Проверка ФСТЭК или аудит с молотком

fstekСегодня читал очередной знаковый документ – Предписание ФСТЭК об устранении нарушений в области защиты информации. Постараюсь донести суть документа:

Прошла проверка одного из региональных гос.учреждений на «организацию и состояние работ по обеспечению безопасности персональных данных».

Выявленные нарушения:

1) Средства защиты информации, применяемые в информационных системах, не прошли в установленном порядке процедуру оценки соответствия (п.5 Постановления правительства №781).


11 правил, которые нужно соблюдать, если вы входите в судебный процесс, касающийся вопросов информационной безопасности

2) Не выполнены ряд мероприятий по тому же постановлению (п.п.2, 6, 12, 14)

3) Не приняты меры направленные на обеспечение конфиденциальности при вводе персональных данных в информационные системы (п.1 ст.7 Федерального закона № 152)

Далее предписывается:

1) В течение месяца предоставить на согласование во ФСТЭК «План устранения недостатков»

2) Провести организационно-технические мероприятия по приведению работ по обеспечению безопасности персональных данных, в соответствие Федеральному закону №149, Федеральному закону №152, Постановлению правительства №781, а также требованиям СТР-К. (о Четверокнижии ни слова!)

Далее идет ссылка на то, что невыполнение предписания в соответствии с п.1 ст.19.5 КоАП РФ (напишу дословно) «влечет наложение административного штрафа на должностных лиц – от 1 до 2 тысяч рублей или дисквалификацию на срок до 3 лет, на юридических лиц – от десяти до двадцати тысяч рублей».

Как видно, тренировка у наших регуляторов в полном разгаре, все тренируются — Роскомнадзор, ФСТЭК, не удивлюсь, если увижу проверку от ФСБ. Закрутилось, завертелось. Кстати, проверка датируется декабрем прошлого года, за это время, уверен, «настрогали» еще целую кучу проверок, просто их не афишируют. А кто-то помниться говорил о дне «Х» (1 января 2010)….

СТР-К? Мило. То есть, то, на что все ориентировались год назад ;-))

[Ответить]

  • «не спеши выполнять приказ, глядишь, его отменят!»

    [Ответить]

  • Вот тебе и легитимность четверокнижия…
    По ходу они сами в курсе…

    [Ответить]

  • все тренируются — Роскомнадзор, ФСТЭК, не удивлюсь, если увижу проверку от ФСБ. Закрутилось, завертелось

    Добавлю прокуратуру (еще в прошлом году) — http://newstula.ru/news/view/5343/
    😀

    [Ответить]

  • Известный: Склонен согласиться, не нужно указывать в предписании слишком много спорного, т.к. суд может признать всю проверку незаконной.

    toparenko: точно, и прокуратуру сюда)))

    [Ответить]

  • И ещё более ранняя проверка прокуратуры…
    http://www.prokuror-eao.ru/content/view/1185/34/

    [Ответить]

  • И ещё одна более ранняя проверка прокуратуры…

    http://prokuror.samara.ru/news/18.06.2008/11/13560/

    [Ответить]

  • Пора тоже аналитику проводить, и по прокуратуре..

    [Ответить]

  • Известный Says:
    Пора тоже аналитику проводить, и по прокуратуре..

    Похоже для отслеживания придется аваланч ставить 😉

    Запустил поиск по прокуратуре и попалось:
    Сотрудники военкомата в Еврейской автономии привлечены к ответственности — http://primamedia.ru/news/16.04.2009-95847
    Учетные карты призывников в электронном виде, а также база данных персонального учета призывников, состоящих на воинском учете, сотрудниками военного комиссариата не формируются.
    Прокуратура Октябрьского района внесла в адрес военного комиссара представления. По результатам рассмотрения актов прокурорского реагирования заместителю военного комиссара Октябрьского района и начальнику 2 отделения объявлены дисциплинарные взыскания.

    Почему в шапке?.. Почему без шапки? (с)

    [Ответить]

  • Действительно Тренировки — иначе не назовешь…
    Единственный выход для бедолаги-оператора это дождаться проверки или спровоцировать себе проверку обратившись с жалобой куда следует и выполнив постановления считать что теперь все в порядке.

    [Ответить]

  • Проводим «штабную игру» кто то обрабатывает ПДн и ничего вообще не делает. Приходит проверка и пишет что надо делать. Этот текст выкладывается в интернет и всем становится ясно — что делать…
    Ну кто первый !!!!

    [Ответить]

  • Только вчера на http://www.professionali.ru/GroupInfo/636 написал, что не удивлюсь, если к проверкам подключатся отделы «К»/управления «Р» и сегодня натыкаюсь http://www.prockomi.ru/news/press/detail.php?ID=1586

    «В сентябре 2008 года в рамках проверки соблюдения Федерального закона «О персональных данных» от 27.07.2006 № 152-ФЗ отделом по борьбе с компьютерными преступлениями (отдел «К») МВД по РК были проведены проверки…»

    😀

    [Ответить]

  • toparenko: Помнится, это была одна из самых первых проверок, о которых я прочитал. Знакомый безопасник, прокомментировал: «Что ты хотел? Чем дальше от центра, тем сильнее местные власти»

    [Ответить]

  • Интересно, а можно ли считать такое указание «выполнить требования СТР-К» руководством к началу разработчиком сертификационных испытаний по НДВ программного обеспечения, которое планируется к использованию или уже используется в ИСПДн?

    [Ответить]

  • полная ………………….

    [Ответить]

  • *** в соответствие Федеральному закону №149, Федеральному закону №152, Постановлению правительства №781, а также требованиям СТР-К. (о Четверокнижии ни слова!)

    Не упоминаются также: Конституция, букварь и т.д.
    патамучта они верхне-раннеуровневые по отношению к 4-м книгам и патамучта 1.01.2010 ещё не наступило.

    [Ответить]

    Добавить комментарий

    Войти с помощью: 

    Ваш e-mail не будет опубликован. Обязательные поля помечены *