Есть еще один прикол — в письменном согласии по 152-ФЗ должны быть данные документа удостоверяющего личность субъекта ПДн, хотя для достижения самих целей обработки эти данные могут быть и не нужны.
Есть случаи, когда обработка возможна только с согласия, это в том числе при передаче третьим лицам. Статья 6 152-ФЗ:
3. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее — поручение оператора).
Ну и требование закона определения четких целей обработки ПДн и соответствия категорий ПДн этим целям никто не отменял — не важно, требуется согласие или нет.
Я думаю если регуляторов завалят жалобами, то может что-то и сдвинется. Есть еще подозрения, что много где существует 2 шаблона согласия — одно для проверок, второе, которое мы подписываем. Срок рассмотрения жалобы до 30.11.19, посмотрим что ответят.
Тут не важно в качестве кого мне предложили подписать согласие. Можно пожаловаться даже если бы я его увидел просто на сайте этого банка. Это как случайный свидетель сообщает о совершении преступления.
Один из случаев когда нужно согласие именно в письменной форме это как раз передача ПДн третьим лицам (кроме случаев, определенных другими законами). А требование, что согласие должно быть конкретным и информативным относится ко всем видам согласия.
По идее надо переаттестовывать по истечении срока действующего аттестата. А вот новый аттестат — уже бессрочный. Внесенные изменения в 17 приказ не имеют обратной силы.
Лицензии ФСБ тоже не превратились в бессрочные сами по себе, их нужно было переоформлять.
Да, это обычная практика, когда неоднозначность формулировок влечет за собой разное понимание разными представителями регулятора одного и того же положения законодательства. В данном случае формулировка уже совсем другая. Мы, я думаю, перед выдачей очередного аттестата на ГИС просто позвоним нашему ФСТЭКу и уточним на какой срок выдавать аттестат.
Действительно никто не отменял, есть еще и дспшные ГОСТы по аттестации, где тоже 3 года. Но у нас в свое время когда в 17 приказе ФСТЭК написали «аттестат на 5 лет» руководитель ФСТЭК по ДФО с трибуны заявил «кто на ГИС будет выдавать аттестат на 3 года — заберем лицензию» и все (по крайней мере кто присутствовал на сборе из лицензиатов) стали выдавать аттестаты на 5 лет.
Не такой простой вопрос как кажется, это определяется моим любимым «экспертным путем». Как минимум, точно появляются новые угрозы при появлении новых технологий, например, не было в ГИС виртуализации, потом появилась -> новые угрозы. Плюс можно при изменениях в ГИС провести внеочередной анализ уязвимостей. Но в любом случае нужно обсуждать каждый случай изменений и что они за собой влекут отдельно.
В МУ не обосновываются конкретные настройки FW, в МУ определяются актуальные угрозы, исходя из которых уже надо смотреть какие из них нейтрализуются настройками FW и думать какие конкретно настройки нужно применить для нейтрализации угроз. Конкретные настройки могут быть предложены в эскизном (техническом) проекте на систему защиты информации. Необходимость сертифицированного FW тоже определяется не в МУ, а в проектных документах. Кстати, для чистых ИСПДн (не в составе ГИС) нет явного требования сертифицированного FW.
1. Поэтому ИБ должно быть отдельно от ИТ. В данном случае регулятор поступил рационально. Если бы ФСТЭК определил подход (например «только белые списки»), то ничего хорошего из этого могло бы не получиться (все бы просто игнорировали такое требование). Такой подход мы уже проходили с 58-приказом ФСТЭК, отмененным в 2013 году.
3. Определение времени хранения логов (всех, не только FW) установлено мерой РСБ.3. Здесь тоже оператор должен самостоятельно определить эти параметры.
4. Перечитайте еще раз УПД.3, управление потоками это не только правила FW.
В то же время у ФСТЭК нет требований по его настройке и обслуживанию.
Вы серьезно?
УПД.3 Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами
Базовая мера для всех уровней защищенности ПДн. А какие вы хотели требования по настройке МЭ от регулятора? Конкретные правила и белые списки? Требование непосредственно по настройке МЭ — есть, только конкретные параметры настройки владелец ИСПДн определяет самостоятельно. Для этого в том числе делается модель угроз.
Не путайте с государственными информационными системами. 5 лет прописано в 17 приказе ФСТЭК, а в 21 приказе (для ПДн) обязательная аттестация не предусмотрена (вместо нее оценка эффективности принятых мер). При этом других нормативных документах (Положение по аттестации и ГОСТ) максимальный срок аттестата — 3 года.
В том же законе вводится понятие муниципальной информационной системы (МИС), хотя многим привычнее это расшифровывать как «медицинская информационная система». Так и живем, нужно смотреть контекст.
Разработчиков этот вопрос не должен сильно волновать.
Это вы зря. Этот вопрос должен волновать всех разработчиков, пилящих что-то для государства, потому что ГИСы должны вводиться в эксплуатацию с уже выполненными требованиями по защите информации. Но многих разработчиков это до сих пор не сильно волнует, как вы сказали.
ГИС или не ГИС определяются сугубо по определению — есть нормативный акт о создании — ГИС, нет — не ГИС. Все остальное, о чем вы пишите уже накладывается тогда, когда вы определили, что система — точно ГИС, то есть не является классифицирующим признаком ГИС это или нет.
Но это все мир единорогов и фей, по факту же есть огромное количество систем, которые должны быть ГИС, но по определению из 149-ФЗ ими не являются (нет нормативного акта о создании ГИС). ФСТЭКу очень не нравится, что они разрабатывали вполне себе приличные документы по защите информации в ГИС, а многие операторы пытаются доказать что их системы ГИСами не являются. Поэтому по негласному мнению ФСТЭК ГИСами являются все системы, созданные на бюджетные деньги.
Эталонным примером как ГИС должна быть описана является Федеральный реестр инвалидов — аж в целом федеральном законе прописано, что реестр является ГИС, определен оператор ГИС, определены данные, вносимые в ГИС и тд. К сожалению, это скорее исключение, чем правило.
Ну и требование закона определения четких целей обработки ПДн и соответствия категорий ПДн этим целям никто не отменял — не важно, требуется согласие или нет.
Лицензии ФСБ тоже не превратились в бессрочные сами по себе, их нужно было переоформлять.
1. Поэтому ИБ должно быть отдельно от ИТ. В данном случае регулятор поступил рационально. Если бы ФСТЭК определил подход (например «только белые списки»), то ничего хорошего из этого могло бы не получиться (все бы просто игнорировали такое требование). Такой подход мы уже проходили с 58-приказом ФСТЭК, отмененным в 2013 году.
3. Определение времени хранения логов (всех, не только FW) установлено мерой РСБ.3. Здесь тоже оператор должен самостоятельно определить эти параметры.
4. Перечитайте еще раз УПД.3, управление потоками это не только правила FW.
Вы серьезно?
Базовая мера для всех уровней защищенности ПДн. А какие вы хотели требования по настройке МЭ от регулятора? Конкретные правила и белые списки? Требование непосредственно по настройке МЭ — есть, только конкретные параметры настройки владелец ИСПДн определяет самостоятельно. Для этого в том числе делается модель угроз.
Это вы зря. Этот вопрос должен волновать всех разработчиков, пилящих что-то для государства, потому что ГИСы должны вводиться в эксплуатацию с уже выполненными требованиями по защите информации. Но многих разработчиков это до сих пор не сильно волнует, как вы сказали.
Но это все мир единорогов и фей, по факту же есть огромное количество систем, которые должны быть ГИС, но по определению из 149-ФЗ ими не являются (нет нормативного акта о создании ГИС). ФСТЭКу очень не нравится, что они разрабатывали вполне себе приличные документы по защите информации в ГИС, а многие операторы пытаются доказать что их системы ГИСами не являются. Поэтому по негласному мнению ФСТЭК ГИСами являются все системы, созданные на бюджетные деньги.
Эталонным примером как ГИС должна быть описана является Федеральный реестр инвалидов — аж в целом федеральном законе прописано, что реестр является ГИС, определен оператор ГИС, определены данные, вносимые в ГИС и тд. К сожалению, это скорее исключение, чем правило.