В общем случае — это не к банку вопрос, банки собранные данные не накапливают (по крайней мере, если хитрый менеджмент банка не пытается финтить ушами).
Ещё в четырнадцатом году Николай К. поднимал этот вопрос перед ВТБшниками. :)
Известный баян, ищется любым поисковиком среди картинок по фразе «наши вашим машут»…
>> Не понимаю, зачем роботам лазеры чтобы «видеть» других роботов?
Чтобы «видеть» не только других роботов, но и любые другие препятствия (внезапно обесточившихся «коллег» и пришедших к ним ремонтников, складских котов и т.п.).
Ну тогда получается, что ответ РКН «в результате оценки угроз безопасности персональных данных выявлено, что угрозы, связанные с перехватом информации являются неактуальными» — точно фантазия :D
… ещё «Политику обработки персональных данных» разрабатывать, утверждать и публиковать. :)
Думаю, что если круг возможных пользователей ограничен и состоит из лояльных вам субъектов ("… для десятка друзей"), то регистрироваться оператором ИСПДн смысла нет.
Вот если речь об интернет-сайте (потенциально неограниченный круг пользователей), то есть смысл сопоставить риски (вероятность жалобы в РКН * возможное количество жалоб * величину возможных штрафных санкций) и затраты на реализацию комплекса мер для приведения ИС в соответствие нормативным требованиям. И тогда уже принимать решение.
Меры защиты не только для ПДн, их в любом случае надо реализовывать, исходя из простого здравого смысла. :)
Просто в случае с ПДн Вы их реализовываете уже не так, как сами считаете нужным, а в соответствии с определёнными требованиями законодательства.
Думаю, что на усмотрение владельца ИСПДн.
Очень уверен в себе или хочет быть самым прозрачным на свете — может и опубликовать, почему нет?
Но по законодательству нет такой обязанности.
Конкретика по мерам защиты (в т.ч. техническим) лежит в приказе ФСБ России от 10.07.2014 № 378 и постановлении Правительства РФ от 01.11.2012 № 1119.
Для государственных ИСПДн могут быть дополняющие нормативные документы, но на работе мне немного неудобно нормативку шелестить. Через пару часов доберусь до дома и попробую изобразить внятный ответ.
Вижу неустранимые противоречия между Инженером-Максималистом и Гражданином-Консерватором.
Извините, что вмешиваюсь в диалог. Карму мне продавили ниже пола, я не могу пролайкать все сообщения от вас обоих в этом тредике, поэтому высказываюсь публично :)
Вы не указали граничные условия: что единственный акционер — пофигист и не одупляет, из чего складывается стоимость принадлежащих ему акций (в случае учредителя — какие существенные факторы оказывают влияние на деятельность его учреждения).
Я ответил в общем смысле, не зная подробностей придуманной Вами орг.структуры и личных особенностей её руководства :)
Перед акционерами / учредителями.
За негативные последствия и связанные с ними материальные и нематериальные потери и издержки.
Генеральный, в общем случае, не царь и не бог, а наёмное должностное лицо (за исключением ситуаций, когда он является единоличным учредителем или единственным акционером).
Я начал из головы придумывать, но не окончил: сервис погасили и смысла уже не было отправлять обращение.
Что-то типа такого:
«Из общедоступной публикации, размещённой в сети Интернет по адресу habrahabr.ru/post/347760 мне стало известно, что информационная система „ФЕДЕРАЛЬНЫЙ РЕЕСТР СВЕДЕНИЙ О ДОКУМЕНТАХ ОБ ОБРАЗОВАНИИ И (ИЛИ) О КВАЛИФИКАЦИИ, ДОКУМЕНТАХ ОБ ОБУЧЕНИИ“, доступная в сети Интернет по адресу frdocheck.obrnadzor.gov.ru допускает бесконтрольное распространение информации о получателях документов об образовании.
В частности, для неограниченного круга лиц становятся доступны сведения о фамилиях, именах, отчествах, датах рождения, национальности, индивидуальных кодах СНИЛС и т.п. Такой *** набор данных соответствует определению Персональных данных в трактовке Федерального закона № 152 от *** (тут обязанности оператора обраб. ПДн).
Считаю, что могут быть нарушены мои права субъекта персональных данных, так как в *** году мною был получен диплом о высшем образовании, информация о котором также подлежит добавлению в базу данных вышеуказанного сервиса.
Учитывая значительный объём информации, содержащейся в уязвимой базе данных, прошу в кратчайший срок провести проверку наличия фактов, в случае их подтверждения — принять меры по устранению нарушения Федерального законодательства в области защиты персональных данных.»
Отправлять собирался через Общественную приёмную Роскомнадзора (https://rkn.gov.ru/treatments/ask-question/), но м.б. через Госуслуги тоже можно.
Не думаю, что они действительно такие пугливые, не надо так явно рефлексировать. :)
Забавны два момента:
1. обращение я, в итоге, так и не отправил, ибо сервис они погасили достаточно оперативно, и жаловаться на недоступную уязвимость смысла уже не было;
2. не все разделяют этику, за которую тут в комментах отдельные коллеги топят :) Ситуация же зеркальная той, что в статье описана: есть недостатки в исходной статье, я предупредил автора о том, что их необходимо устранить, обозначил определённый срок. Многим такой подход активно не понравился. Интересно, чойта вдруг..? ;)
Тяжело читать. С грамотностью — не очень. Стиль повествования — странный.
Известный баян, ищется любым поисковиком среди картинок по фразе «наши вашим машут»…
Чтобы «видеть» не только других роботов, но и любые другие препятствия (внезапно обесточившихся «коллег» и пришедших к ним ремонтников, складских котов и т.п.).
Думаю, что если круг возможных пользователей ограничен и состоит из лояльных вам субъектов ("… для десятка друзей"), то регистрироваться оператором ИСПДн смысла нет.
Вот если речь об интернет-сайте (потенциально неограниченный круг пользователей), то есть смысл сопоставить риски (вероятность жалобы в РКН * возможное количество жалоб * величину возможных штрафных санкций) и затраты на реализацию комплекса мер для приведения ИС в соответствие нормативным требованиям. И тогда уже принимать решение.
Просто в случае с ПДн Вы их реализовываете уже не так, как сами считаете нужным, а в соответствии с определёнными требованиями законодательства.
Очень уверен в себе или хочет быть самым прозрачным на свете — может и опубликовать, почему нет?
Но по законодательству нет такой обязанности.
Конкретика по мерам защиты (в т.ч. техническим) лежит в приказе ФСБ России от 10.07.2014 № 378 и постановлении Правительства РФ от 01.11.2012 № 1119.
Для государственных ИСПДн могут быть дополняющие нормативные документы, но на работе мне немного неудобно нормативку шелестить. Через пару часов доберусь до дома и попробую изобразить внятный ответ.
Хочу понять, с какой стороны баррикады Вы находитесь. :)
Конкретнее, наверное, не получится, т.к. непонятно, что за «сеть» в вопросе упомянута и какая модель угроз принята в качестве актуальной.
Извините, что вмешиваюсь в диалог. Карму мне продавили ниже пола, я не могу пролайкать все сообщения от вас обоих в этом тредике, поэтому высказываюсь публично :)
Вы не указали граничные условия: что единственный акционер — пофигист и не одупляет, из чего складывается стоимость принадлежащих ему акций (в случае учредителя — какие существенные факторы оказывают влияние на деятельность его учреждения).
Я ответил в общем смысле, не зная подробностей придуманной Вами орг.структуры и личных особенностей её руководства :)
За негативные последствия и связанные с ними материальные и нематериальные потери и издержки.
Генеральный, в общем случае, не царь и не бог, а наёмное должностное лицо (за исключением ситуаций, когда он является единоличным учредителем или единственным акционером).
/сарказм
Я начал из головы придумывать, но не окончил: сервис погасили и смысла уже не было отправлять обращение.
Что-то типа такого:
«Из общедоступной публикации, размещённой в сети Интернет по адресу habrahabr.ru/post/347760 мне стало известно, что информационная система „ФЕДЕРАЛЬНЫЙ РЕЕСТР СВЕДЕНИЙ О ДОКУМЕНТАХ ОБ ОБРАЗОВАНИИ И (ИЛИ) О КВАЛИФИКАЦИИ, ДОКУМЕНТАХ ОБ ОБУЧЕНИИ“, доступная в сети Интернет по адресу frdocheck.obrnadzor.gov.ru допускает бесконтрольное распространение информации о получателях документов об образовании.
В частности, для неограниченного круга лиц становятся доступны сведения о фамилиях, именах, отчествах, датах рождения, национальности, индивидуальных кодах СНИЛС и т.п. Такой *** набор данных соответствует определению Персональных данных в трактовке Федерального закона № 152 от *** (тут обязанности оператора обраб. ПДн).
Считаю, что могут быть нарушены мои права субъекта персональных данных, так как в *** году мною был получен диплом о высшем образовании, информация о котором также подлежит добавлению в базу данных вышеуказанного сервиса.
Учитывая значительный объём информации, содержащейся в уязвимой базе данных, прошу в кратчайший срок провести проверку наличия фактов, в случае их подтверждения — принять меры по устранению нарушения Федерального законодательства в области защиты персональных данных.»
Отправлять собирался через Общественную приёмную Роскомнадзора (https://rkn.gov.ru/treatments/ask-question/), но м.б. через Госуслуги тоже можно.
Забавны два момента:
1. обращение я, в итоге, так и не отправил, ибо сервис они погасили достаточно оперативно, и жаловаться на недоступную уязвимость смысла уже не было;
2. не все разделяют этику, за которую тут в комментах отдельные коллеги топят :) Ситуация же зеркальная той, что в статье описана: есть недостатки в исходной статье, я предупредил автора о том, что их необходимо устранить, обозначил определённый срок. Многим такой подход активно не понравился. Интересно, чойта вдруг..? ;)