Уважаемые коллеги,
мы работодатель (производство) активно получаем консультации что ФСТЭК намерено проводить плановые проверки операторов информационнных систем имеющих дело с персональными данными в частности на наличие аттестации информационных систем (рабочих мест ?) их сертификации ? и т.п.
Есть ли какие-либо юридические нормы, обязывающие компанию которая ведет для внутренних нужд автоматизированную обработку персональных данных иметь какие-либо сертификаты или упаси бог лицензии на эту деятельность ?
Мы имеем внутреннее положение о порядке обработки персональных данных, получили согласие работников на их передачу (за границу в материнскую компанию), даже имеем лицензию ФСБ на использование импортных шифровальных средств. Достаточно ли этого ?
|
|
||
|
Человек никогда не подвергается большему испытанию, чем в момент исключительной удачи. Л. Уоллес
|
|
|
Сообщений в теме: 7
#2
Отправлено 31 March 2012 - 19:11
Хотелось бы уточнить у форумчан: имеется ли какой-либо документ, регламентирующий порядок оценки соответствия средств защиты информации?
#3
Отправлено 31 March 2012 - 20:00
'hanr' сказал(а) 31 Мар 2012 - 13:11:
Хотелось бы уточнить у форумчан: имеется ли какой-либо документ, регламентирующий порядок оценки соответствия средств защиты информации?
Это от вида и статуса информации зависит.
Каков статус инфы, такова и степень ее защиты.
Соответственно, и средства защиты соответствующей инфы, регламентируются своими "порядками".
#4
Отправлено 01 April 2012 - 15:06
а нет ли у Вас ссылочки на эти самые "порядки"? в самом законе и в постановлении 781 говорится об использовании "технических средств, прошедших в установленном порядке оценку соответствия". Каких-либо техреглментов по требованиям к ТС я не нашел, на сайтах специализированных компаний имеются ссылки на ГОСТы,подтверждение соответствия которым в соответствии с законом о техническом регулировании необязательно. Следовательно, интересует, имеется ли на сегодня какой-либо акт, который закрепляет требования и правила аттестации?
Сообщение отредактировал hanr: 01 April 2012 - 16:40
#5
Отправлено 01 April 2012 - 16:33
'hanr' сказал(а)
а нет ли у Вас ссылочки на эти самые "порядки"?
Нет, а с теми, к которым имел доступ, лучше не сталкиваться
.
#6
Отправлено 02 April 2012 - 15:00
Требования по защите персональных данных прописаны в ФЗ "О защите персональных данных" от 27.07.2006г. № 152-ФЗ, в т.ч. про лицензию.
Видела в Инете информацию, что активизировался данный вопрос потому, что мы (Россия) присоединились к международной конвенции о защите персональных данных. Планы проверок Роскомнадзора на 2012 год уже есть.
Меня тоже интересует, как решается данный вопрос на практике. Что делаете: не паритесь, ждете, что пронесет, или что покупаете программы и подстраховываетесь?
Интересно, может ли программа действительно защитить от хищения персональных данных? Буду благодарна за информацию!
Видела в Инете информацию, что активизировался данный вопрос потому, что мы (Россия) присоединились к международной конвенции о защите персональных данных. Планы проверок Роскомнадзора на 2012 год уже есть.
Меня тоже интересует, как решается данный вопрос на практике. Что делаете: не паритесь, ждете, что пронесет, или что покупаете программы и подстраховываетесь?
Интересно, может ли программа действительно защитить от хищения персональных данных? Буду благодарна за информацию!
#7
Отправлено 02 April 2012 - 19:57
Пытался недавно в энный раз внимательно влезть в эти "технические меры". Отпрянул в ужасе.
Если вкратце, то консервативное толкование Закона "О персональных данных" вкупе с кошмарного вида техническими нормативами фстэка и ему подобных (по мнению специалистов, рассчитанных по своему изначальному замыслу вообще-то на гостайну и "особые" виды информации, а не те, которые обрабатывают обычные юрики) приводит к выводу, что едва ли не каждое юрлицо подпадает под совершенно дикие требования, следование которым привело бы к многомиллионным затратам и трудновнедряемому комплексу технических мероприятий. Надеяться на то, что такое осилят более 10% (или и того меньше) юридических лиц наивно. В результате впечатление такое, что большинство компаний этим не заморачивается, а те, кто добросовестно законопослушно заморачивается, не очень представляет, что с этим делать. Кое-где какие-то меры (или полумеры) всё же вводятся, насколько они адекватны - вопрос.
Если вкратце, то консервативное толкование Закона "О персональных данных" вкупе с кошмарного вида техническими нормативами фстэка и ему подобных (по мнению специалистов, рассчитанных по своему изначальному замыслу вообще-то на гостайну и "особые" виды информации, а не те, которые обрабатывают обычные юрики) приводит к выводу, что едва ли не каждое юрлицо подпадает под совершенно дикие требования, следование которым привело бы к многомиллионным затратам и трудновнедряемому комплексу технических мероприятий. Надеяться на то, что такое осилят более 10% (или и того меньше) юридических лиц наивно. В результате впечатление такое, что большинство компаний этим не заморачивается, а те, кто добросовестно законопослушно заморачивается, не очень представляет, что с этим делать. Кое-где какие-то меры (или полумеры) всё же вводятся, насколько они адекватны - вопрос.
#8
Отправлено 02 April 2012 - 21:14
'Pavel Arievich' сказал(а)
В результате впечатление такое, что большинство компаний этим не заморачивается,
Количество пользователей, читающих эту тему: 1
0 пользователей, 1 гостей, 0 анонимных
