Две важных ссылки по персональным данным

Помимо долгожданного «Письма шестерых», сегодня наткнутся на очередное письмо ФСТЭК, адресованное Минздравсоцразвития. В нем обосновывается необходимость ОБЯЗАТЕЛЬНОГО получения лицензии на ТЗКИ, в случае если учреждения здравоохранения ведут мероприятия по технической защите персональных данных для СОБСТВЕННЫХ нужд.


11 правил, которые нужно соблюдать, если вы входите в судебный процесс, касающийся вопросов информационной безопасности

Очевидно, что это мнение ФСТЭК распространяется не только на учреждения здравоохранения…

И вновь покой нам только снится…

Письмо составлено в обычном стиле ФСТЭК.
Запрос на тему XXX рассмотрен. В законе по поводу YYY написано ZZZ. И хватит об этом.
главный вопрос, можно ли применять эти нормы закона применительно к этой ситуации, ФСТЭК никак этим письмом не подтверждает и не опровергает.

[Ответить]

  • Неужели они не могли еще дописать одну фразу типа «для собственных нужд лицензия (не) нужна». Реально тут можно еще придраться к тому, что мы понимаем под словом «деятельность» (получение выгоды, или же просто действия). Ну не реально мелкому государственному санаторию с количеством работников 30 человек получить лицензию. Неужели государству так хочется растранжирить деньги из бюджета на аутсорсинг? Мы даже не можем деньги выделить на средства защиты, что тут говорить о лицензии, для которой нужно оборудование стоимостью порядка миллиона рублей.

    [Ответить]

  • во 2-ом абзаце есть строка: «…юридическое лицо может заниматься…..».
    т.е. выходит, что это распространяется не только на т.н. госсектор, но и на ИП, ЧП, ООО ?

    [Ответить]

    Царев Евгений Reply:

    Будьте добры все получайте лицензию! – коротко и ясно. Что за подход такой? Уже добрую сотню раз обсуждали. Это не в интересах регулятора и рынка.
    Если ФСТЭК ставит вопрос таким образом, то операторы снова начнут отрицать факт «обработки персональных данных» или «ведения мероприятий по технической защите персональных данных для СОБСТВЕННЫХ нужд».
    Лишний раз создается спорная ситуация, причем искусственно. Такое ощущение, что ФСТЭК изо всех сил ищет повод обосновать необходимость получения лицензии, даже там где оснований нет.

    [Ответить]

  • Коментарий в форму не помещался. Написал все здесь: http://anvolkov.blogspot.com/2010/07/blog-post_06.html.

    [Ответить]

    Царев Евгений Reply:

    Алексей вы как всегда подходите к написанию материала основательно. Супер!

    Однако, Платон — мне друг, но истина дороже)))

    пишешь:

    «действие ВСЕГО Гражданского кодекса распространяется исключительно на ПРЕДПРИНИМАТЕЛЬСКУЮ ДЕЯТЕЛЬНОСТЬ. Никакой другой деятельности в ГК нет»

    Это не так.

    Действие ГК распространяется на предпринимательскую деятельность в том числе (см. статью 2 ГК РФ). Например, если один человек продает машину другому или меняет квартиру, они входят в гражданско-правовые отношения, которые регулируются в том числе ГК. Также ГК регулирует, например, вопросы дееспособности гражданина, которые к предпринимательской деятельности отношения не имеют.

    [Ответить]

    Алексей Волков Reply:

    Евгений, это, конечно правильно. Я что-то в запале грохнул 🙂 Далеко не весь ГК, конечно, про предпринимательскую деятельность. Говоря о «исключительности», я имел в виду определение «деятельности», данное в ГК. Но слово не воробей. Двойка мне за узколобость, но путь этот позор останется — злостные комментаторы порадуются 🙂

    [Ответить]

    Царев Евгений Reply:

    Это нормально, уж я-то знаю)))

  • Царев Евгений
    >>Будьте добры все получайте лицензию!
    Это Ваши слова. А в ответе ФСТЭК этого нет. Прочтите внимательнее. Там просто процитированы положения законодательства, без какой-либо их интерпретации.

    Майя Ольшанская
    >>Неужели они не могли еще дописать одну фразу типа “для собственных нужд лицензия (не) нужна”.
    Не могли. В данном случае дать внятный ответ — значит добавить свое мнение к тому, что написано в законе. А этого делать ФСТЭК очевидно не хочет, т.к. ФСТЭК не законодательный орган и не суд, это вне их компетенции.
    Поэтому на любой подобный запрос будет такая же отписка.

    [Ответить]

    Алексей Волков Reply:

    Добавлять свое мнение к ответу ФСТЭК действительно не хочет, но не потому что не законодательный орган или не суд, а по другим причинам. Насчет компетенции Вы не правы в корне — любой государственный контрольно-надзорный орган, да еще и генерирующий лицензии, обязан давать разъяснения и консультации. Другое дело качество этих консультаций.

    [Ответить]

  • Консолидированное мнение (из нескольких источников) получается таким, что раз все операторы «оказывают услуги субъектам ПДн по защите их ПДн вне зависимости на платной или бесплатной основе», то все без исключения операторы долны получить соответствующие лицензии ТЗКИ и СКЗИ. При этом, операторы-коммерсанты должны при регистрации (перерегистрации) вносить в учредительные документы основные виды деятельности, связанные с ТЗКИ и СКЗИ, и получать соответствующие лицензии — без этого никакой коммерческой деятельности. «А для операторов-муниципалов есть СТРК и много чего еще». То есть — тотальное, поголовное лицензирование. Как вам такая точка зрения, господа? 🙂

    [Ответить]

    Майя Ольшанская Reply:

    Насчет СТР-К и муниципалов. СТР-К у нас с 2002 года. В нашем учреждении все давно выполнено по конфиденциальной информации, установлены сертифицированные средства защиты, аттестована АС, введены внутренние документы по работе с КИ. Всё, кроме аттестации, было выполнено силами работников нашего учреждения. Проверка ФСТЭК была в 2007 году. Недочеты конечно были найдены, но ни одного слова о получении лицензии нашим муниципальным учреждением представители ФСТЭК не сказали. Это пока единственный мой аргумент в споре о получении лицензии.
    Что же изменилось с тех времен?..

    [Ответить]

    Алексей Волков Reply:

    Судя по разнице в формулировках «официальных писем» изменилось многое. Деньги, например, кончились 🙂

    [Ответить]

    toparenko Reply:

    >В нашем учреждении все давно выполнено по конфиденциальной информации, установлены сертифицированные средства защиты, аттестована АС, введены внутренние документы по работе с КИ.

    Ваш пример, к сожалению, скорее исключение, чем правило.
    Гораздо чаще сталкивался с абсолютным игнорированием СТРК-К как в гос. так и в муниципальных структурах. Или не игнорирование, но перлы типа (не дословно, но близко к тексту) «инструкции по проведению спецпроверки методом визуального обследования» (не буду называть многоуважаемое ведомство, где я видел этот перл несколько лет назад :lol:)

    [Ответить]

    Александр Reply:

    Операторы не оказывают услуг по защите персональных данных! Операторы выполняют обработку персональных данных в целях исполнения усаловий договора и обеспечивают их конфиденциальность.
    Выполнение конфиденциальности не есть услуга. За нее деньги не берутся.

    [Ответить]

    Алексей Волков Reply:

    Я придерживаюсь такой же позиции, однако есть и иная точка зрения 🙂

    [Ответить]

  • Лизенцию необходимо получать на техническую защиту конфиденциальной информации.
    Где в каком законе дано определение конфиденциальной информации?
    Есть определение конфиденциальности информации в законе об информации. В законе о персональных данных есть определение конфиденциальности персональных данных.
    Обеспечение конфиденциальности персональных данных не означает что они являются конфиденциальной информацией.
    В моем понимании пример конфиденциальная информация: две стороны заключают договор и соглашение о конфиденциальности, согласно которому вся информация, относящаяся к предмету договора является конфиденциальной и содержится в секрете.
    Если субъект персональных данных сегодня заключил со мной договор на услуги, а завтра побежал в банк за кредитом и предоставил эти же персональные данные то такие персональные данные никак нельзя считать конфиденциальной информацией.
    ИМХО.

    [Ответить]

    Алексей Волков Reply:

    Есть такой документ: указ Президента РФ N 188 от 6 марта 1997 года (в ред. Указа Президента РФ от 23.09.2005 N 1111) «Об утверждении Перечня сведений конфиденциального характера». Так вот в нем как раз приведен перечень, и туда же попали ПДн.

    [Ответить]

    Александр Reply:

    Вот прочитал еще раз этот указ. Цитирую: Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные). Здесь не говорится о том что персональные данные есть сведения конфиденциального харатктера. Здесь говорится о том что их можно опеределить на основе каких-то фактах, событиях.

    Сейчас читаю следующий документ: Техническая защита информации
    ОСНОВНЫЕ ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ. Р 50.1.056-
    2005
    Есть такое понятие: техническая защита
    информации; ТЗИ: Деятельность,
    направленная на обеспечение
    некриптографическими методами
    безопасности информации (данных),
    подлежащей защите в соответствии с
    действующим законодательством, с
    применением технических,
    программных и программно-
    технических средств.

    Полагаю, что обеспечение безопасности персональных данных как раз попадает под это определение.

    [Ответить]

  • Интересно паспортные данные это факт, событие или обстоятельсво моей частной жизни?-))
    Почему же тогда в законе о перс данных не дано определение понятия что персональные данные это факты, события и обстоятельства частной жизни-))
    И все таки считаю что операторам лицензию получать не нужно. Почему я должен получать лицензию если обязанность по конфиденциальности на меня налагается законом и трудовым кодексом….

    [Ответить]

    Алексей Волков Reply:

    Если проводить аналогию с лиценщией ФСБ на гостайну, то как раз нужно. Лицензии на гостайну бывают «навязанные» и «добровольные». С последними все понятно — надо вести бизнес с предприятиями выполняющими оборонзаказ — получай и веди. А вот с первыми все интереснее. Если имеется, например, соответствующее мобпредписание, то контора — хочет она того или нет — обязана иметь лицензию ФСБ, а ФСБ, в свою очередь, обязано такую лицензию дать. Мне приятель рассказывал — именно такой случай был в одном ОАО, пока с него не сняли мобпредписание, и если бы не оно — лицензия эта вообще не нужна. Вот и надо было держать специально оборудованное помещение, и секретчика, пока мобпредписание не сняли, хотя и деятельности по ГТ это ОАО давным-давно никакой не вело. Как бы такая практика не распространилась и на ПДн…

    [Ответить]

    Майя Ольшанская Reply:

    Законодательство по персональным данным находится в таком состоянии, что спорить мы можем до бесконечности.
    Мы уже где-то это писали… В действительности определение персональных данных в указе президента не совпадает с определением в ФЗ 152. Не знаю как для юриста, но для математика ПДн(188) и ПДн(152) это разные понятия. С этой точки зрения документального включения ПДн(152) в перечень сведений конфиденциального характера нет! Со всеми вытекающими из этого последствиями.

    [Ответить]

    Алексей Волков Reply:

    Майя, с Вами, как всегда, нельзя не согласиться. Некто pushkinist на Блоге Лукацкого час назад написал, что обсуждение такой же точно темы и там превратилось в абсурд. И с ним я согласен, потому как абсурдом является сам предмет обсуждения. И все это понимают. Но «то ли летняя жара сыграла свою роль, то ли поговорить больше не о чем, но популярные блоггеры» вновь и вновь мусолят эту тему 🙂

    [Ответить]

  • Еще такой момент: можно ли считать паспортные данные конфиденциальной информацией если на улице меня остановит сотрудник милиции проверит мой паспорт, запомнит их данные, а потом придет домой и напишет в интернете что у Иванова Ивана Ивановича такие то паспортные данные ? Если это конфиденциальная информация то должен ли я вообще показывать ему свой паспорт ? ну тогда в крайнем случае я обязан предъявить только фотографию, остальное закрыв рукой….
    Абсурд конечно, но и такое может быть

    [Ответить]

    Майя Ольшанская Reply:

    Предъявить обязаны весь паспорт, а милиционер по долгу службы не имеет права публиковать в открытых источниках сведения, полученные при исполнении своих обязанностей. Точно также как не имеют права публиковать ваши данные паспортисты, работники управляющей компании, оператор сотовой связи, оператор в банке и другие, кому вы дали свои персональные данные, добровольно или по требованию. Если конечно вы не дали личного согласия на их общедоступность. Если вы перечитаете понятие конфиденциальности персональных данных, то увидите, что это обязательное требование для оператора.

    [Ответить]

    Царев Евгений Reply:

    Отойдя от темы:
    «Предъявить обязаны весь паспорт…»
    Предъявить паспорт милиции необходимо, если ОНА, т.е. милиция это требует. Другое дело предъявить паспорт конкретному милиционеру в переходе. Вопрос в основании для проверки документов. Есть всего 4 основания для проверки документов: 1) Если вас застали на месте преступления, 2) Если есть достаточные основания подозревать вас в совершении преступления (грубо говоря: идете по улице с топором в руках и в разорванной рубашке), 3) Если очевидцы или потерпевшие прямо укажут на вас как на преступника, 4) Если внешним видом вы выдаете свою принадлежность преступной группе (одежда Ку-Клус-Клан))), нацистская форма и т.д.).
    ВСЕ!
    Больше никаких оснований для проверки документов у них нет. Всякие «отмазки» вроде приказов начальства (любят с собой носить копии приказа с указанием необходимости проверки документов) прямо нарушают федеральное законодательство.
    Другими словами показывать документы никому не надо, если не хочется, конечно.

    [Ответить]

    Майя Ольшанская Reply:

    И это пишет человек, живущий в Москве, где на каждом шагу требуют прописку 😉

    Царев Евгений Reply:

    Поэтому и пишу, проверено на собственном опыте

  • Правительство РФ внесло в Госдуму проект федерального закона «О внесении изменений в некоторые законодательные акты РФ в связи с принятием Федерального закона «Об информации, информационных технологиях и о защите информации».
    Соответствующие поправки подготовило и представило на рассмотрение Правительства Министерство связи и массовых коммуникаций РФ. Законопроект призван разъяснить такие понятия как «информационные процессы», «конфиденциальная информация», которые не имеют сейчас нормативно закрепленного значения.

    [Ответить]

  • Посмотрим что они там наопределяют))

    [Ответить]

  • If you haven’t done it for a drive before deciding. car insurance aaa isn’t child’s play.
    Do you drive an expensive new car, it’s still feasibke to locat
    several car insurance aaa quote Inernet sites that would agvree with what you wish for.

    This phase was worth approximately 75% of the total cost to the industry of undetected general insurance claims fraud at £2bn per year.

    High crime rate areas will have lower premiums.

    [Ответить]

    Добавить комментарий

    Войти с помощью: 

    Ваш e-mail не будет опубликован. Обязательные поля помечены *