Стало понятнее. Я просто рассматриваю безопасность информации как состояние обеспечения конфиденциальности, целостности, доступности и прочих требований в комплексе.
В случае с уничтожением данных вполне достаточно озаботиться созданием и соответствующим хранением резервных копий ;)
Возможно меня сбивает с толку первая фраза, но пока я ощущаю некоторое расхождение во взглядах :)
Не могу согласиться, что «безопасность — это отсутствие опасности», поскольку можно говорить о достижении состояния информационной безопасности, несмотря на существующие для системы опасности. Полностью исключить опасность информации можно только после исключения самой такой информации.
1. 100% защищенных систем не бывает. И нельзя закрыться от всех опасностей. Можно лишь свести риски к приемлемому уровню.
2. Закрыли XSS — значит система защищена от известных закрывающему реализаций угрозы. Поставив замок на дверь мы не можем рассчитывать, что теперь в помещение нельзя проникнуть.
Странно. Когда учился, не был в восторге от качества обучения, но, видимо, бывает и хуже. Нам давали достаточно много и общесистемных знаний (архитектура компьютера, программирование, ОС, сети). А конкретные программы или устройства рассматривали только в качестве примеров. Другой вопрос, что все знания оказались сильно общетеоретические и, не поработав год-два, было достаточно сложно их оценить… Скажем так, ВУЗ указал направление, в котором пошло развитие :)
Хочется заметить, что «защита информации» — это не только человек с горящими глазами размахивающий руками и кричащий о влиянии вконтакта на безопасность, это еще и много других, действительно нужных вещей.
Например, управление рисками. Есть что-то, с чем организация не может мириться (риск активу выше некоего заданного уровня). Есть несколько контрмер, способных исправить ситуацию (устройство, документ, бранное слово). И должен быть человек, который сможет обнаружить этот риск и посоветовать контрмеру. И чтоб все это было адекватно. Что в этом плохого и неправильного?
Про сертификацию ничего не буду писать — как-то не понял, причем тут она…
Закончил ВУЗ по специальности «Комплексная защита объектов информатизации» 3 года назад. Не говоря о качестве отдельных материалов, в целом, считаю, что давали то. Понимание почему «комплексная» и что для чего надо также имеется. Что я делаю не так? Может дело в конкретном ВУЗе? Конкретно по СЗИ было максимум 2-3 курса, в остальном больше вопросы организации ЗИ.
1. Какой тех. проект, причем здесь это? Роскомнадзор проверяет организацию обработки. Сказано в ФЗ, что должна обеспечиваться защита? Пожалуйста, вот у меня Антивирус и встроенные средства Windows, пароль нужен и дверь запирается. Вот Политика защиты ПДн, вот инструкция для персонала. Нарушений нет? До свидания, через три года еще заходите.
Про политику. Политика — документ достаточно высокого уровня. Прописать там можно все, что угодно, но проверять обеспечивается ли требуемый уровень защиты при автоматизированной обработке — не в компетенции Роскомнадзора.
Про 58 приказ. Почитайте блог безопасников, например, Алексей Волкова, где-то в районе начала августа. Кратко, В 58 приказе все вертится вокруг классов защиты. Классы определены для типовых ИСПДн. Типовых ИСПДн — не существует, особенно с принятием поправок. Чтобы строить защиту надо чтобы Правительство и ФСТЭК выпустило ряд документов, предусмотренных в ФЗ (те жеуровни защищенности, требования по защите). Пока же я могу смело говорить, что просто не знаю как и до какой степени мне защищать ПДн в ИСПДн.
2. Коллекторы получили Ваши ПДн с нарушением. Банки имеют право передавать информацию в бюро кредитных историй, а не «левым» коллекторским агентствам. Я не понимаю вообще смысл Вашего ответа по второй части — я имел в виду, что в настоящее время не известно как именно надо защищать ИСПДн.
Про аттестацию — извините меня, но просто бред. ПДн — это ПДн, а не ком. или гос. тайна. И никакой аттестации в законе явно не предусмотрено и, хочется верить, предусмотрено не будет.
Вас, как субъекта. должно интересовать, прежде всего, чтобы Ваши ПДн обрабатывались безопасно и по закону. А не как испортить жизнь компаниям, облегчив при этом свою. К сожалению, из статей складывается именно второе ощущение.
1. Роскомнадзору вообще нет дела до средств защиты и моделей. Их дело — проверка 152-ФЗ и ПП-687. По крайней мере, по публикуемой ими информации, самые излюбленные нарушения — неотправленные уведомления (штраф 3-5 тыс. рублей), обработка нецелевых ПДн и отсутствие пары строк в ОРД.
2. В настоящее время Правительство занято тем, что подготавливает уровни защищенности для ПДн, а ФСТЭК — требования по защите информации в ИСПДн для их обеспечения (ну, или по крайней мере должны). Пока не огласят эти самые уровни защищенности и не скажут, как их обеспечивать — про техническую защиту ПДн в приличном обществе так уверенно лучше вообще не говорить.
При возникновении претензий со стороны субъекта о незаконно полученных ПДн Оператор их совершенно спокойно удалит (вымарает из книги). Вопрос, как я понял, был про случай, когда субъект сам пишет в книгу и не хочет разглашать лишние данные.
Если Вы их там напишете, получится случай «субъект ПДн сделал свои ПДн общедоступными», никто ж не заставляет Вас там писать? И еще вопрос — надо именно «адрес места жительства/регистрации» или «контактный адрес» тоже подойдет?
Как правильный вариант, могут присылать в конвертах (оплачиваете Вы) или вынудят ходить забирать самостоятельно. Думаю, из вариантов «Ходить забирать квитанцию в порядке общей очереди в четверг с 14 до 16» или «Согласен чтоб слали открыто» многие выберут второе…
1. Внимательно читаем ст. 14, в частности п.3, помимо указанного в статье, запрос Оператору должен содержать "… сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором".
2. Если ответ нас не удовлетворил, мы вправе, опять-таки в соответствии со статьей 14, п.5, повторно направить запрос Оператору.
3. ПДн не могут находиться во временном обладании. ПДн принадлежат субъекту и могут у Оператора только обрабатываться.
4. Если субъекту кажется, что его ПДн обрабатываются незаконно, он вправе требовать от Оператора прекращения такой обработки (ст.21).
5. Законность проведения внеплановой проверки Роскомнадзором Оператора и так находится под бооольшим сомнением, а Вы еще требуете «оказать содействие». Лично проверять планируете?
6. Помимо Роскомнадзора, на действия или бездействие Оператора можно пожаловаться в суд (статья 17).
И тем не менее. В ст.6 говорится об обработке, в п.5 ч.1 также говорится об обработке. Определение обработки дано в самом законе — туда входят любые действия с ПДн, в т.ч. «предоставление». Применяя простую человеческую логику (не знаю, применима ли она в юриспруденции) — отказывая на приведенном Вами основании в праве предоставлять, можно также и запретить использовать или хранить.
По сути, договор представляет собой этакое согласие. В нем есть реквизиты оператора, данные и подпись субъекта, а также описание что, как и с использованием каких ПДн субъекта будет делать оператор. Если субъекту не понравится, что его ПДн будут переданы в другую организацию — договор в таком виде просто не будет подписан.
Я могу согласиться только с тем, что слов «без согласия субъекта персональных данных» :) Если применять предлагаемое Вами прочтение ко всем 11 пунктам, то для них всех надо согласие, а, следовательно, какой смысл было их всех перечислять? Ч.1 ст.6 унаследовала большую часть пунктов ч.2 ст.6 предыдущей редакции ФЗ, просто теперь согласие как бы уравняли в правах со всеми остальными основаниями обработки.
Касательно обработки. Я не юрист, но, думаю, что если в договоре прямо прописано, что Исполнитель обязуется передавать ПДн пользователя куда-либо с какой-либо целью, то без такой передачи договор будет не выполнен. Насчет случая, когда бизнес-процесс Исполнителя подразумевает на каком-то этапе привлечение третьей стороны, которая получит доступ к ПДн — не рискну писать что-то конкретное… Учитывая статью 9 (обязанность доказывания наличия согласия или иных оснований), я, на месте Оператора, предпочел бы получить все же письменное согласие на передачу.
Думаю, во многом тут зависит от решения Оператора. Если мне необходимо собрать согласие со 100 тыс. человек, то я предпочту уцепиться за допустимую трактовку термина «обработка» и «исполнение условий договора», по крайней мере до получения предписания или появления какой-либо информации о решении в аналогичном случае. Если же все субъектов не так много, то может проще будет согласия собрать?
Признаться, меня тоже смущает этот пункт :) Но там же сказано«если иное не предусмотрено федеральным законом», а законом как раз таки предусмотрена — обработка (действие: «предоставление») ПДн субъекта для исполнения договора. Тут все зависит от мнения Роскомнадзора при проверке (к сожалению, не помню или не видел таковые, но можно отправить запрос с просьбой пояснить спорные моменты). Как говорится, «если организация готова принять риски и оспаривать свою точку зрения»…
И еще мысль — в пункте речь идет про «поручить обработку», а не «предоставить ПДн». То есть скорее тут случай передачи на аутсорсинг, чем передача в рамках тех. процесса. В случае с аутсорсингом я бы брал согласие.
Насчет 11 — да, согласен, посчитал еще п.1 (согласие). И тогда уж не случаев, а пунктов. Сейчас поправлю.
Насчет передачи — мое мнение, понятие «передача» (а точнее — «предоставление») входит в понятие «обработки», которая разрешена без согласия по договору (пп.5 п.1 ст.6). Я бы смотрел на договор и если из него явно не следует, что для его выполнения необходима передача, то можно было бы взять дополнительное согласие или как-то оговорить в инструкции момент оповещения субъекта, что его данные будут переданы (хотя согласие, конечно, надежнее). И да, надо полагать речь не идет о трансграничной передаче :)
Требование уведомлять субъектов о передаче его ПДн в старой редакции закона я искал очень тщательно, но безрезультатно, в новой также не наблюдаю (исключение, ПДн работников — там уведомление идет по ст. 88 ТК РФ). Кроме того, пп.2 п.3 ст.18 дает основание не уведомлять субъекта о факте получения его ПДн третьей стороной, если обработка будет осуществляться во исполнение договора.
В случае с уничтожением данных вполне достаточно озаботиться созданием и соответствующим хранением резервных копий ;)
Не могу согласиться, что «безопасность — это отсутствие опасности», поскольку можно говорить о достижении состояния информационной безопасности, несмотря на существующие для системы опасности. Полностью исключить опасность информации можно только после исключения самой такой информации.
2. Закрыли XSS — значит система защищена от известных закрывающему реализаций угрозы. Поставив замок на дверь мы не можем рассчитывать, что теперь в помещение нельзя проникнуть.
Например, управление рисками. Есть что-то, с чем организация не может мириться (риск активу выше некоего заданного уровня). Есть несколько контрмер, способных исправить ситуацию (устройство, документ, бранное слово). И должен быть человек, который сможет обнаружить этот риск и посоветовать контрмеру. И чтоб все это было адекватно. Что в этом плохого и неправильного?
Про сертификацию ничего не буду писать — как-то не понял, причем тут она…
Уж лучше привлечь компанию-лицензиата для установки и настройки средств защиты.
Про политику. Политика — документ достаточно высокого уровня. Прописать там можно все, что угодно, но проверять обеспечивается ли требуемый уровень защиты при автоматизированной обработке — не в компетенции Роскомнадзора.
Про 58 приказ. Почитайте блог безопасников, например, Алексей Волкова, где-то в районе начала августа. Кратко, В 58 приказе все вертится вокруг классов защиты. Классы определены для типовых ИСПДн. Типовых ИСПДн — не существует, особенно с принятием поправок. Чтобы строить защиту надо чтобы Правительство и ФСТЭК выпустило ряд документов, предусмотренных в ФЗ (те жеуровни защищенности, требования по защите). Пока же я могу смело говорить, что просто не знаю как и до какой степени мне защищать ПДн в ИСПДн.
2. Коллекторы получили Ваши ПДн с нарушением. Банки имеют право передавать информацию в бюро кредитных историй, а не «левым» коллекторским агентствам. Я не понимаю вообще смысл Вашего ответа по второй части — я имел в виду, что в настоящее время не известно как именно надо защищать ИСПДн.
Про аттестацию — извините меня, но просто бред. ПДн — это ПДн, а не ком. или гос. тайна. И никакой аттестации в законе явно не предусмотрено и, хочется верить, предусмотрено не будет.
Вас, как субъекта. должно интересовать, прежде всего, чтобы Ваши ПДн обрабатывались безопасно и по закону. А не как испортить жизнь компаниям, облегчив при этом свою. К сожалению, из статей складывается именно второе ощущение.
2. В настоящее время Правительство занято тем, что подготавливает уровни защищенности для ПДн, а ФСТЭК — требования по защите информации в ИСПДн для их обеспечения (ну, или по крайней мере должны). Пока не огласят эти самые уровни защищенности и не скажут, как их обеспечивать — про техническую защиту ПДн в приличном обществе так уверенно лучше вообще не говорить.
2. Если ответ нас не удовлетворил, мы вправе, опять-таки в соответствии со статьей 14, п.5, повторно направить запрос Оператору.
3. ПДн не могут находиться во временном обладании. ПДн принадлежат субъекту и могут у Оператора только обрабатываться.
4. Если субъекту кажется, что его ПДн обрабатываются незаконно, он вправе требовать от Оператора прекращения такой обработки (ст.21).
5. Законность проведения внеплановой проверки Роскомнадзором Оператора и так находится под бооольшим сомнением, а Вы еще требуете «оказать содействие». Лично проверять планируете?
6. Помимо Роскомнадзора, на действия или бездействие Оператора можно пожаловаться в суд (статья 17).
И тем не менее. В ст.6 говорится об обработке, в п.5 ч.1 также говорится об обработке. Определение обработки дано в самом законе — туда входят любые действия с ПДн, в т.ч. «предоставление». Применяя простую человеческую логику (не знаю, применима ли она в юриспруденции) — отказывая на приведенном Вами основании в праве предоставлять, можно также и запретить использовать или хранить.
По сути, договор представляет собой этакое согласие. В нем есть реквизиты оператора, данные и подпись субъекта, а также описание что, как и с использованием каких ПДн субъекта будет делать оператор. Если субъекту не понравится, что его ПДн будут переданы в другую организацию — договор в таком виде просто не будет подписан.
Касательно обработки. Я не юрист, но, думаю, что если в договоре прямо прописано, что Исполнитель обязуется передавать ПДн пользователя куда-либо с какой-либо целью, то без такой передачи договор будет не выполнен. Насчет случая, когда бизнес-процесс Исполнителя подразумевает на каком-то этапе привлечение третьей стороны, которая получит доступ к ПДн — не рискну писать что-то конкретное… Учитывая статью 9 (обязанность доказывания наличия согласия или иных оснований), я, на месте Оператора, предпочел бы получить все же письменное согласие на передачу.
Думаю, во многом тут зависит от решения Оператора. Если мне необходимо собрать согласие со 100 тыс. человек, то я предпочту уцепиться за допустимую трактовку термина «обработка» и «исполнение условий договора», по крайней мере до получения предписания или появления какой-либо информации о решении в аналогичном случае. Если же все субъектов не так много, то может проще будет согласия собрать?
И еще мысль — в пункте речь идет про «поручить обработку», а не «предоставить ПДн». То есть скорее тут случай передачи на аутсорсинг, чем передача в рамках тех. процесса. В случае с аутсорсингом я бы брал согласие.
Насчет передачи — мое мнение, понятие «передача» (а точнее — «предоставление») входит в понятие «обработки», которая разрешена без согласия по договору (пп.5 п.1 ст.6). Я бы смотрел на договор и если из него явно не следует, что для его выполнения необходима передача, то можно было бы взять дополнительное согласие или как-то оговорить в инструкции момент оповещения субъекта, что его данные будут переданы (хотя согласие, конечно, надежнее). И да, надо полагать речь не идет о трансграничной передаче :)
Требование уведомлять субъектов о передаче его ПДн в старой редакции закона я искал очень тщательно, но безрезультатно, в новой также не наблюдаю (исключение, ПДн работников — там уведомление идет по ст. 88 ТК РФ). Кроме того, пп.2 п.3 ст.18 дает основание не уведомлять субъекта о факте получения его ПДн третьей стороной, если обработка будет осуществляться во исполнение договора.