Вы уже обеспечили защиту персональных данных на предприятии?
	Ответ	Голоса	Проценты
	Нет и не собираемся	148	12.50%
	Нет, но собираемся	158	13.34%
	Находимся в стадии оценки угрозы	173	14.61%
	Да, проводим подготовительные работы	185	15.62%
	Да, соответствуем новым требованиям	69	5.83%
	В первый раз слышу!	451	38.09%
Гости не могут голосовать, зарегистрируйтесть!			Всего Голосов: 1184

emx Moderator Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Уважаемые коллеги! К 1 января 2010 года все предприятия Российской Федерации должны привести cвою инфраструктуру и регулятивную базу в соответствие с требованиями Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Закон).   Общий коленкор таков. Согласно Закону к персональным данным относится: "любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;" п. 1, ст. 3 Закона   Чем это грозит для предприятия? В любой компании есть те или иные системы кадрового учета (HR-контур), который содержит подробную информацию о сотруднике (ФИО, дата рождения, ИНН, № Страхового свидетельства Пенсионного фонда, №№ страховых свидетельств ОМС/ДМС, сведения о постановке на воинский учет, №№ банковских счетов, сведения о заработной плате и так далее).     Кроме того, в ряде предприятий имеются различные CRM-cистемы, в которых аккумулируется информация о клиентах (в том числе клиентах - физических лицах), причем часто персонифицированная и детализированная, вплоть до предпочтений тех или иных лиц. Мы же стараемся удовлетворить клиента всеми возможными способами и учесть максимум нюансов?   Ряд компаний также осуществляет сбор и обработку тех или иных персональных данных клиентов через веб-сайты (интернет-продажи и тому подобное).   В ряде случаев есть ещё и бухучет (если клиент физическое лицо, которое оплачивает товары/услуги прямым банковским платежом, на основании договора или без такового).   Стало быть предприятие осуществляет сбор, хранит и обрабатывает персональные данные.   Далее...   п. 2, ст. 3 Закона вводит определение "оператора" (по обработке персональных данных): Цитата: 2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;   Поздравляю. Мы все - операторы.   Помимо определенных прав субъекта персональных данных, исполнение которых оператор должен обеспечивать (в основном это чисто бумажные штуки вещей - особого вреда компании причинить не могут), существуют ещё и обязательные требования в отношении оператора - они гораздо страшнее.   Закон определяет перечнь таких требований:   Цитата: Статья 19. Меры по обеспечению безопасности персональных данных при их обработке 1. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий. 2. Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных. 3. Контроль и надзор за выполнением требований, установленных Правительством Российской Федерации в соответствии с частью 2 настоящей статьи, осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных. 4. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения. ст. 19 Закона   Относительно того, как выполнить требования 1 пункта пока данных не слишком много. В общем случае на предприятии должны быть: - Положение о персональных данных - Положение о контрольно-пропускном режиме (где определен конечный круг лиц, который имеет доступ в помещения, где эта красота хранится физически) - Регламент по информационной безопасности   Кроме того, предприятие должно использовать сертифицированные (да, разумеется с потайным ключиком у ФСБ) криптографические решения на серверах, на которых расположены базы данных. Также инфраструктура должна быть аттестована (за счет предприятия у уполномоченного органа), что уж совсем ужасно.   Санкции. Санкции за нарушение Закона незначительны:   Цитата: Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) - влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей. ст. 13.11 КоАП РФ   Но при проверке вам могут вынести предприсание об устранении выявленных нарушений. За неисполнение предписания санкции более другие:   Цитата: Статья 19.5. Невыполнение в срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль) 1. Невыполнение в установленный срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), об устранении нарушений законодательства - влечет наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от одной тысячи до двух тысяч рублей или дисквалификацию на срок до трех лет; на юридических лиц - от десяти тысяч до двадцати тысяч рублей. ст. 19.5 КоАП РФ И так далее, вплоть до отзыва лицензии у предприятия на осуществление основной деятельности и уголовной ответственности для ген. директора.   Давайте что-ли обсудим - как жить дальше... Или может кто уже лазейку какую нашел? Всего записей: 11826 | Зарегистр. 05-06-2002 | Отправлено: 09:13 01-07-2009 | Исправлено: emx, 12:00 01-07-2009

Toparenko Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Aisokol Я вмешаюсь в ваше обсуждение немного.    Для начала про регистрацию в минюсте.   По положению  службы ФСТЭК России их документы не региструруються в минюсте, но обязательны для выполнения поскольку по томуже положуни оно являеться  контролирующим органом. (в каком законе все определено не помню нужно искать но вломмммм.)   Ссылку "в студию" В перечне, кто может свои РД не регистрировать в Минюсте есть ГТК (Государственный таможненный комитет) - но ни Гостехкомиссия, ни ФСТЭК таким правом не обладают.   А если Вы посмотрите на Приказ ФСТЭК от 23 июня 2009 г. N 207, то должны обратить внимание, что он зарегистрирован в Минюсте РФ 4 августа 2009 г. за N 14458 Цитата: Valery12 недавно был областной семинар для наших защитников , так вот там предупредили что ни одно терминальное решение еще не сертифицировано. С Цитриксом работают сертифицированные СЗИ, например "Панцирь" и еще несколько Цитата: Atumus Разрешите вопрос, а вместо Microsoft на предприятии или в организации можно использовать Linux? Да ещё и с новм законом, или мы прикованы к Майкрософт? И что если у нас все сидят на открытом ПО на Линуксах, надо что то делать, покупать систему защиты или тупо сносить ситему и преобретать лицензии Билла? Имеют сертификаты Mandriva и ALT Linux, не говоря уж про МСВС Всего записей: 40 | Зарегистр. 04-10-2005 | Отправлено: 12:41 17-09-2009

Toparenko Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Valery12 об этом и речь, что мало иметь цитрикс у которого с защитой и так все в порядке, но нужно прикупить и "Панцирь" Чем сертифицировать "Цитрикс" - может быть дешевле купить "Панцирь" Хотя Вам никто не запрещает провести сертификацию Цитрикса (провести проверку на НДВ и соответствия функций защиты, предъявляемым требованиям к данному классу СЗИ) в Вашей ИСПДн в рамках предаттестационной подготовки и аттестации. Всего записей: 40 | Зарегистр. 04-10-2005 | Отправлено: 11:33 21-09-2009

oaf56 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: dekstero4eg:   про 1С ваще блин молчу, конфигурация обновляю постоянно... и как эти мудрецы интересно представляют себе сертифицирование 1С каждую неделю???? Особенно, если учесть, что 1С юзают по статистике 1,000,000 различных контор! Насколько я понял сертифицировать надо ОС, средства защиты(в том числе и от неканкционированого доступа{LOGIN+PASSWORD} и разграничения доступа пользователей), криптографии. Если не ссылаться, что 1С используется для защиты от НСД и для разграничения доступа к информации, тогда сертификация не обязательна))). А аттестация в составе комплекса для обработки информации - видимо неизбежность. Лазейка при аттестации в том, что есть такое понятие - внешние печатные формы, подключаемые отчеты это позволит в разумных пределах наращивать/корректировать функционал. А вот со сменой не только платформы, но и версии/релиза конфигурации ---? Прийдется писать одно, читать другое. Ж( П.С. Если использовать версию для SQL, то прийдется использовать сертифицированую БД и ОС под нее. П.С.1 Я прав? Или где-то ошибаюсь? П.С.2 А что с виртуализацией? кто в курсе? Совсем под запретом. Можно подвести VMware ESXi 3.5 FreeWARE не под ОС, а под встоеное в железо ПО? П.С.3 ссыЛКА К ПРОЕКТУ "Многие грани безопасности" умерла, жалко Всего записей: 125 | Зарегистр. 23-11-2006 | Отправлено: 08:15 22-09-2009 | Исправлено: oaf56, 10:40 22-09-2009

DenSyo Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору выдержка из 152 ФЗ: Статья 22. Уведомление об обработке персональных данных ... 2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:   1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;   2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;   3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных; *22.2.3) 4) являющихся общедоступными персональными данными;   5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;   6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях; ...   поправьте меня, если что, но судя по всему сбор и обработка данных о работниках/партнерах фирмы не влечет за собой обязанность регистрации. с работниками есть трудовой договор, о партнерах в основном хранится общедоступная инфа. еще полезен пункт 22.2.3 - можно просто объявить себя сектой и хранить друг на друга инфу   недавно у коллег была такая проверка, уведомили о ней за неделю, пришли две дамы, одна тупее другой. читали по бумажке перечень того, что должно быть, нервничали когда им говорили что этого быть не может потому что просто не может быть - либо часть документации в головном офисе в столице, либо ее просто не положено (нет необходимости) иметь по роду деятельности.     созвонился с коллегами. проверка прошла успешно, замечаний нет. но предупредили, что с 1 января 2010-го, такие проверки будут проходить совместно с фсб. Всего записей: 218 | Зарегистр. 19-01-2008 | Отправлено: 08:18 22-09-2009 | Исправлено: DenSyo, 09:40 22-09-2009

DenSyo Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору поменьше распространяться надо о своих используемых ресурсах. слава богу наше несовершенное законодательство позволит отмазаться, если успеешь скрыть следы, и показаний некоторых (продажных ) сотрудников будет недостаточно. у себя все сношу на терминальные сервера, некоторые из них на кнопке ликвидации (есть что скрывать, одни только бд с черного рынка на долгий срок тянут). вот только регистрацию проходить все-равно придется, а значит и ждать проверок... Всего записей: 218 | Зарегистр. 19-01-2008 | Отправлено: 11:14 22-09-2009

Toparenko Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: DenSyo о партнерах в основном хранится общедоступная инфа. С партнерами есть договора. А вот общедоступность информации еще необходимо доказывать (увы... но в 152-ФЗ заложена "презумпция виновности" оператора ПДн). Цитата: oaf56 Можно же хранить основную инфу на бумаге И не только См. внимательно п.2 ПП687: Цитата: 2. Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее. Это же идет в п.2.8 ст.22 (соответственно не требуется отправка уведомления).   Но Вам следует внимательно изучить разделы II и III ПП687 и все ли у Вас по ним выполняется. Ну и естественно п.1 ПП687 должен полностью выполняться.   Цитата: TolsT_dead Небольшая страховая компания (в районе сотни сотрудников), с перс данными работают почти все, несколько терминальных серверов, почти все с тонкими клиентами на арм, филиалы по цитриксу тоже подключаются почти все.....   Данные о состоянии здоровья клиентов или иные ПДн спецкатегории похоже есть. Значит ИСПДн К1 (по приказу трех) - соответственно аттестация, сертифицированные СЗИ и СКЗИ (соответственно лицензия ФСТЭК на ТЗКИ и, минимум, лицензия ФСБ на ТО СЗКИ), ПЭМИН и прочие "прелести". Если потребуется активная защита по ПЭМИН - получение разрешения на использование радиочастот в Роскомнадзоре и там же регистрация источников радиоизлучений (генераторов шума)...     Всего записей: 40 | Зарегистр. 04-10-2005 | Отправлено: 12:15 22-09-2009 | Исправлено: Toparenko, 12:16 22-09-2009

oaf56 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: 152-ФЗ ...  Статья 3. Основные понятия, используемые в настоящем Федеральном законе   ....9) информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств. те. подлежит защите комплексно ВСЯ система. Причем если у вас один из компонентов получит более высокий класс, то всю систему прийдется защищать по этому более высокому классу. РАЗНЫЕ КЛАССЫ - НЕЗАВИСИМЫЕ СИСТЕМЫ. Т.Е ЕСЛИ СЕРВЕРА БУДУТ В ОБЩЕЙ ЛС - тогда будещь защищать все ПК, помещения, линии связи. А если вывести их в сегмент ЛС за сертифицированый файервол, тогда защищать только этот сегмент. Кроме помещений, раб.мест надо защищать каналы передачи данных для терминала криптографией(для сетей общего пользования(инета) обязательно),  а в здании напиши инструкцию - не трогать провода - убью лично+ провести через недоступные(контролируемые) места или тоже криптография. Всего записей: 125 | Зарегистр. 23-11-2006 | Отправлено: 13:28 22-09-2009 | Исправлено: oaf56, 13:31 22-09-2009

oaf56 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: поменьше распространяться надо о своих используемых ресурсах. Да Информация об ИС, процедурах и средствах защиты - как минимум ДляСлужебногоПользования. Потому подробно излагать НЕЛЬЗЯ. Цитата: слава богу наше несовершенное законодательство позволит отмазаться, если успеешь скрыть следы, и показаний некоторых (продажных  ) сотрудников будет недостаточно. у себя все сношу на терминальные сервера, некоторые из них на кнопке ликвидации (есть что скрывать, одни только бд с черного рынка на долгий срок тянут).   вот только регистрацию проходить все-равно придется, а значит и ждать проверок... Ну если захотят, то следы найдут. Не считайте ВСЕХ 100% идиотами: Печатаете вы же не шариковой ручкой. Цитата: Статья 21. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных,   а также по уточнению, блокированию и уничтожению персональных данных ....3. В случае выявления неправомерных действий с персональными данными оператор в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений оператор в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган... или Цитата: Ст25.3. Уполномоченный орган по защите прав субъектов персональных данных имеет право: ... 4) принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований настоящего Федерального закона;... -- источник 152-ФЗ Хотя можно попытаться привести ИС в более менее приемлемый вид. Для облегчения примения положений 152-ФЗ. Это все, что можно сделать ПОКА без денег. Не стоит забывать что одно из обязательных условий при проверках - как минимум - легальность установленного ПО. А дальше будет видно. Всего записей: 125 | Зарегистр. 23-11-2006 | Отправлено: 14:13 22-09-2009 | Исправлено: oaf56, 14:26 22-09-2009

oaf56 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Цитата:oaf56   как минимум ДляСлужебногоПользования     Toparenko Гриф ДСП может применяться только в гос./муниципальных организациях. Коммерческие организации (по существующим нормам) не имеют права использования данного грифа. Да, выдал я себя....Прокол... Тогда есть коммерческая тайна и кажется даже закон об этом. и Конфиденциальная информация. Главное чтобы не донесли и не прочитали кому не следует. Ответственность там тоже прописана - возмещение ущерба и/или  увольнение. Вот так. ВОТ. Причем взыскать могут в течение 3-х лет после увольнения сотрудника. Всего записей: 125 | Зарегистр. 23-11-2006 | Отправлено: 14:37 22-09-2009 | Исправлено: oaf56, 14:49 22-09-2009

DenSyo Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Toparenko идея разделения серверного сегмента и пользовательского мне нравится. надо глубже изучить этот вопрос, так действительно может обойтись дешевле   Цитата: Ну если захотят, то следы найдут. Не считайте ВСЕХ 100% идиотами: Печатаете вы же не шариковой ручкой.   да боже упаси всех идиотами считать. я сам гос.службе 6 лет отдал. речь ведь не о том, чтоб нае..ть, а как раз о том, чтоб не дать повода себя я сам заинтересован в надежно защищенной системе на работе. но в 152 ФЗ мне не нравится необходимость раскошелится на ненужное дорогое оборудование и еще больше, постоянная готовность к визитам нежелательных, но имеющих на то право, лиц. которые думаю могут перестать быть не неожиданными. Всего записей: 218 | Зарегистр. 19-01-2008 | Отправлено: 17:36 22-09-2009

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Вы уже обеспечили защиту персональных данных на предприятии?

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование