Я думаю, что все эти «телодвижения» с локализацией баз персональных данных при сборе организованы с целью однозначной идентификации оператора, как резидента РФ. То есть, раньше было так — собирали персональные данные все кому не лень (зарубежные платежные сервисы, соцсети, букмекеры и тд и тп). Естественно они не имели своих представительств в РФ и на них никак нельзя было воздействовать при нарушениях, т.к. они не являлись резидентами РФ. Теперь же этих зарубежных операторов легко определить, т.к. сервер базы данных находится в России и все дата-центры и операторы под контролем.
Смысл получается в том, чтобы не запретить транграничную передачу, а именно идентифицировать оператора на самом первом этапе — сборе ПДн (без которого не обойтись). Поэтому считаю, что все логично.
Давно не поднимал СТР-К. Не буду утверждать, что там написано касательно персональных данных. Да здесь всё гораздо проще — ссылаемся на иерархическую систему нормативных правовых актов РФ: Федеральный закон №152-ФЗ «О персональных данных» и принятые в соответствии с ним подзаконные акты (1119 постановление, 17 и 21 приказ) будут иметь _бОльшую юридическую силу_ по отношению к СТР-К. Если эти доводы на проверяющих не повлияют, у вас есть право на обжалование и судья 100% будет на вашей стороне
Такого документа как «Модель угроз» у вас вообще может и не быть. Закон устанавливает, что «обеспечение безопасности персональных данных достигается, в частности: 1) _определением угроз безопасности_ персональных данных при их обработке в информационных системах персональных данных». Словосочетания «Модель угроз» ни в одном нормативном акте нет, кроме самой Базовой модели угроз… А эти ФСТЭКовские документы («Базовая модель угроз безопасности персональных данных при их обработке в ИСПДн» и «Методика определения актуальных угроз безопасности персональных данных при их обработке в ИСПДн») являются просто методическими документами. Поэтому можно оформить это _определение актуальных угроз_ обычным Актом на пару-тройку листов без лишней воды. Например, таблицей.
Вообще тут большой простор для размышлений. В соответствии с ч.5 ст.19 152-ФЗ (отсылка к этой норме есть также и в 1119 постановлении) «Федеральные органы исполнительной власти… принимают _нормативные правовые акты_, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах ...» Можно ли сюда притянуть «Базовую модель угроз...» сказать сложно. Мне кажется, что методический документ это не нормативный правовой акт. Кроме того, он должен быть зарегистрирован в Минюсте. И только после этого будет считаться полноправным НПА.
Ну а про проверку Выполнения требований по обеспечению безопасности ПДн — всегда поразному, зависит от региона. Где-то проверяют, где-то — частично проверяют и только на словах, а где-то вообще не касаются 19 статьи.
Да, необходимо именно формировать базу данных (в любой форме) на территории РФ при сборе персональных данных. Потом можно осуществлять их трансграничную передачу при условии соблюдения требований статьи 12 Федерального закона № 152-ФЗ. Однако трансграничная передача также является обработкой персональных данных и должна ограничиваться достижением конкретных, заранее определенных и законных целей. Ну и соответственно не допускается обработка (в т.ч и трансграничная передача) персональных данных, несовместимая с целями сбора персональных данных (ч.2 ст.5 ФЗ 152).
Таким образом «обрабатывать где угодно» (просто потому что так захотелось) персональные данные незаконно.
Не нужно меня в невнимательности обвинять. Я прекрасно понял ваш повод к написанию статьи. Повод супер, как раз для вашей цели подходящий. Но повод и цель — это абсолютно разные вещи. А про вашу цель я уже выше написал — полить навозом конкурентов. Да и вы ее не опровергаете.
В каждом комменте вы пытаетесь переложить свою вину на других. То у вас 0ri0n виноват, то вас не так поняли. Получается, что та загадочная «агрессивная» конторка виновата в том, что вы занимаетесь распространением антирекламы в отношении целого пласта своих конкурентов. Ну в таком случае не вижу смысла с вами далее дискутировать. Дабы вы еще на кого-нибудь не свалили ответственность за свои ошибки.
Комплект ОРД, на который вы ссылаетесь, может помочь только специалисту, ну максимум IT-шнику. Но ведь его будут скачивать и бухгалтера и кадровики. И максимум на что они способны, это только впечатать название своей организации. К чему приводит такая «защита» вы прекрасно понимаете. Без грамотной консультации здесь не обойтись. Этим и занимаются сервисы Б-152, 152 онлайн, Альфа-док и им подобные. Вот к ребятам, которые просто шаблоны (типа вашего) за деньги продают, большой вопрос. Тут бы я с вами не поспорил.
Ох как быстро вы меня раскусили. Дедукция 80 lvl :) Так значит 0ri0n виноват, в том что вы негатив в отношении этих севисов (именно этих трёх) создали? Нет, это не так. Виноваты именно вы.
Личный интерес? Да, он есть. Но и у вас есть личный интерес, ведь вы работаете в компании, предоставляющей такие же услуги. Сервисы эти являются конкурентами вашей компании. Благосостояние вашей фирмы отражается на вашем личном благосостоянии (надеюсь, что это так и желаю вам этого).
Ну пожалуйста, не нужно распинаться. Вы и так ни на один вопрос не ответили. Потому что нечего вам ответить. Совершили ошибку — признайтесь в этом честно.
По поводу вашей цели: Цель ваша понятна. Когда не представляется возможность показать свои преимущества, самое легкое, что можно сделать, так это «облить помоями» своих конкурентов. В одном вы правы, что сервис (который описываете в своем посте, но на который так упорно не хотите указывать) зря лезет на чужую территорию — в лечебные учреждения. Там действительно всё крайне индивидуально и сложно, «автозаполняторами» не обойтись. Да, больницы, поликлиники, гос.органы и учреждения, операторы связи идругие крупные компании — ваша корова, и вам их доить.
Loreweil, вам ли, как специалисту по ИБ, не знать, что 80% реальных угроз перекрывается организационными мерами и контролем. А это и есть, как вы выразились, «бумажки». Кроме того, целевой аудиторией этих сервисов являются микро-предприятия и малый бизнес, и оставшиеся 20% угроз для них просто-напросто неактуальны. И специалист по ИБ (который кстати в регионе не меньше 30 тысяч руб. з/п в месяц попросит) вообще таким фирмам не сдался. Учитывайте это.
Коммент, на который ответом была ваша "выборка" звучал так: "Жаль не привел примеров подобных сервисов, где так красиво обувают фирмы." Ваш ответ как раз и является антирекламой, которую вы так (якобы) не хотели делать. И еще хотелось бы уточнить "некоторое среднее" чего? То есть анализировали всё-таки какие-то сервисы? Хотелось бы тогда узнать какие? А не просто первые результаты гугления. Можете написать? Или ваши доводы взяты "от балды"?
При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона:
Статья 6. Условия обработки персональных данных
Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях:
2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
Смысл получается в том, чтобы не запретить транграничную передачу, а именно идентифицировать оператора на самом первом этапе — сборе ПДн (без которого не обойтись). Поэтому считаю, что все логично.
Вообще тут большой простор для размышлений. В соответствии с ч.5 ст.19 152-ФЗ (отсылка к этой норме есть также и в 1119 постановлении) «Федеральные органы исполнительной власти… принимают _нормативные правовые акты_, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах ...» Можно ли сюда притянуть «Базовую модель угроз...» сказать сложно. Мне кажется, что методический документ это не нормативный правовой акт. Кроме того, он должен быть зарегистрирован в Минюсте. И только после этого будет считаться полноправным НПА.
Ну а про проверку Выполнения требований по обеспечению безопасности ПДн — всегда поразному, зависит от региона. Где-то проверяют, где-то — частично проверяют и только на словах, а где-то вообще не касаются 19 статьи.
Таким образом «обрабатывать где угодно» (просто потому что так захотелось) персональные данные незаконно.
В каждом комменте вы пытаетесь переложить свою вину на других. То у вас 0ri0n виноват, то вас не так поняли. Получается, что та загадочная «агрессивная» конторка виновата в том, что вы занимаетесь распространением антирекламы в отношении целого пласта своих конкурентов. Ну в таком случае не вижу смысла с вами далее дискутировать. Дабы вы еще на кого-нибудь не свалили ответственность за свои ошибки.
Личный интерес? Да, он есть. Но и у вас есть личный интерес, ведь вы работаете в компании, предоставляющей такие же услуги. Сервисы эти являются конкурентами вашей компании. Благосостояние вашей фирмы отражается на вашем личном благосостоянии (надеюсь, что это так и желаю вам этого).
Ну пожалуйста, не нужно распинаться. Вы и так ни на один вопрос не ответили. Потому что нечего вам ответить. Совершили ошибку — признайтесь в этом честно.
По поводу вашей цели: Цель ваша понятна. Когда не представляется возможность показать свои преимущества, самое легкое, что можно сделать, так это «облить помоями» своих конкурентов. В одном вы правы, что сервис (который описываете в своем посте, но на который так упорно не хотите указывать) зря лезет на чужую территорию — в лечебные учреждения. Там действительно всё крайне индивидуально и сложно, «автозаполняторами» не обойтись. Да, больницы, поликлиники, гос.органы и учреждения, операторы связи идругие крупные компании — ваша корова, и вам их доить.
Статья 6. Условия обработки персональных данных
Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях:
2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;