С 01.07.2018 ГОСТ Р 6.30-2003 "УНИФИЦИРОВАННАЯ СИСТЕМА ОРГАНИЗАЦИОННО-РАСПОРЯДИТЕЛЬНОЙ ДОКУМЕНТАЦИИ.Требования к оформлению документов" прекращает свое действие и вступает в силу новый национальный стандарт РФ ГОСТ Р 7.0.97-2016 "Организационно-распорядительная документация. Требования к оформлению документов"
Блог о нюансах и особенностях законодательства в области информационной безопасности
пятница, 29 июня 2018 г.
среда, 27 июня 2018 г.
Откуда пришли сферы деятельности КИИ?
Формулировка "субъект КИИ" в 187-ФЗ породила множество толкований и рассуждений. Недоумение вызывают как ограниченность сфер деятельности, так и их наименования. Особенно меня заинтересовало отсутствие сферы деятельности "Информационные технологии" при наличии сферы деятельности "Связь". А ведь 187-ФЗ прямо указывает, что нацелен на обеспечение безопасности КИИ от компьютерных атак. Но по формулировкам 187-ФЗ получается, что большинство ИТ-компаний не являются субъектами КИИ.
пятница, 22 июня 2018 г.
Невозможно разделить частную и трудовую жизнь
Вопрос о возможности быть"независимым экспертом" и выражать в интернете собственное мнение, никак не связанное с местом работы не нов и довольно распространен среди блогеров.
Так же есть и обратная проблема, когда на рабочем месте осуществляется личная активность в интеренете, что очень интересно рассказал на Positive Hack Days 8 М. Емельянников в докладе "Личная жизнь на рабочем месте"
https://valerykomarov.blogspot.com/2018/05/positive-hack-days-8.html
Получил еще одно подтверждение, что в современном мире невозможно разделить частную и трудовую деятельность:
Действия судей в социальных сетях — комментирование чужих постов, выражение поддержки лайками и добавление «в друзья» — могут быть неверно истолкованы обществом, предупреждает глава Совета судей России
Судьи должны помнить о своем высоком статусе, «вести себя достойно» даже в личной переписке и проявлять осторожность, комментируя чужие публикации или выражая поддержку «лайками каким-либо постам в социальных сетях». Такое мнение выразил председатель Совета судей России Виктор Момотов на заседании Клуба им. Дмитрия Замятнина, созданного для развития судебной системы в России, передает «Интерфакс».
«Судьи должны с осторожностью лайкать посты, так как подобное действие может быть интерпретировано обществом как одобрение всей смысловой нагрузки, которая прямо или косвенно связана с соответствующим материалом», — сказал Момотов, отметив, что даже в личной переписке суди должны себя вести «достойно».
По его словам, судьи также не должны забывать, что законодательство и нормы этики запрещают им консультировать по правовым вопросам.
https://www.rbc.ru/society/06/06/2018/5b181dcf9a794709374c9ca4?from=newsfeed
* Все новости блога на публичном Telegram-канале t.me/ruporsecurite
среда, 20 июня 2018 г.
Больше штрафов за ПДН, еще больше
Так как статья 13.11 за РКН, то проверятся будет только наличие бумажных процессов. Готовимся "обкладываться" допсоглашениями к операторским договорам, писать положения об осуществлении контроля и составлять планы проверок...
Есть "бумажка" - молодец, нет - получи штрафчик. Очень напоминает требование о проверке оператором ПДн подлинности субъекта ПДн, который вводит свои ПДн на сайте организации.https://valerykomarov.blogspot.com/2018/03/blog-post_20.html
http://regulation.gov.ru/projects#npa=81274
ФЕДЕРАЛЬНЫЙ ЗАКОН
«О внесении изменений в статью 13.11 Кодекса Российской Федерации об административных правонарушениях»
Статью 13.11 Кодекса Российской Федерации об административных правонарушениях (Собрание законодательства Российской Федерации, 2002, № 1, ст. 1; 2007, № 26, ст. 3089; 2017, № 7, ст. 1032) дополнить частями 8 и 9 следующего содержания:
«8. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности осуществления надлежащего контроля за действиями лица, осуществляющего обработку персональных данных по поручению оператора, –
влечет предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до двух тысяч рублей; на должностных лиц – от трех тысяч до шести тысяч рублей; на индивидуальных предпринимателей – от пяти тысяч до десяти тысяч рублей; на юридических лиц – от десяти тысяч до тридцати тысяч рублей.
9. Нарушение лицом, осуществляющим обработку персональных данных по поручению оператора, требований законодательства Российской Федерации в области персональных данных –
влечет наложение административного штрафа на оператора, поручившего этому лицу обработку персональных данных: на граждан в размере от трех тысяч до пяти тысяч рублей; на должностных лиц – от пяти тысяч до пятнадцати тысяч рублей; на индивидуальных предпринимателей – от десяти тысяч до двадцати тысяч рублей; на юридических лиц – от пятнадцати тысяч до тридцати тысяч рублей.».
ПОЯСНИТЕЛЬНАЯ ЗАПИСКА
к проекту федерального закона
«О внесении изменений в статью 13.11 Кодекса Российской Федерации об административных правонарушениях»
Проект федерального закона «О внесении изменений в статью 13.11 Кодекса Российской Федерации об административных правонарушениях» (далее – законопроект) подготовлен во исполнение поручения Президента Российской Федерации В.В. Путина от 26 апреля 2017 г. № Пр-806 по вопросу повышения информационной безопасности государственных информационных систем в Российской Федерации, а также в соответствии с поручением Первого Заместителя Председателя Правительства Российской Федерации И.И. Шувалова от 28 апреля 2017 г. № ИШ-П10-2757 в целях повышения защищенности персональных данных граждан Российской Федерации при осуществлении обработки персональных данных лицом, действующим по поручению оператора.
Законопроектом предусматривается установление ответственности оператора за действия лиц, осуществляющих обработку персональных данных по его поручению.
Законопроект соответствует положениям Договора о Евразийском экономическом союзе от 29 мая 2014 года, а также положениям иных международных договоров Российской Федерации, и не повлияет на индикаторы государственных программ Российской Федерации и их результаты.
Принятие и реализация законопроекта не потребует дополнительных расходов бюджетов бюджетной системы Российской Федерации.
* Все новости блога на публичном Telegram-канале t.me/ruporsecurite
* Все новости блога на публичном Telegram-канале t.me/ruporsecurite
понедельник, 18 июня 2018 г.
ПП по биометрии в ЕИСПДн
Больше всего меня удивила смена закона, на основании которого разработан ПП РФ.
Опубликован доработанный
по итогам общественного обсуждения проект постановления
Правительства РФ с измененным наименованием «Об определении состава сведений, размещаемых в единой информационной
системе персональных данных, обеспечивающей обработку, включая сбор и хранение
биометрических персональных данных, их проверку и передачу информации о степени
их соответствия предоставленным биометрическим персональным данным гражданина
Российской Федерации, включая вид биометрических персональных данных, а также о
внесении изменений в некоторые акты Правительства Российской Федерации».
http://regulation.gov.ru/projects#npa=78595
http://regulation.gov.ru/projects#npa=78595
пятница, 15 июня 2018 г.
Как ИБ может повлиять на трудовые споры
Пленум ВС дал разъяснения по конкретной области трудовых отношений, но в них закреплен важный принцип "При разрешении вопроса, имелись ли между сторонами трудовые отношения, суд в силу статей 55, 59 и 60 ГПК РФ вправе принимать любые средства доказывания, предусмотренные процессуальным законодательством.".
При наличии ИБ у работодателя, такими "следами" могут оказаться заявки на создание учетной записи, предоставления доступа к информационным ресурсам, СКУД и т.д.
Я сталкивался с ситуацией, когда надзорные органы требовали у работодателя подтверждение реальности существования трудовых отношений по договору ГПХ и правомерности оплаты "удаленному" работнику в форме журнала регистрации активности учетной записи. И работодатель не смог доказать, что работник выполнил уже оплаченный объем работ, указанный в договоре ГПХ. Что привело к существенному изменению жизненных условий у директора организации.
Основания возникновения трудовых отношений
и порядок их оформления
Постановление Пленума Верховного Суда РФ от 29.05.2018 N 15 "О применении судами законодательства, регулирующего труд работников, работающих у работодателей - физических лиц и у работодателей - субъектов малого предпринимательства, которые отнесены к микропредприятиям"
среда, 13 июня 2018 г.
пятница, 8 июня 2018 г.
среда, 6 июня 2018 г.
понедельник, 4 июня 2018 г.
И снова про "процессы" в КИИ
При обсуждении предложенного мной алгоритма категорирования для субъекта КИИ https://valerykomarov.blogspot.com/2018/05/blog-post_30.html в Фейсбуке, возникла очень острая дискуссия. Мои оппоненты выдвинули два тезиса:
1. Определять обьекты необходимо "от процессов",а не от инвентаризации ИС.
2. Не все ИС требуют категорирования, а только те, "которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов".
Подписаться на:
Сообщения (Atom)
-
Довольно примечательная статья от региональных юристов. Недостатки правового характера в ст.274.1 УК РФ, "подсвеченные" в 20...
-
ФСТЭК радостно отчиталась об импортозамещении своего офисного ПО и обязала субъекты КИИ предоставлять электронные коп...
-
В 187-ФЗ задана сущность субъекта КИИ через туманное - «которые обеспечивают взаимодействия объектов КИИ». Наиболее важна пр...