Согласно ст. 9.5 ФЗ-294 надзорный орган (в нашем случае ФСТЭК) обязан разместить у себя на сайте план проведения плановых проверок, который перед этим должен быть отправлен в прокуратуру до 1-го ноября. До 31-го декабря сводный план проверок должен быть вывешен на сайте Генпрокуратуры. Пока план проверок на 2010 год опубликован на сайте только у Роскомнадзора. Если ФСТЭК не отправила свой план в прокуратуру, то возникает вопрос, насколько они правомочны будут осуществлять проверки в будущем году?
Я стараюсь в последнее время не писать о законодательстве
На Магнитке традиционно проводилась закрытая сессия
Чтобы плавно войти в рабочий ритм, традиционно публикую
Спецоперация спецоперацией, а нормативка по расписанию.
Последние недели в СМИ стала раскручиваться история
Что-то подзатянул я с выпуском дайджеста —
ч.5 ст.9 294-ФЗ
"…в сети "Интернет" либо иным доступным способом."
Способ найдем, не переживайте.
ч.6 и ч.7 ст.9 294-ФЗ, это которые "..до 1 ноября.. и до 31 декабря..", вступают в силу с 1 января 2010 года в соответствии частью 2 статьи 27.
Поэтому у нас (у ФСТЭК) в 2010 году пока всё будет оки-доки..
С нетерпением по предстоящим проверкам,
КАРАЮЩАЯ ДЛАНЬ ФСТЭК ;-D
Снова вместо того чтобы стараться совместно найти лучшие решения по подготовке к проверкам, Вы пытаетесь найти мелкие нестыковки в законодательстве.
Если Вы и сумеете доказать непровомерность проверки пришедшего регулятора в силу своей сверхпродвинутости, то 99,999% других операторов этого сделать не смогут. Потому тема не имеет никакого смысла, кроме как пофлудить и поплакаться о тяжелой жизни и о нехороших регуляторах.
Гораздо эффективнее обсуждать такие темы более плотно и приходить к общему пониманию
http://lukatsky.blogspot.com/2009/10/blog-post_03.html
> Поэтому у нас (у ФСТЭК) в 2010 году пока всё будет оки-доки..
В проекте Минкомсвязи предлагается перенос на 2 года 😉
> вместо того чтобы стараться совместно найти лучшие решения по подготовке к проверкам
Не наблюдаю готовности регуляторов в осуществлении этого процесса.
Для совместной работы нужна обратная связь с регулятором — а вот именно ее и не наблюдается…
Хотя, IMO, лучше организовать не процесс подготовки к проверкам, а процесс выработки реально работающей системы защиты информации (и не только во области ПДн)…
>реально работающей системы защиты >информации (и не только во области ПДн).
Так и давайте это обсуждать а не готовность регуляторов. Не наши это проблемы!
ФСТЭК сможет! Только ему сейчас не до юр и физ лиц, у него своих проверок выше крыши. А по перс данным я думаю специалисты ФСТЭК если и будут учавствовать, то в составе комиссии от РКН. Тема наверное менее актуальна, чем предыдущие. Потому что надо защищаться, а не ждать проверки.
Чем, кстати, все и занимаются. 🙂
"Потому что надо защищаться, а не ждать проверки. Чем, кстати, все и занимаются. :-)"
Отжиг дня, однако. IMHO требования ФСТЭК и защита — вещи непересекающиеся 🙂
to toparenko
>Для совместной работы нужна обратная связь с регулятором — а вот именно ее и не наблюдается…
Кстати опять же гон..
Здесь к примеру http://ispdn.ru/forum/ отвечают представители фстэк в том числе. И вы то это прекрасно знаете т.к. сами туда пишите!
К сожалению на форуме Роскомнадзора представители регулятора практически и не отвечают.
Там идет в основном диалог заинтересованных сотрудников (скорее всего работников операторов ПДн).
Высказываются свои мнения, а не позиция регулятора.
А как нормального диалога с регуляторами не было, так и нет в настоящее время.
2Анонимный: на форуме частное мнение сотрудников ФСТЭК, на которое нельзя опираться, так обычно два сотрудника — три мнения 🙁
ИМХО, toparenko имел ввиду публичное обсуждение требований, до их утвеждения.
to kreol
to Станислав
Да ладно вам..
Где должно проходить такое обсуждение?
ИМХО и так количество семинаров с участием регуляторов в том числе зашкаливает
типа такого
http://www.cnews.ru/news/line/index.shtml?2009/11/05/368563
или такого
http://it.pro-linia.r/programme.php
>2Анонимный: на форуме частное мнение сотрудников ФСТЭК, на которое нельзя опираться, так обычно два сотрудника — три мнения 🙁
Что мешает вам сформировав свое мнение обсудить свое понимание ЗАРАНЕЕ с представителем РСН- тем самым человеком что будет вас проверять- и понять как он понимает требования фстэк??
Только не говорите что такую встречу не организовать!
Было бы желание
Анонимный пишет…
>Так и давайте это обсуждать а не готовность регуляторов. Не наши это проблемы!
На банкире я предлагал ФСБ организовать, но предложение не принято:
1. Переработке подвергнуть весь пакет документов (как существующих, так и готовящихся к выходу)
2. Организовать экспертный совет, с обязательной обратной связью от представителей ФСБ, по переработке пакета документов. Желательно в виде открытого или полузакрытого форума (думаю можно даже на площадке, предложенной или предоставленной ФСБ)
3. Отложить издание нормативных документов до выработки консолидированного варианта пакета документов.
Готова ли ФСТЭК к подобному обсуждению?
>Кстати опять же гон..
>Здесь к примеру http://ispdn.ru/forum/ отвечают представители фстэк в том числе. И вы то это прекрасно знаете т.к. сами туда пишите!
Это не обратная связь, а "частное мнение по желанию": захотите — ответите, захотите — не ответите…
В данном же вопросе необходимо полноценное обсуждение позиций и предложений всех сторон (в том числе уполномоченных лиц со сторноы регуляторов).
Анонимный пишет…
>Что мешает вам сформировав свое мнение обсудить свое понимание ЗАРАНЕЕ с представителем РСН- тем самым человеком что будет вас проверять- и понять как он понимает требования фстэк??
Только не говорите что такую встречу не организовать!
Вообще-то вопросы техзащиты находятся вне компетенции Роскомнадзора. Т.ч. смысла в предлагаемом Вами не вижу…
Тем более, что пока нечего с Роскомнадзором обсуждать — документы не вступили в силу и имеется уже третья (скорее всего не окончательная) редакция пожеланий ФСТЭК
>В данном же вопросе необходимо полноценное обсуждение позиций и предложений всех сторон (в том числе уполномоченных лиц со сторноы регуляторов).
Кто определяет ПОЛНОЦЕННОСТЬ обсуждения?
Любое обсуждение с неким лицом(лицами)будет выражать ЧАСТНОЕ мнение (виденье закона)этого лица!
Понимайте закон как у вас получается и уточняйте это понимание со своим РСН.. теми людьми кто будет проверять именно ВАС.
Никто не спорит, что жизнь несовершенна, но нечего ахать по этому поводу. Ситуация не изменится и надо не переживать из-за этого, а думать как решить задачу (пройти проверку) с минимальными потерями как для себя так и своей организации.. кому уж что важнее
>Где должно проходить такое обсуждение?
>ИМХО и так количество семинаров с участием регуляторов в том числе зашкаливает
А может вспомнить Софтлайновский семинар 23.09.09 и пленарное заседание Инфофорума? 😉
Или Парламентские слушания в Думе?..
>А может вспомнить Софтлайновский семинар 23.09.09 и пленарное заседание Инфофорума? 😉
Или Парламентские слушания в Думе?..
Ну можно и это вспомнить. Только знаете что..Мы можем не исполнять закон только когда его ОТМЕНЯТ или хотя бы ПЕРЕНЕСУТ срок. Все остальное благие пожелания
>Вообще-то вопросы техзащиты находятся вне компетенции Роскомнадзора. Т.ч. смысла в предлагаемом Вами не вижу…
Удивляюсь я. РАЗРАБОТКА документов по техзащите вне компетенции РСН, а проверка их ИСПОЛНЕНИЯ??? Что будут проверять и что они хотят видеть (РСН), то видимо и есть их позиция. Ну а кроме техзащиты есть еще и нормативная часть..
>Тем более, что пока нечего с >Роскомнадзором обсуждать — документы не вступили в силу и имеется уже третья (скорее всего не окончательная) редакция пожеланий ФСТЭК
Да? А что мы во фстэк за деньги покупаем тогда?
На моем экз. написано Утверждены зам.директора ФСТЭК России 15.02.2008 г.
И еще.. Может тем кого будут проверять в январе-марте 2010 года так и сказать — не вступили мол в силу доки ваши, идите лесом. приходите когда вступят. Так что ли?
>Любое обсуждение с неким лицом(лицами)будет выражать ЧАСТНОЕ мнение (виденье закона)этого лица!
>Понимайте закон как у вас получается и уточняйте это понимание со своим РСН.. теми людьми кто будет проверять именно ВАС.
"Допрыгались"…
Закон, на то и Закон, что понимать все должны однозначно. В противном случае это банальная "коррупционная схема".
>Ситуация не изменится и надо не переживать из-за этого, а думать как решить задачу (пройти проверку) с минимальными потерями как для себя так и своей организации.. кому уж что важнее
Мда…
В "прошлой жизни" (на "государевой" службе) я вообще-то "нещадно драл" за попытки "сдать проверку" вместо реальной работы по защите…
"Профанация рулит"…
to toparenko
>В "прошлой жизни" (на "государевой" службе) я вообще-то "нещадно драл" за попытки "сдать проверку" вместо реальной работы по защите…
"Профанация рулит"…
Вроде обсуждали уже и пришли к печальному итогу, что наши законы направлены скорее не защиту ПДн, а на выполнение требований регуляторов? Или Вы не согласны?
Так чего теперь удивляться?
>"Допрыгались"…
Закон, на то и Закон, что понимать все должны однозначно. В противном случае это банальная "коррупционная схема".
Ваши предложения? Только кроме — а давайте посмотрим имеют ли они право приходить к нам, имеют ли они право проверять нас? и прочие — а ты кто такой.. (
> Да? А что мы во фстэк за деньги покупаем тогда?
Вы или у Вас? 😉
>На моем экз. написано Утверждены зам.директора ФСТЭК России 15.02.2008 г.
Во-во 😉
Смотрим ПП1009-1997:
9. …
Нормативные правовые акты подписываются (утверждаются) руководителем федерального органа исполнительной власти или лицом, исполняющим его обязанности.
Там еще несколько пунктов есть, которые не выполнены 😉
>И еще.. Может тем кого будут проверять в январе-марте 2010 года так и сказать — не вступили мол в силу доки ваши, идите лесом. приходите когда вступят. Так что ли?
Все зависит от принимающей стороны и результатов проверки 😉
Будет устраивающий результат — промолчат.
Будет дешевле опротестовать проверку — получите особое мнение и иск. в суд за предъявление требований не подлежащих применению по п.19 ПП1009-1997:
19. …
При нарушении указанных требований нормативные правовые акты, как не вступившие в силу, применяться не могут.
Т.ч. тем самым Вы сами себе закладываете уязвимость…
Увы… Но это действительно не будет иметь ничего общего с попыткой установления защиты персональных данных…
> Ваши предложения? Только кроме — а давайте посмотрим имеют ли они право приходить к нам, имеют ли они право проверять нас? и прочие — а ты кто такой..
См. выше:
1. Переработке подвергнуть весь пакет документов (как существующих, так и готовящихся к выходу)
2. Организовать экспертный совет, с обязательной обратной связью от представителей регуляторов, по переработке пакета документов. Желательно в виде открытого или полузакрытого форума (думаю можно даже на площадке, предложенной или предоставленной регуляторами)
3. Отложить издание нормативных документов до выработки консолидированного варианта пакета документов.
По п.2: если не можете сами предложить такую площадку, для обсуждения — можно организовать ее на базе razved.info или другой какой-нибудь
>Вы или у Вас? 😉
Мы! Если вы меня причислили к фстэковцам или даже к им симпатизирующим то это неверно. Одно мое получение доков от фстэк – отдельный опус, который сформировал мое мнение об этой организации. Но другого фстэка у нас нет- вот ведь в чем дело! Потому живем с чем есть.
Смотрим ПП1009-1997:
9. …
>Нормативные правовые акты подписываются (утверждаются) руководителем федерального органа исполнительной власти или лицом, исполняющим его обязанности.
Ну опять за рыбу гроши! Это довод чтоб это не выполнять? Несерьезно и вы это сами знаете лучше меня.
>>Все зависит от принимающей стороны и результатов проверки 😉
Будет устраивающий результат — промолчат.
Будет дешевле опротестовать проверку — получите особое мнение и иск. в суд за предъявление требований не подлежащих применению по п.19 ПП1009-1997:
19. …
При нарушении указанных требований нормативные правовые акты, как не вступившие в силу, применяться не могут.
Тоже не разговор(. Кто полезет в разборки с госорганом?
Допустим даже Они скажут — хорошо, ок.. и найдут замечания по основной деятельности.. по связи скажем. Так в РФ с органами себя не ведут руководители организаций)
Мы с вами можем, руководители — нет.
6 Ноябрь 2009 г. 14:34
toparenko пишет…
> Ваши предложения? Только кроме — а давайте посмотрим имеют ли они право приходить к нам, имеют ли они право проверять нас? и прочие — а ты кто такой..
См. выше:
1. Переработке подвергнуть весь пакет документов (как существующих, так и готовящихся к выходу)
По п.2: если не можете сами предложить такую площадку, для обсуждения — можно организовать ее на базе razved.info или другой какой-нибудь
Были Рекомендации парламентских слушаний – лучшего нам не придумать. Остается ждать итогов, может что то будет до конца года. А пока делать то что можно уже сейчас, хотя бы нормативную базу. А не обсуждать такие пустые темы с которой вся эта беседа началась
>Мы! Если вы меня причислили к фстэковцам или даже к им симпатизирующим то это неверно.
Если посмотрите в начало ветки — поймете почему отнесли к ФСТЭК-овцам 😆
Вы хоть как-то себя идентифицируйте, чтоб не путали 😉
>Тоже не разговор(. Кто полезет в разборки с госорганом?
Я же сказал, что вопрос цены.
Вон МТС с Роскомнадзором "бодалась" и не всегда безуспешно 😉
>Были Рекомендации парламентских слушаний – лучшего нам не придумать.
А кто сказал, что эти Парламенские слушания появились из "вакуума"?
>Остается ждать итогов, может что то будет до конца года.
Ага. 😉
И пропускать встречные информационные волны типа этой или этой.
Совпадение или нет, но 3.11.09 акции ВТБ на 6% упали
Встречался я и с ФСТЭКовцами и РКНовцами и обащлся с ними. Не готовы они на контакт и помощь.
Регуляторы не хотят ничего менять. Ни РКН (которому сложнее изменить ФЗ), ни ФСТЭК (которому проще поменять свои требования). Они также не готовы рекомендовать что-то, чтобы улучшить жизнь операторов ПДн.
Даже если они и понимают, что текущие требования не всегда выполнимы, они говорят — мы ничего не будем менять, но мы вам советуем творчески подойти к решению насущных задач. И это государственный подход? Это формирование условий для наполнении кормушки. И поскольку менять свое отношение регуляторы не хотят, то и возникает желание послать их в сад, чтобы не увеличивать свои затраты без реального повышения уровня защищенности.
to toparenko
>Если посмотрите в начало ветки — поймете почему отнесли к ФСТЭК-овцам 😆
Не .. первый анонимный не я)
to toparenko
to Алексей
>Я же сказал, что вопрос цены.
Вон МТС с Роскомнадзором "бодалась" и не всегда безуспешно 😉
>послать их в сад
Да позиция то ваша понятна и разделяема.. мною в том числе..
НО.. чтобы так сделать надо иметь позицию руководства и юристов такую!
Если же их позиция НЕ вступать в конфликты с госорганами.. дабы по основной деятельности не было претензий.. то предлагаемые сценарии нереализуемы!
Кстати.. чего про это думаете?
Провокация? )))
http://www.gzt.ru/Gazeta/first-page/270590.html