176

Re: Являются ли платежные системы (например SWIFT) - ИСПДн?

a.efimov пишет:

Этот случай smile
Если компания предоставляет сервис электронной почты своим сотрудникам и не просит за это платы, то лицензия не нужна.

Если компания предоставляет сервис электронной почты своим сотрудникам и не просит за это платы, то лицензия на телематические услуги связи не нужна.

А вот если Вы приняли решение защищать каналы связи сертифицированными СКЗИ - то лицензия (минимум на ТО СКЗИ), по мнению ФСБ, нужна

177

Re: Являются ли платежные системы (например SWIFT) - ИСПДн?

toparenko пишет:
a.efimov пишет:

Этот случай smile
Если компания предоставляет сервис электронной почты своим сотрудникам и не просит за это платы, то лицензия не нужна.

Если компания предоставляет сервис электронной почты своим сотрудникам и не просит за это платы, то лицензия на телематические услуги связи не нужна.

А вот если Вы приняли решение защищать каналы связи сертифицированными СКЗИ - то лицензия (минимум на ТО СКЗИ), по мнению ФСБ, нужна

Если ВЫ сами проводите ТО - то необходимо иметь лицензию, если это делает интегратор - он должен иметь лицензию. Основание - ФЗ-128.

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

178

Re: Являются ли платежные системы (например SWIFT) - ИСПДн?

toparenko пишет:
Dmitry Leviev пишет:

Если компания предоставляет услугу электронной почты, в том числе для передачи личных сообщений - то необходимо иметь лицензию на телематические услуги.
Это только со стороны РКН проверка по лицензиям.

Если не оказывает возмездные услуги связи, но предоставляет сервис для отправки личных сообщений - то лицензия на телематические услуги связи не требуется. Например mail.ru, rambler.ru, yanex.ru, its.

Начнем с того, что согласно правовой информации http://www.rambler.ru/doc/legal.shtml электронная почта rambler это общедоступная информация-). Необходимо читать весь материал полностью!

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

179

Re: Являются ли платежные системы (например SWIFT) - ИСПДн?

Dmitry Leviev пишет:

Начнем с того, что согласно правовой информации http://www.rambler.ru/doc/legal.shtml электронная почта rambler это общедоступная информация-). Необходимо читать весь материал полностью!

Не смешивайте информационно-поисковую систему Rambler и сервис бесплатной электронной почты mail.rambler.ru (аналогично на других указанных мной сервисах)

180

Re: Являются ли платежные системы (например SWIFT) - ИСПДн?

На yandex.ru единая система авторизации, например. Мне рассматривать отдельно passport, mail и т.д. или все-таки как единую систему?
Правовая информация на сайте www.rambler.ru и mail.rambler.ru единая и ведет на основной сайт http://www.rambler.ru/doc/legal.shtml. Таким образом, в правовом плане, это разные сервисы, работающие в едином правовом пространстве.

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

181

Re: Являются ли платежные системы (например SWIFT) - ИСПДн?

какой мейл, какой яндекс мы вроде про внутрикорпоративную почту говорим на базе MS или нет? smile

182

Re: Являются ли платежные системы (например SWIFT) - ИСПДн?

Dmitry Leviev пишет:

На yandex.ru единая система авторизации, например. Мне рассматривать отдельно passport, mail и т.д. или все-таки как единую систему?
Правовая информация на сайте www.rambler.ru и mail.rambler.ru единая и ведет на основной сайт http://www.rambler.ru/doc/legal.shtml. Таким образом, в правовом плане, это разные сервисы, работающие в едином правовом пространстве.

См. мой пост 2010-04-12 09:35:06 - 169 в данной ветке.

То, про что Вы говорите - это как раз:

Евродиректива пишет:

принимая во внимание, тем не менее, что те, кто предлагают такие услуги, как правило считаются контролерами в отношении обработки дополнительных персональных данных, необходимых для осуществления такой услуги

И здесь нет расхождений.

А вопрос стОит о

Евродиректива пишет:

принимая во внимание, что если сообщение, содержащее персональные данные, передается средствами телекоммуникаций или электронной почты, единственной целью которой является передача таких сообщений, в отношении персональных данных, содержащихся в сообщении, лицом, от которого исходит сообщение, как правило, считается контролер, а не лицо, предоставляющее услуги по передаче

Где у нас оператором формально получается и отправитель, и владелец сервиса по передаче. При этом, в некоторых случаях, отправитель вообще может не получить статус оператора т.к. его действия выйдут из под применения 152-ФЗ (например п.1 ч.2 ст.1 ЗоПД) - в то же время владелец сервиса останется под 152-ФЗ.

a.efimov пишет:

какой мейл, какой яндекс мы вроде про внутрикорпоративную почту говорим на базе MS или нет? smile

А не имеет значения, с позиции данного риска, корпоративный или общедоступный сервис.
Вся разница, что на корпоративном сервисе есть возможность запретить (не предоставлять услугу) по передаче личной корреспонденции.

183

Re: Являются ли платежные системы (например SWIFT) - ИСПДн?

a.efimov пишет:

какой мейл, какой яндекс мы вроде про внутрикорпоративную почту говорим на базе MS или нет? smile

Так и надо вопрос ставить - в корпоративной почте пересылка личных писем запрещена - выходим из под действия конституции и закона о связи.
Насчет надо ли защищать - судя по моему опыту - основная утечка конфиденциальной информации идет по почте.
Имеем ли право называть ее ИСПДн - как сами определите, только требование по НСД и антивирусу останется обязательным.

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

184

Re: Являются ли платежные системы (например SWIFT) - ИСПДн?

ясно smile теперь по поводу методики оценки возможного ущерба от реализации угроз безопасности ПДн....хочу спросить..существуют ли какие нибудь зарубежные аналоги?

185

Re: Являются ли платежные системы (например SWIFT) - ИСПДн?

То, что принималось бы нашими регуляторами не знаю, увы..

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

186

Re: Являются ли платежные системы (например SWIFT) - ИСПДн?

Dmitry Leviev пишет:

выходим из под действия конституции и закона о связи.

Видимо некорректно написали wink
Из под Конституции не выйдешь т.к. это основной Закон - здесь как раз наоборот выполнение ч.3 ст.17 и ст.35 Конституции.
А вот исключить из обработки тайну личной жизни и тайну личной переписки сотрудников можно и нужно

187

Re: Являются ли платежные системы (например SWIFT) - ИСПДн?

toparenko пишет:
Dmitry Leviev пишет:

выходим из под действия конституции и закона о связи.

Видимо некорректно написали wink
Из под Конституции не выйдешь т.к. это основной Закон - здесь как раз наоборот выполнение ч.3 ст.17 и ст.35 Конституции.
А вот исключить из обработки тайну личной жизни и тайну личной переписки сотрудников можно и нужно

Совершенно верно - из под действия обеспечения тайны переписки-)

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

188

Re: Являются ли платежные системы (например SWIFT) - ИСПДн?

Александр Владимировчи Hello!
к Вам еще несколько вопросов как ветерану ПДн smile
это уже вроде обсуждалось и не раз на других форумах, но всеравно спрошу. В документах тогда еще ГТК от 30 марта 92 года по классификации АС при рассматрении систем обраб-х ПДн те класса 1Г в табличке подсистемы и требования как Вы помните в графе использование сертифицированных средств защиты стоит знак "-" и сегоднешнее законодательство тут маленькая неувязочка если еще брать во внимание комментарии ФСТЭка что на сегоднешний день единственной легитимной процедурой оценки средств защиты является сертификация) ну понятно что регламента по декларированию соответствия еще не написали насколько я знаю его счас асперанты пишут из ГНИИ ПТЗИ) вот хотелось бы ваши комментарии услышать
спасибо за внимание smile и еще один момент если в компетенции ФСТЭК входит защита некриптографическими методами то спрашивается почему в РД 92 такая подсистема рассматривается и почему во временном положении по организации разработки тра-та-та технических СЗи от НСД так подробно речь ведется про СКЗИ будь она неладна smile
спасибо за внимание smile

189

Re: Являются ли платежные системы (например SWIFT) - ИСПДн?

Мое мнение следующее:
1Г хоть и не требует наличие сертифицированных средств, но без применения сертифицированных средств невозможно аттестовать систему по СТР-К. Причина достаточно банальна - аттестация является подсистемой сертификации и доказать, что функционал реализуется можно только в рамках системы сертификации. Этот вопрос уже давно поднимался о внесении изменений в СТР-К, но результат нулевой.
напомню что ФСТЭК это согласующий орган между всеми заинтересованными ведомствами. Подсистема СКЗИ обязательная в тех случаях, когда иными методами реализовать защиту невозможно, по мнению регулятора.

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

190

Re: Являются ли платежные системы (например SWIFT) - ИСПДн?

a.efimov пишет:

В документах тогда еще ГТК от 30 марта 92 года по классификации АС при рассматрении систем обраб-х ПДн те класса 1Г в табличке подсистемы и требования как Вы помните в графе использование сертифицированных средств защиты стоит знак "-" и сегоднешнее законодательство тут маленькая неувязочка если еще брать во внимание комментарии ФСТЭка что на сегоднешний день единственной легитимной процедурой оценки средств защиты является сертификация) ну понятно что регламента по декларированию соответствия еще не написали насколько я знаю его счас асперанты пишут из ГНИИ ПТЗИ) вот хотелось бы ваши комментарии услышать

Знак "-" стоит и в 1Д.
При этом в 58 приказе требуется проверка на НДВ только на К1 wink

Кроме того, для гос-ов, по 351 Указу предумотрено использование сертифицированных СЗИ и аттестация на всех системах с конфиденциалкой имеющих подключение к ССОП.

Ну см. пост малотавра на банкире

a.efimov пишет:

и еще один момент если в компетенции ФСТЭК входит защита некриптографическими методами то спрашивается почему в РД 92 такая подсистема рассматривается и почему во временном положении по организации разработки тра-та-та технических СЗи от НСД так подробно речь ведется про СКЗИ будь она неладна smile

Не только wink
См. п.1.1 второй абзац 58 приказа:

В настоящем Положении не рассматриваются вопросы обеспечения безопасности персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну, а также вопросы применения криптографических методов и способов защиты информации.

Затем смотрим п.2.9. того же приказа big_smile

Я конечно понимаю, что закон об ЭЦП сейчас кардинально перерабатывается. И помню о сертификации как СЗИ Алладиновских СекретДиска и токенов, а также как МЭ Цисок с VPN...

191

Re: Являются ли платежные системы (например SWIFT) - ИСПДн?

спасибо коллеги)) ну вообщем все как всегда)

192

Re: Являются ли платежные системы (например SWIFT) - ИСПДн?

С законом об ЭЦП пока не очень понятно, что останется. Тем более для защиты ПДн.

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

193

Re: Являются ли платежные системы (например SWIFT) - ИСПДн?

Добрый день! Коллеги особо приблеженные к ФСТЭК хотел у вас спросить что там слышно про разрабатываемые документы по части аттестации ИСПДн и регламента по декларированию соответствия если конечно кто-нибудь в курсе...какие сюрпризы нас еще ожидают smile

194

Re: Являются ли платежные системы (например SWIFT) - ИСПДн?

Подарки будут после майских праздников-))

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

195

Re: Являются ли платежные системы (например SWIFT) - ИСПДн?

Дима где же документики ? smile

196

Re: Являются ли платежные системы (например SWIFT) - ИСПДн?

Подарок получили от Резника между праздниками и ждем приказа ФСТЭКа по аттестации.
Мое мнение - раньше чем Госдума родит поправки ФСТЭК ничего не выпустит.

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

197

Re: Являются ли платежные системы (например SWIFT) - ИСПДн?

Вас в поправках резника ничего не насторожило?

198

Re: Являются ли платежные системы (например SWIFT) - ИСПДн?

a.efimov пишет:

Вас в поправках резника ничего не насторожило?

Они все равно ко второму чтению будут кардинально изменены т.к. Правительство дало лишь условно-положительное согласие

199

Re: Являются ли платежные системы (например SWIFT) - ИСПДн?

ну проголосовали же значит по крабам ударили smile посмотрим вообщем...

200

Re: Являются ли платежные системы (например SWIFT) - ИСПДн?

По опыту коллективной работы Думы - ко второму чтению документ не похож на проект совсем

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС