Адрес документа: http://lib.itsec.ru/forum.php?sub=5139&from=0
| Автор: Олег | 22297 | 28.09.2010 06:28 |
|
если компания удовлетворяет части 2 статьи 6 ФЗ-152 (получение согласия абонента необязательно) и пункту 2 части 2 статьи 22 ФЗ-152 (уведомление об обработке персональных данных нам отсылать не нужно ), то компании вообще шевелиться не надо? или все же поднимать защиту данных, в том плане что все же может прийти проверка от ФСТЭК? заранее спасибо
|
|
| Автор: Человечище, завод | 22343 | 29.09.2010 06:13 |
|
Да, согласно этих пунктов якобы шевелиться не нужно, но это для тех кто читает поверхностно.
Если не подавать заявление в Роскомнадзор, они просто не заносят вас в реестр к себе, но это не значит что про защиту можно забыть. Проверка ФСТЭКа и все... будут неприятности. Другой вопрос когда она будет при таких условиях. Но рано или поздно я думаю доберутся. А вот согласие на обработку я бы все таки запросил в любом случае, ибо лишней никогда не будет. С работников не убудет, если они придут в отдел кадров и распишутся. Да и хоть немного поосведомленнее будут. |
|
| Автор: Человечище, завод | 22344 | 29.09.2010 06:21 |
|
А вообще статья уже устарела. т.к. идет упоминание об "Основных мероприятиях...", которые уже больше чем полгода как отменены.
Нынче "Положение о методах и способах защиты.... " Это я к вопросу о лицензировании, ибо условия поменялись. |
|
| Автор: Прохожий | 22407 | 30.09.2010 13:13 |
|
никто не идеален.
это-же определение из фз 160 или из фз 152 лучше? |
|
| Автор: работник | 26168 | 24.02.2011 07:50 |
|
Такой вопрос: Аудит и составление документаций (тех.задание, тех.проект, модель угроз и т.п.) проводилось сторонней организацией, которая занимается защитой информации, и которая имеет лицензию ФСТЭКа, а установкой СЗИ собираемся заняться своими силами (имеется сертифицированный, по определенным продуктам, специалист), надо ли получать в этом случае лицензию согласно постановлению 504?
|
|
| Автор: :-) | 26171 | 24.02.2011 09:24 |
|
Как раз составление документации на ИСПДн - это есть святейшая задача оператора этой ИСПДн. Лицензиат со стороны Вам может подготовить только ПРОЕКТ таких документов как Тех.задание, Модель, Акт и т.п.
Установка, настройка СЗИ будут уже деятельностью лицензированной (на только в рамках ПП 504, но и ПП 333 и если СЗИ является СКЗИ, то ПП 957) и ФСТЭК Вам обязательно на это укажет, если Вы запросите письменно :-) Удачи! |
|
| Автор: работник | 26583 | 09.03.2011 10:37 |
|
Еще один вопрос: один человек подсказал, что в своей организации для "приведения ИС в соответсвие с ФЗ 152" может не понадобится лицензия на техническую защиту, достаточно иметь специалиста имеющего профильное образование либо прощедшего хотя бы краткосрочные курсы(72 часа), об этом говориться в каком то приказе, я не нашел такого приказа, скажите пожалуйста так ли это? если так то подскажите в каком это приказе...
|
|
| Автор: Piligrim16, Практик | 27143 | 27.03.2011 13:46 |
|
24 марта в Казани прошло большое выездное заседание Управления ФСТЭК России по Приволжскому Федеральному округу. Позиция Управления ФСТЭК России по ПФО по поводу получения лицензии на ТЗКИ для выполнения требований 152-го закона такова:
Если Вы планируете или уже производите обработку персональных данных и соответственно защищаете информационные системы в которых производится обработка персональных данных - выполняйте требования, получайте лицензии и работайте спокойно! Если у Вас нет специалистов, принимать , обучать и т.д Вам не выгодно - обращайтесь в организации у которых лицензия уже имеется и работайте с ними. В любом случае ФСТЭК потребует доказать , что работы выполнены организацией имеющей лицензии на данный вид деятельности. В противном случае КАРАЧУН не избежать! |
|
| Автор: Прохожий | 27146 | 27.03.2011 16:24 |
|
Тема утратила актуальность после принятия ФЗ 210.
Какие ПД - Вы о чем? Собственно, Россия, как государство, снимает с себя всякие обязательства перед гражданами при введении этой карты. То, что мы получали от государства - выполнение его прямых обязательствах перед нами, будет при введении этой карты ПРОДАВАТЬСЯ НАМ КАК УСЛУГИ!!! Ибо центр управления этими картами - международный банк. И за все операции вы будете платить, и дело будете иметь только с ЭЛЕКТРОННЫМ правительством. Пардон, а как же реальное правительство? И зачем оно нужно, если его заменяют на электронное??? твиттер-президент сказал , что «Мы должны действовать разительно быстро, а не ориентироваться на создание тех или иных продуктов внутри страны. По мере готовности к выпуску тех или иных элементов интегральной схемы УЭК мы будем принимать по ним решения и проводить замену». «Здесь имеется два трека, по которым необходимо идти параллельно. Один из них — создание самой карты. Второй — создание собственно чипа, — заявил Дмитрий Медведев. — А будет ли он чисто российским или в нем будут использоваться более зарубежные наработки — не в самом деле столь важно». Так что забудьте про мертвый ФЗ 152 - ДАМ его публично дезавуировал |
|
| Автор: кадровичка, ООО | 28719 | 30.05.2011 18:44 |
|
В кадровом делопроизводстве имеются формы приказов, которые формируются сразу на несколько работников. Имеет ли организация право пользоваться такими формами. Ведь при ознакомлении с такими приказами, каждый из ознакамливаемых видит персональные данные (ФИО, должность, оклад,...) других?
|
|
| Автор: :-) | 28730 | 31.05.2011 11:23 |
|
У нас в стране все формы имеют статус "Высочайше утверждено". Моё Вам предложение по этому поводу: не париться.
|
|
| Автор: AIB | 28732 | 31.05.2011 13:10 |
|
Строго говоря, неплохо бы подписать соглашения, что такая-то персональная информация (присутствующая на тех общих бланках) является общедоступной. Некоторую информацию, например о должности и т.п., можно обозначить как не являющуюся ПДн.
Хотя случай странный - обычно размер оклада наоборот подводят под корпоративную тайну и не разрешают оглашать :) |
|
| Автор: кадровичка, OOO | 28743 | 31.05.2011 18:17 |
|
Спасибо за отклики!
Однако, чем мудрить с соглашениями... Лучше я раздельно буду приказы печатать - мне не трудно. |
|
| Автор: Павел, НОУ Компьютерный Колледж , Чита | 28772 | 02.06.2011 12:49 |
|
Мы например в своей работе решили использовать пункт 8. статьи ФЗ.152
То есть все работники и студенты и родители подписывают согласие на предоставление ПД в публичное пользование, и всё! В таком варианте Вам не надо что то кодировать и прятать. Хоть с плакатом по улице ходи с этими данными. Естественно нам этого не надо, но и прятать нет смысла. И проверяющие отдыхать могут. |
|
| Автор: mav | 28776 | 02.06.2011 13:52 |
|
Павел, я бы на вас в суд подал и отсудил бы кучу денег за такое. Ваше согласие будет действовать до той поры, пока на него не обратят внимания соответствующие органы, ну уж потом вам придется не сладко. И еще сажать за такое надо, почитайте цель закона и уясните ее у себя в голове.
|
|
| Автор: Некто | 28778 | 02.06.2011 14:23 |
|
К тому же это соглашение юридически ничтожно, потому как в нем не описано (100%!) какие данные могут быть предоставлены в публичное пользование, с какими целями, на каких условиях... И ниразу оно не освобождает от того, чтобы эти данные защищать при их обработке.
|
|
| Автор: Павел, Компьютерный колледж | 28779 | 02.06.2011 14:51 |
|
Вот странные Вы люди, вам предлагаешь как проще а вы ещё и возмущаетесь. Во первых в законе конкретно описано личное согласие и люди понимают зачем и почему они это подписывают и делают это реально добровольно. Во вторых ни куда ни кто не собирается их распространять, они так же остаются в сейфе и компьютере организации. А в третьих в согласии описано всё на 100% по крайней мере в нашем случае. Сведения предоставляются для внутреннего пользования в организации и для передачи органам власти и правопорядка по их запросу. У меня такое чувство создалось что тут присутствует человек из фирмы занимающейся организацией всякого рода правил для ПД и реализации услуг в этой сфере( Недорого типа, всего за миллион). Другой мысли что то нет. А у людей нет таких денег, может в Москве и есть, а в остальной России нет. Да и самое интересное что этот ФЗ152 уже устали откладывать, так как многие сферы вообще не готовы и не будут никогда готовы. Например яндекс и этот сайт тоже.
|
|
| Автор: hard | 28781 | 02.06.2011 15:28 |
|
Павел вы правы, но .....
Вы сейчас затронули системный вопрос: ну что делать если в нашей сфере деятельности такой подход, такова система, да он не продуманный, да он порой за гранью здравого смысла, да МНЕ никто не объяснил до сих пор, ЗАЧЕМ ЗАЩИЩАЮТ МОИ ПД ЗА МОИ ДЕНЬГИ ЕСЛИ Я ОБ ЭТОМ НЕ ПРОШУ .... но команда дадена и её надо выполнять, а то отодвинут от кормушки. |
|
| Автор: mav | 28782 | 02.06.2011 15:45 |
|
Вот вы странные люди и государство тоже, с неправильно поставленной экономикой, не надо жаловаться что нет денег и все такое, все это чушь, вы посчитайте сколько денег уходит на ком. услуги, штрафы иные налоги, затраты на защиту своих же ПДн по сравнению с этими миллиардами сравнительно нечтожны. Никто не обязывал защищать ПДн именно в сию минуту, закон действует с 2007 года, за это время можно было выделить хоть часть денег, тем более на разработку документов регулирующую обработку персональных данных по которым будут работать ваши же сотрудники и соблюдать требование конфиденциальности. 152-ФЗ очень нужный и правильный закон, он на целен именно на защиту прав граждан, а начинает работать совсем на оборот именно из-за самих операторов
|
|
| Автор: AIB | 28783 | 02.06.2011 16:08 |
|
При правильно составленной бумажке - вполне себе панацея. Главное, как уже сказали, аккуратно перечислить - какие именно данные предоставляются в "публичный доступ", на какой срок и все в таком роде. С какими целями и на каких условиях - это тут еще к чему? Данные просто перечисляются и человек подписывается, что они общедоступные с его согласия.
2mav - читайте закон внимательнее. а насчет цели закона - она зовется "срубитьбабла". 2Некто - от защиты да, не освобождает. Но сводит к 4 классу автоматом, а в этом случае меры защиты остаются на усмотрение оператора. Строго говоря, единственный минус подхода - не всегда возможно заставить людей это подписать. |
|
| Автор: Павел | 28786 | 02.06.2011 16:15 |
|
С Вами всё понятно. То есть понятно кто какие цели преследует. Какие миллиарды, кого Вы смешите? Вы видимо надеетесь что у Вас они появятся если народ пугать и сравнения с налогами и другими пугалками проводить. У меня например дети бесплатно учатся из детдомов и малоимущие. Мне государство не даёт на это ни копейки, я действую по своим возможностям и убеждениям в этой жизни. И если я начну раскидываться деньгами на лево и на право по каждому поводу, типа дам и им денег( всяким создателям всякого платного ПД контента), то тогда все пойдут домой а не учится. Так как у меня не останется денег на оплату преподавательскому составу. Но это всё частности. Я не один такой наверное. Надеюсь на это.
|
|
| Автор: Павел | 28787 | 02.06.2011 16:29 |
|
А вообще то я рад что хоть какое то обсуждение происходит. Например мне лично не чего прятать от народа. Я мужик, 39 лет от роду, правильной ориентации , белой расы, психически и физически здоров. Ох, ох,ох как страшно стало что вы так много обо мне узнали ПД)) без моего письменного на то согласия))
|
|
| Автор: Некто | 28788 | 02.06.2011 16:38 |
|
Вот уж никогда не ратовал за то, чтоб всех заставить платить та техзащиту ПДн!
2AIB - цели закона - она зовется "срубитьбабла" - это вы сильно погорячились и первый, пусть и не самый удачный, законодательный акт, который заставляет собирающих наши ПДн соблюдать правила и защищать их объявляете "коммерческим". Весьма странно. "Но сводит к 4 классу автоматом, а в этом случае меры защиты остаются на усмотрение оператора."- опять же это означает, что меры защиты должны быть, а не наоборот. "С какими целями и на каких условиях"? - чтобы избежать злоупотреблений со стороны собирающей ПДн и максимальной открытости ситуации для гражданина. "Творческое" применение применение подобного соглашения может быть весьма выгодным для стороны владеющей базой ПДн. 2Павел - пообижаться сюда пришли и жизни поучить? Вам вполне конкретно указывают на порочность вашей практики. Вдумчивое применение законодательных и нормативно-правовых актов позволяет избежать лишних затрат. Но расписать обязанности и ответственность должностных лиц, разработать и внедрить систему защиты ПДН (даже если она и не содержит технических решений) НЕОБХОДИМО. Ну а в том, что здесь собрались люди, которые зарабатывают защитой информации, вы правы. только они в этом не виноваты. |
|
| Автор: Некто | 28789 | 02.06.2011 16:40 |
|
Павел
Добавьте сюда номер телефона, домашний адрес, регистрационные данные паспорта, номер банковского счёта ну и еще чего не жалко. Станет гораздо интереснее |
|
| Автор: Некто | 28790 | 02.06.2011 16:43 |
|
2Павел
"Ох, ох,ох как страшно стало что вы так много обо мне узнали ПД" - вы плохо изучили закон. Это не персональные данные, поскоку по ним не представляется возможным однозначно определить вашу личность :) |
|
| Автор: Павел | 28791 | 02.06.2011 16:55 |
|
Извините меня что я мешаю Вам заработать на безопасности ПД. Просто во всём нужно знать меру. Я согласен с тем что за распространение чужих ПД надо отвечать, это да! Но не согласен с тем что организация должна платить деньги за бумажки( Типа документация и нормативы по ПД) и бредовые технологии по защите. В любой организации люди друг о друге знают больше чем надо. И если кто то что то решит рассказать то расскажет и без Вас и без паролей и без Вашего участия вообще. Понимаете? Просто вдумайтесь сколько информации у Вас в голове за жизнь накопилось. Вот расскажете кому то и отвечайте тогда. Вот это я считаю правильным. Видимо я людям рассказал достаточно много лишнего. Но слава богу пока ФЗ такого не придумали, что бы за правду судить.
|
|
| Автор: Павел | 28792 | 02.06.2011 17:00 |
|
Закон я изучил дай бог каждому. Если бы не изучал как надо, то про 8 пункт на форуме информации не появилось бы. А в остальном просто шутки понимать надо, хотя про это тоже ещё ФЗ не прописали)) то есть понимать шутки не обязательно на самом деле.
|
|
| Автор: Некто | 28793 | 02.06.2011 17:09 |
|
Шутки здесь прекрасно понимают. И я в том числе :) И отшучиваются порой в ответ так, что мама не горюй.
Павел, вас кто заставляет платить за разработку документов по защите ПДн? Рыбы достаточно, человек вы, судя по всему, не глупый - карандаш вам в руки. А вот заставить подписаться сотрудников под документом, где определена ответственность за разглашение очень заже полезно. Потому как "знаю, понимаю, что ж я враг какой" - это одно, а вот ознакомлен под роспись - совсем другое. Слова к делу не пришьешь, если что. |
|
| Автор: Павел | 28795 | 02.06.2011 17:17 |
|
Вы сейчас вообще в сторону от темы ушли. То о чём Вы пишите это "Обязательство о неразглашении коммерческой и иной информации". Такую бумагу все давно и на всех предприятиях подписывают и заметьте совершенно бесплатно и без ФЗ.
|
|
| Автор: Некто | 28796 | 02.06.2011 17:25 |
|
Это одна из составляющих системы защиты ПДн и приведена в качестве иллюстрации.
А коль скоро ПДн выделены в особую категорию информации (целый ФЗ про это), то и в своих документах невредно то же самое сделать. А то скажут, что ПДн это не коммерческая информация и не знали... И что дальше? У вас, к примеру, определено что относится к коммерческой инфе? Что к иной? Какая она такая - иная? А сотрудники об этом знают? В том то и дело, что тут как на экзамене (вы ж в учебно заведении трудитесь? :)) - каждый неточный и неполный ответ вызывает очередной вопрос. Каждая неопределённость - возможность для злоупотребления или халатности |
|
| Автор: Павел | 28798 | 02.06.2011 17:44 |
|
Конечно определено что к чему относится еще лет пять назад. Всё по пунктам и с разъяснениями для коллектива. А теперь реалити будущего: 10 утра, Мастерская по ремонту обуви. Сапожник создал ИП на последние деньги. У нас же хвала и почёт сейчас всем рабочим которые сами себя устроили на работу!!( И это на самом деле правильно) Ну и вот сидит он и ждёт своего клиента. Тот приходит приносит ботиночки и хочет в ремонт отдать. А сапожник ему и говорит: Вы сейчас мне ФИО скажете и телефон свой наверное? для того что бы я Вам мог позвонить когда отремонтирую. Клиент: Конечно. Сапожник: Ну тогда до свидания, у меня нет возможности взять у вас в ремонт ботиночки. У меня нет денег на инфраструктуру по защите Ваших ПД. Весело? Конечно весело! Нафиг нашему государству ИП и всякие малые предприятия.
|
|
| Автор: Некто | 28802 | 02.06.2011 17:57 |
|
Мда...
Павел, вы по убеждениям не либерал часом? А то система аргументации как-то напоминает... А то, что определен - это ж прекрасно. Но тогда вы несколько преуменьшили объем мероприятий по защите ПДн в вашем учебном заведении. Не одной 8 ст 152-ФЗ оказываеццо. Я же считаю, и никто меня не переубедит, что система защиты информации на предприятии должна быть единой. Тогда и биться в истерике по поводу ПДн не придется - все уже и так сделано, только бирочки кой где поменять :) |
|
| Автор: Павел | 28803 | 02.06.2011 18:13 |
|
Я вообще не отношу себя к какой либо политической системе. Просто о народе думаю иногда. А на счёт бирочек, не всё так просто. Или пункт 8. или целый комплекс мер и действий, по крайней мере в контексте нынешней редакции ФЗ.152. Но я надеюсь что здравый смысл Верхов возобладает над очередным желанием спец.органов озолотится за счет народа. Хотя может быть и напрасно я на это надеюсь. У нас всегда из огня да в полымя.
|
|
| Автор: Orve | 28804 | 02.06.2011 18:42 |
|
2 Павел.
Лень было вмешиваться в спор, но заявлением о том, что "Закон я изучил дай бог каждому", а потом приведением примера с индивидуальным предпринимателем Сапожником вы, извините, просто лужу газируете! Потому как если первое утверждение - правда, то "даст бохх каждому" ясно, что во втором - обработка ПД _БЕЗ ИСПОЛЬЗОВАНИЯ СРЕДСТВ АВТОМАТИЗАЦИИ_! И все дальнейшие рассуждения о деньгах/невозможностях и клиентах могут быть отправлены в пешее эротическое путешествие. А про схему "с публичными данными" вам уже выше и, что интересно, ПРАВИЛЬНО ответили. Лично я-б на месте учащегося за малейший "косяк" (не говоря уж про окончание/отчисление) со стороны уч.заведения тут-же накатал-бы жалобу и в РосКомНадзор, и в ОбрНадзор, и в прокуратуру и хоть президенту с богом. Ибо цена вопроса (консультация+составление) у юриста - смешная. Поинтересуйтесь у юридически подкованных товарищей, как договор (или пункт договора, или иное обязательство) признаётся ничтожным (юр.термин). И гипотетический "я" докажу, что (1) "я" был вынужден дать такую подписку (а как иначе - не примут учиться), (2) "я" не знал/не разъяснили "моих" прав, (3) "противоречит законодательству о ПД". P.S. И да, уже сказали о том, что закон был принят давно! То, что уч.заведения тянули "до последнего" (в моём городе - именно так) - их не оправдывает. Да и при нормальном уч.заведении реализовать требования закона не сложно БЕЗ ПРИВЛЕЧЕНИЯ дополнительных бюджетов (проверено лично), а только вдумчивой и регулярной работой. |
|
| Автор: Павел | 28805 | 02.06.2011 18:58 |
|
Читайте закон. Он хоть и плох но оставляет выбор. Но видимо он Вам тоже не нравится, но вот только с другой стороны- со стороны пункта о публичных данных, которые человек имеет право дать и Вас не спросить. Видимо наступил я тут на мозоль кому то. А на счёт суда не правда в моём например случае. Во первых не государственное учреждение, во вторых не обязательно у нас учится, в третьих не все учатся за деньги. У меня ощущение складывается что со мной дискутируют на форуме люди с запада России( Один негатив по поводу и без повода,просто у нас в Сибири люди попроще) или дискутируют люди лоббирующие интересы фирм по созданию "платных продуктов и решений по защите ПД"
|
|
| Автор: Павел | 28806 | 02.06.2011 19:07 |
|
А вообще нормальное общение- это когда критикуешь- Предлагай! То есть если я не прав и Вы не имеете отношения к создателям очередного чудо-продукта для защиты ПД и у Вас есть предложения другие, то народ будет рад прочитать как за три рубля тридцать три копейки всё это сделать и быть защищённым перед контролирующими и карающими. Не нравится моё предложение не используйте. У каждого свой путь.
|
|
| Автор: Orve | 28815 | 03.06.2011 09:50 |
|
2 Павел
Плох он или нет - это закон. И его принятие - не хитромудрое изобретение кровавой гебни, а необходимость, вызванная (1) изменением окружающего мира и (2) международными обязательствами нашей страны. Однако Вы, Павел, похоже не желаете для себя признавать, что, кроме 152-ФЗ, существует ряд иных законов, постановлений правительства, нормативных документов регуляторов - они все ТАК-ЖЕ регулируют порядок обработки ПД, как с использованием средств автоматизации, так и без оных. По поводу заявлений/аргументов "не обязательно у нас учиться" и вытекающей из них возможности вертеть законом как угодно... Ещё раз обращаю Ваше внимание, что ни один суд в мире (не то, чтобы даже в России) никогда не согласиться с Вашим (да-да, Вашим, отмазки о "сам-же подписал" не пройдут) желанием объявить номера банковских счетов (вы зарплату сотрудникам как выплачиваете?), паспортные данные и некоторые иные реквизиты "публичными данными". А по поводу "предлагай" - тоже уже сказали. Мне лично очень смешно, когда у нас в городе уч.заведения (и не только они) засуетились за месяц до вступления закона в полную силу. А чем Вы, извините, занимались раньше? Если мне надо выкопать яму 3х3х3, то я могу (1) нанять экскаватор (вариант с "бюджетами" и скоростью проведения работ) или (2) взять лопату и по кубу в день выкопать самому и бесплатно. Но во втором случае я, как-бы ни пыжился, за час-полтора ямы нужной не выкопаю - раньше думать надо было. |
|
| Автор: Павел | 28821 | 03.06.2011 11:20 |
|
Будет смешно на это всё смотреть и читать когда изменят закон, а я уверен что изменят. Правда сначала сколько надо снимут стружку, а потом изменят.
|
|
| Автор: Некто | 28824 | 03.06.2011 11:49 |
|
Вы полагаете, что требования о необходимости защиты ПДн будут сняты?
|
|
| Автор: Гость | 28826 | 03.06.2011 12:13 |
|
Скопировал на одном из форумов:
2 июня 2011 года, 13:00 Дмитрий Медведев подписал перечень поручений по итогам встречи с представителями интернет-сообщества, состоявшейся 29 апреля в Москве. ... 5. Ускорить приведение законодательства Российской Федерации в соответствие с требованиями Конвенции Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных», предусмотрев устранение необоснованных обременений для операторов персональных данных. Ответственные: Щёголев И.О., Бортников А.В., Нургалиев Р.Г. Срок – 1 августа 2011 г. 6. МИДу России передать депозитарию ратификационную грамоту о присоединении Российской Федерации к Конвенции Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных». Ответственный: Лавров С.В. Срок – один месяц со дня вступления в силу федерального закона о внесении изменений в законодательные акты Российской Федерации, направленных на приведение их в соответствие с международными обязательствами Российской Федерации в сфере защиты персональных данных. |
|
| Автор: :-) | 28828 | 03.06.2011 12:39 |
|
Попробую угадать: или все отчитаются, что всё выполнено в соответствии с указанием, или найдут "очередных" крайних для наказания и увольнения.
|
|
| Автор: Некто | 28830 | 03.06.2011 12:46 |
|
Хорошая инфа :) Вкусная!
Только вот интересно мне: "устранение необоснованных обременений для операторов персональных данных" и отсутствие требований о необходимости защищать ПДн в организации (у оператора) одно и то же? |
|
| Автор: Павел | 28832 | 03.06.2011 13:27 |
|
Я про это и говорил, просто ещё вчера это прочитал, просто не стал выкладывать на форуме. Зачем расстраивать больших сторонников ужесточений ))
|
|
| Автор: AIB | 28834 | 03.06.2011 13:51 |
|
2Некто: поскольку я не ясновидящий, то для оценки явлений смотрю на факты. А факты таковы, что данный закон неработоспособен, непродуман, вместе с принятыми к нему актами - противоречив, весьма мало помогает защитить эти самые данные и т.п. Зато он обязывает операторов тратить кучу денег на "сертифицированные средства", создает возможности по нагибанию этих операторов (т.к. невозможно исполнить противоречивый закон при всем желании) и все в таком духе. То, что ситуация из состояния "полная задница" путем больших усилий (и не в малой степени - организованных усилий банковского сообщества) сегодня со скрипом превращается в состояние "задница но как-то жить можно" - это из разряда "чтобы сделать сделай человека счастливым - сделай ему очень плохо, а потом верни, как было", на большую победу сил добра мало похоже.
В законе не определено даже то, что такое персональные данные. В законе абсолютный дисбаланс интересов оператора и субъекта ПДн - а между прочим, среди операторов есть и социально значимые, так что косвенно он наносит ОЧЕНЬ неиллюзорный ущерб и самим "субъектам". В области медицины, например. А иногда он своими нормами не позволяет организовать некоторые меры защиты тех самых субъектов и их интересов. Меры защиты в документах сведены к техническим, что является абсурдом само по себе - технические меры не работают без организационных, которые полностью пропущены. Кроме того, меры защиты искуственно сведены к 4-м!!! случаям! На все случаи жизни. При том сведены абсолютно искуственно и без учета реальных угроз. По данной классификации получается, что телефонный справочник области является такой-же критичной информацией, как медицинская база данных. Закон и подзаконные акты не учитывают действительные риски, заменяя их до предела упрощенным механистическим подходом. Честно говоря, я затрудняюсь вообще сказать, что в этом законе полезного, кроме самого факта, что персональные данные принялись как-то защищать. Ну и документы ФСТЭК хорошие, не спорю - если рассматривать их только как краткие справочники по техническим мерам и угрозам. По 4 классу - да, защищать надо. Только они уже "как-то" защищаются. Ну, например кабинет на ночь на ключ запирается и сторож есть. Защита должны быть адекватной угрозе, а не идолом, на которого все молятся. "с какими целями и на каких условиях" - так данные становятся общедоуступными. С ними уже может ознакомиться неограниченый круг лиц по определению, т.е. к ним полностью неприменима характеристика конфиденциальности. А обязанности по обеспечению целостности-достоверности и т.п. у него остаются и так. Более того, если специально не прописать в соглашении - он еще и обязан в любое время удалить эти данные по требованию их владельца. PS Кстати, я не первый раз слышу о страшной угрозе разглашения частным лицом своего банковского счета - в чем она состоит для среднестатистического, не отягощенного нетрудовыми илисверх-доходами человека? :) Могу написать тут какой-нибудь свой, мне не жалко. |
|
| Автор: Павел | 28835 | 03.06.2011 13:55 |
|
Ну вот. Вроде я тут не один окопался))
|
|
| Автор: AIB | 28836 | 03.06.2011 14:09 |
|
2Orve: мне неизвестны богатые учебные заведения в каком-то массовом количестве. Может быть в Москве или еще где они и есть в виде исключения, но в целом данный вид деятельности мягко говоря не избалован средствами. Нередко проблемой является приобрести лишнюю пару компьютеров. Каким образом предлагается внедрять меры защиты, если любое техническое решение, признаваемое за СЗИ, требует денег, т.к. обязано быть "сертифицированным"? Возможностей закрыться бесплатными аналогами закон не предоставляет. Хоть за год начни, хоть за два - нужно отрезать бюджет. А с какой, собственно, стати? Учебные учереждения - организации бюджетные. Ввели закон, который подвергает их дополнительной нагрузке - извольте ввести дополнительное финансирование. Не ввели финансирование - значит нефиг и требовать. Предлагается отказаться от автоматизации? Очень прогрессивный подход, не говоря о том, что грамотная автоматизация позволяет как раз экономить те самые скудные средства.
А с учетом того, что никаких существенных угроз персональным данным в них нет, позиция учебных заведений как раз имхо правильная. В нашей стране много неработающих законов, взять тот-же 1-ФЗ об ЭЦП, недавно замененный наконец чем-то более человеческим - особенность поголовного засилья дилетантов и коррупционеров в законодательной власти. Собственно массовая неготовность школ, медицинских учереждений и прочего к требованиям данного закона и заставляет как-то шевелить товарищей своей законодательной задницей и начинать чуть-чуть думать головой о том, что же они там напринимали и чем это грозит. Таково мое ИМХО. |
|
| Автор: hard | 28837 | 03.06.2011 14:59 |
|
2Orve: Как то в своем выступлении Вы обошли шибко необходимую процедуру обязательного лицензирования по ЗИ для всех организаций проводящих работы по защите ПД, я так подразумеваю это тож крайне необходимо для нашего же блага. Так вот пыжтесь Вы или не пыжтесь, а лицензии смогут получить не более 0,001% от всех операторов - или вы сомневаетесь? Ну а вотношении учебных заведений, если Вы имеете к этому отношение, акромя гемороя и усложнения ИС и процессов в ней, защита ПД студентов-абитуриентов и прочих категорий ничего не несет .... 1001-й способ и ничего более.
Кстати на счет международных обязательств: (в свете последних событий) и что теперь все дружно кинулись потреблять наркотики? Кстати весь запад уже давно защищает ПД пользуясь правом договора-оферты, а что вполне разумно, а главное следов и предпосылок коррупции нет. И еще очень интересный вопрос, а почему Я должен несколько раз платить за защиту своих ПД, если я этого не хочу? Не понимаю! Поясню, газовщики за защиту моих ПД сдерут денежку с меня, электрики - тоже, почта - тоже, ну и сами можете продолжить перечень. Даже закон не позволяет за один и тот же проступок наказывать дважды, а тут чистой воды произвол .... или я не так все понимаю? |
|
| Автор: Orve | 28839 | 03.06.2011 16:48 |
|
2 hard
Я не обходил "ловко" этот острый момент. Просто по необходимости (или отсутствию оной) лицензирования деятельности по ТЗКИ уже столько раз всё обсуждено и столько копий сломано, что не счёл нужным. Так вот, ни одна организация, которая проводит работы по ЗИ для СВОИХ собственных нужд и СОБСТВЕННЫМИ силами - лицензию получать не должна. В том числе и уч.заведения. Если-же организация оказывает услуги по ЗИ (т.е. это её вид деятельности, грубо говоря - в ОКВЭД прописанный, организация ДЕНЬГИ на этом зарабатывает) - тогда да, необходима лицензия. Оставим за бортом степень зрелости закона о лицензировании и требований к лицензиатам, но в общем логика простая: зарабатываешь деньги - нужна лицензия. Но до сих пор эта истерика/заблуждение гуляют "по интернетам". |
|
| Автор: Orve | 28840 | 03.06.2011 16:56 |
|
2 AIB
Я знаю богатые уч.заведения (одна штука), но они коммерческую деятельность ведут. А по бюджету - что мешало УЗ (уч.зав.) в 2008 году подать уведомление? Что мешало прочитать нормативные документы и разработать план работ? Что мешало выполнить ОРГАНИЗАЦИОННЫЕ требования, а технические - выполнить по возможности? Году так в 2010... Что мешало пусть дешёвый файрвол на бесплатных никсах поднять на старосписаном компе? Да, это не вполне соответствует требованиям регуляторов - но при проверке выясниться что (1) работы ведуться, (2) что не реализовано полностью - на то может быть документ о "наличии в планах" (собрались, подумали, подписали акт/протокол, предьявили по требованию регуляторам), (3) документ в вышестоящую инстанцию с ОБОСНОВАНИЕМ необходимости выделения Н-й суммы на приобретение сертифицированных средств ЗИ??? По крайней мере любой проверяющий увидит, что то, что могло быть сделано - выполнено, что не выполнено - не сделано потому, как не выделен "сверху" бюджет (есть письмо-обращение). Что не доделано - лежит в планах (подписанных или руководителем, или комиссией) на 2011/2012 и тыды годы. |
|
| Автор: Orve | 28841 | 03.06.2011 17:00 |
|
2 Павел
По поводу изменений закона... И прочей "стружке". Я тоже уверен, что изменят - например пропишут ответственность оператора в случае компроментации ПД (как в США) ил ещё что. Но наши с Вам гадания - это одно, требования закона "на сегодня" - второе (уже сегодня за неподачу уведомления вполне можно "шерстить"), а реальные (а не прогнозируемые) изменения закона - вообще третье. |
|
| Автор: Orve | 28842 | 03.06.2011 17:10 |
|
2 AIB
О том, что все работы сведены к "4 случаям"... Блин, всегда, вечно найдётся кто-нибудь недовольный. Да, мне тоже не нравиться переписка-переложение (и достаточно топорная) требований СТР-К на вопрос защиты ПД. Но ведь что-то меняется, регуляторы работают, выходят новые документы. Но меня, как человека, который не поленился ознакомиться с документами и требованиями, интересует (конкретно к Вам) один вопрос - а составить ЧАСТНУЮ МОДЕЛЬ УГРОЗ "религия" не позволяет? Если непонятно, как, или лень, или что ещё - вот тогда берите шаблоны для типовых систем. Но если Вы (как и я) в школе были обучены буковкам, есть время (или должностные обязанности), есть понимание о неуниверсальности типовых рекомендаций - так берите, читайте-делайте: сделайте свою модель угроз (и оформите её подписями), и выполняйте те мероприятия, которые вы (организация) сочли актуальными. |
|
| Автор: Паввел | 28843 | 03.06.2011 18:01 |
|
Люди! Да что же с Вами происходит, почему всё летит в тар.тарары. Такое ощущение что мы не в России а уже в Америке. Куда вы всё торопитесь попасть или нас затолкнуть? У нас лучше, и всегда надеюсь будет лучше. В своё время, в Союзе, под ковриками ключи от квартиры лежали и записка в двери- Ключ под ковриком. По крайней мере так было в моём городе повсеместно. Люди были проще и добрее. . А Вам видимо теперь надо что бы люди чего то боялись и всё прятали как мыши. А скажут- он враг, а Вы и поддакивать получается будете как в 37-ом. Сегодня Вы ратуете за защиту ПД (Так как видимо выгодно) а завтра могут и за Вами придти, просто по другой статье к которой Вы не сможете "подготовится", и другие промолчат. Вот и получается что надо прежде всего шире на вещи смотреть . А я Вас уверяю простому народу нечего прятать и сейчас и не чего было прятать раньше. И самое интересное что дело то тут не в Президенте и правительстве. Они наверное хотят как лучше, но когда дело доходит до тех кто должен писать закон там начинается затуп реальный и желание подзароаботать на новом рычаге, а разгребают косяки потом опять на самом верху. А Вы видимо думаете что Вы в прогрессе, круто!!. Если реально так всё будет во всём - то есть - одни только косяки, то я свалю на севера в тайгу к эвенкам или на льдины к эскимосам. Там ещё остались простые люди без прибамбасов в головах которым нет дела до трясучки над своими ПД. Я на самом деле понимаю что есть данные которые не надо разглашать, вот за разглашение и надо судить. То есть знал что нельзя и разгласил. Стукачей не люблю и я. Но это уже другая история.
|
|
| Автор: Павел | 28844 | 03.06.2011 18:04 |
|
Это я обратился к сторонникам всяких скрытий и зарытий))
|
|
| Автор: Павел | 28845 | 03.06.2011 18:19 |
|
Кстати я Вам ещё пример расскажу. Сейчас делаем международный бизнес- портал на котором люди специально будут оставлять свои контактные данные, так как это в их интересах. Телефон, Адрес, ФИО, место работы и т.п. Но согласно сегодняшней редакции закона мы как организация обрабатывающая эти данные не можем это делать так как необходимо письменное на то согласие всех этих людей. А они по всему миру разбросаны и на разных языках разговаривают. И не возможно это в принципе, собрать столько бумажек. У меня нет такого сейфа:)) Глупо всё это. Проще надо быть и люди потянутся:))
|
|
| Автор: :-) | 28846 | 03.06.2011 18:57 |
|
2 Павел:
Вот только не надо нас агитировать за Советскую власть! :-))) Вы ведь не думаете всерьёз, что благодаря именно ей Вы клали ключ под коврик с запиской в двери и ничего не боялись?! Времена меняются и люди тоже. Например, раньше земля была бесплатная - бери, строй, паши, сей. А сейчас каждый клочок денег стоит (и чем ближе к центру, тем дороже). 2Orve: Только человек из госструктуры может "так просто" учить жизни. Это у Вас может быть на каждую функцию выделяют отдельного человека, который может делать годами никому не нужные бумажонки и "копать яму 3х3х3" с 2008 года, когда требования закона противоречивы, требования по защите ФСТЭКом менялись и это не главное. За 3 года львиная доля операторов создавалась, реорганизовывалась, меняла местоположение помещений, техники, изменяли состав ПО - это ради того, чтобы выжить в условиях "рыночной демократии". Про постоянную текучку кадров и её последствия сами догадаетесь? Вы хоть раз в жизни организовывали коммерческий проект? Посчитайте затраты: текущие, накладные, незапланированные и НАЛОГИ. И это будет только проект, а реализация его может свести не нет все Ваши ГЛАВНЫЕ усилия - заработать на жизнь + заплатить налоги из которых выплатят зарплату чиновнику, который будет тебя учить. как правильно писать бумажки... Цель защиты информации (в нашем случае это ПДн) - это защита информации. Люди, которые давно занимаются защитой информации, Вам говорят, что закон о персональных данных и всё что с ним связано - не работает в плане защиты этих самых данных. А Вы предлагаете защиту строить бумажками: показать, что работы ведутся, в планах выделить деньги, в Модели угроз прописать, что каналы не актуальны или самое классное "(2) что не реализовано полностью - на то может быть документ о "наличии в планах" (собрались, подумали, подписали акт/протокол, предьявили по требованию регуляторам)" - это мягко сказать ПСЕВДОЗАЩИТА (очень мягко). Вот именно для субъекта ПДн от таких мероприятий ПСЕВДОЗАБОТЫ только одно унижение. Зачем показывать, что работы ведутся, когда они должны быть выполнены? Зачем запрашивать или планировать деньги по 2012 года, когда на защиту не давали с 2006 года и не факт, что дадут в 2012? И самое главное: почему виноват тот, кто не может выполнить "невыполнимый" закон, а не тот, кто сочинил его и не предусмотрел средств и условия для его реализации правильной реализации? |
|
| Автор: :-) | 28847 | 03.06.2011 19:31 |
|
Как лицензиату ФСТЭКа в последнее время всё чаще и чаще уже прямо говорят: сколько у Вас стоит откупиться от Роскомнадзора? И все прекрасно понимают, что речь идёт далеко не о защите персональных данных! Просто была структура, которая не приносила в казну денег. Как-то не хорошо. А вот теперь всё исправлено: технические требования проверяют те, кому и было положено (ФСТЭК и ФСБ), а не приносящая в казну денег структура теперь специально уполномочена, проверяет только бумажки, в случае их отсутствия и штраф КоАПом предусмотрен. На техзащиту и грамотного юриста денег хватит мало у кого...
Подчёркиваю - это моё личное мнение и личное видение ситуации! |
|
| Автор: Павел | 28848 | 03.06.2011 19:44 |
|
Времена то меняются, но зачем их подгонять и ещё быстрее лететь в пропасть. Цивилизация не всегда есть - хорошо. До нас тоже кто то видимо перестарался в чём то, и гинули в бездну. А вообще то пусть каждый делает как считает нужным. Иногда просто задалбывает всякая мутота в законах, а потом привыкаешь. Как говорится в инструкции для женщин: Когда тебя насилуют, расслабься и получай удовольствие. Ведь типа это неизбежно. Вот пусть кто хочет и расслабляется, а кто не считает нужным сопротивляется как может.
|
|
| Автор: Orve | 28849 | 03.06.2011 21:44 |
|
2 :-)
1) "может быть на каждую функцию выделяют отдельного человека". Вы хотите сказать, что при организации бизнеса нет необходимости предусматривать функцию защиты информации? При современном уровне автоматизации, всякой вирусноподобной флоре и фауне, при зачастую некомпетентных пользователях и тыды? И не важно - будет это отдельная штатная еденица или эти функции будут возложены на или зама, или глав.инженера, или сис.админа, да хоть на самого директора? Даже без учёта всяких там 152-ФЗ и иже с ним. Просто "по жизни"? 2) "Вы хоть раз в жизни организовывали коммерческий проект?" Да. И, да - я с вами согласен - это стоит денег. Но даже безотносительно к требованиям регуляторов - некоторые вещи стоит сделать именно из практических соображений, а не в угоду закону. 3) ""копать яму 3х3х3" с 2008 года, когда требования закона противоречивы, требования по защите ФСТЭКом менялись и это не главное." У меня всё глубже складывается впечатление, что тут какое-то недопонимание. ИМЕННО потому, что "бумажки" менялись, неудобно становиться _оформлять_, делать "для отписки". А если реально работать - что, антивирус не нужен? Инструкция для пользователей, порядок обновления и тыды. "Сервак" с одноэской есть? Так описать конфигурацию сервака (для себя, родимого) - железо, ОСь, настройки, особенности. Какая версия одноэсины, какая конфигурация. Кто доступ имеет, какой, какие пароли (в сейф, в сейф - вдруг админ "заболеет"). А бакап всего этого нужен? Так описать - куда, как, с какой регулярностью. Словом, по вашим постам в иных ветках я думаю, что Вы это и не хуже меня знаете. Плюс, как я уже написал, часть требований/функционала можно реализовать на всяких линуксах бесплатных, да грамотными руками и бесплатным софтом. Да, я соглашусь с Вами в том, что это не сертифицировано (впрочем, сейчас есть и сертифицированные варианты - естественно, за деньги). Но если это не К1, а какая-нибудь К3 - ну максимум, это регулятор при проверке замечание напишет, особенно если действительно всё будет и сделано, и задокументировано (хоть как-то задокументировано, "не на туалетной бумаге в последние 3 дня перед проверкой"). Да, могут и предписание дать. Но это уже ДАЛЬНЕЙШИЕ детали... Вот так и "копать с 2008". А имея на руках работающую систему (а иначе нафиг она Вам/директору/бизнесу нужна?), плюс эксплуатационную документацию к ней - там уже и под требования регуляторов "дооформиться" бумажками не сложно (самостоятельно). Я так считаю. Но, впрочем про деньги, госконтору и казну я с Вами полностью согласен. |
|
| Автор: hard | 28850 | 03.06.2011 21:48 |
|
2Orve: Я действительно очень рад за то что вы находитесь все еще в неведении Федерального закона от 04.05.2011г. №99-ФЗ, рекомендую ознакомиться со ст.3 п.2. А про те обсуждения я уже давно забыть успел.
|
|
| Автор: hard | 28851 | 03.06.2011 22:29 |
|
2Orve: Вы не представляете как я с Вами согласен, и говорите правильно, но, как показывает практика регулятор склоняется не в сторону здравого смысла, а в сторону им понимаемой буквы РД и редко кто начинает с ним (регулятором) спорить. И будь трижды Вы специалистом и Ваше видение проблемы верно, точка зрения регулятора будет поддержана а Вы в лучшем случае отделаетесь выговором. Проблема не в том, что закон такой не нужен и не надо его выполнять, а в том что каждый его трактует так как ему удобней, так как ему подсказывают ..... а дальше выбирайте: совесть, профессионализм, карьерный рост или простое жополижество (что превалирует, прошу прощение). Мы все тут говорим, а не понимаем друг друга и ЭТО НЕ НАША БЕДА, НАС ТАК ПОСТАВИЛИ И ЭТО КОМУ-ТО ВЫГОДНО. Резко, .... зато верно.(ИМХО)
|
|
| Автор: Некто | 28861 | 06.06.2011 10:46 |
|
Orve | 28849
Правы вы на 100%. Под каждым словом подпишусь. Об этом не раз говорил, может и не так развернуто и доходчиво. И оппонент наш (Павел) очевидный продукт правила о "строгости российских законов и необязательности их исполнения". Вот хорошие вокруг его люди и все они прекрасно знают и выполняют. Нет в их нетронутых столичным развратом провинциях халатных, корыстных, мстительных работников. Ключ можно под коврик, кабинет на шпингалет, вместо сейфа ящик стола, а требования, правила и обязанности в режиме устного инструктажа. Суд справедлив и непредвзят - на слово верит. Если и правда там так живут, то согласен я с Павлом. Согласен! Можно так как он делает, но только там у них во Граде Золотом. Я хоть, как многие здесь, тоже зарабатываю технической защитой информации, но считаю, что грамотно выстроенная система организационных мероприятий способна обеспечить удовлетворительный уровень безопасности информации. И бумажной эта защита станет при "бумажном" к ней отношении. 2 hard №99-ФЗ, ст.3 п.2. 2) лицензия - специальное разрешение на право осуществления юридическим лицом или индивидуальным предпринимателем конкретного вида деятельности (выполнения работ, оказания услуг, составляющих лицензируемый вид деятельности), .... Вы полагаете, что это повод считать, что луцензию будут требовать и для собственного потребления?! Дело в том, что ст. 12 ФЗ включает 48 видов деятельности, некоторые из которых услугой не являются ни в каком виде. Ст5. п 2 определят, что Правительство утверждает положения о лицензировании конкретных видов деятельности и принятие нормативных правовых актов по вопросам лицензирования. Т.е. ждем нового положения о лицензировании ТЗКИ-СЗКИ. Полагаю, что здравый смысл возобладает и в постановлении Правительства деятельность по ТЗКИ, на которую необходимо получить лицензию, будет определена как услуга. В противном случае отделу лицензирования придется мылить верёвку. В сегодняшнем штатном составе он уже давно работает за пределом прочности. Кроме того введение бессрочной лицензии и сопутствующие регулярные контроли лицензионных требований ситуации не облегчают и требуют Раадикального увеличения нагрузки на лицензирующие органы. Потому, думаю, не стоит шаманить и бить в бубен раньше времени. Поживем-увидим |
|
| Автор: AIB | 28868 | 06.06.2011 14:08 |
|
2Orve:
"Но меня, как человека, который не поленился ознакомиться с документами и требованиями, интересует (конкретно к Вам) один вопрос - а составить ЧАСТНУЮ МОДЕЛЬ УГРОЗ "религия" не позволяет?" - Конкретно я временами помню все эти документы почти наизусть, количество же различных систем и организаций, для которых составлял их, заведомо более десятка. Модели угроз вполне могу создавать без руководящих подсказок, и более того - утверждаю, что перечень угроз, приведенный в руководящих документах так же не полон, как и варианты мер защиты. Есть одно "но": как Вы, может быть, догадываетесь, я не работаю в школе. "Что мешало прочитать нормативные документы и разработать план работ? Что мешало выполнить ОРГАНИЗАЦИОННЫЕ требования, а технические - выполнить по возможности?" - школе? Вы шутите? Отсутствие специалистов мешало, например. Даже в некрупных банках наблюдается дефицит людей, способных самостоятельно и грамотно (т.е. с минимизацией затрат) разобраться с данным вопросом. Общеобразовательные учереждения в списке потенциальных работодателей специалистами данного профиля рассматриваются не особо часто, впрочем также сомнительно и то, что сами эти учереждения могут предложить этим специалистам адекватную занятость. Кто будет "частную модель" рисовать, завуч? Насчет иллюзий того, что если закрыться басплатным несертифицируемым софтом, регулятор прослезится и отстанет, хотел бы указать на очевидное притиворечие с практикой в виде банков и иных подобных организаций. Как Вы, наверное, догадываетесь, в каждом из них построены реальные системы защиты, не в пример поделкам на коленке, т.к. кроме персданных там имеется финансовая информация, и по этой-же причине у них более чем хватает различных регламентов. Однако это нисколько не помогает растрогать регуляторов. Заметьте, эти организации не просто "по возможности" втыкали "какой-нибудь" фаервол на древнем компе, бесплатный антивирус и прочее, а создавали действительно продуманые, нередко многоуровневые системы защиты, а те, кто работал с международными платежными - еще и подвергались регулярному сканированию и аудиту. Говорить, что там "данные более критичны", в свете ПДн некорректно. Те данные, которые там критичны, относятся не к ПДн, а к финансовой информации, причем иногда даже не информации физлиц. 2 Orve и Некто: Вы все время ставите телегу впереди лошади. Защита не есть жизненная необходимость априори, это всего-лишь средство минимизации рисков. "Если реально" работать, то для начала надо определить - какие риски являются актуальными. Скажите, какие именно риски по персданным вы считаете действительно актуальными для средней школы? |
|
| Автор: 777 | 28875 | 06.06.2011 17:44 |
|
О чем спор?
Читаем выше Прохожий 27146 27-03-2011 16:24 Тема утратила актуальность после принятия ФЗ 210. Какие ПД - Вы о чем? Собственно, Россия, как государство, снимает с себя всякие обязательства перед гражданами при введении этой карты. То, что мы получали от государства - выполнение его прямых обязательствах перед нами, будет при введении этой карты ПРОДАВАТЬСЯ НАМ КАК УСЛУГИ!!! Ибо центр управления этими картами - международный банк. И за все операции вы будете платить, и дело будете иметь только с ЭЛЕКТРОННЫМ правительством. Пардон, а как же реальное правительство? И зачем оно нужно, если его заменяют на электронное??? |
|
| Автор: mav | 28884 | 07.06.2011 11:20 |
|
ФЗ 210 это еще один закон, который не заработает никогда. Законы типа 152-ФЗ, 210-ФЗ не на наш контингент населения.
|
|
| Автор: AIB | 28890 | 07.06.2011 13:07 |
|
2Некто: Закон, к сожалению, именно что только "определил". Я ранее собственно об этом и писал. Однако то, как он это определил, нисколько не помогает этой самой защите. Так как в данном случае вместо рекомендаций типа "такие-то бюджетные-бесплатные сетевые экраны, такие-то настройки, такие-то регламенты обслуживания" и тп там идут абсолютно невменяемые требования - а в случае приведенной ссылки, у нас будет 1 класс и НДВ.
Также я полностью согласен, что представленная в том документе информация довольно чувствительна. Но кажется мне, что гораздо проще получить к ней доступ с компьютера директора, заглянув в ненароком оставленный открытым кабинет, чем эксплуатировать уязвимости нулевого дня и НДВ в системах сетевой защиты. Или другими аналогичными способами, не исключая утери непосредственно паспорта самим школьником. Эти риски существенно выше, и именно их надо проработать в первую очередь. Я сильно ошибаюсь? Оценивать риски должен тот, кто является ответственным владельцем системы. В данном же случае - профильная госструктура в лице минобразования (хотя от мысли о том, что это может сделать ведомство Фурсенко, заранее становится страшно), а желательно и вовсе ФСТЭКа и ФСБ - но уже по-человечески, касательно конкретной информации полностью разработать варианты организации системы, включая назначение ответственных лиц, регламенты, порядок обслуживания и настройки средств защиты. Причем сделать это бесплатно, т.к. ФСТЭК и ФСБ, насколько я знаю, пока-что являются государственными, а не коммерческими структурами, и получают финансирование из бюджета. А желательно, и вовсе сделать типовое решение. Потому что в средней школе специалистов нужного уровня нет и никогда не будет. Применение же 152 и документов ФСТЭК не специалистом в данном случае на риски практически не повлияет. |
|
| Автор: Комрад | 30242 | 28.07.2011 21:44 |
|
Кажется для того, чтобы минимизировать потери от выполнения закона, народ будет совершать действия прямо обратные необходимым для защиты ПД работников.
Зато рынок ЗИ вырастет. Уля, я так сильно давно не смеялся. Бредни обывателя на тему новых ПД. Особенно доставил "специалист с лицензиями ФСБ и ФСТЭК". |
|
| Автор: Уля, Олтэкс | 30249 | 29.07.2011 09:14 |
|
Комрад, скажите, пожалуйста, что в этой статье не так?
|
|
| Автор: asd | 30251 | 29.07.2011 09:33 |
|
"Специалист со стороны. Специалистов по защите персональных данных готовят как раз ФСТЭК и ФСБ России, т.е. прежде чем нанять специалиста, убедитесь в наличии у него необходимых лицензий, выданных этими органами"
:) Уля, откуда такая информация? Сами придумали? |
|
| Автор: 111 | 30272 | 29.07.2011 12:45 |
|
"К ним относятся все фирмы и учреждения, которым по роду своей деятельности приходится работать с персональной информацией о своих клиентах."
- не совсем верно, к ним относятся все, в т.ч. те, кому приходится обрабатывать информацию о своих сотрудниках. "о защите которой в следующий раз задумались только в 2004 году. Тогда произошла крупная утечка данных жителей Москвы и Подмосковья: в нелегальной продаже появились базы, включающие в себя ФИО, паспортные данные, адрес прописки, ИНН, информацию о доходах граждан." - эти базы по всей стране с завидной регулярностью обновлялись еще с 90-х, найти их никогда не представляло никакого труда. Что характерно, они почти никогда не утекали по техническим каналам, от чего нас пытается защитить 152-ФЗ, а в основном сливались лицами, имеющими к ним доступ. "в 2006 году закон был принят, а в 2007 – вступил в силу." - однако не появилось никаких требований регуляторов, по которым надо было бы готовиться "До 1 января 2010 года". Да и появившись, в силу они не вступали, т.к. по своей привычке регуляторы их.. засекретили! поставив гриф ДСП. "затем сроки были отодвинуты еще на 1 год" - с непрерывной чехардой законодательства, и по сути отсутствием вообще каких-то четких ориентиров, и наконец, после ряда баталий - "в полной мере закон начнет осуществлять свою работу с 1 июля 2011 года". Правда, он и тут успел кардинально измениться буквально в течении пары недель. "Но это не означает, что он не имеет силы, это лишь является временным послаблением мер, ведь к началу проверок на сегодняшний день готовы менее 1% компаний." - в настоящее время не готов никто. Т.к. невозможно быть готовым неизвестно к чему. А что готовят регуляторы в свете нового закона - тайна сие великая есть. Далее, регуляторы описаны по устаревшему закону. В настоящее время проверками рулит Роскомнадзор. Впрочем, ФСТЭК и ФСБ он "привлекает при необходимости". "Это происходит, потому что орган, осуществляющий технический контроль, является не просто наблюдателем за должным регулированием систем защиты персональных данных, а непосредственно регламентирует их." - увы и более того, некоторые структуры, производящие "сертифицированные решения", и некоторые другие материально заинтересованные, являются связанными с этими органами различными отношениями. Таким образом, данные органы де-факто являются стороной, заинтересованной в сбыте определенных услуг, а не в безопасности как таковой. "по защите персональных данных готовят как раз ФСТЭК и ФСБ России", "прежде чем нанять специалиста, убедитесь в наличии у него необходимых лицензий, выданных этими органами" - без комментариев :) . Кроме того, при всем уважении к данным структурам, они готовят высококлассных спецов, которых - парадокс - зачастую нельзя подпускать к коммерческим системам. Т.к. они готовят их для абсолютно других задач. В которых кроме них действуют мощные службы собственной безопасности, на откуп которым отдается борьба с различным инсайдом, и другими нюансами. Однако в любом случае, "если необходимые работы будут проведены, а проверка контролирующих органов все равно не будет пройдена." - никто не даст гарантии прохождения проверки. Их не даст даже руководство контролирующего органа, уже случались забавные ситуации. "все информационные системы соответствуют определенным классам – от 1-го до 4-го." - если бы все было так просто. Во-первых, статус "приказа трех" на сегодня под вопросом, оно вполне может обновиться. Во-вторых, классификация по нему не определена в силу разделения систем на типовые, противоречащие 152-ФЗ, и специальные, для которых классификация не описана. |
|
| Автор: malotavr | 30274 | 29.07.2011 13:01 |
|
> На сегодняшний день в России около 5 млн. организаций работают с персональными данными граждан
По данным налоговой в РФ около 20 миллионов юр. лиц, ведущих кадровый учет. А есть еще операторы, не являющиеся налогоплательщиками. > следующий раз задумались только в 2004 году. Тогда произошла крупная утечка данных жителей Москвы и Подмосковья Брехня. ФЗ спокойно лежал под сукном на фиг никому не нужный, пока в 2003 году не началась мировая движуха с биопаспортами. Был поставлен удльтиматум "переходите на биопаспорта, а то перестанем давать визы", для участия в программе биопаспортов потребовалось привести локальное законодательство в соответствие с европейской конвенцией, в итоге с законопроекта сдули пыль, переделали его под конвенцию и приняли. > До 1 января 2010 года организациям было дано время на внедрение у себя специальных информационных систем, До 1 января 2010 года организациям было дано время на выполнение требований безопасности для уже существующих к моменту принятия закона информационных систем. > Контролирует исполнение юридических требований закона. Все требования любого закона "юрилдические". Компетенция РКН ограничена вопросами защиты прав субъектов ПД >Осуществляет документальный контроль. Неправда. РКН - единственный из регуляторов, кто может лезть во внутренности информационных систем, чтобы посмотреть, какие же там данные и что с ними делают - см. административный регламент. > Специалистов по защите персональных данных готовят как раз ФСТЭК и ФСБ России Неправда. Специалистов готовят учебные центры, имеющие соответствующую лицензию МинОбра, в том числе - общеобразовательные ВУЗы (только из московских - МИФИ, МГТУ, РГГУ и т.п.). ФСБ и ФСТЭК в своей структуре таких учебных центров не имеют. Про то, что у специалиста не может быть лицензии, вам написали. > Закон даже не исключает арест собственника с последующим лишением свободы на срок до 5 лет и исправительные работы сроком до года. Что называется, "слышал звон". За нарушение правил обработки персональных данных предусмотрена административная ответственность по статье 13.11 КоАП РФ. А вы явно цитируете обсуждение "что будет, если внедрять средства защиты, не имея лицензии ФСТЭК". |
|
| Автор: Гость | 30280 | 29.07.2011 15:25 |
|
Уля, перестаньте заниматься рекламой, таких "детских" статей в прессе полно
|
|
| Автор: Отечественный, Нету-ищу-120 т.руб | 30282 | 30.07.2011 02:42 |
|
Все- умные-всеумелые-все-все-знают-как-с-чем-почем-....нет специалистов...я найти найти не могу!
|
|
| Автор: химик | 30499 | 11.08.2011 08:23 |
|
В России не может быть спецов в этом деле.........
как можно подготовить специалиста если законодатель незнает что он хочет..........на основе чего он будет специалистом? |
|
| Автор: Александр | 30827 | 24.08.2011 16:15 |
|
Я не пойму почему под этот закон попала программа 1С 7, которую якобы нельзя использовать теперь. у меня разграничен доступ к базе, вход только по индивидуальному паролю работника, еще если стоит пароль на вход в систему разве этого не достаточно для предотвращения несанкционированного доступа к ПДн, зачем приобретать дополнительные средства защиты, осуществлять какое то там шифрование, получать лицензию и сертификаты ну геморрой.
|
|
| Автор: Юлия, ** | 32829 | 17.11.2011 15:29 |
|
Хотелось бы увидеть обсуждение ФЗ 261 об изменениях в закон о персональных данных. Если есть какие-то кардинальные методы и подходы - поделитесь
|
|
| Автор: AIB | 32977 | 24.11.2011 11:18 |
|
Что обсуждать-то, когда подзаконных еще нет
|
|
| Автор: IT | 36898 | 10.05.2012 15:53 |
|
Добрый день! Хотелось бы узнать весь перечень документов, которыми я должен обладать, для того чтобы являтся полноценным оператором персональных данных на предприятии.
|
|
| Автор: Юлия | 36996 | 14.05.2012 15:18 |
|
Добрый день.
Подскажите, пожалуйста, кто-нибудь аккредитовывался в Роскомнадзоре в качестве экспертной организации в ходе проверок в области персональных данных? Какие риски у аккредитованной компании? Как ее проверяет Роскомнадзор? ФСТЭК? Как часто? |
|
| Автор: :-) | 37123 | 17.05.2012 14:44 |
|
Именно с этого и начинается произвол и коррупция. А потом все задаём любимый вопрос г-на Чернышевского: что делать?
|
|
| Автор: Ирина, Администрация | 37897 | 27.06.2012 13:15 |
|
ВОПРОС: организация берет копию паспорта (ФИО,адрес) для подписания договора.Согласия на обработку не требуется? Можно внести пункт в договор о действиях с ПДн :сбор,обработка,уничтожение по факту подписания договора.Таким образом в эл.виде ПДн находятся не более 5 дней.Накопления нет,т к печатается методом наложения.? И соответственно применить только организационные меры по защите той малости которая обрабатывается ?
|
|
| Автор: Ирина, организация | 37935 | 28.06.2012 15:50 |
|
ВОПРОС: Организация берет у физ лиц копии паспортов для подписания договора.В эл виде в договор ввод ПДн ,после подписания уничтожен. Договора печатаются методом наложения, т е нет накопления.Есть сбор ,ввод, уничтожение.Можно ли считать что организация является оператором неавтоматизированной обработки ПДн???
|
|
| Автор: Ефименко Лидия, Председатель МКД | 41529 | 24.01.2013 20:04 |
|
Являясь председателем Совета МКД я запросила у единого расчетного центра ( ЕРКЦ) информацию за 2 года 2012 и 2012 о начислениях по ОДН на каждую квартиру дома. Мне отказывают, ссылаясь на конфиденциальность персональных данных , но эта информация по моим понятиям и ФЗ-152 не является персональными данными. Расчетный центр нечестно производит начисления по той позиции и поэтому находит уловки. хочу знать , права я или нет?
|
|
| Автор: malotavr | 41530 | 24.01.2013 21:14 |
|
Не правы. ПД - это любая информация, относящаяся к определенному лицу, в том числе - о его платежаз за коммунальные услуги.
|
|
| Автор: ОК, Государственный университет | 43382 | 22.04.2013 12:34 |
|
Я работаю в гос.универчитете! к нам принимается на работу уборщица, но она не согласна подписывать согласие на обработку персональных данных, но работать хочет! как быть?
|
|
| Автор: sekira | 43383 | 22.04.2013 12:43 |
|
Не обрабатывать ее данные.
Или сказать что не можете принять на работу без такого согласия в связи с требованиями законодательства о трудоустройстве. |
|
| Автор: Нефедьев С.Г. | 43384 | 22.04.2013 13:50 |
|
>Я работаю в гос.универчитете! к нам принимается на работу уборщица, но она не согласна подписывать согласие на обработку персональных данных, но работать хочет! как быть?
Пояснить кандидату на вакантную должность, в каких системах будут обрабатываться его ПДн: от СКУД до 1С:Управление предприятием 8. Вдруг кандидат желает безвозмездно трудиться? С другой стороны развейте опасения кандидата: объясните, почему к примеру вы спрашиваете его согласие по такому-то и такому-то пункту. В заключение сопоставьте степень вреда, от того, что вы не взяли уборщицу на работу и от того, что регуляторы выявят, что вы включили в платежную ведомость работника, который не дал на это согласие ))) Аналогично можно брать согласие и со штатных работников. Не хочет подписывать - заблокировать для показательности его данные в СКУД. Несколько дней будет ходить на работу по временному пропуску, к моменту получения зарплаты - столкнётся с тем, что его нет в ведомости. |
|
| Автор: malotavr | 43388 | 22.04.2013 22:25 |
|
> как быть?
Закон читать. Для заключения трудового договора согласие работника на обработку ПД не требуется (см. исключение 5 в части 1 статьи 6 ФЗ). > регуляторы выявят, что вы включили в платежную ведомость работника, который не дал на это согласие > Аналогично можно брать согласие и со штатных работников. "Вы в присутствии двух людей с университетским образованием позволяете себе с развязностью совершенно невыносимой подавать какие-то советы космического масштаба и космической же глупости" (c) |
|
| Автор: sekira | 43391 | 23.04.2013 07:29 |
|
"исключение 5 в части 1 статьи 6 ФЗ"
Я может че непонял... Статья 6. Условия обработки персональных данных 1. Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях: 5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем; Где тут ненужность согласия и где тут трудовой договор? И является ли выгодоприобретатель в данной трактовке работником? |
|
| Автор: sekira | 43392 | 23.04.2013 07:58 |
|
И как быть в таком случае с ..
ТК Статья 86. Общие требования при обработке персональных данных работника 3) все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение. В договоре только паспортные данные как заполнить Т2 и выполнить свои функции работодателя если работник не дает вам ПДн необходимые вам по законодательству (и соответственно не дает согласия) потому что как вы сослались на п.5 1 ст. 6 имеет якобы на это права. Как за него платить налоги как в соцстрах, пенсионный если вам не дают данных что бы это сделать? Мне кажется п.5 ч.1 ст. 6 ведет речь о ПДн указанных в договоре выгододателя и только о них. |
|
| Автор: Нефедьев С.Г. | 43399 | 23.04.2013 13:22 |
|
>в присутствии лиц с университетским образованием )))
malotavr | 43397 Оператор-работодатель получает согласие кандидата-суббъекта ПДн не на сбор его ПДн, а: на включение его ПДн в общедоступные; на обработку его ПДн специальных категорий; на обработку его биометрических данных; на трансграничную передачу его ПДн (при необходимости). на решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы; ст. 7 Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, а дальше - больше п. 3. ст.9: Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона, возлагается на оператора. Вы платите заработную плату работникам через коммерческий банк - значит передаете ПДн на обработку третьей стороне. Вы сообщаете ПДн посредством незащищённого сертифицированными средствами канала сети Интернет - вот вам и трансграничная передача ("заграница сразу началась за модемом"). И по-моему определение и толкование слов "допускается" и "согласие" далеко не идентичны. Поддерживаю sekira | 43392 |
|
| Автор: malotavr | 43408 | 23.04.2013 23:30 |
|
> Оператор-работодатель получает согласие кандидата-суббъекта ПДн не на сбор его ПДн, а:
"Бобер, выдохни немедленно" (c) Согласно статье 6 ФЗ и статье 10 ФЗ обработка ПД (включая специальных категорий ПД), связанная с заключением трудового договора и исполнением работодателем трудового законодательства не требует получения отдельного согласия субъекта. Точка. Натягивать презерватив на глобус вас никто не просил. > Вы платите заработную плату работникам через коммерческий банк - значит передаете ПДн на обработку третьей стороне. А согласие работника при этом не требуется, хоть ты тресни. Учите матчасть, в частности - законодательство в части безналичных расчетов, а также нормативные акты Банка России в части обслуживания счетов физлиц и расчетов платежными поручениями. > Вы сообщаете ПДн посредством незащищённого сертифицированными средствами канала сети Интерне - вот вам и трансграничная передача "...космической же глупости" (c) Регуляторы считают иначе. |
|
| Автор: Нефедьев С.Г. | 43409 | 24.04.2013 07:06 |
|
malotavr | 43408
А Вы "приземлитесь", Малотавр. Одно дело общаться в сети с "экспертами" и читать пояснения "уполномочееного по защите ПДн", а с другой принимать у себя гостей-регуляторов. Вы помните, однажды была приведена ссылка на решение суда, который удовлетворил иск Управления Роскомнадзора по ПФО к некоему кафе, которое "включило радио", чтобы посетители слушали музыку? Обоснование - нарушение лицензионных прав на воспроизведение музыкальных произведений. Придирки или недостатки "по существу" будут в любом случае. Бить себя в грудь и вопить на суде "малотавром клянусь" - не нужно брать согласие - это для Особо одарённых и Амбициозных защитников ПДн. Если уж мы с Вами двояко читаем закон, то и Регулятор, будет читать также. Для справки, в разных территориальных Управлениях Роскомнадзора на один и тот же вопрос должностные лица отвечают по разному. |
|
| Автор: malotavr | 43420 | 24.04.2013 15:25 |
|
> Вы помните, однажды была приведена ссылка на решение суда, который удовлетворил иск Управления Роскомнадзора
Роскомнадзора? За нарушение прав на исполнение произведения? Феерический бред. Не позорьтесь. А давайте так: если вы приведете пруфлинк на решение суда, опубликованное на сайте судебного департамента ПФО, я публично признаю собственную некомпетентность и обязуюсь впредь априори признавать вашу правоту. Но если не сумеете - то же самое сделаете вы. Потому как в моей реальности обеспечивать защиту авторских и смежных прав уполномочены прокуратура (в рамках уголовного судопроизводства) и РАО (в качестве инициатора гражданского и административного судопроизводства). Роскомнадзор подавать такие иски не уполномочен. А выяснять, с какого перепугу вы перескочили на тему защиты авторских и смежных прав, даже не собираюсь.. > Для справки, в разных территориальных Управлениях Роскомнадзора на один и тот же вопрос должностные лица отвечают по разному. Но вы - а) не представитель ТУ Роскомнадзора и б) ни фига не смыслите в вопросе. Поэтому, когда вы добавляете к уже существующей путанице свое мнение, это мнение обычно противоречит законодательству. Приходится тратить время и это мнение опровергать, потому как люди могу по незнанию и повестиcь. |
|
| Автор: Нефедьев С.Г. | 43429 | 24.04.2013 21:51 |
|
malotavr | 43420
>с какого перепугу вы перескочили на тему защиты авторских и смежных прав Это вызвано необходимостью показа дотошности при исполнении государственных функций. Аналогичная дотошность может быть проявлена и при проверке выполнения законодательства в области ПДн. malotavr | 43420 >> Для справки, в разных территориальных Управлениях Роскомнадзора на один и тот же вопрос должностные лица отвечают по разному. >Но вы - а) не представитель ТУ Роскомнадзора и б) ни фига не смыслите в вопросе Вывод основан на получении официальных ответов из разных территориальных управлений Роскомнадзора по одному и тому же вопросу. "Ни фига не смыслите".... Дай Вам Бог здоровья и удачу, чтобы принять на работу бабушку-уборщицу и отстоять свою правоту на практике...))) За постановление суда брать свои слова обратно не надо - 1:1 |
|
| Автор: malotavr | 43430 | 24.04.2013 22:58 |
|
> Cуд состоялся по результатам проверки исполнения гражданского законодательства Российской Федерации в части регулирования авторских и смежных прав, проведенной Нижегородской транспортной прокуратурой.
То никакого решения суда по иску Роскомнадзора вы в глаза не видели. При этом смелости признать, что соврали, у вас тоже не хватает. И за что в полном соответствии с законом был оштрафован бар, вы тоже не знаете. Но рветесь понадавать советов. На этом, пожалуй, можно и закончить. |
|
| Автор: alexey91, adm | 44726 | 02.07.2013 09:31 |
|
всем добрый день
подскажите пожалуйста какими документами нужно руководствоваться на данный момент при защите ИСПДн так с выходом нового постановления правительства ряд руководящих документов был отменен, в том числе "приказ трех" и требования по защите автоматизированных систем |
|
| Автор: Fedor, РОО | 45212 | 05.08.2013 13:33 |
|
Какие конкретно програмно-технические методы защиты информации обязательно применять
|
|
| Автор: sekira | 45214 | 05.08.2013 14:09 |
|
все требования в ФЗ-152, ППр 1119 приказ 21 ФСТЭК. А дальше все зависит от вашей ИСПДн. Какая ИСПДн такие и обязательные меры и средства защиты.
|
|
| Автор: Граф Монтекристо | 54360 | 08.11.2014 18:24 |
|
Прошу Федеральное агенство привлечь Администрацию г.Смоленска в лице сити -менеджера Алашеева Н.Н. и губ. обл.Островского за нарушение ст.14 ч.1ФЗ РФ.№152-ФЗ "О персональных данных".Поскольку данные лица не в праве оказывать содействие преступной организации ОАО "Жилищник".подделывать фальшивые договора с собственниками жилья и протоколы общих собраний и оказывать содействие в передаче третьим лицам СМУП "ВЦ ЖКХ" персональных данных физических лиц. Поскольку между ОАО "Жилищник" и СМУП "ВЦ ЖКХ" заключается агентский договор,то к этому договору собственники жилья никакого отношения не имеют.Только в праве договорных отношений,которые может дать собственник ст.162 ч.1ЖК РФ оказывать услуги надлежащего качества,может работать данная компания.Государственного статуса ОАО " Жилищник" не имеет.Уважаеме господа и граждане горлода Смоленска!!! Сплочимся и устрроим гражданскую войну и Майдан против аАдминистрации г.Смоленска и ОАО "Жилищник",которые нарушают все законы Государства.
|
|
| Автор: собственник | 55621 | 04.02.2015 21:28 |
|
ОАО "Жилищник" и Администрация города Смоленска во гглаве с Алашеевым и губернатором области Островским это головная боль общества,начиная с договорной системы и переработки персональных данных жителей г.Смоленска.
Уважаемые господа чиновники!!! Вы забыли о том,что закон един для всех и никто не вправе нарушать его.Чтобы оказывать какие либо услуги населению,вы должны согласно закону о демографической политике населения,заключить дотговор на определённые услуги с каждым гражданином РФ,собственником. Никто не в праве оказывать услуги без договора с физическим лицом,и тем более перерабатывать его перональные данные и оказывать услуги ненадлежащего качества в долг,так как это противоречит закону. Многие смоляне "Бараны",которые платят вам по фальшивым документам являясь вашими сообщниками!!!. Правосудие восторжествует,услыште меня Смоляне и мы задавим мразь влице жуликов,администрации г.Смоленска и области. |
|
| Автор: граф монтекристо | 55622 | 04.02.2015 21:54 |
|
Все жулики в лице генеральных директоров ОАО "Жилищник",г.Смоленска господин Григорьев В.П.,Ковалёв А.М.,Василевская Е.Г.,Ларичев А.Н.,во главе с учридителями Прохоровым,Халецким,Лазаревым,Качановским,Алашеевым долдны понести суровое наказание с семьями и детьми за подлог документов о назначении на руководящие должности,фальшивые договора с собственниками,фальшивые договора общих собраний,и незаконная деятельность оказывания услуг в долг без разрешения граждан и собственников, ненадлежащее качество и незаконная переработка персональных данных физических лиц с передачей третьим лицам.
|
|
| Автор: граф монте кристо | 55624 | 04.02.2015 22:35 |
|
На основании "Закона о приватизации" ст.16 говорится что за бывшим наймодателем администрацией города сохраняется обязанность о проведении кап.ремонта аварийного и архитектурного жилья дома №5 по ул Дзержинского и передачи его в собственность во время приватизации.что не было слелано,Федеральные деньги на кап. ремонт были украдены администрацией города и ОАО"Жилищник"Дом 1953г.№5 по ул.Дзержинского и все "Сталинки" и "Хрущёвки" постройки послевоенных времённе видели текущих.плановых,кап.ремонтов.Согласно фальшивым документам это уже всё проведено. Информация которая представлена согласно актам нарушений :для прокуратуры,следственного комитета и прокурора области Полонского,которые ничего не делают,бездействуют в данной ситуации и незаконно прожигают бюджетные деньги,пайковые и обмундирование.Ужас!!!!!!!
|
|
| Автор: граф монтекристо | 55626 | 04.02.2015 23:06 |
|
Закон един для всех,никакие услуги не оказываются в долг без договорных отношений,для всех субъектов и обектов закон о демографической политике и незаконной переработке персональных данных един.Поэтому в скором времени будет Майданначиная с мелкких городов Росии.Чтобы это предотвратить надо провести чистку в администрации гориода и области!!!
|
|
| Автор: АРКИ-2, частное лицо | 57889 | 22.07.2015 18:44 |
|
А законна ли продажа долга по кредиту коллекторам .не имеющих лицензии банковской деятельности,согласно ФЗ№152 от 2006г Запрет на передачу персональных данных 3-м лицам банку выслан с уведомлением. Пусть сами судятся с клиентом официально,но им это не выгодно.Хотелось бы больше знать о клиентах банка не оплачивающих свои кредиты?
|
|
| Автор: АРКИ-2, частное лицо | 57892 | 22.07.2015 19:01 |
|
Я выполняю обязанности председателя совета МКД.В договоре с УК я вычеркнул этот пункт о передаче . перональных данных 3-м лицам.т.к это нарушает ФЗ №152 от 2006г Ст. юрист УК с этим согласился. Закон важнее всего и его надо выполнять оргганизациям.
|
|
| Автор: Мариша | 60671 | 25.01.2016 20:28 |
|
Здравствуйте! Подскажите,пожалуйста,а если я прошу в школе журнал,для ознакомления с оценками моего сына,а мне администрация школы отказывает,аргументируя тем,что я не завуч и не учитель,чтобы смотреть журнал,а директор школы ссылается на ФЗ о персональных данных. И именно согласно закона я не имею право смотреть журнал с оценками. Электронный журнал не ведется.Правильно ли это? Ведь страницы с оценками,кроме фио и оценок никакой инфы не содержат...
|
|
| Автор: malotavr | 60679 | 26.01.2016 11:27 |
|
> Подскажите,пожалуйста,а если я прошу в школе журнал,для ознакомления с оценками моего сына,а мне администрация школы отказывает
Имеют полное право. Для оценок ребенка существует дневник. Если нет электроного, значит есть бумажный. |
|
| Автор: oko | 60701 | 26.01.2016 18:23 |
|
to Мариша
Анекдотичная ситуация: юридически школа в праве, но... следуя такой логике, надо к ответственности привлекать всех учащихся, которые, оправдываясь перед родителями за "тройку", кричат, что Иванову, Петрову и Сидрову в их классе вообще "двойку" поставили... Отвечая на вопрос: можете попросить сделать выписку оценок по предметам по вашему ребенку за нужный период времени. Обязаны предоставить без каких-либо отсылок к 152-ФЗ, ибо вы - законный представитель субъекта персональных данных. |
|
| Автор: Султанаева Роза, отдел образования | 62674 | 27.04.2016 08:09 |
|
Добрый день!
Можно ли на сайтах образовательных учреждений написать фамилии учеников - победителей конкурсов и олимпиад, если от них (от их родителей) есть согласие на обработку персональных данных |
|
| Автор: Султанаева Роза, отдел образования | 62675 | 27.04.2016 08:09 |
|
Добрый день!
Можно ли на сайтах образовательных учреждений написать фамилии учеников - победителей конкурсов и олимпиад, если от них (от их родителей) есть согласие на обработку персональных данных |
|
| Автор: oko | 62680 | 27.04.2016 12:01 |
|
Можно, поскольку родители - представители субъекта ПДн (ученика). Тем более, если будет выложено "Фамилия И.О." каждого ученика - это нельзя полноценно считать незаконным "раскрытием" ПДн.
|
|
| Автор: Дмитрий | 65726 | 20.09.2016 13:21 |
|
Добрый день! Я так и не смог понять, с чего начинать. Я уже получал лицензию в европе. мы it компания. куда обращаться? какие документы готовить? каков порядок действий?
|
|
| Автор: Николай, частное лицо | 76846 | 01.09.2017 02:42 |
|
Муниципальное образование (городская администрация), ссылаясь на ФЗ-152 «О персональных данных», отказывает заявителю в ознакомлении с материалами проверок по его заявлению о самовольной перепланировке и переустройству квартир его соседей.
Правомерно ли это ? Не попытка ли, «спрятавшись» за ФЗ, скрыть собственное бездействие ? Заявлению уже 2,5 лет. Полнейшая волокита. Ответы администрации - уклончивы и противоречивы. |
|
| Автор: Практик | 76967 | 03.09.2017 18:25 |
|
2 Николай
В таком случае письменно потребуйте у них заверенную выписку с обезличенными (скрытыми) ПДн третьих лиц, попавших в документ. Копию заявления - в прокуратуру, поскольку материалы по вопросу вас касаются и, соответственно, отказ нарушает ваши права как жильца (в том числе на безопасность жизни, если перепланировка с нарушениями). Например, архивы по уголовным и личным делам именно так и поступают - выдаются справки или выписки "в части касающейся". Не хотят работать "по понятиям", пусть выполняют все формальности |
|
| Автор: 9-streb | 82248 | 13.11.2017 14:53 |
|
При защите Пд в коммерческой организации обязательно ли использовать только сертифицированные средства защиты? Могу ли я например поставить ids/ips snort? или использовать dlp свободное, а не device lock за 5000р, Дело в том что уменя ком тайна и Пд находятся в одной ИС и защищать ком тайну сертифицированными средствами, немного дороговато....
|
|
| Автор: Константин | 82255 | 13.11.2017 16:22 |
|
2 9-streb
Конечно, можно. Только тогда это будут не средства защиты, а просто ПО, и вы в модели угроз напишите, что данной угрозы нет так как, установлено данное ПО. |
|
| Автор: oko | 82256 | 13.11.2017 18:28 |
|
to 9-streb
+1 к тов. Константину. Но главное не заиграться. Да и обоснование должно быть железное, что в несертифицированные средства защиты выполняют свою роль должным образом. Например, отчеты прикладного пен-теста и проч. испытания... |
|
| Автор: 9-streb | 82261 | 14.11.2017 08:41 |
|
Это хорошо :) Спасибо)
|
|
| Автор: 9-streb | 82263 | 14.11.2017 09:13 |
|
В продолжение темы:)
1)Какие бесплатные решения DLP и IPS/IDS Вы бы порекомендовали? 2)Если я использую тунель на ipsec, обязательно ли использовать ГОСТ алгоритмы, или можно использовать встроеные, например AES или 3DES? |
|
| Автор: Константин | 82264 | 14.11.2017 09:58 |
|
2 9-streb
2) Раз вы не используете сертиф. средства защиты, то не важно. |
|
| Автор: 9-streb | 82265 | 14.11.2017 10:15 |
|
Константин >
А если я все же буду использовать? |
|
| Автор: 9-streb | 82267 | 14.11.2017 10:35 |
|
Константин >
А если я все же буду использовать? |
|
| Автор: Alex_kl | 82268 | 14.11.2017 10:38 |
|
2 9-streb | 82265
А сертифицированные СКЗИ предполагают использование именно ГОСТ |
|
| Автор: 9-streb | 82274 | 14.11.2017 11:57 |
|
Константин >
А если я все же буду использовать? |
|
| Автор: 9-streb | 82275 | 14.11.2017 12:36 |
|
Константин >
А если я все же буду использовать? |
|
| Автор: 9-streb | 82276 | 14.11.2017 13:17 |
|
Константин >
А если я все же буду использовать? |
|
| Автор: 9-streb | 82277 | 14.11.2017 13:31 |
|
Константин >
А если я все же буду использовать? |
|
| Автор: Константин | 82279 | 14.11.2017 13:59 |
|
2 9-streb
Вам же уже ответил товарищ Alex_kl сертифицированные СКЗИ это ГОСТ |
|
| Автор: 9-streb | 82280 | 14.11.2017 14:01 |
|
Константин >
А если я все же буду использовать? |
|
| Автор: Alex | 82329 | 15.11.2017 14:28 |
|
> А если я все же буду использовать?
выпадаете из правового поля |
|
| Автор: oko | 82335 | 15.11.2017 17:07 |
|
*в сторону* правильный ответ - получите по рукам. Возможно, не сразу и не очень больно, но какая разница...
|
|
| Автор: 9-streb | 82336 | 15.11.2017 18:55 |
|
Сорри за флуд, походу при обновлении страницы данные повторно отправлялись....
|
|
| Автор: 9-streb | 82337 | 15.11.2017 19:11 |
|
Кстати, если я обезличу Пд согласно приказа Роскомнадзора от 5 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных», то я могу хранить их и обрабатывать на удаленном сервере за пределами РФ?
|
|
| Автор: 9-streb | 82999 | 30.11.2017 14:47 |
|
Здравствуйте, подскажите по поводу определения актуальности угроз.
Дано: степень защищенности Y1 =10 Угроза «Анализ сетевого трафика» 1)При определении вероятности реализации, могу ли я указывать маловероятно, если у меня стоит ips/ids + iptable? если я укажу низкий то получится высокий уровень реализации, по идеи это логично, но если я оцениваю опасность угрозы как средняя, то у меня угозы будет актуальной, хотя ведь у меня стоит ПО которое защищает от данной угрозы. 2) Мб у меня немного не правильный подход? |
|
| Автор: Рузанна, ООО | 87985 | 21.02.2018 11:10 |
|
Здравствуйте, я кадровый работник. Принимая работников на работу в обязательном порядке беру согласие на обработку персональных данных и уж только после этого завожу данные работника в базу и беру копии документов. Какие мои действия на сегодняшний день не верны. В организации разработано Положение о защиоте ПД . Спасибо
|
|
| Автор: Наталья, ИП | 90238 | 23.03.2018 15:12 |
|
Добрый день! Работаю как индивидуальный предприниматель. При заключении договора контрагентами был включен пункт в реквизитах "паспортные данные исполнителя". На основании какого пункта закона я могу отказаться предоставлять подобные сведения? Мне совершенно не хочется их разглашать.
|
|
| Автор: Дуплекс!!!!, Синтекс!!! | 94288 | 06.06.2018 16:52 |
|
Можно еще меньше текст сделать? А то читать не возможно!
|
|
Просмотров темы: 64211
Copyright © 2004-2019, ООО "ГРОТЕК"
