Обсуждение статьи: Как выполнить требования Федерального Закона № 152-ФЗ «О персональных данных» - Форум по вопросам информационной безопасности

если компания удовлетворяет части 2 статьи 6 ФЗ-152 (получение согласия абонента необязательно) и пункту 2 части 2 статьи 22 ФЗ-152 (уведомление об обработке персональных данных нам отсылать не нужно ), то компании вообще шевелиться не надо? или все же поднимать защиту данных, в том плане что все же может прийти проверка от ФСТЭК? заранее спасибо

Да, согласно этих пунктов якобы шевелиться не нужно, но это для тех кто читает поверхностно.
Если не подавать заявление в Роскомнадзор, они просто не заносят вас в реестр к себе, но это не значит что про защиту можно забыть. Проверка ФСТЭКа и все... будут неприятности. Другой вопрос когда она будет при таких условиях. Но рано или поздно я думаю доберутся.
А вот согласие на обработку я бы все таки запросил в любом случае, ибо лишней никогда не будет. С работников не убудет, если они придут в отдел кадров и распишутся. Да и хоть немного поосведомленнее будут.

А вообще статья уже устарела. т.к. идет упоминание об "Основных мероприятиях...", которые уже больше чем полгода как отменены.
Нынче "Положение о методах и способах защиты.... "
Это я к вопросу о лицензировании, ибо условия поменялись.

никто не идеален.
это-же определение из фз 160 или из фз 152 лучше?

Такой вопрос: Аудит и составление документаций (тех.задание, тех.проект, модель угроз и т.п.) проводилось сторонней организацией, которая занимается защитой информации, и которая имеет лицензию ФСТЭКа, а установкой СЗИ собираемся заняться своими силами (имеется сертифицированный, по определенным продуктам, специалист), надо ли получать в этом случае лицензию согласно постановлению 504?

Как раз составление документации на ИСПДн - это есть святейшая задача оператора этой ИСПДн. Лицензиат со стороны Вам может подготовить только ПРОЕКТ таких документов как Тех.задание, Модель, Акт и т.п.
Установка, настройка СЗИ будут уже деятельностью лицензированной (на только в рамках ПП 504, но и ПП 333 и если СЗИ является СКЗИ, то ПП 957) и ФСТЭК Вам обязательно на это укажет, если Вы запросите письменно :-) Удачи!

Еще один вопрос: один человек подсказал, что в своей организации для "приведения ИС в соответсвие с ФЗ 152" может не понадобится лицензия на техническую защиту, достаточно иметь специалиста имеющего профильное образование либо прощедшего хотя бы краткосрочные курсы(72 часа), об этом говориться в каком то приказе, я не нашел такого приказа, скажите пожалуйста так ли это? если так то подскажите в каком это приказе...

24 марта в Казани прошло большое выездное заседание Управления ФСТЭК России по Приволжскому Федеральному округу. Позиция Управления ФСТЭК России по ПФО по поводу получения лицензии на ТЗКИ для выполнения требований 152-го закона такова:
Если Вы планируете или уже производите обработку персональных данных и соответственно защищаете информационные системы в которых производится обработка персональных данных - выполняйте требования, получайте лицензии и работайте спокойно!
Если у Вас нет специалистов, принимать , обучать и т.д Вам не выгодно - обращайтесь в организации у которых лицензия уже имеется и работайте с ними.
В любом случае ФСТЭК потребует доказать , что работы выполнены организацией имеющей лицензии на данный вид деятельности. В противном случае КАРАЧУН не избежать!

Тема утратила актуальность после принятия ФЗ 210.
Какие ПД - Вы о чем?
Собственно, Россия, как государство, снимает с себя всякие обязательства перед гражданами при введении этой карты. То, что мы получали от государства - выполнение его прямых обязательствах перед нами, будет при введении этой карты ПРОДАВАТЬСЯ НАМ КАК УСЛУГИ!!!

Ибо центр управления этими картами - международный банк.
И за все операции вы будете платить, и дело будете иметь только с ЭЛЕКТРОННЫМ правительством. Пардон, а как же реальное правительство?
И зачем оно нужно, если его заменяют на электронное???

твиттер-президент сказал , что «Мы должны действовать разительно быстро, а не ориентироваться на создание тех или иных продуктов внутри страны. По мере готовности к выпуску тех или иных элементов интегральной схемы УЭК мы будем принимать по ним решения и проводить замену».
«Здесь имеется два трека, по которым необходимо идти параллельно. Один из них — создание самой карты. Второй — создание собственно чипа, — заявил Дмитрий Медведев. — А будет ли он чисто российским или в нем будут использоваться более зарубежные наработки — не в самом деле столь важно».

Так что забудьте про мертвый ФЗ 152 - ДАМ его публично дезавуировал

В кадровом делопроизводстве имеются формы приказов, которые формируются сразу на несколько работников. Имеет ли организация право пользоваться такими формами. Ведь при ознакомлении с такими приказами, каждый из ознакамливаемых видит персональные данные (ФИО, должность, оклад,...) других?