Контакты
Подписка
МЕНЮ
Контакты
Подписка

Документы по ИБ - Форум по вопросам информационной безопасности

Документы по ИБ - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Страницы: < 1 2 3 4 >

Автор: oko | 94120 01.06.2018 18:49
to Мимопроходящий
Какой смысл отменять "рекомендации"? Этого никто не сделает никогда. Primo, на КИ (КТ) все давно забили - у регуляторов все время существуют более насущные вопросы. Secundo, СТР-К уж больно удачно получился (для своего времени). Недаром его "старший брат" до сих пор не отменен, хоть и 1 декабря давно прошло, ага...
Еще раз повторяем все вместе: "Для служебного пользования" - это де юре только ПП РФ 1233. Т.е. либо к другим организациям (!=ФОИВ, !=Роскосмос, !=Росатом и иже с ними) не относится, либо, если относится, то только (и всегда) к гос.организациям. Все остальное от лукавого...
Вывод: ежели используете у себя в !=ППРФ1233 организации понятие "ДСП", то готовьтесь, что к вам применят и понятие ГИС (со всеми вытекающими аспектами 17 Приказа, ага). А то повадились, понимаешь, лепить "служебную тайну" везде, но работать по старым схемам, где и требований как таковых-то и нет. Удобно, ничего не скажешь...
За резкость извиняюсь заранее, но, честно говоря, из пустого в порожнее уже по 100500 кругу - надоедает...

Автор: Нефедьев С.Г. | 94124 01.06.2018 20:45
Goblin | 93824
"В большой АС циркулирует просто служебная информация, ПД не циркулируют"

oko | 94120
"Еще раз повторяем все вместе: "Для служебного пользования" - это де юре только ПП РФ 1233"

А разве Goblin говорил о том, что в АС циркулирует "служебная информация ограниченного распространения" ("Для служебного пользования")?
По умолчанию, все документы и данные из которых они формируются, в делопроизводстве юридического лица являются т.н. "служебной информацией".

Сия информация не является "общедоступной" до момента принятия соответствующего официального решения её обладателя о возможности её распространения (часть 3 статьи 7; пункт 1 часть 3 статьи 6 Федерального закона от 27.07.2006 №149-ФЗ). Но это не ДСП :) и не КТ:)


Автор: oko | 94125 02.06.2018 00:22
*в сторону*
Понаберут в дозор слепых, глухих, читать не умеющих (с)

to Нефедьев С.Г.
А разве мой ответ предназначался тов. Goblin? Там как бы даже подписано было. И порядок сообщений, исходя из контекста, только ленивый не уловит...
А что до служебной информации, то... "ИОД" спасет отца русской демократии, когда он не в силах придумать ничего иного и везде упоминает "ДСП", ага...

Автор: Гость | 94132 02.06.2018 14:35
*в сторону* :)

Есть требования 21-го приказа ФСТЭК России.
Вопрос к тем, кто сталкивался:
"Дайте пожалуйста ссылку, по которой можно найти образец программы, методики и протокола испытаний выполнененных требований"

А то, какая-то несуразица получается:
- требования есть, а как проверить их выполнение не поясняется;
- или же это явная коррупция , когда выполнение могут проверить и запротоколировать на договорных условиях только лицензиаты по КонфИ;
- если же "каждый дро*ет, как захочет" (изобретает велосипед самостоятельно), то это даёт право регулятору опять же сделать вывод о наличии нарушений - опять коррупция.

"Ага?" :)

Автор: oko | 94134 02.06.2018 19:05
*в сторону* attention! Данный текст изобилует избитыми цитатами...

to Гость
"Это не идиотизм, а безопасность государства" (с)
Рад бы поделиться, но ПиМ и Протоколы каждый лицензиат оформляет по-своему. Есть общая форма в ГОСТ-0043, но ГОСТ идут с пометкой "Для служебного пользования", ибо от ФОИВ (ФСТЭК России в частности), ага. Как с ними в таком случае могут ознакомиться простые смертные, включая лицензиатов, (см. выше про !=) - загадка, которую нам, увы не решить. "Так надо" (с) и "Работает? Прошу, ничего не меняй, ничего не трогай" (с)
И, как представитель оного лицензиата, пожалуй, воздержусь от перессылки что ГОСТ, что обезличенных материалов. Во избежание, так сказать. Не сочтите за коррупцию, пожалуйста... :)

ЗЫ Кстати, вам нужна только ПиМ. Протоколы формируются аналогично, только вместо требований и пунктов ПиМ идут оценки и пояснения в стиле "соответствует / не соответствует и почему"...

ЗЗЫ И еще. Если вы весь комплекс мероприятий по ПП РФ 1119 и Приказу 21 выполняете самостоятельно без привлечения лицензиата, то и ПиМ, и Протоколы имеете право оформить самостоятельно в стиле "я художник - я так вижу" (с)
Другой вопрос, что вам обязательно влетит от регулятора при проверке, если что-либо в оных документах не будет перекликаться с оными требованиями. Поэтому следует тщательно и аккуратно расписать формулировки под каждый пункт. Собственно, оформление той же ЧМУ должно научить еще до этапа оценки соответствия, ага...

Автор: Гость | 94137 02.06.2018 20:28
oko | 94134
.... "я художник - я так вижу"

Пойду, или "создам шедЕвр" или "изобрету велосипед":)
Спасибо!
Будет возможность, передайте "пламенный антикоррупционный привет" и "самые благие" пожелания ответственным за данное направление должностным лицам регулятора.

Автор: oko | 94141 03.06.2018 00:27
to Гость
При чем тут коррупционеры? Монополисты, возможно, но коррупция при чем? Или вы знаете людей, которые брали взятки за то, что разработали такие "правила игры" (камешек в огород ГОСТ и прочего недосказанного/недоступного законодательства)? Это бизнес, который est business. И в него так просто никто никого не пускает. Как и в любой бизнес, начиная с клепания разнородных мессенджеров (особенно, охаянных особистами, ага) и заканчивая ежегодном изменением дизайна раскрученных брендов (с повально платным софтом, ага)...
Более того, ИБ/ЗИ давно является игрой. У нас в стране это просто нагляднее (потому что мы как правило ничего не боимся, и на всяческие потенциалы угроз нам обычно наср*ть, пока гром не грянет) и несколько абсурднее (ab populi, ага). В ЕС и на Западе оная область давно трансформировалась в "получение денег из воздуха". Чего стоит только повальная агитация про NGFW в свое время и текущая течка всех и вся по поводу SOC и Security-as-service. Потому что это приносит деньги. Большие. Узкой группе лиц, допущенных до таинств и удачно поданных ноу-хау. Согласно законам современного рынка, который мы всем человечеством однажды поставили во главу угла, не забывайте...

ЗЫ Тоже не в восторге от происходящего. У меня как был, условно, iptables + правило "запрещено все, что не разрешено явно", так и будет - быстро, качественно и бесплатно. Но это не мешает делать работу по тем законам, которые установлены в стране, где выполняется работа. Лишь мотивирует делать ее качественнее, ex una parte выполняя требования закона, in alia manu заботясь о заказчике - т.е. решать нетривиальные задачи и получать удовольствие от их решения...

Автор: Гость | 94144 03.06.2018 10:06
Приложение к "привету"...

Одобрены президиумом Совета при Президенте Российской Федерации по противодействию коррупции (протокол от 25 сентября 2012 г. N 34).

«Методические рекомендации "Организация в федеральных органах исполнительной власти антикоррупционной экспертизы нормативных правовых актов и их проектов"

1.4. Коррупциогенными факторами являются положения нормативных правовых актов и их проектов, устанавливающие для правоприменителя необоснованно широкие пределы усмотрения или возможность необоснованного применения исключений из общих правил, а также положения, содержащие неопределенные, трудновыполнимые и (или) обременительные требования к гражданам и организациям и тем самым создающие условия для проявления коррупции. Перечень коррупциогенных факторов определен в Методике проведения антикоррупционной экспертизы.

6. Ответственность
Ответственность за некачественное и несвоевременное проведение антикоррупционной экспертизы нормативных правовых актов и их проектов устанавливается в должностных регламентах федеральных государственных гражданских служащих, согласно положениям нормативных правовых актов (регламентов) федеральных органов исполнительной власти.


Постановление Правительства РФ от 26.02.2010 N 96 (ред. от 10.07.2017) Об антикоррупционной экспертизе нормативных правовых актов и проектов нормативных правовых актов (вместе с Правилами проведения антикоррупционной экспертизы нормативных правовых актов и проектов нормативных правовых актов, Методикой проведения антикоррупционной экспертизы нормативных правовых актов и проектов нормативных правовых актов).

«Методика проведения антикоррупционной экспертизы нормативных правовых актов и проектов нормативных правовых актов»

2. Для обеспечения обоснованности, объективности и проверяемости результатов антикоррупционной экспертизы необходимо проводить экспертизу каждой нормы нормативного правового акта или положения проекта нормативного правового акта.

3. Коррупциогенными факторами, устанавливающими для правоприменителя необоснованно широкие пределы усмотрения или возможность необоснованного применения исключений из общих правил, являются:

а) широта дискреционных полномочий - отсутствие или неопределенность сроков, условий или оснований принятия решения, наличие дублирующих полномочий государственного органа, органа местного самоуправления или организации (их должностных лиц);

б) определение компетенции по формуле "вправе" - диспозитивное установление возможности совершения государственными органами, органами местного самоуправления или организациями (их должностными лицами) действий в отношении граждан и организаций;

в) выборочное изменение объема прав - возможность необоснованного установления исключений из общего порядка для граждан и организаций по усмотрению государственных органов, органов местного самоуправления или организаций (их должностных лиц);

г) чрезмерная свобода подзаконного нормотворчества - наличие бланкетных и отсылочных норм, приводящее к принятию подзаконных актов, вторгающихся в компетенцию государственного органа, органа местного самоуправления или организации, принявшего первоначальный нормативный правовой акт;

д) принятие нормативного правового акта за пределами компетенции - нарушение компетенции государственных органов, органов местного самоуправления или организаций (их должностных лиц) при принятии нормативных правовых актов;

е) заполнение законодательных пробелов при помощи подзаконных актов в отсутствие законодательной делегации соответствующих полномочий - установление общеобязательных правил поведения в подзаконном акте в условиях отсутствия закона;

ж) отсутствие или неполнота административных процедур - отсутствие порядка совершения государственными органами, органами местного самоуправления или организациями (их должностными лицами) определенных действий либо одного из элементов такого порядка;

з) отказ от конкурсных (аукционных) процедур - закрепление административного порядка предоставления права (блага);

и) нормативные коллизии - противоречия, в том числе внутренние, между нормами, создающие для государственных органов, органов местного самоуправления или организаций (их должностных лиц) возможность произвольного выбора норм, подлежащих применению в конкретном случае.

4. Коррупциогенными факторами, содержащими неопределенные, трудновыполнимые и (или) обременительные требования к гражданам и организациям, являются:

а) наличие завышенных требований к лицу, предъявляемых для реализации принадлежащего ему права, - установление неопределенных, трудновыполнимых и обременительных требований к гражданам и организациям;

б) злоупотребление правом заявителя государственными органами, органами местного самоуправления или организациями (их должностными лицами) - отсутствие четкой регламентации прав граждан и организаций;

в) юридико-лингвистическая неопределенность - употребление неустоявшихся, двусмысленных терминов и категорий

Автор: Гость | 94145 03.06.2018 10:13
oko | 94141
"Или вы знаете людей, которые брали взятки за то, что разработали такие "правила игры" (камешек в огород ГОСТ и прочего недосказанного/недоступного законодательства)?"

Из сообщения Гость | 94144 следует, что коррупция - это не только взятки.
Её видимо также можно определить в том числе и такой формулировкой "включение коррупциогенных факторов в процесс с использованием должностных обязанностей и полномочий"

Автор: Нефедьев С.Г. | 94146 03.06.2018 10:33
Для "Око" и "Гостя".
Кажется вами, Коллеги, в своих рассуждениях не учтены требования ещё одного нормативного правового акта.

Утверждены
постановлением Правительства
Российской Федерации
от 17 декабря 2012 г. N 1318

ПРАВИЛА
ПРОВЕДЕНИЯ ФЕДЕРАЛЬНЫМИ ОРГАНАМИ ИСПОЛНИТЕЛЬНОЙ ВЛАСТИ
ОЦЕНКИ РЕГУЛИРУЮЩЕГО ВОЗДЕЙСТВИЯ ПРОЕКТОВ НОРМАТИВНЫХ
ПРАВОВЫХ АКТОВ И ПРОЕКТОВ РЕШЕНИЙ ЕВРАЗИЙСКОЙ
ЭКОНОМИЧЕСКОЙ КОМИССИИ
Список изменяющих документов
(в ред. Постановлений Правительства РФ от 30.01.2015 N 83,
от 27.08.2015 N 896, от 30.06.2016 N 613, от 15.10.2016 N 1050,
от 10.07.2017 N 813, от 29.09.2017 N 1184, от 07.10.2017 N 1229)
....
2. Настоящие Правила не применяются в отношении проектов актов, проектов решений или их отдельных положений, содержащих сведения, составляющие государственную тайну, или сведения конфиденциального характера, проектов актов или проектов решений, устанавливающих требования и нормы в области использования атомной энергии и обеспечения радиационной безопасности, проектов актов, подготовленных на основании поручений или указаний Президента Российской Федерации или поручений Председателя Правительства Российской Федерации, в которых содержится прямое указание на необходимость их разработки в сжатые сроки (не более 10 дней), проектов актов, подготавливаемых в рамках реализации приоритетных проектов (программ), проектов актов, подготавливаемых в соответствии с планами мероприятий ("дорожными картами") по совершенствованию законодательства и устранению административных барьеров в целях обеспечения реализации Национальной технологической инициативы (за исключением проектов решений Евразийской экономической комиссии), а также проектов актов, предусматривающих изменение кодов единой Товарной номенклатуры внешнеэкономической деятельности Евразийского экономического союза.
....
4. Целью оценки регулирующего воздействия проектов актов и проектов решений являются определение и оценка возможных положительных и отрицательных последствий принятия проекта акта на основе анализа проблемы, цели ее регулирования и возможных способов решения, а также выявление в проекте акта положений, вводящих избыточные обязанности, запреты и ограничения для физических и юридических лиц в сфере предпринимательской и иной экономической деятельности или способствующих их введению, а также положений, способствующих возникновению необоснованных расходов физических и юридических лиц в сфере предпринимательской и иной экономической деятельности, а также бюджетов всех уровней бюджетной системы Российской Федерации.
...
6. Оценка регулирующего воздействия проектов актов проводится с учетом степени регулирующего воздействия положений, содержащихся в подготовленном разработчиком проекте акта:

а) высокая степень регулирующего воздействия - проект акта содержит положения, устанавливающие ранее не предусмотренные законодательством Российской Федерации и иными нормативными правовыми актами обязанности, запреты и ограничения для физических и юридических лиц в сфере предпринимательской и иной экономической деятельности или способствующие их установлению, и (или) положения, приводящие к возникновению ранее не предусмотренных законодательством Российской Федерации и иными нормативными правовыми актами расходов физических и юридических лиц в сфере предпринимательской и иной экономической деятельности;
(в ред. Постановления Правительства РФ от 30.01.2015 N 83)

б) средняя степень регулирующего воздействия - проект акта содержит положения, изменяющие ранее предусмотренные законодательством Российской Федерации и иными нормативными правовыми актами обязанности, запреты и ограничения для физических и юридических лиц в сфере предпринимательской и иной экономической деятельности или способствующие их установлению, и (или) положения, приводящие к увеличению ранее предусмотренных законодательством Российской Федерации и иными нормативными правовыми актами расходов физических и юридических лиц в сфере предпринимательской и иной экономической деятельности;
(в ред. Постановления Правительства РФ от 30.01.2015 N 83)

в) низкая степень регулирующего воздействия - проект акта не содержит положений, предусмотренных подпунктами "а" и "б" настоящего пункта, однако подлежит оценке регулирующего воздействия в соответствии с пунктом 1 настоящих Правил.




Страницы: < 1 2 3 4 >

Просмотров темы: 5920

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*