| Предыдущая тема :: Следующая тема |
| Автор |
Сообщение |
alexiy
Профи
Вступление в Клуб: 29.06.2007
|
 Ср Июн 24, 2009 11:49 152-ФЗ |
 |
Полезность: Нет оценки
|
уважаемые коллеги.
по слухам, в относительно недалеком будущем нас ожидает очередная за... сада.
В федеральном законе 152-ФЗ (О персональных данных), ст. 25, ч.3 сказано:
"
3. Информационные системы персональных данных, созданные до дня
вступления в силу настоящего Федерального закона, должны быть
приведены в соответствие с требованиями настоящего Федерального закона
не позднее 1 января 2010 года.
"
и санкции в случае несоблюдения м.б. весьма плачевными.
слышал ли кто-нибудь о действиях ЦФТ в целях обеспечения соблюдения?...
нам они пока не отвечают на запрос.
или может кто-то уже сам что-то разрабатывает в этом направлении?...
_________________
two bee or not two bee |
|
 |
otecfedor
Участник со стажем
Вступление в Клуб: 18.09.2008
|
| Пт Июн 26, 2009 08:28 |
|
Полезность: Нет оценки
|
Вообще-то 153-ФЗ.
А какие действия от ЦФТ вы ожидаете?
Сертификацию во ФСТЭК ?
Хе... Это вряд ли...
Будут сертифицировать каждую ИСПД.
Покупайте в ЦФТ интеграцию с криптухой и подавайте заявку на сертификацию.
Или лицензируйте себя на право технических действий по защите ПДн.
Кароче - куда не кинь, везде 100 000 зелени 
_________________
Истина где-то между... |
|
|
alexiy
Профи
Вступление в Клуб: 29.06.2007
|
| Пт Июн 26, 2009 08:34 |
|
Полезность: Нет оценки
|
| otecfedor пишет: | | Вообще-то 153-ФЗ. |
я имел в виду именно 152-ФЗ, т.е. "ФЕДЕРАЛЬНЫЙ ЗАКОН О ПЕРСОНАЛЬНЫХ ДАННЫХ" от 27 июля 2006 года.
_________________
two bee or not two bee |
|
|
otecfedor
Участник со стажем
Вступление в Клуб: 18.09.2008
|
| Пт Июн 26, 2009 09:03 |
|
Полезность: Нет оценки
|
Мдя. Мой косяк.
Собсна суть от этого не меняется.
ИСПД, используемые в банках будут классифицироваться как специальные инф.системы 2-го класса.
Подлежат сертификации...
_________________
Истина где-то между... |
|
|
москаль
Участник - экстремал
Вступление в Клуб: 19.09.2007
|
| Пт Июн 26, 2009 10:36 |
|
Полезность: Нет оценки
|
что-то я не пойму позицию, что должен сертифицироваться банк?
Есть разработчик, который продает продукт. По моему мнению продукт должен отвечать всем требованиям(в том числе сертификационным). Или я совсем отстал от жизни... |
|
|
otecfedor
Участник со стажем
Вступление в Клуб: 18.09.2008
|
| Пт Июн 26, 2009 10:48 |
|
Полезность: Нет оценки
|
1. Необходимо проведение анализа всех договоров, заключаемых в банке с физическими лицами (сотрудниками и клиентами) на предмет необходимости внесения в них согласия на хранение и обработку ПДн
2. Требуется разрабатывать модели угроз для информационных систем ПДн
3. Возможно, что необходимо получать лицензию на осуществление деятельности по технической защите конфиденциальной информации
4. Требуется провести аттестацию инф.систем ПДн
5. Требуется разработать уведомление в Роскомнадзор об обработке ПДн
6. Требуется создать набор документов, включающих в себя:
- Перечень ПДн, обрабатываемых в Банке;
- Перечень подразделений и ответственных лиц Банка, допущенных к обработке ПДн ;
- Описание технологических процессов обработки ПДн;
- Перечень инф.систем ПДн Банка;
- Акт классификации инф.систем ПДн;
- Модели угроз безопасности ПДн при их обработке в инф.системах ПДн.
Из этого перечня - данная ветка касается аттестации ИСПДн. В нашем случае - ЦФТ.
Если вы докажете, что ЦФТ это коробочный продукт, то тогда можно нагибать само ЗАО ЦФТ о сертификации.
Уверен, что доказать это невозможно.
Мало того.
Придётся аттестовывать, например, всё сетевое оборудование, участвующее в процессе передачи ПДн. Т.е. не Cisco будет аттестовывать, а мы.
А сертифицированных организаций, которые получили лицензии на то от ФСТЭК и/или ФСБ кот наплакал.
КРОК, например, выкатывает прайс на 100 000 зелени на проведение работ по 152-ФЗ...
Так что...
Возможно, что и отстали от жизни...
_________________
Истина где-то между... |
|
|
timochev
Эксперт
Вступление в Клуб: 02.07.2007
|
| Пт Сен 04, 2009 08:27 |
|
Полезность: Нет оценки
|
Коллеги, у нас тут разгорелась дискуссия, чему равны Xнпд и Хпд согласно Порядку проведения классификации информационных систем ПД
Вот выдержки из порядка:
| Цитата: | 6. Определяются следующие категории обрабатываемых в информационной системе персональных данных (Xпд):
категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных;
категория 4 - обезличенные и (или) общедоступные персональные данные.
7. Xнпд может принимать следующие значения:
1 - в информационной системе одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом;
2 - в информационной системе одновременно обрабатываются персональные данные от 1000 до 100 000 субъектов персональных данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования;
3 - в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации.
|
Для Хпд понятно, что не 1 и не 4. Но что такое "персональные данные, позволяющие получить о субъекте дополнительную информацию" непонятно. Получить из ИС? Или из альтернативных источников типа всяких баз данных, запросов в силовые структуры?
ЦФТ посчитал, что Хпд = 3.
Xнпд по мнению ЦФТ равен 3 со следующим обоснованием:
| Цитата: | | Персональные данные, обрабатываемые в ИС "Платформа развития", относятся только к субъектам, связанным с конкретной организацией – (Банком), и обрабатываются в пределах этой-же конкретной организации. |
Здесь возникает вопрос в трактовке слов "в пределах одной организации". К какому слову это относится? Что должно находиться в пределах организации? Субъекты в пределах организации? Или обрабатываться в пределах организации? Субъекты обрабатываются со всего мира. Если говорить об обработке, то вместе с платежными документами из банка уходят и ПД (115-ФЗ), а распространение относится к обработке.
Короче, есть мнение, что классификация ЦФТ не соответствует Порядку. |
|
|
otecfedor
Участник со стажем
Вступление в Клуб: 18.09.2008
|
| Пт Сен 04, 2009 09:31 |
|
Полезность: Нет оценки
|
Мы решили, что стоит немного обождать с какими-либо действиями по 152-ФЗ.
На самом деле, ответственности-то, реально, никакой.
Юристы скоро дадут заключение по максимально применимым санкциям, однако, если в договорах с физиками везде есть разрешение на обработку и хранение ПДн, то, похоже, что всё определяется КОАППом. А там что-то вроде 10 000 рублей за нарушение условий. Это явно меньше, чем стоимость сертификаций и т.п..
Да и реакции на письмо АРБ надо подождать.
Кароче - будем посмотреть
_________________
Истина где-то между... |
|
|
Tony
Участник
Вступление в Клуб: 05.12.2007
|
| Пт Сен 04, 2009 12:29 |
|
Полезность: Нет оценки
|
Мы тоже решили немножко подождать.
Так же считаю что классификация ЦФТ проведена не корректно. |
|
|
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
|
|
О проекте
Поиск
Отзывы
Регистрация
Вход
