Новый ГОСТ на ОРД

       С 01.07.2018 ГОСТ Р 6.30-2003 "УНИФИЦИРОВАННАЯ СИСТЕМА ОРГАНИЗАЦИОННО-РАСПОРЯДИТЕЛЬНОЙ ДОКУМЕНТАЦИИ.Требования к оформлению документов" прекращает свое действие и вступает в силу новый национальный стандарт РФ ГОСТ Р 7.0.97-2016 "Организационно-распорядительная документация. Требования к оформлению документов"

Откуда пришли сферы деятельности КИИ?

     Формулировка "субъект КИИ" в 187-ФЗ породила множество толкований и рассуждений. Недоумение вызывают как ограниченность сфер деятельности, так и их наименования.                   Особенно меня заинтересовало отсутствие сферы деятельности "Информационные технологии" при наличии сферы деятельности "Связь".  А ведь 187-ФЗ прямо указывает, что нацелен на обеспечение безопасности КИИ от компьютерных атак. Но по формулировкам 187-ФЗ получается, что большинство ИТ-компаний не являются субъектами КИИ.

Невозможно разделить частную и трудовую жизнь

    Вопрос о возможности быть"независимым экспертом" и выражать в интернете собственное мнение, никак не связанное с  местом работы не нов и довольно распространен среди блогеров.
   Так же есть и обратная проблема, когда на рабочем месте осуществляется личная активность в интеренете, что очень интересно рассказал на Positive Hack Days 8  М. Емельянников в докладе "Личная жизнь на рабочем месте"
https://valerykomarov.blogspot.com/2018/05/positive-hack-days-8.html 
    Получил еще одно подтверждение, что в современном мире невозможно разделить частную и трудовую деятельность:
     Действия судей в социальных сетях — комментирование чужих постов, выражение поддержки лайками и добавление «в друзья» — могут быть неверно истолкованы обществом, предупреждает глава Совета судей России
     Судьи должны помнить о своем высоком статусе, «вести себя достойно» даже в личной переписке и проявлять осторожность, комментируя чужие публикации или выражая поддержку «лайками каким-либо постам в социальных сетях». Такое мнение выразил председатель Совета судей России Виктор Момотов на заседании Клуба им. Дмитрия Замятнина, созданного для развития судебной системы в России, передает «Интерфакс».

    «Судьи должны с осторожностью лайкать посты, так как подобное действие может быть интерпретировано обществом как одобрение всей смысловой нагрузки, которая прямо или косвенно связана с соответствующим материалом», — сказал Момотов, отметив, что даже в личной переписке суди должны себя вести «достойно».

    По его словам, судьи также не должны забывать, что законодательство и нормы этики запрещают им консультировать по правовым вопросам.

https://www.rbc.ru/society/06/06/2018/5b181dcf9a794709374c9ca4?from=newsfeed


* Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

Больше штрафов за ПДН, еще больше

    Так как статья 13.11 за РКН, то проверятся будет только наличие бумажных процессов. Готовимся "обкладываться" допсоглашениями к операторским договорам, писать положения об осуществлении контроля и составлять планы проверок...
    Есть "бумажка" - молодец, нет - получи штрафчик. Очень напоминает требование о проверке оператором ПДн подлинности субъекта ПДн, который вводит свои ПДн на сайте организации.https://valerykomarov.blogspot.com/2018/03/blog-post_20.html

http://regulation.gov.ru/projects#npa=81274

ФЕДЕРАЛЬНЫЙ ЗАКОН

«О внесении изменений в статью 13.11 Кодекса Российской Федерации об административных правонарушениях»

Статью 13.11 Кодекса Российской Федерации об административных правонарушениях (Собрание законодательства Российской Федерации, 2002, № 1, ст. 1; 2007, № 26, ст. 3089; 2017, № 7, ст. 1032) дополнить частями 8 и 9 следующего содержания:

«8. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности осуществления надлежащего контроля за действиями лица, осуществляющего обработку персональных данных по поручению оператора, –

влечет предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до двух тысяч рублей; на должностных лиц – от трех тысяч до шести тысяч рублей; на индивидуальных предпринимателей – от пяти тысяч до десяти тысяч рублей; на юридических лиц – от десяти тысяч до тридцати тысяч рублей.

9. Нарушение лицом, осуществляющим обработку персональных данных по поручению оператора, требований законодательства Российской Федерации в области персональных данных –

влечет наложение административного штрафа на оператора, поручившего этому лицу обработку персональных данных: на граждан в размере от трех тысяч до пяти тысяч рублей; на должностных лиц – от пяти тысяч до пятнадцати тысяч рублей; на индивидуальных предпринимателей – от десяти тысяч до двадцати тысяч рублей; на юридических лиц – от пятнадцати тысяч до тридцати тысяч рублей.».

ПОЯСНИТЕЛЬНАЯ ЗАПИСКА

к проекту федерального закона

«О внесении изменений в статью 13.11 Кодекса Российской Федерации об административных правонарушениях»

Проект федерального закона «О внесении изменений в статью 13.11 Кодекса Российской Федерации об административных правонарушениях» (далее – законопроект) подготовлен во исполнение поручения Президента Российской Федерации В.В. Путина от 26 апреля 2017 г. № Пр-806 по вопросу повышения информационной безопасности государственных информационных систем в Российской Федерации, а также в соответствии с поручением Первого Заместителя Председателя Правительства Российской Федерации И.И. Шувалова от 28 апреля 2017 г. № ИШ-П10-2757 в целях повышения защищенности персональных данных граждан Российской Федерации при осуществлении обработки персональных данных лицом, действующим по поручению оператора.  

 Законопроектом предусматривается установление ответственности оператора за действия лиц, осуществляющих обработку персональных данных по его поручению.

Законопроект соответствует положениям Договора о Евразийском экономическом союзе ‎от 29 мая 2014 года, а также положениям иных международных договоров Российской Федерации, и не повлияет на индикаторы государственных программ Российской Федерации и их результаты.

Принятие и реализация законопроекта не потребует дополнительных расходов бюджетов бюджетной системы Российской Федерации.

* Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

ПП по биометрии в ЕИСПДн

    Больше всего меня удивила смена закона, на основании которого разработан ПП РФ.

   Опубликован доработанный по итогам общественного обсуждения проект постановления Правительства РФ с измененным наименованием «Об определении состава сведений, размещаемых в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации, включая вид биометрических персональных данных, а также о внесении изменений в некоторые акты Правительства Российской Федерации».
http://regulation.gov.ru/projects#npa=78595

Как ИБ может повлиять на трудовые споры

Пленум ВС дал разъяснения по конкретной области трудовых отношений, но в них закреплен важный принцип "При разрешении вопроса, имелись ли между сторонами трудовые отношения, суд в силу статей 55, 59 и 60 ГПК РФ вправе принимать любые средства доказывания, предусмотренные процессуальным законодательством.".

     При наличии ИБ у работодателя, такими "следами" могут оказаться заявки на создание учетной записи, предоставления доступа к информационным ресурсам, СКУД и т.д.
     Я сталкивался с ситуацией, когда надзорные органы требовали у работодателя подтверждение реальности существования трудовых отношений по договору ГПХ  и правомерности оплаты "удаленному" работнику в форме журнала регистрации активности учетной записи. И работодатель не смог доказать, что работник выполнил уже оплаченный объем работ, указанный в договоре ГПХ. Что привело к существенному изменению жизненных условий у директора организации.

Основания возникновения трудовых отношений
и порядок их оформления

     Постановление Пленума Верховного Суда РФ от 29.05.2018 N 15 "О применении судами законодательства, регулирующего труд работников, работающих у работодателей - физических лиц и у работодателей - субъектов малого предпринимательства, которые отнесены к микропредприятиям"

Чудеса с ЗИ в медицине

     Да сколько же у нас регуляторов по защите информации?
     Теперь и Минздрав установил  свои правила по защите информации. Интересно, а  кто будет надзор осуществлять за их выполнением?
Постановление Правительства РФ от 12.04.2018 N 447

КСИИ уходит в забвение

       Постепенно убирают упоминания КСИИ в нормативных актах  и приводят их в соответствие с действующим законодательством по КИИ.

Почему так важны сферы деятельности организации в части 187-ФЗ

 

   
     Очень часто в спорах об идентификации субъектов КИИ используется аргумент про сферы деятельности организации, включая лицензируемые виды деятельности.
    Казалось бы, причем здесь сферы деятельности организации, когда в 187-ФЗ определение субъекта КИИ дается через сферы деятельности объекта (ИС, АСУ)?

И снова про "процессы" в КИИ

      

     При обсуждении предложенного мной алгоритма категорирования для субъекта КИИ https://valerykomarov.blogspot.com/2018/05/blog-post_30.html в Фейсбуке, возникла очень острая дискуссия. Мои оппоненты выдвинули два тезиса:

1. Определять обьекты необходимо "от процессов",а не от инвентаризации ИС.

2. Не все ИС требуют категорирования, а только  те, "которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов".