Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Новости проекта

Отраслевые новости

Угрозы

Преступления

Наказания

Партнеры


Журнал "Information Security"

Каталог "IT-Security"

Рекламодателям

Сотрудничество


Материалы

Форум

ITSec Weekly

Календарь

Публикации

Подписка

Контакты

Ссылки

Партнеры

Мероприятия

 
    Отправка квитков с ЗП по электронной почте - Форум по вопросам информационной безопасности

Форум по вопросам информационной безопасности

Отправка квитков с ЗП по электронной почте

К списку тем | Добавить сообщение


Страницы: < 1 2

Автор: Практик | 75561 14.08.2017 20:26
"ДСП - пометка, которая де юре допустима только в гос.организациях" Ай-ай-ай, какая безграмотность! В госструктурах запрещены ИНЫЕ пометки. В отличие от грифа, применение пометок вне госслужб не является нарушением. Да и насчёт 1C как заведомой ГИС - небесспорно, но не по теме.
А по теме то, что "квиток" обязан однозначно идентифицировать (т.е. является фактически юридически значимым документом), в котором полные ФИО, полное наименование должности со структурой и вполне могут быть защищаемые ПДн (надбавки, вычеты и пр. с легко просчитываемыми основаниями для начисления)
Реально, всё зависит от политики конфиденциальности организации. Чаще всего размер вознаграждений (особенно начальства ;) ) - коммерческая тайна и именно в этом аспекте проще и эффективнее организовывать защиту. Кто установил, что запрещено относить к КТ размер дохода, особенно в небюджетной организации?!
Поскольку сами Пданные о ФИО и структуре вполне на грани общедоступных и легко могут быть "прикрыты" письменным согласием на их обработку, включая передачу (в том числе банкам, налоговикам и пр.)

Автор: oko | 75603 16.08.2017 01:10
to Практик
<Ай-ай-ай, какая безграмотность! В госструктурах запрещены ИНЫЕ пометки. В отличие от грифа, применение пометок вне госслужб не является нарушением.> - пометка ДСП де юре опирается только на ПП РФ 1233 за 94г. и касается космической и атомной промышленности, ФОИВ и, в принципе, за уши может быть притянута к другим гос.организациям (17 Приказ ФСТЭК как бэ намекаэ). Но к комм.орг. пометка ДСП вообще не имеет (по закону, а не по факту) никакого отношения. Этот вопрос на форуме (и про служебную тайну вообще, и про ДСП в частности) уже столько раз обсуждался, что еще раз его крутить уже сил нет...

<Да и насчёт 1C как заведомой ГИС - небесспорно, но не по теме> - тут вы явно не поняли, что читали. Вопрос не в том, является ли ИС топикстартера ГИС, а в том, что коль уж тов. Нефедьев предложил использование пометок ДСП, то это уже ГИС (и 17 Приказ), а не устаревшие АС по 3Б/2Б/1Д/1Г (и СТР-К). Этот момент уже вне зоны обсуждения первичной темы, а больше касается нашего с тов. Нефедьевым, словоблудия...

<А по теме то, что "квиток" обязан однозначно идентифицировать> - бред, потому что квиток топикстартера - лишь уведомление, которое выдается сотруднику, чтобы он прозрачно видел, сколько ему насчитала бухгалтерия. По факту эта информация в бухгалтерии и хранится. И может быть предоставлена и сотруднику, и компетентным органам, но только по запросу. Никак иначе. Нечего ПДн с бух.инфой сливать в одну кучу и говорить, что так и надо, а потом жаловаться на геморрой, выросший с кулак...

<Кто установил, что запрещено относить к КТ размер дохода, особенно в небюджетной организации?!> - ФЗ-98, ст. 5. Если не верите в расплывчатость формулировок (как и я до некоторого времени) - комментарии проф. юристов и судебные практики в помощь...

<Поскольку сами Пданные о ФИО и структуре вполне на грани общедоступных> - напоминаю (в N-дцатый раз), что даже "общедоступные" ПДн - все равно ПДн, требующие минимум 4 уровня защищенности, согласно ПП РФ 1119. Т.е. топикстартеру от таких выводов де факто не будет ни жарко, ни холодно - из пустого в порожнее, ага...

ЗЫ На полбалла меня обошел, а людей черте в чем обвиняет (с)

Автор: Константин | 75772 16.08.2017 14:01
2 oko

Можно влезу.

Насчёт ДСП

Коммерческие организации используют принцип - "разрешено все, что не запрещено законом"
соотв. если в орг-ции организована работа с ДСП (утверждены соотв. документы), то могут спокойно использовать ДСП.

про то, что ДСП только для госов такого в законах нет, а на нет и суда нет. постановление 1233 не закон и вводит его для определенных организаций. Принять на уровне ком. орг-ции подобный документ, ознакомить с ним сотрудников и вперёд с песнями.




Автор: Практик | 75773 16.08.2017 14:18
2 oko Не надоело троллить?!
Пометка ДСП названным постановлением регламентирована у федеральных органов власти. Остальные (включая региональные органы и коммерсантов) пишут свои НМД. И ни один регулятор (или орган), как вы правильно отметили (ввиду отсутствия закона о служебной тайне), в это не вмешается. "Разрешено всё, что не запрещено" работает полностью.
Отсюда ваша вторая натяжка - про ГИС, но, повторюсь, это увод вами от темы.
Квитки, если вы не в курсе - это ОФИЦИАЛЬНОЕ уведомление о начислении и выплатах, поэтому не может быть анонимным и пр. Вот заверение его печатью - по заявке.
Про ФЗ-98 вы путаете систему оплаты труда и размер вознаграждения - про размер бонусов, штрафов и надбавок работодатель почти всегда имеет индивидуальные неразглашаемые формулы . Декларацию подают только госслужащие. У негосударственных компаний конфиденциальность сведений даже о своей оплате входит в контракт и внутренние перечни. Вы бы хоть прессу читали, где всплывает ЗАКРЫТАЯ инсайдерская информация о выплатах менеджменту.

В общем, вы упорно пытаетесь своё личное понимание представить в виде нормы, утвержденной законом и правоприменительной практикой

Общедоступные ПДн можно "прикрыть орагнизационно" от угрозы утечки и разглашения,а при желании и утраты, а КТ придется защищать и от них.

В сущности, дискуссия неперспективна. Топикстартеру стоит поинтересоваться позицией регионального Роскомнадзора и практикой МЕСТНЫХ лицензиатов - это единственные надежные источники местечковых реальностей. Ибо где кончается ГТ и ФГИС начинается креативное нормотворчество местных проверяльщиков.

Автор: oko | 75786 16.08.2017 23:56
to Практик и, частично, Контантин (в части ДСП, ага)
И в мыслях не было троллить (серьезно, я сюда не за этим прихожу), но раз уж настаиваете...
Хотел много написать:
- и про корректность (подчеркиваю, не невозможность, но корректность) употребления ни к чему не обязывающей (в отсутствие ФЗ о служебной тайне) пометки "Для служебного пользования" в комм.оргах, в которых априори народ не "служит", а "работает" (и не надо скалить зубы - это не попытка привязаться к морфологии, но попытка внести однозначность, с которой начинается безопасность, ага);
- и про пагубность фривольного чтения ФЗ (в том смысле, что объявить нечто КТ - одно, а обосновать это решение по закону - совершенно другое);
- и про то, что "размер бонусов, штрафов и надбавок" является частью "системы оплаты труда" (в полном согласии с ТК, ага);
- и про то, что менеджеры могут сколь угодно долго кричать о "конфиденциальности" своей ЗП, но к КТ (именно к КТ, а не к принятой внутри организации ИОД) это не относится (а зачастую такая "конфиденциальность" вообще пахнет черной бухгалтерией или нарушением ТК РФ в отношении других работников - что ФЗ-98, как ни странно, тоже не регулирует);
- и про то, что размер ЗП не может являться идентификатором субъекта ПДн и, следовательно, де юре не может являться ПДн ни одной из принятых сейчас категорий;
- и про то, что понятие ГИС в этой теме форума затрагивалось в совершенно ином смысле (а кто-то попросту не хочет читать, ага);
- и про то, что спам-рассылки про увеличение члена со взломанных ящиков организаций-коллег не следует считать "официозом", равно как и уведомление работников по email без ЭП и иже с ней (см. Вывод);
- и про "зарплатные листки = КТ", с которой ежемесячно работодатель обязан ознакамливать своих сотрудников, не проставляя гриф "Комм.тайна" на каждом листке и вообще не получая от этого прибыли (которая является базисом для режима КТ как такового, ага);
- и про многое другое...
Но... не буду. Поскольку только сегодня узнал - и тут каюсь, грешен, - что никто официально (ни Минтруд, ни суды) не возражает против рассылки зарплатных листков по электронной почте, включая Интернет (для дистанционных работников). При этом не задумываясь о сложностях совмещения такого решения с ФЗ-152, если в квитках присутствуют ПДн...
С другой стороны, нигде не нашел информации о "явно указанной форме" этих квитков. Т.е. все относится на решение работодателя. Вот тут не уверен - поправьте, если ошибаюсь. Но, если прав, то никто не мешает в таких квитках ПДн обезличивать (согласно внутренним классификаторам, о которых говорю уже в 4, кажись, раз). А колонки цифр + какой-то буквенно-цифровой идентификатор никакой ИОД быть в принципе не могут - нечего защищать и не к чему ограничивать доступ. И, соответственно, следует закономерный ВЫВОД:
*вывод* Если очень хочется подр*чить, то можно в любой документ засунуть охраняемую законом информацию, а затем думать, как поступать с его защитой. Минтруд и иже с ним это наглядно демонстрируют, а народ ведется. Но гораздо проще (и в нашей с вами ситуации, начатой топикстартером) не создавать геморрой самим себе на пустом месте и уйти и от ПДн, и от КТ, и от любой другой ИОД даже на внутреннем ресурсе сети. Как говорится, для всего остального есть "твердая копия", печать, расписка и пометка "Строго конфиденциально" (вместо набившей оскомину "Для служебного пользования", ага)... */вывод*

*в сторону* мое мнение - imho - имею право в публичных неофициальных сегментах Сети выдавать за все, что угодно. Равно как и любой другой участник. В конце концов, ни один из нас тут не является ни проф. юристом (в виду отсутствия юр.грамотных ответов с четким обоснованием и приведением ссылок/цитат из законодательных актов, кроме фраз аля "разрешено все, что не запрещено явно"), ни автором законов (clare). А в остальных случаях Сеть сама рассудит, товарищи...

Автор: sekira | 75789 17.08.2017 06:41
"При этом не задумываясь о сложностях совмещения такого решения с ФЗ-152"
Не только квитки примеров уйма - просто у нас законы такие почти везде - это особенности российского права и соотношение его с реальностью.

Автор: Константин | 75791 17.08.2017 09:22
2 oko

Вот кстати интересный угол зрения про "службу" Спасибо!

Понятно же, что логика связывает служебную тайну из указа 188 и ДСП, тем более когда есть ПП 1233. Ну только закрепите этот момент законодательно.. но нет)

Автор: oko | 75803 17.08.2017 13:54
to sekira
+1
Хотя эти "особенности" уже вооот где сидят...

to Константин
:)
Есть мнение, что законодатели "низкого уровня" (не ФЗ) приняли "служебную тайну" за аксиому, и дальше ab ovo выстроили вполне наглядную и логически выверенную (за редким исключением) цепочку нормативки. Но до самого базиса их пока не пускают. Вестимо, это связано с тем, что принцип "темна вода в облацех" слишком удобен для проведения карательно-надзорных мероприятий, чтобы от него так просто отказываться. Но тенденция реформирования такого подхода все более ощутима с каждым годом. Так что поживем-увидим...

Автор: Практик | 76064 21.08.2017 14:10
2 oko

Всё проще и противнее. По ДСП нет и не предвидится единого регулятора. По инсайдерским слухам, все попытки обсуждать такой закон упирались в процедуру согласования текста закона, списков от ведомств и контроля, то есть межведомственного взаимодействия (хотя бы в федеральных органах власти). Если не отстал от жизни, то несколько лет, как никто это вновь не инициирует.
Задача безразмерная, учитывая, что "гриф" дсп (всё же используем правильное слово - "пометка" не несёт юридических последствий) в отличие от ГТ, может присваиваться не по федеральному перечню и вне федеральных НМД.
Отсюда второй уровень проблем. Филология - еще не юриспруденция. Если нет закона и органов, контролирующих его выполнение, - нет порядка.
Например, использование "секретно" или даже "секрет" в коммерции вроде и не наказуемо, но желающих бодаться с соответствующим регулятором нет.

Поэтому, как это ни обидно, кт, дсп, пдн и прочие пометки имеют реальную силу только в тех пределах, который могут обеспечить ведомственные юристы и безопасники.
Государству обычно не до них.Ни в законодательной, ни в судебной, ни в исполнительной ветви.

Автор: malotavr | 76130 22.08.2017 13:40
Возвращаясь к теме топика
1. Рассылать расчетный листок по заработной плате во электронной почте не запрещено, но должны быть соблюдены меры, предусмотренные 21м приказом. Учитывая незначительность возможного вреда, можно ограничиться требованиями минимального класса защищенности.
2. Согласие работника на такую рассылку не требуется, так как это - исполнение обязанности, прямо установленной для работодателя статьей 136 ТК РФ.

Страницы: < 1 2

Просмотров темы: 627

К списку тем | Добавить сообщение



Добавить сообщение

Автор:
Компания:
E-mail:
Уведомлять о новых сообщениях в этой теме да
нет
Текст сообщения:
Введите код:









Реклама на сайте

ПОИСК

СВЕЖИЙ НОМЕР
ПОДПИСКА НА НОВОСТИ

 

 

 

 

Рейтинг@Mail.ru

Яндекс цитирования

Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Бесплатная подписка | Форум | Контакты | Ссылки | О чем этот сайт

Copyright © 2003-2013, ООО "Гротек"
Использование материалов сайта возможно при указании активной гиперссылки на главную страницу этого сайта. Ссылка должна выглядеть так: Itsec.Ru.