1. И даже если поподает (чего тоже в НМД нет) то что ? Где дальнейшее обязательства в части ТЗКИ?
2. Не СТР-К не обязателен в принципе в данном случае (тема елозилась здесь кучу раз).
3."Руководство больницы в суде разводит руками и признает, что информация действительно ограниченного доступа была разглашена, а кабинеты врачей не зашумляются потому что стр-к не зарегистрирован в Минюсте?"
Таки да вы сами все сказали!! Браво!
Что я считаю не важно! Как был задан вопрос?
"подскажите, должны ли в больничках/поликлиниках быть аттестованы"
Ну дак и ответ государства раз нет должны нигде значит не должны. Что я и написал!
Я не государство что бы мои "считания" стали нормой для операторов.
Если вас не устраивает что думает (а в данном вопросе оно ничего не думает) , дак и обращайтесь и опелируете ему. Ну или как "сверхдобросовестный" оператор выполняйте
в вашем видении ...
ФЗ 152 Статья 7. Конфиденциальность персональных данных
Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
Или как субъект ПДн жалуйтесь одному из регуляторов что оператор не выполнил ваше видение при общении с вами как с пациентом "больница обеспечила не все условия для защиты ПДн и врачебной тайны".
Дык, просто же все в случае с больницами и "тонкими дверями"...
Есть требование по ликвидации актуальных угроз. К которым, в соответствии с Моделью 2008 ПДн, действующей до сих пор, могут быть отнесены и угрозы ПДн в акустической форме. Т.е. по-хорошему та же больница должна в своей Частной модели угроз рассмотреть все оные угрозы. Признает их актуальными? Надо защищать, хоть бы и по меркам СТР-К. А не признает актуальными - не надо. Но, в случае утечки, она (больница) должна быть готова отвечать за голословную "неактуальность" угроз...
Есть требование по ликвидации актуальных угроз. с Моделью 2008 ПДн,.
...Настоящая «Базовая модель угроз безопасности персональных данных при их
обработке в информационных системах персональных данных» (далее – Модель
угроз) содержит систематизированный перечень угроз безопасности персональных
данных при их обработке в информационных системах персональных данных.
Где тут ЗП? Еще раз ЗП не ИСПДн!!!
" угрозы ПДн в акустической форме"
для ИСПДн обрабатывающих информацию в акустической форме...
4.1. Угрозы утечки акустической (речевой) информации
Возникновение угроз утечки акустической (речевой) информации,
содержащейся непосредственно в произносимой речи пользователя ИСПДн,
при обработке ПДн в ИСПДн, обусловлено наличием функций голосового
ввода ПДн в ИСПДн или функций воспроизведения ПДн акустическими
средствами ИСПДн.
to sekira
Эх, спорить с вами, товарищ, каждый раз очень любопытно :) Если так хорошо знаете НМД и законы - ответили бы тов. 0-0 сразу и по-существу. Поскольку вопросы его правомочные, а позиция "не устраивает - апеллируйте" или "государство не установило => ничего не надо" к конечной практической цели (защите информации, в данном случае, в акустической форме ее представления, ага) не имеет никакого отношения.
К тому же, если разобраться, в нашей сфере куча пробелов, которые регуляторы (и не только) не заполнили доходчивыми и явными объяснениями. Так зачем мы тогда это все тут обсуждаем? Не лучше ли на странице itsec.ru сразу писать большими буквами "Пока не ясно. Разбирайтесь сами"...
В нашем случае, кто думает/хочет, тот пользуется СТР-К и иными НМД, смотрит на методики и модели как на инструмент, а не модус операнди. Я лишь привел пример трактовки, которая позволяет реализовать задуманное. А кто не хочет... ну, дальше ясно...
Спорить здесь бесполезно. В любом случае кто страдает? Правильно - гражданин. Да и когда реально коснется конкретного человека, и произойдет такой нехороший момент, что все услышат твои медицинские сведения - уже не до споров будет.
"к конечной практической цели"
Как вопрос задан... про обязательность и т.д. За официоз же задан...
А с практической точки зрения "тот пользуется СТР-К и иными НМД..." тут полно пробелов и с организацией и НМД и с практической реализацией. Отдельная тема есть про АВАК в КИ. Быть может потому что тут тупики в ряде случаев никто и не заморачивается . Но мне видится другое... назовем это "паритет бездействия сторон".
"А кто не хочет... ну, дальше ясно..."
Про хочет не хочет...
Мед учреждение - не хочет денег жалко, спецов нет даже реализовать работы, нет давление извне со стороны субъектов и регулятора из-за указанных выше дыр в НМД.
Субъект (за исключением близких к компетенции) все равно, а иногда и все равно из-за непонимания необходимости конфиденциальности его данных (это же проблема у специалистов врачей мед.учереждения).
Регуляторы Роскомнадзор не компетентен в этих вопросах (тех.каналы и ПДн), нет желания привлекать ФСТЭК и с ним взаимодействовать, нет железобетонных пунктов в НМД требовать выполнять.
ФСТЭКу не с руки не наездится да и от субъектов писем нет с жалобами.
to sekira, SKYCEBERG
Оно понятно, что бездействие. Понятно, что закон откровенно положил на защиту ПДн в комплексе, ограничившись защитой только систем их машинной обработки. Также понятно, что главный парадокс "как можно адекватно оценить меры защиты ПДн в каждом конкретном случае, если никем не установлена ценность оных ПДн в материальных единицах измерения" (привет УЗ 4 из классификации ГИС!) не был решен ни в 2006 г., ни через 10 лет. С этого, пожалуй, надо было начинать нашим нормотворцам. И сразу судебное право под сей вопрос подтягивать. Дабы не прийти к тому, что имеем сейчас...
Также согласен, что вся соль исключительно в прецеденте. Просто давайте пофантазируем. Через некоторое время кто-нибудь ушлый догадается (или прочтет нашу дискуссию тут, ага) и подаст в суд за разглашение ПДн. При этом в случае хорошего адвоката всем будет безразлично наличие/отсутствие НМД. И полетят больничные фонды по закоулочкам (тут уж как получится, но, думается мне, что при такой заморочке денег будут требовать мама не горюй)...
В сущности, повторюсь, проблема простая. Дабы себя обезопасить, рассматриваем подобный ТКУИ (УБИ, как кому удобно). Если дело совсем швах - принимаем меры. Согласно чему? А документов, регулирующих вопросы ТКУИ по КИ в стране не так уж и много. Объявлять или не объявлять статус кабинетов больниц как ЗП - дело десятое. Но меры принять вполне возможно (хоть бы и пассивные, которые не так уж дорого стоят). Дабы позже в случае официального предъявления претензий (в чем я лично сомневаюсь, если защита будет реально работать) легко "переводить стрелки" на нормотворческую базу. Только не со словами "мы ничего не делали, потому что никто ничего не требовал", а со словами "мы сделали согласно одной из действующих методик, поскольку явных альтернатив законом не установлено". Совершенно другой коленкор получается, товарищи...
Коллеги, тема касается, есесна, аттестации - требования к СДЗ.
Скажите, пожалуйста, может быть я что-то не понимаю? Я наблюдаю как некий лицензиат по секретке не ставит СДЗ, тока программными средствами СЗИ от НДС,т.е. никакой платы расширения нет. По требованиям к СДЗ четко же ясно, что СДЗ уровня платы расширения ставится для 1, 2 и 3 с интернетом класса/уровня, а по секретке - на всё в обяз. У меня даже до новых требований вопросов насчет платы расширения (сертифицированной) не возникало..
в текущей версии Букваря (равно как в РД АС 1992 года) нет упоминания об обязательности применения СДЗ, посему нужно читать формуляр на применяемое средство защиты от НСД.
Ждем когда новый Букварь вступит в действие.