Перейти к содержанию
svh

Еще раз о 152 ФЗ. Позиция оператора

Recommended Posts

svh

Буквально вчера на портале выложили большое интервью с CIO МТС - всем операторам ПДн оператор, что называется. Основной тезис - несовершенство законодательной базы. Много о плановой проверке регулятора - как это проводится в живую, о документах, представляемых проверяющим органам. И вот что меня заинтересовало - существуют ли в настоящее время организации, гоповые взять на себя риски и работы по подготовке операторов к проверке? Подобно структурам, занимающимся сертификацией СЗИ во ФСТЭК. И каковы перспективы подобных структур, коли они будут созданы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dav
Буквально вчера на портале выложили большое интервью с CIO МТС - всем операторам ПДн оператор, что называется. Основной тезис - несовершенство законодательной базы. Много о плановой проверке регулятора - как это проводится в живую, о документах, представляемых проверяющим органам. И вот что меня заинтересовало - существуют ли в настоящее время организации, гоповые взять на себя риски и работы по подготовке операторов к проверке? Подобно структурам, занимающимся сертификацией СЗИ во ФСТЭК. И каковы перспективы подобных структур, коли они будут созданы?

За Ваши деньги любой каприз :rolleyes: . Этим занимается практически любой интегратор (некоторые уже имеют успешно проведенные проекты по защите ПДн).

Система следующая, чтобы пришел Роскомнадзор необходимо стать оператором ПДн (заявить в соответствующий орган), иначе Роскомнадзор может прийти с проверкой в случае обоснованной жалобы владельца ПДн. Роскомнадзор может проверять только документальные подтверждения защиты ПДн, но не установленные аппаратные и программные средства.

ФСБ и ФСТЭК могут прийти с проверкой только в части их касающейся, если была получены соответствующие лицензии (криптография и сертифицированные СЗИ для защиты конфиденциальной информации). Проверке могут подвергаться только лицензиаты.

Для проведения работ по защите ПДн целесообразно привлекать интегратора, который мог бы гарантировать отсутствие претензий со стороны проверяющих органов и взял бы на себя "устаканивание" всех вопросов с гос. органами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kvit.v
Для проведения работ по защите ПДн целесообразно привлекать интегратора, который мог бы гарантировать отсутствие претензий со стороны проверяющих органов и взял бы на себя "устаканивание" всех вопросов с гос. органами.

а есть такие? только без кавычек...

кстати, а как защищают мои ПД антивирусные вендоры?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dav
а есть такие? только без кавычек...

кстати, а как защищают мои ПД антивирусные вендоры?

есть такие интеграторы без кавычек

антивирусные вендоры не могут обеспечить защиту ПДн по своей природе

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kvit.v
антивирусные вендоры не могут обеспечить защиту ПДн по своей природе

Вы меня не поняли, я имел ввиду мои ПД, которые я им предоставил купив антивирус.. Какие мероприятия проводят,к каким интеграторам обращаются :) Последнее предложение это явный лол.. Остальное серьёзно...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegAndr
Вы меня не поняли, я имел ввиду мои ПД, которые я им предоставил купив антивирус.. Какие мероприятия проводят,к каким интеграторам обращаются :) Последнее предложение это явный лол.. Остальное серьёзно...

Тут кстати вопрос, сообщаяете ли вы при покупке достаточный пакет данных для того чтобы считать их персональными?

При покупки коробки в магазине?

ФИО и email ещё не являются перс данными (в общей трактовке).

А вообще любая компания начинает с внутреннего учета сотрудников, продолжает учетом заказчиков, если она собирает о них инфу. Тут разницы нет антивирусный ты вендор или варежки шьёшь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kvit
ФИО и email ещё не являются перс данными (в общей трактовке).

интересная "общая" трактовка... в законе вижу нечто иное...

персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • IThook
      Всем привет)
      Есть сайт, для связи с клиентами используем чат-платформу Talk me. Боты создают огромное количество чатов, у всех одни и те же параметры - РФ айпи, браузер и ОС Windows 10 Chrome 88.4324, почта домена @yandex.ru, разрешение окна 1034х400 (примерное). На скрине примерный такой пользователь -
      https://prnt.sc/1099ayt
      . Пишут 1 сообщение, далее выходят с сайта.
      Выгрузили базу - айпи адреса не повторяются, скорее всего большое количество проксей. Поставил капчу на создание чата, потом защиту на дурака с выбором ответа -
      https://prnt.sc/10996nv
      . Капчу обходили сразу, скорее всего сессию сохраняли, а вот защиту на дурака не проходят до сих пор.
      Стоит защита от ботов, защита траффика по популярным VPN ( сервис Безопасность и развитие ваших web-ресурсов )
      Основная догадка - скорее всего через Silenum атака происходит, потому что полный игнор защиты происходит от ботов.
      Вопрос - как защититься от ботов, чтобы они попадали на сайт, но не могли писать в чаты? Следующий уровень - боты не могли попасть на сайт. Как защититься от Silenum?
    • santy
      проверка по хэшу отдельного файла (из образа автозапуска)
    • demkd
      какая функция проверки конкретно? их там много
    • santy
    • demkd
×