Роскомнадзор не имеет права запрашивать модель угроз, это сфера регулирования ФСТЭК.
ФСТЭК сейчас не имеет права проводить проверки негосударственных организаций.
Высокоуровневые документы довольно однообразны, если смотреть в разрезе отрасли, и теоретически могут быть сгенерированы на основании анкет. Нюансы — они в деталях. Сам сервисами не пользовался и качество их документов оценить не могу, но задача решаема. Особенно для мелкого бизнеса.
В остальном — конечно имеет смысл делать все по уму, с анализом бизнес-процессов и т.д. Но это далеко не всем по силам.
Да-да :)
Где-то выкладывали смету на 17.000.000 руб.
У этих интеграторов выходило что-то вроде 65.000 за рабочее место + сотни тысяч за каждый разработанный документ и приказ. Но там на рабочих местах учитывалась защита от утечек по техническим каналам, что действительно недешево. Хоть и совсем не нужно.
Согласен, я не так выразился. Можно обрабатывать без уведомления в описанных случаях.
Я к тому, что фраза «регистрироваться в Роскомнадзоре нужно если я обрабатываю ПД БЕЗ согласия владельца а так же передаю их третьйм лицам.» неверна.
Есть случаи, когда согласие на обработку не требуется. Но нет логической связи, что если обрабатывается без согласия владельца, то нужно уведомить.
Например, заполнили вы на улице анкету, расписались. Там есть приписка, что вы согласны на обработку ПДн. Фактически, согласие получено, но уведомить РКН надо, так как это не попадает в вышеприведенные исключения.
Может быть и обратная ситуация — когда не требуется ни отдельного согласия, ни уведомления.
Статья написана в слишком мрачных тонах. Все не так страшно.
Уже существует достаточное количество схем, позволяющих выполнить требования закона без серьезных инвестиций и головной боли.
Например, в данный момент, любую систему можно подогнать под класс «специальная». Вся защита в этом случае будет строиться от частной модели угроз, которую вы сами опишите, опустив все неактуальные угрозы безопасности. Есть ещё обезличивание персональных данных, а также сегментирование информационных систем персональных данных. С помощью этих методов можно понизить класс системы до 4 и 3, к которым не предъявляются какие-то особенные требования.
Да и проверки, кстати говоря, уже идут :) Правда, пока добровольные.
Да, самая гнилая контора из тех, с кем приходилось сталкиваться.
Свалил от них года три или четыре назад, после того, как они потеряли все данные на сервере в результате «аварии».
После этого две-три недели тянули резину с восстановлением из бэкапа, который, как в последствие оказалось, хранился на том же упавшем дисковом массиве.
Много наших полегло (с) тогда…
Многие пускали, но это зря.
ФСТЭК сейчас не имеет права проводить проверки негосударственных организаций.
Высокоуровневые документы довольно однообразны, если смотреть в разрезе отрасли, и теоретически могут быть сгенерированы на основании анкет. Нюансы — они в деталях. Сам сервисами не пользовался и качество их документов оценить не могу, но задача решаема. Особенно для мелкого бизнеса.
В остальном — конечно имеет смысл делать все по уму, с анализом бизнес-процессов и т.д. Но это далеко не всем по силам.
Где-то выкладывали смету на 17.000.000 руб.
У этих интеграторов выходило что-то вроде 65.000 за рабочее место + сотни тысяч за каждый разработанный документ и приказ. Но там на рабочих местах учитывалась защита от утечек по техническим каналам, что действительно недешево. Хоть и совсем не нужно.
Я к тому, что фраза «регистрироваться в Роскомнадзоре нужно если я обрабатываю ПД БЕЗ согласия владельца а так же передаю их третьйм лицам.» неверна.
Есть случаи, когда согласие на обработку не требуется. Но нет логической связи, что если обрабатывается без согласия владельца, то нужно уведомить.
Например, заполнили вы на улице анкету, расписались. Там есть приписка, что вы согласны на обработку ПДн. Фактически, согласие получено, но уведомить РКН надо, так как это не попадает в вышеприведенные исключения.
Может быть и обратная ситуация — когда не требуется ни отдельного согласия, ни уведомления.
Уведомить РКН нужно в любом случае, если вы обрабатываете персональные данные. Если обрабатываете без согласия — просто нарушаете закон.
Насчет методичек ФСТЭК — вроде, любой оператор ПДн может их заказать. Тем более ДСП там остались только 2 методы.
остальное на сайте выложено.
Уже существует достаточное количество схем, позволяющих выполнить требования закона без серьезных инвестиций и головной боли.
Например, в данный момент, любую систему можно подогнать под класс «специальная». Вся защита в этом случае будет строиться от частной модели угроз, которую вы сами опишите, опустив все неактуальные угрозы безопасности. Есть ещё обезличивание персональных данных, а также сегментирование информационных систем персональных данных. С помощью этих методов можно понизить класс системы до 4 и 3, к которым не предъявляются какие-то особенные требования.
Да и проверки, кстати говоря, уже идут :) Правда, пока добровольные.
Свалил от них года три или четыре назад, после того, как они потеряли все данные на сервере в результате «аварии».
После этого две-три недели тянули резину с восстановлением из бэкапа, который, как в последствие оказалось, хранился на том же упавшем дисковом массиве.
Много наших полегло (с) тогда…