, что я по ним и делаю и дошла как раз до описания мер. Написала что у нас сделано в части мер, в частности-назначены ответственные, какие док-ты разработали, что провели самооценку и т.п. А вот в части сотрудников стопор, если я правильно понимаю надо всех расписать,а их много, кто-то принимает док-ты с ПнД, кто-то вводит, кто-то дальше работает, а в части Отв.сотр.,который в РВМ сведения передаёт и т.п.Как поступить?Всех расписать?

                                                          Комментарий


                                                          • #30
                                                            Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций разъясняет вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве
                                                            http://rsoc.ru/news/rsoc/news17877.htm

                                                            Комментарий

                                                            Обработка...
                                                            X