А водоканал это субъект КИИ? Да, однозначно.

      

      
      С момента публикации 187-ФЗ летом 2017 года, было много активных споров о сферах деятельности, попавших под КИИ. Вопрос про водоканалы стал фактически нарицательным и задается с завидным постоянством на профильных семинарах и встречах, посвященных особенностям выполнения 187-ФЗ и ПП127.

Алгоритм категорирования для субъекта КИИ

    Небольшая блок-схема отражающая мое виденье процесса выполнения 

организацией 187-ФЗ.

    Принципиальный момент:
    В связи с высокими рисками уголовной ответственности по Ст.274.1 УК РФ и неопределенными определениями в 187-ФЗ, считаю необходимым провести анализ назначения своих ИС всеми организациями в России. С обязательным оформлением акта, обосновывающим решение об определении ИС как объект КИИ, либо нет.

 

РКН, суд постановил - четко и конкретно формулировать предписание.

    "Приказ формулируется ясно, кратко и четко без употребления формулировок, допускающих различные толкования." (Чт.39 Устав внутренней службы ВС РФ).
    Такие решения суда прямо бальзам на душу.

Для РКН соискатель теперь то же работник

 

 
     Очень полезный судебный прецедент, сильно расширяющий правовой кругозор. Ранее считал, что подбор персонала лежит вне трудовых отношений. Трактовка суда существенно облегчает жизнь кадровиков в организациях.

Без бумажки ты букашка, а вот и нет.

    

    Минкомсвязи успело до реформирования выпустить приказ, существенно упрощающий футбольный тур на ФИФА 2018 для зарубежных болельщиков.

      Сильно изменен статус паспорта болельщика в электронном виде, даже выезд с территории РФ по нему разрешили.  Теперь и без бумажки можно приезжать в Россию "поболеть" за свою команду.

Обновляйте документацию вовремя

 

    Очень интересные судебные дела по результатам проверки Управлением РКН спортивного объекта.
    РКН решил доказать факт обработки оператором биометрических данных (фото на пропусках) посетителей с помощью организационно-распорядительной документации самого оператора. И у него это получилось, но не сразу.
 

Ничего себе сходили на проверку

   

    Ну что тут скажешь, выборочная проверка лицензиатов, которая охватила
 всего лишь один процент об общего количества, показала, что у половины лицензиатов требования не выполняются. А  ПП 541 вступил в силу только 17.06.2017 и сразу дало взрывной рост нарушений за отчетный период. И никакой реакции регулятора на столь плачевные показатели.

Для кого субъект КИИ важнее?

       Несовершенство формулировок и определений ФЗ-187 закономерно порождает множество споров,в котором стороны приводят аргументированные мнения.  При попытках определить организации, подпадающие под действие 187-ФЗ используются материалы презентации            Е. Торбенко (ФСТЭК) с ТБ-форума.  Большинство споров специалистов заканчивается решением - надо запросить ФСТЭК. Более того, на Positive Hack Days 8 представитель 8 Центра ФСБ прямо ответил, что это компетенция ФСТЭК, а не ФСБ.

Как GDPR покарает российские организации? Отвечает Минкомсвязь.

        К вступлению в силу в сентябре 2015 года 242-ФЗ были выпущены разъяснения Минкомсвязи об распространении требований российского законодательства в области защиты персональных данных на иностранные организации, не имеющих физического присутствия на территории страны. Произошло это за год до публикации GDPR. РКН очень прогрессивный регулятор.

Положение о сертификации. Победа, ничья или поражение?

      Посвятил в блоге серию заметок  теме "Изменение системы сертификации ФСТЭК" для привлечения внимания участников оборота средств защиты информации в стране. Удалось существенно повысить активность публичного обсуждения проекта Приказа ФСТЭК на соответствующих правовых ресурсах, было предложено очень много правок и предложений.

Positive Hack Days 8. Отчет.

    Краткий отчет и впечатления от посещения Positive Hack Days 8.

Актуализация приказа Минкомсвязи № 375

     

       На http://regulation.gov.ru/projects#npa=80697 для общественного обсуждения опубликован проект приказа Минкомсвязи «О внесении изменений в приказ Министерства связи и массовых коммуникаций Российской Федерации от 11.08.2016 № 375».

Новые полномочия ФСТЭК

        У ФСТЭК России изначально были полномочия на осуществление "самостоятельного нормативно-правового регулирования вопросов: технической защиты информации", путем выпуска нормативных актов и методических документов." (Указ Президента России от 16.08.2004 №1085).

НДВ на языке бизнеса

        Очень часто специалисту по ИБ тяжело объяснить бизнес-руководителям организации, зачем требуются сертификаты соответствия на средства защиты информации и  почему ФСТЭК требует проведение контроля отсутствия недекларированных возможностей (НДВ) прикладного программного обеспечения, обрабатывающего конфиденциальную информацию. Рассказы о "закладках" воспринимаются ими как шпионские романы.

Паспорт болельщика и 152-ФЗ

              Получил официальный ответ от Управления РКН по ЦФО на свой запрос https://valerykomarov.blogspot.com/2018/04/2018-gdpr.html, в части соблюдения 152-ФЗ:

«Также информируем, что анализ сайта выявил наличие документа определяющему его политику в отношении обработки персональных данных в соответствии с требованиями ч. 2 ст. 18.1 Закона. Данный документ расположен по адресу: www.fan-id.ru/ref.html (Приложение).
Приложение: снимок экрана в 1 экз., на 1 л.»