+7 (499) 653-60-72 Доб. 817Москва и область +7 (800) 500-27-29 Доб. 419Федеральный номер

23 приказ фстэк

ЗАДАТЬ ВОПРОС

Данный документ вступил в силу по истечении 10 дней после дня его официального опубликования п. Внести в Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 18 февраля г. N 21 зарегистрирован Министерством юстиции Российской Федерации 14 мая г. N 31 зарегистрирован Министерством юстиции Российской Федерации 30 июня г. Директор Федеральной службы по техническому и экспортному контролю В.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему - обращайтесь в форму онлайн-консультанта справа или звоните по телефонам, представленным на сайте. Это быстро и бесплатно!

Содержание:

Купить систему Заказать демоверсию.

Изменения в 235 приказ ФСТЭК

Войдите , пожалуйста. Хабр Geektimes Тостер Мой круг Фрилансим. Мегапосты: Пилим монолит Свободу твитам Криминальный квест. Войти Регистрация. Больше ответов или вопросов? Сразу после опубликования нового приказа по Интернету прокатилась волна восторженных отзывов о новом документе. Мол, это огромный шаг вперед в сфере законодательства по защите персональных данных. В какой-то мере это действительно так учитывая то, что предыдущие документы выходили сразу морально устаревшими и не учитывали многих нюансов функционирования современных информационных систем — мобильные платформы, виртуализация и тд , но, лично у меня к новому документу есть масса претензий.

Что из себя представляет документ в целом В целом, это действительно шаг вперед в плане законотворчества в сфере защиты персональных данных.

Наконец-то в списке мер мы увидели упоминание мобильных устройств и средств виртуализации, чего раньше законодатели тщательно старались избегать. Сейчас ситуация такая: у нас есть 15 групп различных технических и организационных мер, в каждой группе от 2 до 20 различных мер, напротив каждой меры отмечено, является ли эта мера базовой я буду их называть далее условно обязательными для определенного уровня защищенности если стоит плюс, то мера базовая, если нет — компенсирующая.

Тут нужно заметить, что в перечне есть немало мер, которые могут быть только компенсирующими, то есть не отмечены плюсом ни для одного из четырех уровней защищенности. Но… Ложка дегтя Собственно здесь начинается критика как нового документа, так и остального законодательства в целом. Проблемы у 21 приказа ФСТЭК в целом такие же как и у многих других законодательных документов — использование размытых формулировок, возможность двоякого толкования текста, отсутствие пояснений там, где они жизненно необходимы.

Понять как тщательно готовился документ и сколько раз его перечитывали и редактировали за эти полгода можно уже по тому факту, что после четвертого пункта в приказе сразу идет шестой… Ну ладно, это придирки, а что есть по существу? Непонятки начинаются с классики жанра, которая тянется с незапамятных времен. Пункт 2 документа гласит, что для выполнения работ по защите ПДн могут привлекаться организации, имеющие лицензию на техническую защиту конфиденциальной информации ТЗКИ.

Формально, они будут правы, потому что если копнуть другие нормативные акты, выясняется, что под ТЗКИ попадает даже банальная установка антивируса, а в положении о лицензировании касаемо ТЗКИ нет оговорки о том, что лицензия не нужна если работы проводятся для личных нужд. Это первое место, где не помешало бы более конкретно описать условия привлечения сторонних организаций. Едем дальше. Пункт 3 говорит нам о том, что меры по обеспечению безопасности ПДн должны быть направлены на нейтрализацию актуальных угроз безопасности.

С другой стороны ФЗ говорит нам о том, что организационные и технические меры применяются для выполнения требований по защите ПДн. Так все-таки, есть у нас свобода или очередная обязаловка? Опять необходимо разъяснение. Шестой пункт гласит о том, что раз в 3 года оператор самостоятельно или с привлечением сторонних организаций должен проводить оценку эффективности реализованных мер защиты ПДн.

Тут получилось как с оценкой вреда субъекту персональных данных в ФЗ. Получается, что оценку провести нужно, а какой-либо методики проведения такой оценки нет. А может быть оценка эффективности является заменой аттестации информационной системы? Тогда почему оператор может проводить ее самостоятельно, не имея лицензии на ТЗКИ?

Десятый пункт документа на первый взгляд очень многообещающий, в нем сказано " При невозможности технической реализации отдельных выбранных мер по обеспечению безопасности персональных данных, а также с учетом экономической целесообразности на этапах адаптации базового набора мер и или уточнения адаптированного базового набора мер могут разрабатываться иные компенсирующие меры, направленные на нейтрализацию актуальных угроз безопасности персональных данных ".

Казалось бы, вот оно — ссылаемся на экономическую нецелесообразность и не покупаем никаких сертифицированных средств защиты. Нужно показывать какие-то бумажки, обосновывающие применение иных мер, а не базовых. Как обосновать? Мне пока на ум приходит только проведение процедуры анализа рисков по ISO , что, в случае найма для этих целей сторонней организации, само по себе может влететь в копеечку. К тому же, еще не факт, что анализ рисков покажет, что внедрять сертифицированные СЗИ экономически нецелесообразно… Собственно тут мы и дошли до основной части документа — приложение с перечнем мер.

Тут тоже не все так просто как хотелось бы. Вроде бы и меры разбиты на группы и удобно пронумерованы, вроде бы и удобные столбики с плюсиками показывают является ли в нашем случае та или иная мера условно обязательной или нет. Но, все равно, после изучения таблицы с мерами остается чувство неопределенности. Вот, например, пункт четвертый основного текста приказа уже не обязывает, вроде как, применять только сертифицированные СЗИ.

Это хорошо. Но этот же пункт и не говорит прямым текстом, что можно применять несертифицированные СЗИ или не применять СЗИ вообще. Вот как он звучит дословно: Меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных.

Понятно, что эта мера может быть реализована и штатными средствами любой ОС. Кто и как определяет — для нейтрализации конкретной угрозы необходимо ли сертифицированное СЗИ или можно обойтись без него?

Почему нельзя написать прямым текстом, что применение сертифицированных СЗИ не обязательно, или обязательно в каких-то конкретных случаях? Ну и формулировка самих мер иногда очень интересна. По какому принципу сегментировать-то? И в чем такая необходимость? Я очень надеюсь, что когда-нибудь представители ФСТЭК все же дадут официальные разъяснения по поводу спорных вопросов. Вместо резюме В общем и целом заметны попытки ФСТЭК дать б о льшую свободу действия операторам при выборе стратегии защиты персональных данных, но размытости и неопределенности в формулировках в сочетании с неясностью позиции самого регулятора в спорных моментах, заставляют насторожиться.

Что же делать операторам сейчас? В любом случае, скорее всего, ваша система защиты в техническом плане будет соответствовать и новому документу, так как раньше требования были жестче. Остальным — классифицировать свои ИСПДн, построить модель угроз, составить список мер и, по мере возможности, их выполнять. Мониторить всевозможные новости, касающиеся разъяснений регуляторов, практики проведения проверок, мнений экспертов и общей тенденции развития законодательства в этой сфере.

Источник бесперебойного питания на источнике бесперебойной подачи информации Читайте на Хабре. Читают сейчас. В Google Maps появилась функция, раздражающая полицию 7,5k Поделиться публикацией.

Похожие публикации. Security Engineer. Chenii Санкт-Петербург. Пресейл-инженер по информационной безопасности. Администратор серверного оборудования и ИТ безопасности. Буквоед Санкт-Петербург. Senior Java Developer. Backend-программист Erlang. Крибрум Москва Можно удаленно. Все вакансии. Безотносительно содержания, но за качество документа хочется отбить им руки. Скажите мне, пожалуйста, как эксперты, которым не лень разбираться в дебрях российских законов — а не проще ли для обычной коммерческой фирмы, чья деятельность не подлежит строгому регулированию сделать две вещи: 1 получить от клиента в России согласие на трансграничную передачу его персональных данных 2 вынести всю содержательную деятельность, в которой участвуют эти данные, в юридическое лицо за пределами РФ?

И забыть навсегда про всю эту юридическую казуистику и нарастающие объемы меняющихся каждые полгода постановлений? Ну, а вы сами попробуйте.

И еще это вас не избавит от защиты по ФЗ рабочих станций, на которых и происходит обработка ПД. Loreweil 23 мая в 0. Не так-то просто собрать согласия, сейчас люди с настороженностью относятся к подписанию подобных бумажек. Еще сложнее, если фирма не новая, а с уже наработанной базой клиентов, как вы старым клиентом объясните, что внезапно понадобилось передавать их ПДн за границу?

Согласен на счет ситуации, когда фирма уже не новая. Но если создается новая компания — то по целому ряду причин, не только ФЗ, целесообразно сразу выносить core-бизнес юридически и по возможности физически за пределы РФ. Я говорю об ИТ-компаниях, не о банках и не о супермаркетах. Аяя-яй вам за это!!! Spewow 23 мая в 0. Как говорится, что законом не запрещено, то разрешено. Оператор я не считаем, что наши угрозы требуют закупки сертифицированного фаервола випнет, нас устраивает и gnu netfilter.

Если будет предписание, то его можно теперь попробовать оспорить через суд. И скорее всего такие ситуации будут возникать. Не исключаю сценарий, что регулятору, как человеку простому, обязательно нужна будет внушительная бумага с печатями и подписями авторитетных организаций, что да netfilter это реальный сетевой экран не хуже этих ваших сертифицированных випнетов.

На слово то может и не поверить. Скорее всего регулятор попросит отчет о проведении оценки эффективности выбранных мер защиты. Правда опять же не понятно как эту оценку проводить, методик никаких нет. Да и с аттестацией это не вяжется. Аттестация — проверка соответствия требованиям. Требования выполнили — получи аттестат, а оценка эффективности по идее должна проводиться по прошествии определенного периода времени.

IvanovSV 24 мая в 0. Только оно еще больше все запутало. Потому и мнения делятся. Что-то у меня цитаты не выделяются: , весь текст ниже — это мнения не мои 2. Для собственных нужд получение лицензии не требуется, она нужна в случае, если ваша организация оказывает услуки по ТЗКИ или получает с этого доход. Мое видение упрощенно : 1. Всякие отчетности, госзакупки и т.

Персональные данные

Пароль Забыли свой пароль? Запомнить меня. Не удается войти. Пожалуйста, проверьте правильность написания логина и пароля. Действующая редакция,.

Приказ ФСТЭК России от 18.02.2013 N 21

Официальный сайт Шаумяновского сельского поселения. О защите персональных данных. Требования законодательства Российской Федерации в области обработки персональных данных. В Российской Федерации отношения, связанные с обработкой персональных данных, регулируются Федеральным законом от 27 июля г.

ПОСМОТРИТЕ ВИДЕО ПО ТЕМЕ: Подходы к выполнению требований Приказа №31 ФСТЭК России

N Внести в Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 14 марта г. N 31 зарегистрирован Министерством юстиции Российской Федерации 30 июня г. N 49 зарегистрирован Министерством юстиции Российской Федерации 25 апреля г. N зарегистрирован Министерством юстиции Российской Федерации 26 марта г. Директор Федеральной службы по техническому и экспортному контролю В.

Войдите , пожалуйста.

Данный документ вступил в силу по истечении 10 дней после дня его официального опубликования п. Внести в Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 14 марта г. N 31 зарегистрирован Министерством юстиции Российской Федерации 30 июня г. N 49 зарегистрирован Министерством юстиции Российской Федерации 25 апреля г.

Приказ ФСТЭК РФ от 09.08.2018 N 138

Это поле необходимо заполнить. Пожалуйста, введите корректный e-mail. Пожалуйста, введите корректный телефон. Please enter letter, number or punctuation symbols. Услуги Решения Публикации О компании Контакты.

Внести в Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 18 февраля г. N 21 зарегистрирован Министерством юстиции Российской Федерации 14 мая г. N 31 зарегистрирован Министерством юстиции Российской Федерации 30 июня г.

Приказ ФСТЭК РФ от 23.03.2017 N 49

Купить систему Заказать демоверсию. N Зарегистрировано в Минюсте России 5 сентября г. Внести в Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 14 марта г. N 31 зарегистрирован Министерством юстиции Российской Федерации 30 июня г. N 49 зарегистрирован Министерством юстиции Российской Федерации 25 апреля г. N зарегистрирован Министерством юстиции Российской Федерации 26 марта г.

Изменения в приказ ФСТЭК № 17

Ленинский район;; Октябрьский район;; Орджоникидзевский район. ЕкатеринбургОрджоникидзевский районуралмаш. ЕкатеринбургОрджоникидзевский районуралмаш. Главная Юрист онлайн консультация бесплатно екатеринбург телефон Юрист онлайн консультация бесплатно екатеринбург телефон Удивительно, но факт. При сдаче квартальной отчетности 3 квартал были подготовлены и сданы следующие декларации: Правильно ли ИП отчитался за 3- й квартал, в плане налогов.

О работе беременной женщины Добрый день. Преимущества нашей консультации Подскажите пожалуйста, я сейчас беременная, справку о беременности в Отдел кадров не предоставляла.

Приказ ФСТЭК России от 9 августа № "О внесении изменений в Приказ ФСТЭК РФ от 23 марта г.

Как получить квалифицированный ответ юриста онлайн. Недавно я сделал публикацию в фейсбуке такого содержания: "В Минске можно прожить два метра без сигаретной вони. У вас удаётся провести день, чтобы не вдохнуть спонтанно на улице или в офисе поток курева. Я вынужден уезжать из собственной квартиры на дачу, чтобы всю ночь не вдыхать сигаретный перегар с балкона этажом ниже.

Юридическая помощь и услуги при работе с банками и другими финансовыми учреждениями. Кредитные договора и обязательства.

Фактически бывает, что компания не успевает сдать объект строительства вовремя. И если новые сроки вселения не будут согласованы с Вами дополнительным соглашением, Вы имеете право взыскать с нарушителя неустойку. Расчет причитающейся Вам суммы производится на основе стоимости квартиры, количества дней просрочки и ставки рефинансирования ЦБР.

А эти вещи быстро не происходят 11 Октябрь 2019 2 Гостей Михаил Черныш первый заместитель директора федерального научно-исследовательского социологического центра РАН, доктор социологических наук Дмитрий Жуков профессор института физиологии имени И.

Павлова, доктор биологических наук ОТРажение Злое общество: в чем причины нашей агрессии. Почему горожане требовали выдать им детоубийцу. Как сэкономить на ЖКХ.

Вам не придется отвлекаться от работы и семейных дел, чтобы собрать документы для успешного разрешения дела, наши специалисты займутся этими вопросами. В нашей фирме доступные расценки на юридические услуги для каждого клиента.

ВИДЕО ПО ТЕМЕ: Windows 10 x64 + Secret Net Studio 8.0.660 (НСД + МЭ) + DrWeb 10 (АНТ) + КриптоПро 4 (СКЗИ)
Комментарии 2
Спасибо! Ваш комментарий появится после проверки.
Добавить комментарий

  1. Влада

    Я считаю, что Вы не правы. Я уверен. Давайте обсудим. Пишите мне в PM.

  2. larsino

    так и хочеться дунуть....