[Andrei]

Как быть с колокаторами или использующими наш хостинг ?

Это проблемы клиентов.

[Галушко Дмитрий]

Похоже Надзор серьезно взялся за перс. данные. Вот уже на Регулейшн и Положение о контроле в области Защиты Перс. данных подоспело...

http://regulation.gov.ru/projects#npa=66041

[Иван Михайлович]

Кстати, прислали интересный документ по теме (см. вложение)

Scan.pdf

[YuryD]

Как быть с колокаторами или использующими наш хостинг ?

Это проблемы клиентов.

ЭЭ, у нас обычная практика - доменные имена на себя оформляем, чтобы клиенту не чухаться с nic.ru например. Затем даём место и доступ для хостинга, или место для колокейшена. И если сей клиент вдруг магазин у себя разместит, или форум - плюхи полетят на меня.

 

Немного подумал - в понедельник всем чужакам письмо разошлю, чтобы на себя перерегили свои домены. Для них - геморрой во всю голову будет :)

[Andrei]

Кстати, прислали интересный документ по теме (см. вложение)

Нам присылали похожий, только концовка была другая, что-то типа "материалы по итогам проверки направлены в суд.." и т.д., т.е. не "устранить", а сразу "наказать".

[Therios]

Коллеги, добрый день!

Сегодня пришло письмо счастья от РКН, смысл который сводится к тому, что наша организация не представила в Уполномоченный орган сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации.

В связи с чем несколько вопросов: есть ли какие-то "стандарты хранения" ПД, если можно так выразиться? Можно ли сообщить в РКН, что все ПД пользователей хранятся у меня в сейфе в бумажном виде? Какая вообще у кого практика по данному вопросу?

Спасибо.

[ALaddin]

Коллеги, добрый день!

Сегодня пришло письмо счастья от РКН, смысл который сводится к тому, что наша организация не представила в Уполномоченный орган сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации.

В связи с чем несколько вопросов: есть ли какие-то "стандарты хранения" ПД, если можно так выразиться? Можно ли сообщить в РКН, что все ПД пользователей хранятся у меня в сейфе в бумажном виде? Какая вообще у кого практика по данному вопросу?

Спасибо.

 

Такое же письмо было месяц назад. Я звонил, спрашивал, что писать. Ответили, указать адрес, где вы свои трудовые книжки храните, это типа и есть база данных. Написали им заявление о внесении изменений (через сайт персональных данных), где указали только адрес базы данных (наш фактический). Вопросов больше не было.

[ams666]

а к нам пришел чувак из фсб

Мол проверяем персональные данные как хранятся, не зарубежом ли, и хорошо защищены. В итоге штраф 500 р, говорят нужно замков больше, нужно документацию разработать и что меня добило не использовать смартфоны в офисе.

[ALaddin]

а к нам пришел чувак из фсб

Мол проверяем персональные данные как хранятся, не зарубежом ли, и хорошо защищены. В итоге штраф 500 р, говорят нужно замков больше, нужно документацию разработать и что меня добило не использовать смартфоны в офисе.

 

Видимо, ваша организация очень уж крупная или очень-очень интересная :)

[ams666]

а к нам пришел чувак из фсб

Мол проверяем персональные данные как хранятся, не зарубежом ли, и хорошо защищены. В итоге штраф 500 р, говорят нужно замков больше, нужно документацию разработать и что меня добило не использовать смартфоны в офисе.

 

Видимо, ваша организация очень уж крупная или очень-очень интересная :)

как раз наоборот. В итоге поговорили по душам попросил от нас отстать ибо любые телодвижения в плане заставить нас купить сорм или еще что-то в текущей финансовой ситуации это равнозначно закрытию. Договорились на 500 р штрафа. А пришли они после кляузы Норси что у меня сорма нет... гореть им огнем

[svcons]

Пытаюсь найти НПА Минкомсвязи, утвердивший перечень актуальных угроз для отрасли. Не смог.

[Галушко Дмитрий]

а к нам пришел чувак из фсб

... Договорились на 500 р штрафа. А пришли они после кляузы Норси что у меня сорма нет... гореть им огнем

на больное бьют...

Хорошо, что до 1 июля, так штраф был бы больше...

[YuryD]

а к нам пришел чувак из фсб

Мол проверяем персональные данные как хранятся, не зарубежом ли, и хорошо защищены. В итоге штраф 500 р, говорят нужно замков больше, нужно документацию разработать и что меня добило не использовать смартфоны в офисе.

ЭЭЭ, это ПД не их прерогатива, чего-то по орд делал наверное. При попытке сдаться по ПД в ркн, мой хороший знакомый, занимающийся всякой жкх ит-системой(а там есть всё - от прописки до собственника) ему пару лет взад сказали - что он им неинтересен, и идите и работайте. Как сейчас - не знаю, давно его не встречал.

[Tosha]

Пытаюсь найти НПА Минкомсвязи, утвердивший перечень актуальных угроз для отрасли. Не смог.

Актуальные угрозы определяет тот кто разрабатывает защиту ПД исходя из текущих условий. Для маленьких операторов - сами операторы.

 

Есть кстати методика позволяющая оценить угрозы и выделить актуальные. Деталей не помню - но очень "многа букв" в нем. Когда оценивал модель угроз - чуть ли на стенки не лез - а то, блин, можно было вылететь за границы "можно самим" и напороться на то что система должна быть зашифрована вдоль и поперек и приставлена охрана из ФСБ.

 

Грубо говоря берется все что только придет в голову вплоть до похищения сервера потом выписываешь что уже предпринято чтобы предотвратить и насколько ты оцениваешь что это таки может быть совершено в плане невероятно, мало вероятно, вероятно, очень вероятно. Байда в общем. В итоге можно нарисовать перечень дополнительных мер по защите. Дверь поменять на стальную, например.

[svcons]

Актуальные угрозы определяет тот кто разрабатывает защиту ПД исходя из текущих условий. Для маленьких операторов - сами операторы.

Из какого НПА это следует?

 

 

ПП1119 п.7. Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 Федерального закона "О персональных данных", и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона "О персональных данных".

152-ФЗ ст.19 ч.5. Федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов, иные государственные органы в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки.

[ams666]

а к нам пришел чувак из фсб

Мол проверяем персональные данные как хранятся, не зарубежом ли, и хорошо защищены. В итоге штраф 500 р, говорят нужно замков больше, нужно документацию разработать и что меня добило не использовать смартфоны в офисе.

ЭЭЭ, это ПД не их прерогатива, чего-то по орд делал наверное. При попытке сдаться по ПД в ркн, мой хороший знакомый, занимающийся всякой жкх ит-системой(а там есть всё - от прописки до собственника) ему пару лет взад сказали - что он им неинтересен, и идите и работайте. Как сейчас - не знаю, давно его не встречал.

Дак то же самое..нет что бы прийти поговорить (куратора три года не видел не слышал (да и слава богу)). А получается им норси настучал и они решили посмотреть что к чему...придумали такую вот причину. я все показал и сказал что денег нет.. от слова совсем... ну а так как видимость работы создать надо разошлись так....

[Tosha]

Из какого НПА это следует?

нормативкой конкретно по деталям реализации защиты занимается не минкомсвязи, а ФСТЭК. Это их епархия...

 

там куча всего... Если Ваша система не требует разработки и сертификации специальным "лицом" с лицензией ФСТЭК то Вы сами можете разрабатывать. И, значит, именно Вы и можете определять что и как надо сделать и от чего защищаться. Но, естественно, есть пакет документов от ФСТЭК регламентирующих процесс построения модели угроз и ее анализа.

 

Вот пример документа описывающего конкретно анализ угроз и типовые угрозы:

БАЗОВАЯ МОДЕЛЬ

УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ

ПЕРСОНАЛЬНЫХ ДАННЫХ

УТВЕРЖДЕНА

Заместителем директора ФСТЭК России

15 февраля 2008 г.

 

Либо в этом документе либо в связанном с ним есть методика позволяющая определить какие из типовых угроз актуальны (т.е. которыми нельзя пренебречь и которые требуют дополнительных решений) конкретно для Вашей системы ИСПД а какие - нет. Если актуальных угроз вообще нет - все в шоколаде.

 

Т.е. в зависимости от класса системы, если позволено разрабатывать ее невозбранно самому - берется набор типовых угроз подходящей к вашей системе и анализируется по методике. После чего разрабатывается перечень дополнительных мер, позволяющих на ваш взгляд достаточно снизить вероятность актуальных угроз, т.е. привести систему к отсутствию актуальных угроз.

[svcons]

БАЗОВАЯ МОДЕЛЬ

УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ

ПЕРСОНАЛЬНЫХ ДАННЫХ

УТВЕРЖДЕНА

Заместителем директора ФСТЭК России

15 февраля 2008 г.

 

 

Это не действующий документ.

[Tosha]

Это не действующий документ.

когда мы делали модель - действовал. Ищите что его заменило. Если ничего - значит перечень угроз можно вообще любой брать - почему бы тогда не старый. Но я не верю что этот документ отменен вообще. Скорее всего он заменен новым.

 

Кстати не вижу что бы он был отменен.

Название

ФСТЭК Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных

Дата

15.02.2008

Номер

 

Кем утвержден

ФСТЭК

Статус

Действующий

Тип документа

Методика

Раздел

2. Подзаконные акты

 

Модель угроз (или как ее еще называют "Частная модель угроз") может разрабатываться ответственными за защиту персональных данных в организации. Также могут привлекаться сторонние эксперты. Разработчики модели угроз должны владеть полной информацией об информационной системе персональных данных, знать нормативную базу по защите информации.

 

При отсутствии экспертов разработку модели угроз лучше доверить сторонней организации.

 

Порядок разработки модели угроз определен в документах ФСТЭК:

- «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», Федеральная служба по техническому и экспортному контролю, 2008 год

- «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», Федеральная служба по техническому и экспортному контролю, 2008 год.

[svcons]

Tosha, плохо смотрите. Не надо давать вредные советы. Только время потратил, разбираясь в Ваших воспоминаниях... Регулирование с тех пор значительно изменилось, а Вы не в курсе.

[Tosha]

Прошу сделайте доброе дело когда разберетесь как оно правильно сейчас - напишите, пожалуйста, сюда или новой темой, например "существенные изменения в оформлении комплекса бумаг защиты ПД в 2017 году".

 

Посмотрел в актуальном "консультанте"

 

МЕТОДИКА

ОПРЕДЕЛЕНИЯ АКТУАЛЬНЫХ УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ

ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ

ПЕРСОНАЛЬНЫХ ДАННЫХ

действует но с припиской:

При применении документа следует учитывать, что Постановлением Правительства РФ от 01.11.2012 N 1119 утверждены новые Требования к защите персональных данных при их обработке в информационных системах персональных данных.

 

Т.е. надо изучить что в 1119 постановлении а потом творчески прочитать "Методику" изменяя в ней то что должно быть изменено в соответствии с 1119 постановлением

 

Ну не издал ФСТЭК нового приказа. А может быть и издал, но для служебного пользования. Т.е. не публикует.

 

У меня пока нет времени свободного разобраться в изменениях. Косметические ли они или нет... Но если не справитесь с этой шарадой за неделю я тоже покопаюсь в этом вопросе тщательно.

[dIMbI4]

Кстати Дима меня спрашивал- отчего нахамили в надзоре моему юристу- рассказываю.

У меня есть отдельное юрлицо, занимается телематикой только юрлицам.

Соответственно попадаю под исключение и не хочу вставать на учет в реестр по операторам персональных данных.

Однако сотрудник надзор потребовал от меня встать на учет мотивируя тем что у меня есть устроенные сотрудники персональными данными которых я оперирую.

На наш ответ что это не попадает под оператора персональных данных так как регламентируется трудовым кодексом, сотрудник резко поменялся в голосе и сообщил что он не собирается с нами дискутировать, это официальная позиция роскомнадзора и вообще увидимся с вами в суде. после чего положил трубку.

Мое мнение- у них задача как можно больше организаций загнать в свой реестр чтобы они попали в список плановых проверок.

Написали письмо в минсвязи за разъяснениями.

[Tosha]

Если не зарегистрируетесь они Вас все равно проверят.

 

Ну а входить или нет в реестр - решайте. Мы вошли. Слишком пустой вопрос чтобы тратить время и нервы. Все равно проверять будут. Имеют право т.к. любая организация обрабатывает ПД а они имеют право проверять соответствие закону этой обработки.

 

Если у Вас оформлен пакет документов - пусть проверяют. А если не оформлен - тем более глупо нарываться на внеочередную проверку работы с ПД :)

[dIMbI4]

Если не зарегистрируетесь они Вас все равно проверят.

 

Ну а входить или нет в реестр - решайте. Мы вошли. Слишком пустой вопрос чтобы тратить время и нервы. Все равно проверять будут. Имеют право т.к. любая организация обрабатывает ПД а они имеют право проверять соответствие закону этой обработки.

 

Если у Вас оформлен пакет документов - пусть проверяют. А если не оформлен - тем более глупо нарываться на внеочередную проверку работы с ПД :)

Контора совсем свежая, хочется как можно дольше жить без плановых проверок. Есть же 3хлетние каникулы. Однако прикинув риски решили войти в реестр. Можно конечно отстоять свое мнение, но по любому был бы протокол, суд, что дороже чем просто оформить все документы. Кстати обработка данных ИП попадает под обработку пд физиков. Есть хоть один клиент ип- сразу попадаем в реестр.

[Novossyol]

С некоей фирмы прилетело вот такое письмо:

В связи с изменением законодательства проверьте ваш сайт на нарушения, которые могут отрицательно влиять на его работу и функционирование в целом, а также нарушать законодательство РФ.

Если на Вашем сайте имеется форма обратной связи, форма заказа или личный кабинет для пользователей, в соответствии со статьей 12.11 КоАП РФ для сбора и обработки данных о пользователе требуется защита персональных данных Ваших пользователей и согласие пользователей на сбор и хранение персональных данных от пользователя. Если не учесть требование законодательства до 1 июля и не внести изменения в сайт, то на Вашу организацию может быть наложен штраф до 75 тыс. руб.

Это касается всех сайтов на которых есть форма заказа обратного звонка, форма обратной связи, форма заказа товара или услуги.

Нужно срочно привести в порядок свои сайты.

Проверки уже идут!

У меня есть свой информационный сайт радиостанции (я не продаван, а для вопросов от радиослушателей) в котором есть форма обратной связи и в ней поля (имя, емейл), а также есть гостевая с такими же полями, для комментариев радиослушателей. Регистрация на сайте отсутствует.

Скажите попадаю я под эту нормативку или можно не париться и "забить"?

Изменено 6 июля, 2017 пользователем Novossyol