Вы уже обеспечили защиту персональных данных на предприятии?
	Ответ	Голоса	Проценты
	Нет и не собираемся	148	12.50%
	Нет, но собираемся	158	13.34%
	Находимся в стадии оценки угрозы	173	14.61%
	Да, проводим подготовительные работы	185	15.62%
	Да, соответствуем новым требованиям	69	5.83%
	В первый раз слышу!	451	38.09%
Гости не могут голосовать, зарегистрируйтесть!			Всего Голосов: 1184

emx Moderator Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Уважаемые коллеги! К 1 января 2010 года все предприятия Российской Федерации должны привести cвою инфраструктуру и регулятивную базу в соответствие с требованиями Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Закон).   Общий коленкор таков. Согласно Закону к персональным данным относится: "любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;" п. 1, ст. 3 Закона   Чем это грозит для предприятия? В любой компании есть те или иные системы кадрового учета (HR-контур), который содержит подробную информацию о сотруднике (ФИО, дата рождения, ИНН, № Страхового свидетельства Пенсионного фонда, №№ страховых свидетельств ОМС/ДМС, сведения о постановке на воинский учет, №№ банковских счетов, сведения о заработной плате и так далее).     Кроме того, в ряде предприятий имеются различные CRM-cистемы, в которых аккумулируется информация о клиентах (в том числе клиентах - физических лицах), причем часто персонифицированная и детализированная, вплоть до предпочтений тех или иных лиц. Мы же стараемся удовлетворить клиента всеми возможными способами и учесть максимум нюансов?   Ряд компаний также осуществляет сбор и обработку тех или иных персональных данных клиентов через веб-сайты (интернет-продажи и тому подобное).   В ряде случаев есть ещё и бухучет (если клиент физическое лицо, которое оплачивает товары/услуги прямым банковским платежом, на основании договора или без такового).   Стало быть предприятие осуществляет сбор, хранит и обрабатывает персональные данные.   Далее...   п. 2, ст. 3 Закона вводит определение "оператора" (по обработке персональных данных): Цитата: 2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;   Поздравляю. Мы все - операторы.   Помимо определенных прав субъекта персональных данных, исполнение которых оператор должен обеспечивать (в основном это чисто бумажные штуки вещей - особого вреда компании причинить не могут), существуют ещё и обязательные требования в отношении оператора - они гораздо страшнее.   Закон определяет перечнь таких требований:   Цитата: Статья 19. Меры по обеспечению безопасности персональных данных при их обработке 1. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий. 2. Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных. 3. Контроль и надзор за выполнением требований, установленных Правительством Российской Федерации в соответствии с частью 2 настоящей статьи, осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных. 4. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения. ст. 19 Закона   Относительно того, как выполнить требования 1 пункта пока данных не слишком много. В общем случае на предприятии должны быть: - Положение о персональных данных - Положение о контрольно-пропускном режиме (где определен конечный круг лиц, который имеет доступ в помещения, где эта красота хранится физически) - Регламент по информационной безопасности   Кроме того, предприятие должно использовать сертифицированные (да, разумеется с потайным ключиком у ФСБ) криптографические решения на серверах, на которых расположены базы данных. Также инфраструктура должна быть аттестована (за счет предприятия у уполномоченного органа), что уж совсем ужасно.   Санкции. Санкции за нарушение Закона незначительны:   Цитата: Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) - влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей. ст. 13.11 КоАП РФ   Но при проверке вам могут вынести предприсание об устранении выявленных нарушений. За неисполнение предписания санкции более другие:   Цитата: Статья 19.5. Невыполнение в срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль) 1. Невыполнение в установленный срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), об устранении нарушений законодательства - влечет наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от одной тысячи до двух тысяч рублей или дисквалификацию на срок до трех лет; на юридических лиц - от десяти тысяч до двадцати тысяч рублей. ст. 19.5 КоАП РФ И так далее, вплоть до отзыва лицензии у предприятия на осуществление основной деятельности и уголовной ответственности для ген. директора.   Давайте что-ли обсудим - как жить дальше... Или может кто уже лазейку какую нашел? Всего записей: 11826 | Зарегистр. 05-06-2002 | Отправлено: 09:13 01-07-2009 | Исправлено: emx, 12:00 01-07-2009

eeeeee Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору oaf56 Cобственно, необходимость шифрования и так понятна. Мне неясно, откуда следует, что использовать необходимо именно сертифицированные средства. Я вот как-то больше доверяю не тому, что непонятно кто написал и непонятно кто сертифицировал, а тому, что много лет используется всем миром и ни разу не сломано. Хоть и не сертифицировано. Статья 19 предписывает шифровать. А чем конкретно - не оговаривается. В чем состоят требования Правительства РФ - непонятно. Есть Закон о лицензировании отдельных видов деятельности, который предписывает лицензировать, например, оказание услуг по шифрованию данных, но оказание услуг по шифрованию и собственно шифрование - всё же разные вещи. И большинство из наших контор, естественно, таких услуг не оказывает. Но при этом данные шифрует. Я лично пока не вижу требований законов об обязательном использовании исключительно сертифицированных средств. Если кто обладает соответствующими ссылочками, поделитесь, плиз... Всего записей: 31 | Зарегистр. 04-05-2003 | Отправлено: 11:31 12-10-2009

oaf56 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору eeeeee Ну, ты и колдун.   1. Учти только одно: незнание закона НЕ освобождает от его исполнения. 2. почти все статьи УК, КоАПа, ГК, ТК, ФЗ о Госслужбе имеют нормы: наказание за причениение вреда как за действие, так и бездействие.   Чтобы ты был юристом запомни : Есть иеерархия законов. порядок таков: - конституция РФ - Указы Президента РФ - Федеральные законы(ФЗ) - Нормативные документы Правительства РФ, Министерств и ведомств(Растолковываюткак будут применять ФЗ, Указы, Конституцию) - Ведомственные акты в развитие нормативных документов.   Это все про федеральный уровень. Область действия - вся территория РФ. По конституции ФЗ имеют приоритет над Областными и муниципальными законодательными и нориативными актами. Есть разделы по сферам деятельности, где есть только ФЗ. например Оборона, безопасность, правопорядок. Хотя есть сферы, где в общем регулируются федералами, а устанавливается и обеспечивается на местах. В местном законодательстве тоже есть аналогичная иерархия.   Так вот есть докрина безопасности РФ-> Указы Президента-> 152-ФЗ->постановлениеПравительства РФ №781->Совмесный приказ ФСТЭК/ФСБ.. №55/86/20->Методические рекомендации ФСТЭК/ФСБ.   Все. Читай и выполняй. Все что не вписывается "по твоему" в систему - Можешь посмотреть нормативные и расорядительные документы на официальных сайтах Этих учреждений. Кстати, нормативные и ведомственные акты могут издавать(а они быть обязательны для исполнения) только уполномоченные на это органы. В области ИБ уполномочены как раз ФСТЭК/ФСБ. ФСБ курирует криптографию, ФСТЭК остальные ?.   Корче изучай: http://www.fstec.ru/_razd/_ispo.htm Там есть и относительно новые документы   Про шифрование не помню точно но в сертифицируемых системах был явный запрет на использование не сертифицированой в РФ криптографии. Хотя лично для себя - можешь использовать не спец.средства, а тиражные. Иначе нарушение - обязательное лицензирование разработок в области криптографии. (( О системе сертификации, о том, что необходимо сертифицировать http://www.fstec.ru/_razd/_serto.htm Всего записей: 125 | Зарегистр. 23-11-2006 | Отправлено: 15:17 12-10-2009 | Исправлено: oaf56, 15:52 12-10-2009

eeeeee Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору oaf56 Цитата: Чтобы ты был юристом запомни :   Упаси боже... Не хочу быть юристом.   Цитата: постановлениеПравительства РФ №781->Совмесный приказ ФСТЭК/ФСБ.. №55/86/20->Методические рекомендации ФСТЭК/ФСБ.   Благодарю за действительно ценную информацию. Хотя прямого предписания на использование именно сертифицированных продуктов в этих документах я не встретил. Но некоторые формулировки слишком расплывчаты и дают, на мой взгляд, слишком много свободы проверяющим органам. А с другой стороны в ходе проверок с точно таким же успехом можно признать не соответствующими требованиям и сертифицированные средства.   Цитата: Хотя лично для себя - можешь использовать не спец.средства, а тиражные. А это "лично для себя" на контору распространяется? Всего записей: 31 | Зарегистр. 04-05-2003 | Отправлено: 15:54 12-10-2009 | Исправлено: eeeeee, 15:56 12-10-2009

oaf56 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Orion_76 Доплаты явно прописаны в ФЗ о гостайне. Размер этих доплат 20,10 и 5% от оклада служащего и зависит от категоии информации к которой ты имеешь доступ. Оклад обычно бывает у рядовых сотрудников в размере 1000- 5000 рублей. Потому доплата бывае от очень смешной до 1 тысячи. Хотя для сотрудников режима есть доплаты и за стаж работы. Более конкретно система Зарплаты  муниципалов определяется Вашей законодательной базой и нормативными актами.   Но, если читать прямо : ПД - это не гостайна. и доплаты не положено. ( Однако есть сотрудники режима и ФСБ/ФСТЭК. Они считают, что есть такое дело Обеспечивать ИБ -> Должен быть обученый админ ИБ. Должна быть штатная единица. И если доплаты за секретность не выбить, то доплата за совмещение и ответственность должна быть. Ведь тебя приняли на должность. Должны дать контракт. Описать твои служебные обязаности. А ИБ это - совмещение. По закону о Госслужбе работодатель имеет право перевести тебя на 1 месяц без твоего согласия на другую не только должность, но и работу, и даже в другой месности. Если это требуется изза катаклизмов, бедствий, угрозы работы органа и и.п. А на больший срок - НЕТ. Только по соглашению сторон. Правда РЕАЛЬНО могут быть предложены 2 варинта: Или "Ты Согласен"или "Увольняйся, найдем другого". Так что на рожон не лезь. Старайся пояснять "такая ответственность и такая доплата?" А областные тебе не помогут? Деньгами скорее нет, а вот советом, методикой - скорее да. Там должны быть отделы ИТ и ИБ.   Цитата: eeeeee: А это "лично для себя" на контору распространяется? - На этапе аттестации ВСЕЙ СИСТЕМЫ просто не дадут сертификат. Проинформируют ФСБ. Чтобы они наведывались к ВАм преодически.   - После аттестации - нарушение режима, админа... начальника... Работу фирмы приостановят. О Последствиях догадываешься? А лично у себя, дома..... PLEASE. DO IT. Только осторожно и без рекламы. Цитата: А с другой стороны в ходе проверок с точно таким же успехом можно признать не соответствующими требованиям и сертифицированные средства.   Здесь Бумага крепче воего лба и железа. Главное - соблюдай тех условия и требования по ИБ, согласно к документации к изделию. Иначе сертификат не будет признан при аттестации/проверке. Всего записей: 125 | Зарегистр. 23-11-2006 | Отправлено: 16:18 12-10-2009 | Исправлено: oaf56, 16:45 12-10-2009

GOODmen Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору А кто-нибудь в курсе, почему именно до 1 января 2010 года? Закону уже 4 года, а чесаться начали только сейчас. Или в период кризиса некто решили срубить бабла, как обычно? Защищать данные конечно надо, но имхо, из всего прочитанного - вся эта история просто маразм, развод на офигенные бабки Всего записей: 366 | Зарегистр. 15-01-2004 | Отправлено: 09:41 13-10-2009

jonvarvar Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору "ПАРТИЯ сказала -"Надо!" , ПИОНЕР ответил - "Есть!"."   А если серьёзно , то неужели кто-то всерьёз собирается исполнять сей закон ?   "Закон" более похожий на "протокол о намерениях" ... В данной теме наличиствут как минимум три аспекта : правовой , экономический и "компьютерный" (в наименьшей степени).Неизбежно возникающие противоречия   частично выявлены выше .Упомяну ещё несколько из таковых : - С юридической точки зрения , возможно осложнение международной экономической  деятельности , поскольку зарубежные партнеры находятся в ситуации , вынуждающей  их соблюдать подобные же юридические акты , но - свои , с коими этот наш закон явно  не коррелировался . Более того , они вынуждены призывать к этому и российского    партнёра .А где в этом законе описано разграничение прав доступа к персональным  данным , где определена сама СТЕПЕНЬ  их доступности , и даже критерии , на   сновании которых вообще возможно подобное определение ? Наглухо запаянная банка с вареньем - это не она , а абсурдный курьёз. Далее , какие "потусторонние"   организации будут контролировать соблюдение этого закона в международном   правовом поле (CIA, АНБ, Массад ?) и кто с нашей стороны будет их "сертифицировать"? А как прикажете работать с иностранными компаниями , обеспечиающими  сетевую безопасность Вам и Вашим клиентам ? С "анонимными персоналиями" сии компании явно работать не смогут .И на кого в этом случае ляжет бремя финансовых обязательств за вынужденный отказ от обязательств договорных ? А подобных договоров в той же нашей банковской сфере - масса. Внутрироссийские юридические коллизии , вызываемые подобным законотворчеством не менее актуальны . Как корпорации заказать через Инет те поздравительные открытки своим клиентам , не преступая этот закон ? Как -экономически-Вы себе представляете сапожную мастерскую с  "секреткой"? То есть мелкий бизнес следует отлучить не только от компьютера , но и от бизнеса вообще? Очевидно , что ФЗ "О персональных данных" частично (мягко говоря) скалькирован с закона о гостайне , что изначально делает его в самой своей сути абсурдным . Уподоблять гос. структуру сруктуре социально-экономической (чем в последнее десятилетие грешит наше государство) ещё нелепее , чем равнять божий дар с яичней. Отсюда и правовая импотенция , к коей всецело можно отнести и данную законодательную инициативу . Можно лишь посочувствовать тем , кто искренне надеется исполнить сей закон.  В итоге же всё сведётся к обычным схемам : от примитивного "Зиц" с преусловутым "дублем" ("Рога"- на подставу,"Копыта" - на подмену) , до "цепочки" с  запуском  "дурочки"...К всё тем же играм с проверяющими в "кто кого перетупит" где   призом служит размер взятки .В общем,кто в бизнесе - тот в курсе. А для сисадминов ...Для них всё  это выльется в громаду высоконервнозатратных , но малопродуктивных потуг , ради рождения очередного "пшика". Всего записей: 532 | Зарегистр. 24-07-2009 | Отправлено: 10:02 13-10-2009 | Исправлено: jonvarvar, 10:03 13-10-2009

oaf56 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору jonvarvarМногие руководители фирм "помешаны"  на безопасности и без этого закона. ИМ самим это нужно. И это  будет с эти законом или без него. Цитата: И на кого в этом случае ляжет бремя финансовых обязательств   за вынужденный отказ от обязательств договорных ?   Как правило Договор имеет разделы Срок действия/порядок прекращения. Общая юридисческая праактика: 1. ограничение срока действия до года. Или   2. пролангация срока действия при отсутствии письменого уведомления об отказе, например за 1-2 месяца. Отказ написать не судьба? Цитата: А подобных договоров в той же нашей банковской сфере - масса. Банк это же не обувщик-таджик, сидящий в переходе.   Добавлено: На сайте ФСТЭКА опубликованы новые документы (выжимки из рекомендаций): http://www.fstec.ru/_spravs/meropriaytiay.doc http://www.fstec.ru/_spravs/recomend.doc Кто что думает? Всего записей: 125 | Зарегистр. 23-11-2006 | Отправлено: 11:25 13-10-2009

lovec123 Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору чтото представители фстека как то нехорошо замолчали так зачем этот закон то? Всего записей: 2734 | Зарегистр. 26-02-2007 | Отправлено: 11:22 15-10-2009

Orion_76 Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Еще такой ньюанс...    Работаю типа сельским фельдшером от  АйТи(и сис.админ и консультант и внедренец ПО и т.д.), раньше работал в нескольких бюджетных конторках по совместительству (максимум 0.5 ставки (за такую з.п положено еще немного вредить)). Сейчас с коллегами организовали типа аутсорсинговую контору по предоставлению АйТишных услуг.    1.  Вот мне интересно, на ставку администратора ИБ нужен во-первых специалист соответствующей специальности, во-вторых (Если я правильно понял) он должен быть в штате организации.   И чем же, какая нибудь сельская школа (50 чел.учащихся,с пропорциональным кол-ву учащихся финансированием)сможет соблазнить подобного специалиста?    Привлекать админов ИБ из вне вроде не положено?    2.  Незнаю как в других местах, но у нас в сельском районе, уровень подготовки пользователей ниже чем возможно, элементарно, внедрял флешки для сдачи отчетов в налоговую и казначейство около года, конечно и мои юзера не подарки, но и в вышеупомянутых конторах это ЧТО-ТО!!! И как таких юзеров научить за 3 месяца Информационной Безопасности? И заменить их нечем...Хорошие молодые специалисты по окончании обучения остаються в областном центре.     PS Такое ощущение, что Дмитрию Анатольевичу при коментировании "успехов" в развитии IT придется подобрать  словечко покрепче чем "офигели"))   Всего записей: 386 | Зарегистр. 02-11-2007 | Отправлено: 23:19 19-10-2009

lovec123 Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Toparenko можно было написать потому, смысловая нагрузка таже Всего записей: 2734 | Зарегистр. 26-02-2007 | Отправлено: 19:29 20-10-2009

lovec123 Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору svanyashev Цитата: Сертификат на антивирусную не нужен, это бред. гы а что вы собираетесь аттестовывать с таким отношением, если антивирусное по не должно быть сертифицированно то что должно и какой аттестационный центр вы представляете? Всего записей: 2734 | Зарегистр. 26-02-2007 | Отправлено: 22:05 20-10-2009

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Вы уже обеспечили защиту персональных данных на предприятии?

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование