Блогът на Артем Агеев

Ако сте инсталирали ViPNet.

Всички горепосочени изисквания са задължителни (въпреки че засега се проверяват само държавни организации). Има прецеденти с наказания.

Създадено със заповед 152 от FAPSI и Стандартните изисквания за използване на устройства за криптографска защита на информацията за защита на личните данни на FSB (беше мързеливо да се вмъкнат връзки към конкретни точки от изискванията).

[АКТУАЛИЗАЦИЯ] Също така забравих да посоча, че випнетите с ключ трябва да се предават чрез специална комуникация или лично отделно в различни запечатани пликове с мотивационно писмо. пази Боже.
[АКТУАЛИЗАЦИЯ2] Наредби за проверките на FSB с удобен знак http://www.fsb.ru/fsb/science/single.htm%21id%3D10435396%40fsbResearchart.html

Колкото по-навътре в гората, толкова по-дебели са партизаните! Оказва се, че са ви снабдили с криптография - за да отстраните проблемите!
но всъщност FSB намери добра вратичка, за да се наведе, за да използва криптографската информационна система, сега където не отидете в държавата, ще намерите подобна картина навсякъде, забавно е!

duck това е за изискванията на FSB на лицензополучателите.
за обикновените хора да комуникират с данъчните/ЗФР почти нищо от това не се изисква.

това са изисквания специално за обикновените хора, които искат да подават доклади до ЗФР чрез Интернет.

И въз основа на което беше направено заключението, че всичко това се отнася за обикновените хора?
Може цитати от документи?

Трябва да се има предвид, че обикновената организация не е PD оператор по отношение на прехвърлянето на данни към ЗФР. Тъй като целите и условията на такава обработка се определят не от организацията, а от ЗФР. Задължението за прехвърляне на данни е установено от Федералния закон и се регулира от подзаконови актове.
Така че очевидният оператор тук е FIU. А в организацията (PD процесори) - са потребители на PFR системата и трябва да се съобразяват само с изискванията на PFR.

Но каква е връзката между понятието „оператор“ и задължението за защита на личния данък? всеки е длъжен да защитава PDN.

Процесорът е длъжен да спазва изискванията на законодателството и изискванията на оператора (вж. Точка 3 на член 6 152-FZ).

и на въпроса за ISPD, дали компютърът, на който има vipnet за изпращане на отчети до ЗФР.
ЗФР, освен разпоредбите за присъединяване, не издава никакви документи на своите контрагенти. Нито класификационният акт, нито моделът на заплахата. Няма да можете да изискате всичко това от тях и ще трябва да го представите по време на проверката, дори ако не сте оператор.

+ Като правило, на AWP, който предава информация на ЗФР, тази информация може просто да лежи спокойно в татко - например файлове в Excel със служители. Именно този процес (лежи в таткото) формира ISPDN, операторът на който вече е собственик на работната станция.

# Лежа в папка - накрая подъл въпрос! В крайна сметка, мама може да бъде отдалечена (не в смисъл на физическо отстраняване). И къде тогава ISPDN: на сървъра, при администратора или при потребителя?)
Съвсем западно, когато ISPDN заедно с 1С сметища са в незабележим Temp'ah.

За сметка на разликата между оператора и манипулатора, написах подробно тук http://sborisov.blogspot.com/2011/12/2.html.

Всеки е длъжен да спазва законовите изисквания. Но изискванията са различни за всеки. Действия, модели - всичко това не е отговорност на процесора. Освен ако Операторът не го инструктира (Ако ЗФР не представи такива изисквания в правилата за свързване).
Но това е всичко като цяло. А сега спецификата.

Документът на FSB "Стандартни изисквания за организацията и функционирането на криптиране (криптографски) средства, предназначени да защитават информация, която не съдържа информация, съставляваща държавна тайна, в случай на тяхното използване за осигуряване на сигурността на личните данни по време на тяхната обработка в информация за лични данни системи "

Всички са обхванати от стандартните изисквания. Но в документа са специално подчертани раздели на изискванията за оператора и за потребителите на криптографски инструменти за защита на информацията. Тези изисквания се различават. И процесорът просто влиза в потребителите на CIPF (само ако операторът не му възложи допълнителни задължения).

Артем, моля те да анализираш отново изискванията за криптографски инструменти за защита на информацията - може би ще има промени в списъка ти.

И за сметка на присъствието на други ISPD в организацията, не можете да се притеснявате.
Това са различни ISPD. Различните ISPD могат дори да взаимодействат помежду си. Тази опция се предоставя от подзаконовите нормативни актове.

Трябва да има модел на заплаха. Ако операторът не го е направил, тогава манипулаторът го прави сам.

Необходим е и акт за класификация, тъй като Класът ISPD определя, заедно с MU, изискванията за техническа защита на ISPD. Следователно, ако операторът е инструктирал, но не е класифицирал (като FIU), тогава процесорът класифицира.

Би било голяма грешка да считаме манипулатора само за потребител на CIPF. В един и същ док отговорностите както на оператора, така и на манипулатора съвпадат (виж точка 2.3 от "Типичните изисквания") и включват всички описани от мен процедури.

Потребителят на CIPF е служител на оператора. Следователно няма да настъпят промени в списъка.

Все още се притеснявам за ISPD:) ., защото границата тук е много тънка. Когато отида на сайта VKontakte, не създавам ISPDN (или го създавам, защото браузърът ми кешира страници?). Но това е съвсем друга тема за разговор.

Артем, за да не бъде неоснователен и да поставя всички точки, моля да цитирате изискванията, които задължават процесора да класифицира и разработи модел на заплаха?
Не виждам такива изисквания в задълженията на процесор от 152-FZ.

За сметка на Стандартните изисквания на FSB ги цитирам:
"2.3. При разработване и прилагане на мерки за организиране и осигуряване на сигурността на личните данни по време на тяхната обработка в информационната система, операторът или упълномощено от него лице:"

В този документ няма определение за упълномощено лице. Търси се в речници. http://slovari.yandex.ru/

УПОЛНОМОЩЕН ЛИЦО - лице, надарено със служебни правомощия за управление, извършващо определени действия.

Тоест, ако при свързване с Оператора ни бяха дадени необходимите правомощия за извършване на всички дейности, тогава, разбира се, бъдете така любезни, за да изпълним.

Но нека видим какво всъщност изисква ЗФР от нас:
http://www.kontur-extern.ru/files/picfiles/reglament_obespechenija.doc
Не са повечето от дейностите, които възлагате на бедните хора.

Така че аз все пак искам да знам - ЗА КАКВО ОСНОВАНИЕ.

Тези. преработвателят трябва да спазва всички законови и регулаторни изисквания и изисквания на оператора.

сега, за да разберете какво е "упълномощено лице", погледнете "Стандартни изисквания на FSB", стр. 1.3.

1.3. Настоящи изисквания:
- са задължителни за оператора, извършващ обработката на лични данни, както и лицето, на което въз основа на договора операторът поверява обработката на лични данни и (или) лицето, на което въз основа на договора, операторът възлага предоставянето на услуги за организацията и сигурността на защитата на личните данни по време на тяхната обработка в системата с помощта на криптографски средства. Същевременно съществено условие на споразумението е задължението на упълномощеното лице да гарантира поверителността на личните данни и сигурността на личните данни при тяхната обработка в информационната система в случаите, предвидени от действащото законодателство;

поради това от параграфа става ясно, че нашето "упълномощено лице" е обработващият.

След това отново разглеждаме точка 2.3 от "Типичните изисквания":

2.3. При разработване и прилагане на мерки за организиране и осигуряване на сигурността на личните данни по време на тяхната обработка в информационната система, операторът или упълномощено от него лице извършва:
- разработване за всяка информационна система на лични данни модел на заплахи за сигурността на личните данни по време на тяхната обработка;
.

тези. или операторът разработва модела на заплахата, или процесорът.