ПД: Новости. Слухи

Форум Сообщества Практиков Конкурентной разведки (СПКР)

Конкурентная разведка, Бизнес-разведка, Корпоративная разведка,
Деловая разведка по открытым источникам в бизнесе.
Работаем строго в рамках закона.

Дезинформация и активные мероприятия в бизнесе
Форум Сообщества Практиков Конкурентной разведки (СПКР) »   Теория и практика работы с персональными данными »   ПД: Новости. Слухи
RSS

ПД: Новости. Слухи

  Вперед>>Страницы: 1 2 3 4 5 ... ... 8 9 10 11 12 13
Печать
 
Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
_ttp://www.tsarev.biz/?p=364
[q]


Что интересного в отчете о деятельности Уполномоченного органа по защите прав субъектов персональных данных за 2008 год?
...
1) Мое внимание привлекла информация о новом приказе «трех». Между Роскомнадзором, ФСТЭК и ФСБ принято решение о согласовании и утверждении проекта приказа «Об утверждении Временного порядка организации взаимодействия по реализации требований законодательства Российской Федерации в области защиты персональных данных».

Данный документ предусматривает взаимодействие по трем основным направлениям деятельности:

1. Обмен информацией в области персональных данных;
2. Совместное осуществление мероприятий по контролю (надзору);
3. Обучение и повышение квалификации сотрудников.

Совместные мероприятия по контролю должны будут проходить в третьем квартале 2009 года.

2) Уже давно забытый законопроект № 217355-4 «О внесении изменений в некоторые законодательные акты Российской Федерации…», о котором я уже писал, также упоминается в докладе со словами «необходимо ускорить процесс рассмотрения». Принятие законопроекта позволит Роскомнадзору САМОСТОЯТЕЛЬНО составлять протоколы об административных правонарушениях, и вводит пять новых составов административных правонарушений, касающихся непосредственно персональных данных. Документ очень важный и нужный, хотя некоторые пункты было бы неплохо доработать, ведь сам документ пылится с 2005 года.

[/q]
toparenko
Модератор форума
ANTESIGNĀNUS
Откуда: СССР
Всего сообщений: 728
Рейтинг пользователя: 5


Ссылка


Дата регистрации на форуме:
7 июня 2009
[q]
1) Мое внимание привлекла информация о новом приказе «трех». Между Роскомнадзором, ФСТЭК и ФСБ принято решение о согласовании и утверждении проекта приказа «Об утверждении Временного порядка организации взаимодействия по реализации требований законодательства Российской Федерации в области защиты персональных данных».
[/q]

Об этом еще с прошлого года говорят, но пока не могут договориться
[q]
Совместные мероприятия по контролю должны будут проходить в третьем квартале 2009 года.
[/q]

Для того, чтоб проверять нужна нормативка. Тем более, что существует срок приведения систем до 01.01.10.

---
Грабли - это оружие. Бывают веерные и обычные (с) Что? Где? Когда? 30.05.2009
toparenko
Модератор форума
ANTESIGNĀNUS
Откуда: СССР
Всего сообщений: 728
Рейтинг пользователя: 5


Ссылка


Дата регистрации на форуме:
7 июня 2009
О типичных нарушениях, выявляемых инспекциями труда
[q]
Что такое расчетный листок? Это составная часть персональных данных работника, это сведения о его доходах. В организации должны быть утверждены форма расчетного листка, правила его вручения работникам, в том числе определены лица, ответственные за это.
[/q]

---
Грабли - это оружие. Бывают веерные и обычные (с) Что? Где? Когда? 30.05.2009
Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
А что скажете на такую новость (не совсем свежую, но все же :wink: ) ?

lukatsky.blogspot.com/2009/06/blog-post_01.html
[q]

28-го мая издательский дом Connect провел замечательный круглый стол. Сначала была заявлена одна тема - "персданные", но в ходе мероприятия проявилась и вторая - СТО БР ИББС. Так я вынужден был уехзжать в Казань, то на вторую часть я не остался, но и посещение первой оставило неизгладимое впечатление.

Суть мероприятия была простой - заранее был сформирован список из 13-ти наболевших вопросов по персданным. А на самом круглом столе на них отвечали представители ФСТЭК (Назаров И.Г.), РКН (Васильева Л.Б.) и ФСБ (Гаврилов В.Е.). При этом по ходу представители преимущественно банков (ЦБ, СБ, Возрождение, ВТБ, Газпромбанк, Банк Москвы, Россельхозбанк, Промсвязьбанк и т.д.) задавали наводящие вопросы.

Итак, краткое резюме по наиболее интересным моментам (полная версия стенограммы будет в ближайшем номере журнала Connect).

1. На вопрос про модель угроз и аттестацию последовал следующий ответ ФСТЭК. Согласование модели с ФСТЭК необязательно, но пока, в порядке инициативы ФСТЭК это делает. ТЗ и техпроекты они согласовывать готовы только для крупных систем. И то, только по собственной инициативе и наличии времени. Средний срок согласования модели - 10 дней. Территориальные управления ФСТЭК тоже могут это делать (если согласятся и смогут).

А вот дальше последовала сенсация ;-) На вопрос, кто может аттестовывать ИСПДн ответ был - любой лицензиат ФСТЭК и аттестационные органы ФСТЭК. На мой вопрос, на соответствие чему проводим аттестацию, последовал закономерный ответ - на соответствие требованиям ФСТЭК. А когда я уточнил, что делать для специальных ИСПДн последовал ответ, что аттестовать на соответствие мерам, разработанным по частной модели угроз. Т.е. обычный лицензиат может провести аттестацию на соответствие некому списку мероприятий, которые разработан заказчиком или лицензиатом. Правда, я не уточнил форму аттестата в этом случае.

На мой вопрос, не видит ли ФСТЭК противоречия в том, что одна и та же компания разрабатывает модель угроз, перечень защитных мероприятий, а потом по ним же и проводит аттестацию и выдает заключение, Игорь Григорьевич ответил, что ничего странного в этом ФСТЭК не видит.

На вопрос от банков, будет ли ФСТЭК иметь претензии к организации, для которой лицензиат разработал модель и потом выдал заключение, Назаров И.Г. ответил, что нет, не будет, т.е. лицензиат действует "по имени и по поручению" ФСТЭК, на основе ее документов и позиций.

Вот эта часть была пожалуй самой интересной ;-) Если все будет действительно так, как сказали, то проблем с аттестацией ни у кого быть не должно. Заказчики получат заветную бумажку, а лицензиаты - постоянную статью дохода. Все довольны. Что при этом будет с персданными не совсем понятно, но кого это волнует?

2. На вопрос о наличии лицензии на ТЗКИ ответ был - если сами все делаете, то надо. Если есть договор с лицензиатом, то не надо. Для филиалов банков достаточно общей лицензии (если филиал не является отдельным юрлицом).

3. На вопрос о методике оценки ущерба, ФСТЭК сослалась, что это не в их компетенции. Андрей Петрович Курило всех отослал на сайт подкомитета 3, где выложена методика оценки рисков для СТО БР ИББС, по которой можно оценить реальные риски и отбросить ненужные, например, ПЭМИН, который для абсолютного большинства банков не нужен.

Вообще вопрос включения угроз в частную модель поднимался неоднократно. Можете включать/удалять все, что хотите, если это обоснованно. Таково мнение ФСТЭК. Ни ПЭМИН, ни НДВ из второй редакции четверокнижия удалять не будут, но в частной модели угроз их можно не включать.

4. На вопрос, что делать, если в одной ИС обрабатывается и коммерческая, и банковская тайна, и ПДн, и какой класс присваивать в итоге, последовал закономерный ответ - "по максимуму".

5. Новая версия четверокнижия будет выпущена в конце лета. При этом отличий от первой версии не будет. Собственно вся разница в статусе документов и устранении ошибок и неточностей. Вторая версия будет публичной и пройдет через МинЮст. Из 4-х документов останется только два. Модель угроз получит статус ДСП. Зачем это делать, так никто и не объяснил. Широкого обсуждения второй редакции не будет.

Также было сказано, что скоро (но срок не назвали) выйдет новая версия СТР-К, которая пройдет через МинЮст. Готовьтесь ;-)

6. На вопрос для ФСБ о конкретизации требований по обнаружению вторжения было отвечено, что скоро все будет. Деталей не было.

7. Было много вопросов в сторону РКН, но ясности не появилось. На вопрос банков, понимают ли в РКН, что требования ФЗ "кошмарят" Россию и могут поставить крест на многих направлениях бизнеса, РКН ответил, что "мы не комментируем закон. Вы обязаны его исполнять. И это Ваши проблемы" ;-(

Уже в перерыв я задал два вопроса. Первый касался плановых проверок. На каком основании РКН их проводит. Лариса Борисовна ответила, что неофициально она согласна, что проверять надо только по факту обращения субъекта ПДн, но официально мнение руководства - плановые проверки проводить. К слову сказать на сайте РКН опубликован список плановых проверок на 2009 год.

Второй вопрос касался соотносимости ФЗ-152 и Европейской Конвенции. Я задал вопрос, понимает ли РКН, что ФЗ-152 имеет меньшую юридическую силу, чем Конвенция и согласно праву оператор ПДн может в спорных моментах следовать Конвенции, а не ФЗ. Васильева Л.Б. ответила, что да, я прав, но РКН проверял, проверяет и будет проверять на соответствие ФЗ. И что если кто не согласен, то идите в суд, который может и встанет на сторону Конвенции, а не ФЗ. Вот такое правовое у нас государство ;-(

Ну вот, вкратце и все. 22-го июня в АРБ будет очередное заседание по этой теме и уже с приглашением регуляторов. Посмотрим, что там будет.
Автор: Алексей Лукацкий на 8:0
[/q]
toparenko
Модератор форума
ANTESIGNĀNUS
Откуда: СССР
Всего сообщений: 728
Рейтинг пользователя: 5


Ссылка


Дата регистрации на форуме:
7 июня 2009

Vinni написал:
[q]
Второй вопрос касался соотносимости ФЗ-152 и Европейской Конвенции. Я задал вопрос, понимает ли РКН, что ФЗ-152 имеет меньшую юридическую силу, чем Конвенция и согласно праву оператор ПДн может в спорных моментах следовать Конвенции, а не ФЗ. Васильева Л.Б. ответила, что да, я прав, но РКН проверял, проверяет и будет проверять на соответствие ФЗ. И что если кто не согласен, то идите в суд, который может и встанет на сторону Конвенции, а не ФЗ. Вот такое правовое у нас государство ;-(
[/q]

Этот пункт один из самых "веселых" т.к. Уполномоченный орган по защите ПД сам не выполняет 152-ФЗ

Vinni написал:
[q]
Ну вот, вкратце и все. 22-го июня в АРБ будет очередное заседание по этой теме и уже с приглашением регуляторов. Посмотрим, что там будет.
[/q]

Посмотрим

---
Грабли - это оружие. Бывают веерные и обычные (с) Что? Где? Когда? 30.05.2009
toparenko
Модератор форума
ANTESIGNĀNUS
Откуда: СССР
Всего сообщений: 728
Рейтинг пользователя: 5


Ссылка


Дата регистрации на форуме:
7 июня 2009

---
Грабли - это оружие. Бывают веерные и обычные (с) Что? Где? Когда? 30.05.2009
toparenko
Модератор форума
ANTESIGNĀNUS
Откуда: СССР
Всего сообщений: 728
Рейтинг пользователя: 5


Ссылка


Дата регистрации на форуме:
7 июня 2009
Журнал CIO - Аутентифицируй это
[q]
В качестве резюме
В свете статьи 19 закона «О персональных данных» информационная система с зашифрованными данными, доступ к которой могут получить только авторизованные пользователи, использующие персонализированные электронные ключи, сможет пройти аттестацию и получить лицензию ФСТЭК без дополнительных сложностей. Следует понимать, что только при организации четкой и однозначной идентификации, аутентификации и авторизации пользователей оператор персональных данных может гарантировать, что доступ к персональным данным для выполнения своих служебных обязанностей имеет лишь ограниченный круг ответственных лиц. При условии использования отечественных криптографических алгоритмов шифрования украсть персональные данные пользователей в данном случае будет практически невозможно.
[/q]

Деза.

Это вариант ухода полностью на документы ФСБ, а не по ФСТЭК-овским требованиям.

И говорить о невозможности кражи нельзя. Защита периметра - да. Но от кражи недобросовестным инсайдером не защитит.

---
Грабли - это оружие. Бывают веерные и обычные (с) Что? Где? Когда? 30.05.2009
Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009

toparenko написал:
[q]
Журнал CIO - Аутентифицируй это
[/q]


:padstalom:
Да и вообще статья непрофессиональная - явно заказная, алладином проплаченная.
Видно, что авторы с моделями угроз ФСБ и ФСТЭК не знакомы
toparenko
Модератор форума
ANTESIGNĀNUS
Откуда: СССР
Всего сообщений: 728
Рейтинг пользователя: 5


Ссылка


Дата регистрации на форуме:
7 июня 2009

Vinni написал:
[q]
явно заказная, алладином проплаченная
[/q]

Версия имеет жизнеспособность :wink:

Именно у Алладина есть только ФСТЭКовские сертификаты, а ФСБ-шных (как криптографии) нет.
При том, что они пытаются себя позиционировать как "отечественный" производитель - весь вопрос, что они подразумевают под "отечеством" т.к. эта израильская компания не так давно была куплена компанией из US.

---
Грабли - это оружие. Бывают веерные и обычные (с) Что? Где? Когда? 30.05.2009
toparenko
Модератор форума
ANTESIGNĀNUS
Откуда: СССР
Всего сообщений: 728
Рейтинг пользователя: 5


Ссылка


Дата регистрации на форуме:
7 июня 2009
Материалы конференции 28 мая 2009 г. "Обеспечение информационной безопасности бизнеса и государственных структур"

По ПД можно почитать презентацию: Игорь Калганов, ФК «Открытие». Применение на практике ФЗ РФ «О персональных данных»

---
Грабли - это оружие. Бывают веерные и обычные (с) Что? Где? Когда? 30.05.2009
  Вперед>>Страницы: 1 2 3 4 5 ... ... 8 9 10 11 12 13
Печать
Форум Сообщества Практиков Конкурентной разведки (СПКР) »   Теория и практика работы с персональными данными »   ПД: Новости. Слухи
RSS

Последние RSS
Open Source Intelligence (OSINT) Tools and Resources Handbook
Top tips on gathering information about companies by using free online sources
Новое на блоге HRразведка
Безопасность данных в MS Access
Слово как улика
20 Recon and Intel Gathering Tools used by InfoSec Professionals
What’s Changed?
10 альтернативных поисковиков
Ситуационный центр главы Республики Коми
Развёртывание ситуационных центров на базе технологии Avalanche
Как принимать сложные решения. Советы бывшего оперативника ЦРУ.
Открытая информация о "Новичке" из сети интернет.
Ген. директор "ОЗХО" Ахмет Узюмдж о "Новичке" и хим. атаке в Сирии
Онлайн-сервисы для Twitter
Коллекция для Twitter
Приложение Opera VPN закрывается
О работе разведки
Deep web и 11 поисковиков по нему
Об изначальной "лживости" любых документов
Обновление на блоге HRазведка

Самые активные 20 тем RSS
Open Source Intelligence (OSINT) Tools and Resources Handbook
Слово как улика
Top tips on gathering information about companies by using free online sources
Новое на блоге HRразведка
WebSite Watcher
Безопасность данных в MS Access