следующая тема »

[Igor Michailov]

В организации обрабатывающей конфиденциальную информацию, должны быть выполнены требования СТР-К гостехкомиссии.

А где это написано?

[korsar]

Т.е Вы хотите сказать, что напрямую ни в каких федеральных актах это не прописано? И следовательно их выполнение не обязательно? Вообще-то меня этот вопрос живо интекресует - я не юрист, но занимаюсь технической защитой информации, до этого служил в МВД, занимался IT в том числе и защитой.
Но так ведь и на гостайну можно внимание не обращать, где прописано  обязательное вып-е СТР для гостайны?
А разве инструкции, например, той же таможни или ФНС не обязательны для исполнения, хотя ссылка на них в ФЗ также отсутствует?
Это не в смысле спора, а ради познания истины

[Igor Michailov]

Я хочу сказать, что поиск по всей правовой базе законодательства РФ съедает много драгоценного времени. По возможности, делайте прямые ссылки на  законодательство (хотя-бы: закон такой-то пункт такой-то). Так будет понятнее всем участникам форума о чем Вы говорите.

[CyberCop]

По возможности, делайте прямые ссылки на  законодательство (хотя-бы: закон такой-то пункт такой-то). Так будет понятнее всем участникам форума о чем Вы говорите.

Поддерживаю! Честно говоря, я тоже "не врубился" в заданный вопрос...

[korsar]

Извиняюсь, тогда не понял вопроса.
Это нормативно-методический документ "Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К). Утвержден приказом по Гостехкомиссии России от 30 августа 2002г №282 (имеет гриф ДСП). Такие же СТР имеются и для гостайны.
Прописывается порядок организации работ и требования по обеспечению техзащиты информации с ограниченным доступом.
Требования распространяются на защиту государственных информационных ресурсов (при защите некриптогафическими методами), направленными на предотвращение утечки информации по техканалам, от НСД и спецвоздействий.
При негосударственных ресурсах -комерческая и банковская тайна носят рекомендательный характер.
Насколько понимаю  - охрана персональных данные (их защита), прописана в ФЗ и значит их выполнение обязательно в данном случае.
Поскольку документ грифованный в правовых системах (по крайней мере в стандартных комплектациях) его нет.
В инете, насколько знаю, выкладывли проект документа, но сам не видел, пользуюсь оригиналом на бумажном носителе.

[Igor Michailov]

Организация в данном случае коммерческая и приведенный Вами законодательный акт на них не распространяется.

[korsar]

А как же
Закон о связи
Статья 53. Базы данных об абонентах операторов связи
1. Сведения об абонентах и оказываемых им услугах связи, ставшие известными операторам связи в силу исполнения договора об оказании услуг связи, являются конфиденциальной информацией и подлежат защите в соответствии с законодательством Российской Федерации.

Т.е в соответствии с ст11 закона 24-ФЗ от 95г (Об инф-и и т.д.) этим законом данная "база" включена в состав федерального информационного ресурса и подлежит сответствующей защите, независимо  от того какого вида собственности организация ее ведет
Или я не прав?

[CyberCop]

А как же
Закон о связи
Статья 53. Базы данных об абонентах операторов связи
1. Сведения об абонентах и оказываемых им услугах связи, ставшие известными операторам связи в силу исполнения договора об оказании услуг связи, являются конфиденциальной информацией и подлежат защите в соответствии с законодательством Российской Федерации.

Т.е в соответствии с ст11 закона 24-ФЗ от 95г (Об инф-и и т.д.) этим законом данная "база" включена в состав федерального информационного ресурса и подлежит сответствующей защите, независимо  от того какого вида собственности организация ее ведет
Или я не прав?

Вы правы! Михайлов Игорь Юрьевич "дал маху"...
В соответствии с Указами Президента РФ и Положением о государственной технической комиссии при Президенте РФ, она является органом государственной исполнительной власти в области защиты информации и ее решения обязательны к исполнению всеми физическими и юридическими лицами.

[Igor Michailov]

Сообщение от korsar:

"При негосударственных ресурсах -комерческая и банковская тайна носят рекомендательный характер."

Т.е. получается, что информация конфиденциальная (спору нет), но защищать ее наше государство коммерческие структуры не обязует а только рекомендует.

А Вы говорите, что это я дал маху.  

Минздрав , например, рекомендует не курить табак и что -  кого-то покарали за нарушение этой рекомендации?  

[CyberCop]

Сообщение от korsar:
"При негосударственных ресурсах -комерческая и банковская тайна носят рекомендательный характер."

Т.е. получается, что информация конфиденциальная (спору нет), но защищать ее наше государство коммерческие структуры не обязует а только рекомендует.

А Вы говорите, что это я дал маху.  

Трудно себе представить коммерческую и банковскую тайну, которые не содержат персональных данных о клиентах и сотрудниках коммерческих организаций.

Инспектора Спеццентров Гостехкомиссии РФ, составляя календарный план проверки физических и юридических лиц, работающих с такой "инфой", это тоже знают...

ФЗ "Об информации...":
Статья 21. Защита информации
1. Защите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу.

Режим защиты информации устанавливается:
в отношении конфиденциальной документированной информации - собственником информационных ресурсов или уполномоченным лицом на основании настоящего Федерального закона;
в отношении персональных данных - Федеральным законом.

2. Органы государственной власти и организации, ответственные за формирование и использование информационных ресурсов, подлежащих защите, а также органы и организации, разрабатывающие и применяющие информационные системы и информационные технологии для формирования и использования информационных ресурсов с ограниченным доступом, руководствуются в своей деятельности законодательством Российской Федерации.

3. КОНТРОЛЬ за соблюдением требований к защите информации и эксплуатацией специальных программно-технических средств защиты, а также обеспечение организационных мер защиты информационных систем, обрабатывающих информацию с ограниченным доступом В НЕГОСУДАРСТВЕННЫХ СТРУКТУРАХ, осуществляются органами государственной власти (ЧИТАЙ ГОСТЕХКОМИССИЯ И СВЯЗЬНАДЗОР). Контроль осуществляется в порядке, определяемом Правительством Российской Федерации.