Еще раз о 152 ФЗ. Позиция оператора - Общий форум по информационной безопасности - Форумы Anti-Malware.ru Перейти к содержанию
svh

Еще раз о 152 ФЗ. Позиция оператора

Автор svh, в Общий форум по информационной безопасности

Recommended Posts

svh    30

svh
Опубликовано

Буквально вчера на портале выложили большое интервью с CIO МТС - всем операторам ПДн оператор, что называется. Основной тезис - несовершенство законодательной базы. Много о плановой проверке регулятора - как это проводится в живую, о документах, представляемых проверяющим органам. И вот что меня заинтересовало - существуют ли в настоящее время организации, гоповые взять на себя риски и работы по подготовке операторов к проверке? Подобно структурам, занимающимся сертификацией СЗИ во ФСТЭК. И каковы перспективы подобных структур, коли они будут созданы?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

dav    5

dav
Опубликовано
Буквально вчера на портале выложили большое интервью с CIO МТС - всем операторам ПДн оператор, что называется. Основной тезис - несовершенство законодательной базы. Много о плановой проверке регулятора - как это проводится в живую, о документах, представляемых проверяющим органам. И вот что меня заинтересовало - существуют ли в настоящее время организации, гоповые взять на себя риски и работы по подготовке операторов к проверке? Подобно структурам, занимающимся сертификацией СЗИ во ФСТЭК. И каковы перспективы подобных структур, коли они будут созданы?

За Ваши деньги любой каприз :rolleyes: . Этим занимается практически любой интегратор (некоторые уже имеют успешно проведенные проекты по защите ПДн).

Система следующая, чтобы пришел Роскомнадзор необходимо стать оператором ПДн (заявить в соответствующий орган), иначе Роскомнадзор может прийти с проверкой в случае обоснованной жалобы владельца ПДн. Роскомнадзор может проверять только документальные подтверждения защиты ПДн, но не установленные аппаратные и программные средства.

ФСБ и ФСТЭК могут прийти с проверкой только в части их касающейся, если была получены соответствующие лицензии (криптография и сертифицированные СЗИ для защиты конфиденциальной информации). Проверке могут подвергаться только лицензиаты.

Для проведения работ по защите ПДн целесообразно привлекать интегратора, который мог бы гарантировать отсутствие претензий со стороны проверяющих органов и взял бы на себя "устаканивание" всех вопросов с гос. органами.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

kvit.v    45

kvit.v
Опубликовано
Для проведения работ по защите ПДн целесообразно привлекать интегратора, который мог бы гарантировать отсутствие претензий со стороны проверяющих органов и взял бы на себя "устаканивание" всех вопросов с гос. органами.

а есть такие? только без кавычек...

кстати, а как защищают мои ПД антивирусные вендоры?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

dav    5

dav
Опубликовано
а есть такие? только без кавычек...

кстати, а как защищают мои ПД антивирусные вендоры?

есть такие интеграторы без кавычек

антивирусные вендоры не могут обеспечить защиту ПДн по своей природе

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

kvit.v    45

kvit.v
Опубликовано
антивирусные вендоры не могут обеспечить защиту ПДн по своей природе

Вы меня не поняли, я имел ввиду мои ПД, которые я им предоставил купив антивирус.. Какие мероприятия проводят,к каким интеграторам обращаются :) Последнее предложение это явный лол.. Остальное серьёзно...

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

OlegAndr    236

OlegAndr
Опубликовано
Вы меня не поняли, я имел ввиду мои ПД, которые я им предоставил купив антивирус.. Какие мероприятия проводят,к каким интеграторам обращаются :) Последнее предложение это явный лол.. Остальное серьёзно...

Тут кстати вопрос, сообщаяете ли вы при покупке достаточный пакет данных для того чтобы считать их персональными?

При покупки коробки в магазине?

ФИО и email ещё не являются перс данными (в общей трактовке).

А вообще любая компания начинает с внутреннего учета сотрудников, продолжает учетом заказчиков, если она собирает о них инфу. Тут разницы нет антивирусный ты вендор или варежки шьёшь.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

kvit    85

kvit
Опубликовано
ФИО и email ещё не являются перс данными (в общей трактовке).

интересная "общая" трактовка... в законе вижу нечто иное...

персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Общий форум по информационной безопасности

  • Сообщения

    • santy
      uVS - оффтопик

      От santy · Опубликовано

      Актуально, по лучше перенести обсуждение в офтопик.
        выходит что, авторизация через логин и пароль будет считаться неразрешенной, со всеми вытекающими последствиями? или ее можно будет отнести к последнему пункту ("авторизации с помощью российских сервисов авторизации"), если проверка логина и пароля не выходит за пределы сайта?
    • santy
      uVS - Тестирование

      От santy · Опубликовано

      Актуально, по лучше перенести обсуждение в офтопик.
    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      Несколько не по теме. Но для владельцев сайтов актуально... https://www.comss.ru/page.php?id=20880
    • santy
      uVS - Тестирование

      От santy · Опубликовано

      RP55, По п.10 уже есть реализация: в 5.04 o Переменные окружения всех пользователей с некорректным содержимым теперь добавляются
         в список как подозрительные объекты со статусом "ПЕРЕМЕННАЯ".
         Удаление такого объекта приведет к удалению переменной пользователя или 
         к восстановлению значения по умолчанию если это системная переменная.   по п. 8, для задач в uVS публикуется командная строка, но то что стали модифицировать известные задачи, это да, теперь придется за всеми задачами следить по п.7 В uVS есть указание на то что известный файл размещен по нестандартному пути, по идее тоже должно попасть в подозрительные. по п.6 Ранее уже сталкивались с подобным зловредом,  здесь, https://chklst.ru/forum/discussion/76/kak-udalit-bekdor-crexv-i-vosstanovit-normalnuyu-rabotu-menyu-pusk-v-xpvistaseven  
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      ИИ — полезная штука, но, к сожалению, бесплатные версии, как тот же Google Gemini Flash, тупенькие на уровне 12b моделей, делают колоссальное число ошибок по мелочам. Яблочко от яблони... Мало того, "новое" у них обычно старое с отставанием на год, и это в лучшем случае. Я сейчас как раз занимаюсь новой, уже 3-й версией своего "Клавиатурного помощника". В нём будет поддержка локального ИИ, горячих ИИ-клавиш, голосовых команд, голосового ввода и вспомогательной LLM для переводов, правки текста и т.п. Именно локального ИИ без необходимости обращения в сеть и сопутствующих утечек данных И это не для старого железа — нужно как минимум много памяти и современный процессор, в идеале хотя бы RTX 5060 Ti 16 ГБ в качестве ускорителя. А результат, ну, такой себе. ИИ слишком склонен ошибаться, и доверять ему что-то серьёзное пока не стоит, даже код пишет, который как-то работает, но в нём масса мелких и незаметных ошибок и уязвимостей. 
      Текст исправлен с помощью Google Gemma 4 E4B. 
×