Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Новости проекта

Отраслевые новости

Угрозы

Преступления

Наказания

Партнеры


Журнал "Information Security"

Каталог "IT-Security"

Рекламодателям

Сотрудничество


Материалы

Форум

ITSec Weekly

Календарь

Публикации

Подписка

Контакты

Ссылки

Партнеры

Мероприятия

 
    Отправка квитков с ЗП по электронной почте - Форум по вопросам информационной безопасности

Форум по вопросам информационной безопасности

Отправка квитков с ЗП по электронной почте

К списку тем | Добавить сообщение


Страницы: < 1 2

Автор: Практик | 75561 14.08.2017 20:26
"ДСП - пометка, которая де юре допустима только в гос.организациях" Ай-ай-ай, какая безграмотность! В госструктурах запрещены ИНЫЕ пометки. В отличие от грифа, применение пометок вне госслужб не является нарушением. Да и насчёт 1C как заведомой ГИС - небесспорно, но не по теме.
А по теме то, что "квиток" обязан однозначно идентифицировать (т.е. является фактически юридически значимым документом), в котором полные ФИО, полное наименование должности со структурой и вполне могут быть защищаемые ПДн (надбавки, вычеты и пр. с легко просчитываемыми основаниями для начисления)
Реально, всё зависит от политики конфиденциальности организации. Чаще всего размер вознаграждений (особенно начальства ;) ) - коммерческая тайна и именно в этом аспекте проще и эффективнее организовывать защиту. Кто установил, что запрещено относить к КТ размер дохода, особенно в небюджетной организации?!
Поскольку сами Пданные о ФИО и структуре вполне на грани общедоступных и легко могут быть "прикрыты" письменным согласием на их обработку, включая передачу (в том числе банкам, налоговикам и пр.)

Автор: oko | 75603 16.08.2017 01:10
to Практик
<Ай-ай-ай, какая безграмотность! В госструктурах запрещены ИНЫЕ пометки. В отличие от грифа, применение пометок вне госслужб не является нарушением.> - пометка ДСП де юре опирается только на ПП РФ 1233 за 94г. и касается космической и атомной промышленности, ФОИВ и, в принципе, за уши может быть притянута к другим гос.организациям (17 Приказ ФСТЭК как бэ намекаэ). Но к комм.орг. пометка ДСП вообще не имеет (по закону, а не по факту) никакого отношения. Этот вопрос на форуме (и про служебную тайну вообще, и про ДСП в частности) уже столько раз обсуждался, что еще раз его крутить уже сил нет...

<Да и насчёт 1C как заведомой ГИС - небесспорно, но не по теме> - тут вы явно не поняли, что читали. Вопрос не в том, является ли ИС топикстартера ГИС, а в том, что коль уж тов. Нефедьев предложил использование пометок ДСП, то это уже ГИС (и 17 Приказ), а не устаревшие АС по 3Б/2Б/1Д/1Г (и СТР-К). Этот момент уже вне зоны обсуждения первичной темы, а больше касается нашего с тов. Нефедьевым, словоблудия...

<А по теме то, что "квиток" обязан однозначно идентифицировать> - бред, потому что квиток топикстартера - лишь уведомление, которое выдается сотруднику, чтобы он прозрачно видел, сколько ему насчитала бухгалтерия. По факту эта информация в бухгалтерии и хранится. И может быть предоставлена и сотруднику, и компетентным органам, но только по запросу. Никак иначе. Нечего ПДн с бух.инфой сливать в одну кучу и говорить, что так и надо, а потом жаловаться на геморрой, выросший с кулак...

<Кто установил, что запрещено относить к КТ размер дохода, особенно в небюджетной организации?!> - ФЗ-98, ст. 5. Если не верите в расплывчатость формулировок (как и я до некоторого времени) - комментарии проф. юристов и судебные практики в помощь...

<Поскольку сами Пданные о ФИО и структуре вполне на грани общедоступных> - напоминаю (в N-дцатый раз), что даже "общедоступные" ПДн - все равно ПДн, требующие минимум 4 уровня защищенности, согласно ПП РФ 1119. Т.е. топикстартеру от таких выводов де факто не будет ни жарко, ни холодно - из пустого в порожнее, ага...

ЗЫ На полбалла меня обошел, а людей черте в чем обвиняет (с)

Автор: Константин | 75772 16.08.2017 14:01
2 oko

Можно влезу.

Насчёт ДСП

Коммерческие организации используют принцип - "разрешено все, что не запрещено законом"
соотв. если в орг-ции организована работа с ДСП (утверждены соотв. документы), то могут спокойно использовать ДСП.

про то, что ДСП только для госов такого в законах нет, а на нет и суда нет. постановление 1233 не закон и вводит его для определенных организаций. Принять на уровне ком. орг-ции подобный документ, ознакомить с ним сотрудников и вперёд с песнями.




Автор: Практик | 75773 16.08.2017 14:18
2 oko Не надоело троллить?!
Пометка ДСП названным постановлением регламентирована у федеральных органов власти. Остальные (включая региональные органы и коммерсантов) пишут свои НМД. И ни один регулятор (или орган), как вы правильно отметили (ввиду отсутствия закона о служебной тайне), в это не вмешается. "Разрешено всё, что не запрещено" работает полностью.
Отсюда ваша вторая натяжка - про ГИС, но, повторюсь, это увод вами от темы.
Квитки, если вы не в курсе - это ОФИЦИАЛЬНОЕ уведомление о начислении и выплатах, поэтому не может быть анонимным и пр. Вот заверение его печатью - по заявке.
Про ФЗ-98 вы путаете систему оплаты труда и размер вознаграждения - про размер бонусов, штрафов и надбавок работодатель почти всегда имеет индивидуальные неразглашаемые формулы . Декларацию подают только госслужащие. У негосударственных компаний конфиденциальность сведений даже о своей оплате входит в контракт и внутренние перечни. Вы бы хоть прессу читали, где всплывает ЗАКРЫТАЯ инсайдерская информация о выплатах менеджменту.

В общем, вы упорно пытаетесь своё личное понимание представить в виде нормы, утвержденной законом и правоприменительной практикой

Общедоступные ПДн можно "прикрыть орагнизационно" от угрозы утечки и разглашения,а при желании и утраты, а КТ придется защищать и от них.

В сущности, дискуссия неперспективна. Топикстартеру стоит поинтересоваться позицией регионального Роскомнадзора и практикой МЕСТНЫХ лицензиатов - это единственные надежные источники местечковых реальностей. Ибо где кончается ГТ и ФГИС начинается креативное нормотворчество местных проверяльщиков.

Автор: oko | 75786 16.08.2017 23:56
to Практик и, частично, Контантин (в части ДСП, ага)
И в мыслях не было троллить (серьезно, я сюда не за этим прихожу), но раз уж настаиваете...
Хотел много написать:
- и про корректность (подчеркиваю, не невозможность, но корректность) употребления ни к чему не обязывающей (в отсутствие ФЗ о служебной тайне) пометки "Для служебного пользования" в комм.оргах, в которых априори народ не "служит", а "работает" (и не надо скалить зубы - это не попытка привязаться к морфологии, но попытка внести однозначность, с которой начинается безопасность, ага);
- и про пагубность фривольного чтения ФЗ (в том смысле, что объявить нечто КТ - одно, а обосновать это решение по закону - совершенно другое);
- и про то, что "размер бонусов, штрафов и надбавок" является частью "системы оплаты труда" (в полном согласии с ТК, ага);
- и про то, что менеджеры могут сколь угодно долго кричать о "конфиденциальности" своей ЗП, но к КТ (именно к КТ, а не к принятой внутри организации ИОД) это не относится (а зачастую такая "конфиденциальность" вообще пахнет черной бухгалтерией или нарушением ТК РФ в отношении других работников - что ФЗ-98, как ни странно, тоже не регулирует);
- и про то, что размер ЗП не может являться идентификатором субъекта ПДн и, следовательно, де юре не может являться ПДн ни одной из принятых сейчас категорий;
- и про то, что понятие ГИС в этой теме форума затрагивалось в совершенно ином смысле (а кто-то попросту не хочет читать, ага);
- и про то, что спам-рассылки про увеличение члена со взломанных ящиков организаций-коллег не следует считать "официозом", равно как и уведомление работников по email без ЭП и иже с ней (см. Вывод);
- и про "зарплатные листки = КТ", с которой ежемесячно работодатель обязан ознакамливать своих сотрудников, не проставляя гриф "Комм.тайна" на каждом листке и вообще не получая от этого прибыли (которая является базисом для режима КТ как такового, ага);
- и про многое другое...
Но... не буду. Поскольку только сегодня узнал - и тут каюсь, грешен, - что никто официально (ни Минтруд, ни суды) не возражает против рассылки зарплатных листков по электронной почте, включая Интернет (для дистанционных работников). При этом не задумываясь о сложностях совмещения такого решения с ФЗ-152, если в квитках присутствуют ПДн...
С другой стороны, нигде не нашел информации о "явно указанной форме" этих квитков. Т.е. все относится на решение работодателя. Вот тут не уверен - поправьте, если ошибаюсь. Но, если прав, то никто не мешает в таких квитках ПДн обезличивать (согласно внутренним классификаторам, о которых говорю уже в 4, кажись, раз). А колонки цифр + какой-то буквенно-цифровой идентификатор никакой ИОД быть в принципе не могут - нечего защищать и не к чему ограничивать доступ. И, соответственно, следует закономерный ВЫВОД:
*вывод* Если очень хочется подр*чить, то можно в любой документ засунуть охраняемую законом информацию, а затем думать, как поступать с его защитой. Минтруд и иже с ним это наглядно демонстрируют, а народ ведется. Но гораздо проще (и в нашей с вами ситуации, начатой топикстартером) не создавать геморрой самим себе на пустом месте и уйти и от ПДн, и от КТ, и от любой другой ИОД даже на внутреннем ресурсе сети. Как говорится, для всего остального есть "твердая копия", печать, расписка и пометка "Строго конфиденциально" (вместо набившей оскомину "Для служебного пользования", ага)... */вывод*

*в сторону* мое мнение - imho - имею право в публичных неофициальных сегментах Сети выдавать за все, что угодно. Равно как и любой другой участник. В конце концов, ни один из нас тут не является ни проф. юристом (в виду отсутствия юр.грамотных ответов с четким обоснованием и приведением ссылок/цитат из законодательных актов, кроме фраз аля "разрешено все, что не запрещено явно"), ни автором законов (clare). А в остальных случаях Сеть сама рассудит, товарищи...

Автор: sekira | 75789 17.08.2017 06:41
"При этом не задумываясь о сложностях совмещения такого решения с ФЗ-152"
Не только квитки примеров уйма - просто у нас законы такие почти везде - это особенности российского права и соотношение его с реальностью.

Автор: Константин | 75791 17.08.2017 09:22
2 oko

Вот кстати интересный угол зрения про "службу" Спасибо!

Понятно же, что логика связывает служебную тайну из указа 188 и ДСП, тем более когда есть ПП 1233. Ну только закрепите этот момент законодательно.. но нет)

Автор: oko | 75803 17.08.2017 13:54
to sekira
+1
Хотя эти "особенности" уже вооот где сидят...

to Константин
:)
Есть мнение, что законодатели "низкого уровня" (не ФЗ) приняли "служебную тайну" за аксиому, и дальше ab ovo выстроили вполне наглядную и логически выверенную (за редким исключением) цепочку нормативки. Но до самого базиса их пока не пускают. Вестимо, это связано с тем, что принцип "темна вода в облацех" слишком удобен для проведения карательно-надзорных мероприятий, чтобы от него так просто отказываться. Но тенденция реформирования такого подхода все более ощутима с каждым годом. Так что поживем-увидим...

Страницы: < 1 2

Просмотров темы: 530

К списку тем | Добавить сообщение



Добавить сообщение

Автор:
Компания:
E-mail:
Уведомлять о новых сообщениях в этой теме да
нет
Текст сообщения:
Введите код:









Реклама на сайте

ПОИСК

СВЕЖИЙ НОМЕР
ПОДПИСКА НА НОВОСТИ

 

 

 

 

Рейтинг@Mail.ru

Яндекс цитирования

Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Бесплатная подписка | Форум | Контакты | Ссылки | О чем этот сайт

Copyright © 2003-2013, ООО "Гротек"
Использование материалов сайта возможно при указании активной гиперссылки на главную страницу этого сайта. Ссылка должна выглядеть так: Itsec.Ru.