Спасибо за пример. Именно про это и говорю.
Попустительское отношение (игнорирование норм безопасности) на стадии «теста», может обернуться плачевными результатами.
Бросается в глаза отсутствие приточной вентиляции. На случай аварийной остановки чем дышать?
Второе на что хочу обратить внимание, как людям покинуть тоннель в случае аварии. Слева и справа от транспорта пространства маловато для человека, не говоря уже об инвалидной коляске или коляске с ребенком.
Давайте говорить на конкретных примерах, нафантазировать можем много.
Диалог плавно переходит из русла сертификации ФСТЭК в ФСБ.
Ответы на ваши вопросы размещены на сайте ТК-26, а в частности, закладывается переходный период или вводится запрет на эксплуатацию. Т.е. работа над обращением алгоритмов шифрования ведется планомерно, а не имеет характер «разовой работы».
Сложно прокомментировать, т.к. в реестре средств защиты информации не нашел информации о сертификации указанных продуктов.
Еще раз повторюсь, сертификация — это не подтверждение исключительных свойств защиты информации в целом, а только декларирование соответствия конкретным требованиям. 3 класс РД МЭ, не говорит о том что он сертифицирован еще и на НДВ, и, в частном случае, необходимо использовать дополнительные средства (сертифицированные на НДВ и т.д).
Вас никто не заставляет покупать нечто, что имеет уязвимости. Чем вызвано негодование, если никто не запрещает использовать СОА/СОВ или WAF?
Любой вопрос решается комплексно, исходя из моделирования конкретной ситуации и расчета риска, и без бумаг никуда.
Сертификация ФСТЭК никаким образом не говорит о качестве продукта, а только про соответствие конкретным требованиям.
В вашем понимании читается, что сертификация ФСТЭК проходит на все уязвимости и атаки, с чем не могу согласиться.
Уверены, что профиль защиты для «сертифицированного софта» включал в себя требования противостоять атакам типа отказ в обслуживании, а сертифицирован на НДВ?
Давайте перейдем к парадоксу бумажной и реальной безопасности. Порой для бизнеса необходима только сама бумажка (сертификат соответствия). Винить ФСТЭК в том, что производитель (разработчик) не желает развивать свой продукт, не стоит.
Методики ФСТЭК распространяет по запросу. Сомневаться в подходе ФСТЭК, по мне, сомневаться в отечественной системе защите информации целиком.
Есть ли конкретные примеры выявленных несоответствий ПО либо железа сертифицированных ФСТЭК?
Права на обработку персональных данных закреплено в положениях о государственных органах, федеральными законами, лицензиями на работу с персональными данными, которые выдает Роскомнадзор или ФСТЭК.
Глаза режет.
Совет автору, начните с терминов и определений в этой области, чтобы не путать регулятора с органами по лицензированию отдельных видов деятельности.
Давайте придерживаться темы разговора, если интересует сторонняя информация, пишите в лс.
По существу поднятого вопроса, кажется, мы не пришли к единому мнению. Предлагая услугу юридической направленности, ожидал развернутого ответа о применимости тех или иных положений и опыта решения возникших споров.
Трактование вами статей НПА не считаю применимым, т.к. есть официальные разъяснения регуляторов, в частности о рекламе от ФАС, о котором упомянул в нашей беседе.
К сведению, с лета этого года расширен состав правонарушений в области обработки ПДн, за которые следует административная ответственность.
Не выходит с вами двустороннего диалога, не стану давать оценку вашим ответам.
Согласно приведенным статьям НПА закон на стороне субъекта. Рекомендую ознакомиться с книгой Савельева «Электронная коммерция в России и за рубежом», где приводятся конкретные примеры.
Стоит помнить ч.3 ст. 168 ГК РФ, сделка признается ничтожной, если нарушает требования закона или иного правового акта и при этом посягает на публичные интересы либо права и охраняемые законом интересы третьих лиц. В частности, основной целью договора не является рекламная рассылка. На основании п.4 ст.21 152-ФЗ при достижении цели обработки ПДн, оператор обязан прекратить обработку этих ПДн.
В частном случае, говорим еще о передаче ПДн третьим лицам (обработка ПДн по поручению оператора) для рассылки посредством средств связи и тут вступает 126-ФЗ «О связи» в лице ч.1 ст.44.1, которая также требует предварительное согласие абонента на рассылку.
Ситуацию в сфере электронной коммерции назвал бы спорной в части распространения практики дачи согласия на обработку ПДн путем проставления «галочки» на экране. В случае возникновения споров относительно наличия или отсутствия факта передачи такого согласия и оспаривания аутентичности содержания предоставленных сведений оператором шансы на успешное решение считаю малыми.
Сертификация в системе МО. Тоже стоит уделить внимание.
Попустительское отношение (игнорирование норм безопасности) на стадии «теста», может обернуться плачевными результатами.
Второе на что хочу обратить внимание, как людям покинуть тоннель в случае аварии. Слева и справа от транспорта пространства маловато для человека, не говоря уже об инвалидной коляске или коляске с ребенком.
Ожидание перебивает осадочек от Казаков 3 и политических высказываний разработчиков.
Диалог плавно переходит из русла сертификации ФСТЭК в ФСБ.
Ответы на ваши вопросы размещены на сайте ТК-26, а в частности, закладывается переходный период или вводится запрет на эксплуатацию. Т.е. работа над обращением алгоритмов шифрования ведется планомерно, а не имеет характер «разовой работы».
Еще раз повторюсь, сертификация — это не подтверждение исключительных свойств защиты информации в целом, а только декларирование соответствия конкретным требованиям. 3 класс РД МЭ, не говорит о том что он сертифицирован еще и на НДВ, и, в частном случае, необходимо использовать дополнительные средства (сертифицированные на НДВ и т.д).
Любой вопрос решается комплексно, исходя из моделирования конкретной ситуации и расчета риска, и без бумаг никуда.
Сертификация ФСТЭК никаким образом не говорит о качестве продукта, а только про соответствие конкретным требованиям.
Уверены, что профиль защиты для «сертифицированного софта» включал в себя требования противостоять атакам типа отказ в обслуживании, а сертифицирован на НДВ?
Давайте перейдем к парадоксу бумажной и реальной безопасности. Порой для бизнеса необходима только сама бумажка (сертификат соответствия). Винить ФСТЭК в том, что производитель (разработчик) не желает развивать свой продукт, не стоит.
Есть ли конкретные примеры выявленных несоответствий ПО либо железа сертифицированных ФСТЭК?
Глаза режет.
Совет автору, начните с терминов и определений в этой области, чтобы не путать регулятора с органами по лицензированию отдельных видов деятельности.
По существу поднятого вопроса, кажется, мы не пришли к единому мнению. Предлагая услугу юридической направленности, ожидал развернутого ответа о применимости тех или иных положений и опыта решения возникших споров.
Трактование вами статей НПА не считаю применимым, т.к. есть официальные разъяснения регуляторов, в частности о рекламе от ФАС, о котором упомянул в нашей беседе.
К сведению, с лета этого года расширен состав правонарушений в области обработки ПДн, за которые следует административная ответственность.
Согласно приведенным статьям НПА закон на стороне субъекта. Рекомендую ознакомиться с книгой Савельева «Электронная коммерция в России и за рубежом», где приводятся конкретные примеры.
В частном случае, говорим еще о передаче ПДн третьим лицам (обработка ПДн по поручению оператора) для рассылки посредством средств связи и тут вступает 126-ФЗ «О связи» в лице ч.1 ст.44.1, которая также требует предварительное согласие абонента на рассылку.
Ситуацию в сфере электронной коммерции назвал бы спорной в части распространения практики дачи согласия на обработку ПДн путем проставления «галочки» на экране. В случае возникновения споров относительно наличия или отсутствия факта передачи такого согласия и оспаривания аутентичности содержания предоставленных сведений оператором шансы на успешное решение считаю малыми.