?

Log in

No account? Create an account

Previous Entry | Next Entry

В апреле 2010 года бухгалтеры должны будут подготовить для сдачи в Пенсионный фонд новую форму расчетов по начисленным и уплаченным страховым взносам. Как это сделать правильно, избежав ошибок?

Предлагаем познакомиться с роликом, наглядно рассказывающем о том, как подготовить новую форму расчетов по начисленным и уплаченным страховым взносам (РСВ-1). Информационный ролик демонстрирует поэтапную подготовку формы РСВ-1 для организации, в которой работает два сотрудника, один из которых является инвалидом второй группы. Наглядная экскурсия, созданная командой «Контур-Отчет ПФ», поможет бухгалтеру чувствовать себя спокойно и уверенно в условиях перемен.

Напоминаем о том что, новая форма РСВ-1, в соответствии с Федеральным законом от 24.07.2009 № 212-ФЗ «О страховых взносах», появилась в сервисе «Контур-Отчет ПФ» 9 марта 2010 года, и с этого времени работает в тестовом режиме. В апреле 2010 года бухгалтеры, работающие в «Контур-Отчет ПФ», смогут воспользоваться полноценной возможностью подготовки отчетности в Пенсионный фонд по начисленным и уплаченным взносам в электронном формате.

</lj-embed>

Comments

toparenko
Mar. 22nd, 2010 01:04 pm (UTC)
> поможет бухгалтеру чувствовать себя спокойно и уверенно в условиях перемен

Бухгалтеру - может быть.
Но хотелось бы узнать как будет чувствовать себя ИБ-шник и юрист компании ;)

Программа работает в тестовом режиме (сертификация на НДВ не проведена), но уже передаются реальные спецкатегории ПДн.

Где ролик про настройки политик доступа? Где обоснование применения непрошедшего сертификацию программного продукта для ИСПДн класса К1?

Чтоб ты жил в эпоху перемен (с) древнекитайское проклятие
(Anonymous)
Mar. 22nd, 2010 02:00 pm (UTC)
Не только на НДВ. Нужно хотя бы на ТУ сертифицировать подобные системы. Иначе первая же проверка ФСТЭК может привести к запрету эксплуатации подобной несертифицированной программы
toparenko
Mar. 22nd, 2010 05:49 pm (UTC)
По ТУ неявно, т.ч. можно было бы спорить. А НДВ на К1 в 58 приказе ФСТЭК прописано явно - т.ч. здесь бесспорно.
(Deleted comment)
toparenko
Mar. 24th, 2010 01:27 pm (UTC)
>Система аттестована на выполнение требований по защите конфиденциальной информации 1Г

Это в ПФ она аттестована, а у других потребителей?

Например, если посмотреть Решение Арбитражного суда Иркутской обл. от 9 февраля 2010 года ( http://78.109.33.249/mps/op-WordExport.aspx?TYPE=CaseDoc&OID=22569990BC174050A331BDC27FD402B0 ) можно увидеть, что предъявляются претензии к потребителю продукции ЗАО «ПФ «СКБ Контур».

Вот о том, что следовало бы оказать помощь Вашим потребителям я и веду речь.

>Не могли бы Вы уточнить, что означает "НДВ"?

Недекларируемые возможности - см. Руководящий документ. Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей - http://www.fstec.ru/_docs/doc_3_3_010.htm

>Почему Вы подумали, что продукт не прошёл сертификацию для ИСПДн класса К1?

Продукцию СКБ Контур я не нашел в перечнях СЗИ и СКЗИ ( http://www.fstec.ru/_doc/reestr_sszi/_reestr_sszi.xls и http://clsz.fsb.ru/files/download/perechenssz010210.doc соответственно)

Нашел только декларирование поддержки СКЗИ других производителей - но где заключение о корректности встраивания сертифицированных СКЗИ в Ваши продукты
(Deleted comment)
toparenko
Mar. 25th, 2010 08:23 am (UTC)
>нужно ведь защищать рабочие места, с которых абоненты заходят в Контур-Отчёт ПФ. Да, вы правы, но их и без нас нужно было защищать.

Здесь как раз несоответствие 152-ФЗ и Евроконвенции: АРМы абонентов у нас являются системами операторов, а по Евроконвенции - обработчиков.
Абоненты не наделены полномочиями решать "для какой цели создается автоматизированная база данных, какие категории персональных данных будут накапливаться и какие операции с ними будут осуществляться". Это все решено за абонента и отклониться он не имеет ни права, ни возможности.

>(1) рабочее место абонента можно рассматривать как типовую информационную систему, поскольку целостность и доступность обрабатываемых данных для узла абонентского доступа не требуются

Требуются. Представьте что "сделают с абонентом" если будут искажены данные (нарушение целостности) и/или данные не поступят (нарушение доступности) ;)

>(2) класс - небольшой при условии, что инвалидность признаётся не информацией о состояни здоровья, а статусом

Пока я нигде не видел, что инвалидность - это не состояние здоровья (т.е. не спецкатегория ПДн).
Если бы СКБ Контур давал по этому поводу официальную информацию - это бы могло помочь потербителям... Пока этого нет.

>Наши аудиторы пояснили нам, что ни заключение об отсутствии незадекларированных возможностей, ни проверка на корректность встраивания СКЗИ нам по законодательству не требуется.

Опять приходим к "сокровенным знаниям"... Об этом уведомлены потербители? У них есть обоснование, что в данном продукте не требуется проверка встраивания? В решении суда стоит однозначное утверждение:
"Кроме того, в данном процессе заявитель использует сертифицированные шифровальные (криптографические) средства, что подтверждается уведомлением об обработке персональных данных, договором на подключение и абонентское обслуживание в системе «Контур-Экстерн» от 13 августа 2007 года № СОЧИ-К/2007-536, заключенным с ООО Научно-производственная фирма «Форус»."

>Что ещё может дать заключение на корректность встраивания?

Заключение 8 Центра ФСБ.

>Проверка на отсутствие незадекларированных возможностей подходит для СКЗИ, СЗИ, для систем наведения ракет, то есть там, где можно один раз сесть и проверить, что дефектов в коде нет.

К сожалению есть в 58 приказе ФСТЭК следующее (здесь как раз вопрос по инвалидности и другим аспектам, которые регуляторы относят к "состоянию здоровья"):
2.12. Программное обеспечение средств защиты информации, применяемых в информационных системах 1 класса, проходит контроль отсутствия недекларированных возможностей.
См. http://www.rg.ru/2010/03/05/dannye-dok.html
(Deleted comment)
toparenko
Mar. 26th, 2010 10:07 am (UTC)
>Если говорить содержательно, нарушение целостности - это аппаратная поломка рабочего места, а нарушение доступности - это канал, аппаратная поломка или выход из строя операционной системы.

Если говорить о ПО - согласен.
Но речь идет об ИСПДн. Т.ч. вопросы целостности и доступности данных расширяются.

>Официальную информацию должны давать контролирующие органы, так как применением законов занимаются они. На конференциях по персданным наши коллеги слышали озвученное мной мнение от докладчиков.

Для того, чтоб контролирующие органы дали информацию не на суде (как в вышеприведенном случае в Иркутске) об этом следует заранее позаботиться. И положительным моментом было бы если озаботился этим поставщик, а не покупатель.

>Содержательную свою личную позицию про встраивание я уже назвал,

Личная позиция здесь не поможет - надо что-то типа http://www.a-datum.ru/forum/viewtopic.php?p=508#p508 (чтоб были номер и дата документа, который, в крайнем случае, суд может запросить) или алгоритм доказательства с указанием конкретных пунктов конкретных нормативных документов.

>но пока вы первый, кто задаёт эти вопросы

Издержки целевой аудитории. Я не бухгалтер, которому эти вопросы ни к чему - но я безопасник, который должен выявить риски (в том числе по чужим ошибкам), локализовать и разработать алгоритм минимизации риска.

>Нет, вопрос не такой был: ЧТО может дать заключение? Зачем оно нужно? Какой в нём сакральный смысл?

В вышеприведенном судебном решении упоминается использование сертифицированного СКЗИ в Вашей продукции.
Для использования сертифицированных СКЗИ в составе стороннего ПО необходимо заключение о корректности встраивания - в противном случае могут признать как нарушение использования применения сертифицированного СКЗИ.

Вот наличие такового заключения или заключения регулятора (в данном случае ФСБ) об отсутствии необходимости проверки корректности встраивания и будет основанием для законного использования Вашего продукта потребителем. И я веду речь о том, что хотелось бы видеть скан или идентификационные данные (дата, номер, кем подписан, владельца оригинала) такого заключения на сайте СКБ Контур.
К сожалению, пока, могу сделать лишь вывод о том, что данная продукция не прошла сертификацию ни как СЗИ, ни как СКЗИ - хотя судом она упоминается как сертифицированное СКЗИ (соответственно имеем комплаенс-риск).

Profile

personal_data
Персональные данные. Правоприменение

Latest Month

January 2015
S M T W T F S
    123
45678910
11121314151617
18192021222324
25262728293031

Tags

Page Summary

Powered by LiveJournal.com
Designed by Lilia Ahner