Смартсорсинг.ру

Сообщество руководителей ИТ-компаний, ИТ-подразделений и сервисных центров

Статьи в блогах Вопросы и ответы Темы в лентах ITSM 365 Пользователи Компании Лента заказов Курс по ITSM

Запись вебинара «Изменения в законе о защите персональных данных»

В сообществе прошел вебинар по изменениям в законе о персональных данных, которые вступили в силу с 1 июля 2011 года.  вступил в действие ФЗ-152 «О защите персональных данных». Ведущий Евгений Царев рассказал о новых моментах в законодательстве, а также ответил на множество вопросов участников вебинара.

Основные темы вебинара:


  • Основные изменения в законе о персональных данных
  • Принципы обработки персональных данных
  • Обязанности оператора при сборе персональных данных
  • Меры по обеспечению безопасности персональных данных при их обработке
  • Обработка персональных данных с использованием средств автоматизации и без них
  • Меры по приведению организации в соответчике с требованиями ФЗ-152
  • Лицензирование деятельности по защите персональных данных
  • Ответственность по вопросам защиты персональных данных

Смотреть запись вебинара (не забудьте нажать на кнопку Play)

Ведущий вебинара: Евгений Царев, Заместитель директора Департамента развития LETA IT-company. Автор более 10 исследований, 50 статей и 300 публикаций и комментариев в СМИ по информационной безопасности. Участник рабочих групп ЦБ/АРБ/Минсвязи (закон «О персональных данных»), РАЭК (законопроект о спаме) и др.

Вопросы участников вебинара (ответы см. в записи)

  • Sergey Elizarov: стране понадобится новый штат судей для разбирательства дел по моральному вреду от операторов ПДн
  • Maтвей: И все-таки Регистр населения будет в РОссии?
  • Evgeny Tikhonov (4te): по поводу присоединения к ИСПЛн, каков порядок?
  • василюк евгений: Закон о ПнД и Закон о платежных системах, какието коллизии имеются?
  • Евгений: Занимаемся администрированием баз данных, заказчик - госструктура, хотели УДАЛЕННО обрабатывать данные с персональными даннами граждан, заказчик отказал, только на территории заказчика, возможно ли обойти закон, так как заказчик на него ссылается, может нужно пройти какой-нибудь сертификат???
  • Петруха: Наличие вредоносного ПО на ПК Оператора - является нарушением закона о защите ПДН ?
  • Sergey Elizarov: Кто проверит адекватность разработанной оператором ПДн модели угроз ИСПДн. надо ли теперь операться на степень вреда при составлении этой модели?
  • albert: Подскажите, если сайт просит указать номер телефона это поподает в ПД
  • zed-nsk: в своей конторе я являюсь ответственным лицом, 24 июня мы подали уведомление, и теперь до 2013 должны подать некие изменения, а какие, если ничего не менялось?
  • stas: Антивирус должен быть сертифицирован (в ИСПДн)?
  • Zhukov: Будет ли считаться трансграничной передача ПД, если сервера на которых происходит обработка находятся за границей и не находятся в собственности или обработка происходит в облачном сервисе?
  • Татьяна Мошина: Как это все касается ПД при работе предприятия из Казахстана по трудоустройству россиян и казахстанцев?
  • orlova alena: существует ЗАО, в ней 100 человек.если у всех взять разрешение об обработке их ПД( для ОК и для бухгалтерии) этого будет достаточно? или всетаки еще необходимо спец.средствами защищать сервера с 1С?
  • anton: ст.6 - условия обработки ПДн. ст. 9 ч. 4 -согласие субъекта на обработку ПДн.а из Ваших слов ст. 6 описывает случаи, когда согласие субъетка не требуется. или я не правильно Вас понял?
  • Наталья: Ести мы сами хотим осуществлять ТЗКИ в нашей фирме ( не пользуясь аутсорсигом)  нужно ли нам получать сертификат на ТЗКИ?
  • Evgeny Tikhonov (4te): Есть ИСПДн, аттестованная, например на класс 2. например, это CRM потребителей какой-то компании. Предположим, есть подрядчик (агенство), которое должно в рамках осуществления продвижения товаров и услуг работать с ПДн этой компании. Понятно, что рабочие места агенства (находящиеся в другом месте, офисе) должны быть также аттестованы на второй класс? Порядок присоединения? Специальный договор? надо будет переаттестовывать систему самой компании, если присоединяется подрядчик?
  • Андрей: Вот вопрос остался не ясен - кто имеет право создание проекта ИсПД
  • Лакшми: как аттестовывать ИСПДн?
  • Елена: Какие требования предъявляются к компаниям разработчика ПО (ПО для банков, использующее персональные данные)?
  • Evgeny Tikhonov (4te): И правильно я понимаю, что все компании теперь, если у них только бухгалтерия, не обработчики ПДн, а ЛООПДн... Что в данном случае нужно делать? Ну и вообще, по таким компаниям, им что-то нужно делать?
  • stas: Что относится к средствам защиты информации? Есть какой-то список, основания для отнесения? Антивирус, СУБД, средства бэкапа, офисный пакет - что и на каком основании должно быть сертифицировано?
  • Балакин Алексей: Кто определяет, входит ли моя компания в тот 1%, модель угроз которых согласовывает ФСТЭК? В список системообразующих предприятий оно входит. На каком основании я должен отсылать в сад представителей многочисленных структур очень желающих согласовать за деньги мои модели угроз и т.п.
  • albert: на сайте пользователи вводят номера телефонов других людей. в паблик телефоны не попоадают, их используют только сам пользователь. Какие проблемы с регулятарами могут возникнкть
  • Фоменко Алексей: Являются ли системы видеонаблюдения системами, обрабатывающими ПДн? И если да - то как в таком случае получать согласие на обработук Пдн
  • Сергей: я вляется ли АБС банка автоматизированой системой обработки ПД, если да, то как её классифицировать ?   
  • Солдаткичев Сергей: Является ли средство резервного копирования средством СЗИ (нуждается ли в сертификации)? Является ли сертифицированная версия операционной системы сзи?
  • stas: ОБЕЗЛИЧИВАНИЕ: есть какие-нибудь требования (рекомендации) по обезличиванию? Могу ли я заменить ФИО на СНИЛС и передавать по каналам связи (интернет) без применения сертифицированных СКЗИ?
  • Кочубей Алексей: опять к вопросу о серверах, если мы поручаем обработку персональных данных провайдеру у которого арендуем сервера, их помещения должны соответствовать закону персональных данных ?
  • Sergey Elizarov: Имеет ли право на существование модель угроз на основании которой не нужно использовать никаких СЗИ и вообще защищать ПДн.
  • anton: ст 9 ч4 "в случаях, предусмотренных фз, обработка персональных данных осущетсвляется только с согласия в письменной форме субъекта ПДн..." - вроде-бы все однозначно, согласие обязательно. А случаи, прдесмотренные ФЗ - это ст.6, в которой есть ч.п.5 "обработка ПДн необходима для исполнения договора, сторойо которого ... является субъект".
  • orlova alena: еще про ЗАО и 100человек. вот мы взяли у всех разрешение, объявили их ПДн общедоступными. Тогда компания не является обработкой ПДн. и возможно нет необходимости регистрироваться операторм ПДн в Роскомнадзоре?
  • enya@iservice.ru: Для оказания услуг по организации защиты ПДн нужно иметь лицензию ФСТЭК по ТКЗИ или достаточно иметь квалифицированный персонал?
  • Evgeny Tikhonov (4te): Прошу прощения, то ли звук пропал, то я не услышал, но ответ на вопрос следующего содержания какой: при доступе меня как подрядчика к ИСПДн другой компании Заказчика через интернет, нам обоим (с каждой стороны) что сделать, чтобы это было легально?
  • Ruzhnikov Mihail: sleduet li klassificirovat' v shkole sistemu ucheta lichnih del obuchaushihsya
  • Кочубей Алексей: к вопросу о сборе ПД, если дистрибьютер собирает данные в казахстане, и пользуется нашей системой для смс-рассылок, поападем под трансграничную передачу данных?
  • guest: Как себя вести ООО сфера деятельности которой оказание услуг, договора на оказание услуг в большей своей массе заключаются с физ. лицами, какие в данном случае необходимо произвести действия для того, чтобы действовать в рамках закона???
  • stas: Приказ трех: consultant.ru/document/cons_doc_LAW_76011/              (пока недоступно)
  • Владимир: на сайте гости при оформлении заказа указывают свои данные для контакта (ФИОпочта, телефон), которые потом передаются менеджерам по почте, следует ли использовать средства защиты информации при передачи писем?
  • guest: При сертификации сертифицируются какие-то определенные версии ПО? Если банк должен обновлять ПО часто, он должен пересертифицироваться?
  • Кочубей Алексей: 2quest, нам сказали (атестаторы) что сертифицируется только определенная версия ПО
  • zed-nsk: как оперделить уровень квалификации персонала, есть ли какие либо офицальные курсы обучения защите ПДн
  • orlova alena: чат или icq является ли ПО  с ПДн?  т.е. если icq установлена на рабочем ПК, попадает ли это ПК под установку СЗИ на нем?
  • Dimazan: На сайте туристической компании физ.лицо вводит данные других физ.лиц (бабушка отправляет в тур внучков). Как получить согласие внучков на обработку их ПД?
  • stas: Можно ли заменить применение сертифицированных СЗИ выполнением орагнизационных мероприятий? Например: вместо СЗИ от НСД - порядок входа в помещение, двери на замок, охрана, турникеты и т.п.
  • Evgeny Tikhonov (4te): Конкретный пример, сайт опросов: есть агрегатор данных частных лиц, которые дали согласие на то, что сайт опросов может использовать, обрабатывать и т.д. их данные для целей отбора части аудитории для участия в опросе (для отбора используются все параметры). Приходит клиент, с которым заключается договор, которому даётся веб-интерфейс к ИСПДн (сайту рассылок), где он сам отбирает нужных ему людей, мнение которых он хочет узнать (видя при этом его ПДн, данные не обезличенные). рабочие места клиента должны быть аттестованы на тот же класс, что и ИСПДн (сайт опросов)? Сайт вообще может давать право на доступн третих компаний к ПДн людей, которые дали этому сайту право на обработку данных? Договор какой-то формат имеет? Это договор присоединения к ИСПДн? Вопрос актуален для всех агрегаторов данных ПДн, доступ к которым они проают, в разных отраслях.
  • Galina: в каких случаях необходимо сертифицировать ситему, например, процессную систему предоставления услуг
  • Кочубей Алексей: Согласие на обработку ПД обязательно должно быть в писменной форме ? Если, договор-аферта будет в СМИ, можно на сайте поставить чекбокс(галочку) на присоединение к договору в котором будут описаны цели и задачи обработки ПД ?
  • netboy@list.ru: Имеется корпоративная лицензия на MS Server 2008, т.е. коробок и носителей нет, как быть в сертификацией этого ПО?
  • guest: Если подрядчик (франчайзи 1С) работает с БД, содержащей ПДН удалённо, какие меры и средства защиты он обязан использовать?
  • Фоменко Алексей: Кто должен сертифицировать такое ПО как банк-клиенты, налоговые отчетности и прочее "бухгалтерское ПО", закачтую "навязанное" сторонними организациями, той же налоговой?
  • orlova alena: если головная контора хочет видеть и обрабатывать в отчетах ПДн своих дочерних организаций. какие документы необходимо для это разработать, чтобы было все корректно и должни ли головная контора в этом случае обязательно быть оператором ПДн?
  • Evgeny Tikhonov (4te): В продолжение большого вопроса: раньше надо было ЧЁТКО указывать кому вы будете передавать на обработку данные, в случае клиентов - мы их сразу не знаем. Раньше нельзя было указать - кому угодно, сейчас как-то это можно всё же прописать?
  • Dmitry: есть шлюз доступа в интернет построенным на базе ОС FreeBSD на нем настроен фаервол штатными средствами в данном случае ipfw, нужно ли иметь сертификат ФСТЭК на это? ведь по идее файрвол служит для защиты от доступа во внутренню сеть.
  • Sergey Aleksandrov: Если я, как ЮЛ, хочу перемещать данные с компьютеров другого ЮЛ в интернет за границу, причем я не имею понятия, есть ли в этих данных ПДн, нужно ли мне задумывать о соблюдении ФЗ 152?
  • zed-nsk: 2netboy@list.ru покупаете в MS дистрибутив SKU должен быть в спаиске сертифицированных на сайте ФСТЭК, несете во ФСТЭК они лепят голограмму за деньги есстественно
  • Солдаткичев Сергей: из реестра СЗИ ФСТЭК: StoneGate SSL - Система  обеспечения безопасных соединений StoneGate. Получаем шифрование каналов средством, не имеющим сертификат ФСБ. Насколько законно?
  • netboy@list.ru: 2 zed-nsk я правильно понимаю, что имея носитель с нашлёпкой ФСТЭК я могу спокойно пользовать свои давно установленные сервера?
  • stas: Поддерживаю Evgeny Tikhonov (4te): в письменном согласии можно указать: "банк", "страховая организация", "авиакомпания при бронировании билетов" ИЛИ надо конкретно указывать конкретных юр лиц? Но ведь может поменяться и Банк и авиакомпания. Как писать?
  • Dmitry: to Кочубей Алексей: я знаю, что есть linux сертифицированный и продукты типа ideco, но шлюз работоспособен и выполняет еще кучу доп. функций.. и не хотелось бы его сносить и ставить пусть сертифицированый, но  не заточенный под какие-то нужные клиенту функции
  • zed-nsk: 2netboy@list.ru теоретически да, но установленная копия должно соответствовать дистрибутиву, а вот как это определить?, регуляторы наверное знают, но не колятся как :)
  • guest321: процессинговые центры должны сертифицироваться? или сертифицируется банк, который работает с процессингом
  • василюк евгений: можно ли проверить что банки передают в бюро кредитных историй

Дополнительные материалы

Комментарии (4)

Также рекомендуем

16 апреля 2013 в 11.00

Вебинар Максима Лагутина "Закон "О персональных данных": грядут перемены"

Регистрируйтесь здесь!