Вы уже обеспечили защиту персональных данных на предприятии?
	Ответ	Голоса	Проценты
	Нет и не собираемся	148	12.50%
	Нет, но собираемся	158	13.34%
	Находимся в стадии оценки угрозы	173	14.61%
	Да, проводим подготовительные работы	185	15.62%
	Да, соответствуем новым требованиям	69	5.83%
	В первый раз слышу!	451	38.09%
Гости не могут голосовать, зарегистрируйтесть!			Всего Голосов: 1184

emx Moderator Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Уважаемые коллеги! К 1 января 2010 года все предприятия Российской Федерации должны привести cвою инфраструктуру и регулятивную базу в соответствие с требованиями Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Закон).   Общий коленкор таков. Согласно Закону к персональным данным относится: "любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;" п. 1, ст. 3 Закона   Чем это грозит для предприятия? В любой компании есть те или иные системы кадрового учета (HR-контур), который содержит подробную информацию о сотруднике (ФИО, дата рождения, ИНН, № Страхового свидетельства Пенсионного фонда, №№ страховых свидетельств ОМС/ДМС, сведения о постановке на воинский учет, №№ банковских счетов, сведения о заработной плате и так далее).     Кроме того, в ряде предприятий имеются различные CRM-cистемы, в которых аккумулируется информация о клиентах (в том числе клиентах - физических лицах), причем часто персонифицированная и детализированная, вплоть до предпочтений тех или иных лиц. Мы же стараемся удовлетворить клиента всеми возможными способами и учесть максимум нюансов?   Ряд компаний также осуществляет сбор и обработку тех или иных персональных данных клиентов через веб-сайты (интернет-продажи и тому подобное).   В ряде случаев есть ещё и бухучет (если клиент физическое лицо, которое оплачивает товары/услуги прямым банковским платежом, на основании договора или без такового).   Стало быть предприятие осуществляет сбор, хранит и обрабатывает персональные данные.   Далее...   п. 2, ст. 3 Закона вводит определение "оператора" (по обработке персональных данных): Цитата: 2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;   Поздравляю. Мы все - операторы.   Помимо определенных прав субъекта персональных данных, исполнение которых оператор должен обеспечивать (в основном это чисто бумажные штуки вещей - особого вреда компании причинить не могут), существуют ещё и обязательные требования в отношении оператора - они гораздо страшнее.   Закон определяет перечнь таких требований:   Цитата: Статья 19. Меры по обеспечению безопасности персональных данных при их обработке 1. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий. 2. Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных. 3. Контроль и надзор за выполнением требований, установленных Правительством Российской Федерации в соответствии с частью 2 настоящей статьи, осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных. 4. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения. ст. 19 Закона   Относительно того, как выполнить требования 1 пункта пока данных не слишком много. В общем случае на предприятии должны быть: - Положение о персональных данных - Положение о контрольно-пропускном режиме (где определен конечный круг лиц, который имеет доступ в помещения, где эта красота хранится физически) - Регламент по информационной безопасности   Кроме того, предприятие должно использовать сертифицированные (да, разумеется с потайным ключиком у ФСБ) криптографические решения на серверах, на которых расположены базы данных. Также инфраструктура должна быть аттестована (за счет предприятия у уполномоченного органа), что уж совсем ужасно.   Санкции. Санкции за нарушение Закона незначительны:   Цитата: Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) - влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей. ст. 13.11 КоАП РФ   Но при проверке вам могут вынести предприсание об устранении выявленных нарушений. За неисполнение предписания санкции более другие:   Цитата: Статья 19.5. Невыполнение в срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль) 1. Невыполнение в установленный срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), об устранении нарушений законодательства - влечет наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от одной тысячи до двух тысяч рублей или дисквалификацию на срок до трех лет; на юридических лиц - от десяти тысяч до двадцати тысяч рублей. ст. 19.5 КоАП РФ И так далее, вплоть до отзыва лицензии у предприятия на осуществление основной деятельности и уголовной ответственности для ген. директора.   Давайте что-ли обсудим - как жить дальше... Или может кто уже лазейку какую нашел? Всего записей: 11826 | Зарегистр. 05-06-2002 | Отправлено: 09:13 01-07-2009 | Исправлено: emx, 12:00 01-07-2009

anpsoft Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору лично я на моем предприятии не вижу проблемм с безопасностью не думаю что кто то куда то что то сливает   но зато регулярно само же вышестоящее руководство требует на бумаге и в электронном виде списки с самыми разными атрибутам подпадающими под подобные законы как российский так и наш   и попробуй не дай   да полетит мой дирекор с должности, не говоря обо мне   попробуй не дай наиподробный список кто на каком изб участке из наших живет сейчас да это расценят как измену родины   постоянно берут для нужд жеков и исполкома, должников вычислять где кто работает   менты, прокуратура и прочие силовые тоже, но те хоть какую бумажку дают на выемку данных   поэтому я не понимаю как закон и любое супер пупер оборудование поможет если наш генеральный директор холдинга даст команду моему директору предприятия чтоб тот дал какой то конторе список     меня выгонят если я не дам, за неисполнение приказа   более того, если даже и выгорит этот закон, то мне вменят в обязанность паралельно законному методу для отмазки, вести реальную рабочую черную базу, с которой так же и будут выдавать данные по требованию   а я буду вынужден ее шифровать уже не от утечки а наоборот - от органов   маразм   Всего записей: 120 | Зарегистр. 13-10-2002 | Отправлено: 19:06 07-12-2009

Toparenko Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: anpsoft а я буду вынужден ее шифровать уже не от утечки а наоборот - от органов   В настоящее время выполнение техтребований под 152-ФЗ в РФ идет не как защита ПДн, а как "защита от регуляторов"   Хотя если "органы" "вплотную займутся" - то шифрование не поможет. У Власти есть достаточно много способов эффективно получить всю эту информацию... Всего записей: 40 | Зарегистр. 04-10-2005 | Отправлено: 16:22 08-12-2009

anpsoft Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору знаю конкретный пример когlg после наезда было оффициально разосланы письма что все данный попадающие под закон уничтожаются и в дальнейшем не ведутся   а на словах было сказано что ведите черный учет на зашифрованных pgp дисках потому что внутренню отчестность и то что я перечислил выше не отменить никак   печатать тольку нужно стилизованно под пишущую машинку и поставить парочку в отделе каком   на ней же можно вручную вести учет как я понимаю   так всем и говорить откуда список - кадры просмотрели карточки бумажные и секретарь напечатала на машинке   да идиотские законы - столь же идиотские и решения должны быть и это 21 век .......     Всего записей: 120 | Зарегистр. 13-10-2002 | Отправлено: 19:32 08-12-2009

ipmanyak Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Может уже ближе к реалиям перейдем? Например ПДН - Фио  и серия и номер паспорта ( авиа и жд билеты). Последствия утечки этих данных  как классифицировать? Это    - незначительные негативные  - негативные    - значительные негативные ? и к какой катеории их отнести - K2 или K3? Я склонен считать, что это незначительные негативные и категория  K3, но  лицензиаты это относят к негативным, а не к незначительным негативным .  У кого какие мнения? И можно ли это аргументировано оспорить у лицензиата? Есть урла в онлайн  Классификатор ИСПДн  - http://www.reignvox.ru/classifier.php   Данные оператора ПДн  там можно не заполнять. Поскольку билетов более 100 тыщ обрабатывается и система распределенная с выходом в инет, мне выдали класс K2, что оченно мне не катит, но видать так и есть.   ---------- В сортире лучше быть юзером, чем админом... Всего записей: 11743 | Зарегистр. 10-12-2003 | Отправлено: 21:44 08-12-2009 | Исправлено: ipmanyak, 21:45 08-12-2009

oaf56 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: ipmanyak:Последствия утечки этих данных  как классифицировать? Это    - незначительные негативные    - негативные    - значительные негативные   В результате поиска инфы находил следующее:   1. Последствия утечки приведены, но нет их определения. 2. Субъект ПД(конкретный человек) имеет право написать жалобу в органы для принятия ими мер или в судебном порядке. Претензии предъявит ЭТОТ субъект и свои оценки ущерба соответственно. 3. При этом оценка степени последствий будет ОЧЕНЬ субъективной: если утечет, например,  дата рождения, то Вам это будет "незначительные негативные", а для дамы в бальзаковском возрасте - "значительные негативные". и НИЧЕМ ИНЫМ это не объяснить и не понять.     Так что надо принимать максимально пессимистические оценки. Ваш класс однозначно: К2+распределенная+инет.   anpsoft  Может стоит предложить как вариант расположить "полный" вариант базы на одном ПК, и защищать только его. Цель - все рано либо вычислят, либо сдадут болтливые/обиженые работники. Только последствия могут быть другие... Всего записей: 125 | Зарегистр. 23-11-2006 | Отправлено: 07:33 09-12-2009 | Исправлено: oaf56, 07:59 09-12-2009

Fill747 Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Доброго времени суток. Возник у нас в подразделении небольшой диспут. Согласно 152 ФЗ: Цитата: персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация Значит ли, что просто Фамилия - это ПДн? Или для определения ПДн нужна совокупность каких либо данных из этого "списка"? ---------- Я бы сделал лучше, но мне помогали. Всего записей: 1147 | Зарегистр. 03-02-2003 | Отправлено: 09:33 09-12-2009

oaf56 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Fill747 Данные данным могут иметь рознь. ФИО, например Иванов Сидор Петрович по закону - элемент ПД, но любой проверяющий пусть докажет что это конкретно ЭТОТ человек, а не проживающий в г. Магадан или г. Абакан. Зато собраные вместе даные позволят боле конкретно отнести ее к ....."определенному или определяемому на основании такой информации физическому лицу..." но есть определенные данные, по которым можно сразу и однозначно идентифицировать человека : ИНН(предприниматель, госслужащий), № паспорта, № военбилета, № свидельства о рождении, № свидельства о браке, № свидельства о смерти и возможно много чего другого..... хотя сами номера - это наверное общедоступная информация? Всего записей: 125 | Зарегистр. 23-11-2006 | Отправлено: 11:26 09-12-2009

Toparenko Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: ipmanyak Может уже ближе к реалиям перейдем? Например ПДН - Фио  и серия и номер паспорта ( авиа и жд билеты).   Цитата: ipmanyak ? и к какой катеории их отнести - K2 или K3? ФИО+серия и номер паспорта относятся к ПДн идентифицирующим субъекта => Хпд=3   Но кроме этого у Вас есть класс авиабилета или тип вагона. А так же есть маршрут поездки. Есть риски, что общая совокупность будет Хпд=2 Цитата: ipmanyak билетов более 100 тыщ обрабатывается   Хнпд=1   Кроме конфиденциальности Вам следует обеспечивать, минимум, целостность данных. Т.ч. уводите на спецИСПДн.   Цитата: Fill747 Значит ли, что просто Фамилия - это ПДн? Или для определения ПДн нужна совокупность каких либо данных из этого "списка"? Здесь пока нет определенности: по 152-ФЗ нет понятия обезличенных ПДн - это понятие появляется только в приказе трех.   Если исходить из приказа трех: просто фамилия - это обезличенные ПДн, по которым нельзя идентифицировать субъекта (Хпд=4).   К сожалению для идентификации субъекта в разных случаях требуется разная информация: в одном случае для этого может быть достаточно ФИО (или подчас фамилия+имя или фамилия+отчество), в другом случае может быть недостаточно ФИО+год и месяц рождения... И именно здесь уже начинаются проблемы классификации систем...   Цитата: kzi ipmanyak Ваша система действительно м.б. К2, т.к. большое кол-во пользователей.  Сообщаю Вам как лицензиат, что можно получить и специальную К3 при определенных условиях и правильно это описать. На счет К2 написал выше На счет того, что можно получить спецК3 - действительно об этом говорят представители ФСТЭК. В принципе, при грамотно составленной модели угроз, для некоторых ИСПДн при отнесении к типовой К1 по параметрам Хпд/Хнпд можно получить и спецК4.   С другой стороны второй подпункт п.19 приказа трех оставляет "ну очень большой (с)" простор для регуляторов...     Цитата: oaf56 хотя сами номера - это наверное общедоступная информация? Весьма спорно, но пока не отрегулировано Всего записей: 40 | Зарегистр. 04-10-2005 | Отправлено: 15:55 09-12-2009 | Исправлено: Toparenko, 15:56 09-12-2009

Orion_76 Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: то есть получается что уже как-бы и не все попадают   обратите внимание на наименование главы: Статья 22. Уведомление об обработке персональных данных   больше там ни о чем не говориться........ Всего записей: 386 | Зарегистр. 02-11-2007 | Отправлено: 23:54 09-12-2009

niichavo Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Yuri456745 Цитата: А не у кого не возникало идей попытаться вывести данные из под действия данного закона. Например, везде ставить сноску что данные собираются в целях создания и поддержания источника общедоступных данных ООО "Общедоступность". Деятельность: сбор и выкладывание в открытый доступ персональных данных всех, кого мы знаем. Начнём со своих сотрудников. Сотрудник Пупкин Василий Петрович, пасспорт серия ..., проживает ..., имеет 2 детей, ... Всего записей: 836 | Зарегистр. 14-09-2005 | Отправлено: 20:35 13-12-2009

oaf56 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Или хранить данные в разных местах, таким образом, что-бы они были обезличены Это как?   По этому закону Практически все обрабатываемые персональные данные(общем понимании) имеют смысл и привязаны к конкретному субъекту ПД (физлицу, сотруднику, ИЧП). Если данные Обезличены == это означает, что по имеющимся в данной информационнной системе данным нельзя четко и однозначно идентифицировать такого субъекта. Т.е. вместо Пупкина Василия Петровича в программе "зарплата и кадры" бухгалтер заведет субъекта "000001", следующего -"000002" будет начислять им зарплату, а Вася Пупкин будет расписываться, что "000001" получил свои 5 рублей.   Все бы хорошо, но налоговая, фонды не примут во внимание такие шаманства. А если Вам выпишут такой билет, поставят дианноз и т.д.? Если обзывать субъекта "000001" в результатах обработки будет неприемлемо, то прийдется иметь другую информационую систему, в которой будут вместе и данные субъекта и коды. Трудности, в разрознености информации, требуемым осуществлением взаимодествия, синхронизации 2-х систем. И все рано имеем систему, которую надо будет защать + ошибки при доработке Програмного обеспечения + ошибки синхронизации+ ошибки персонала. + требуется отчетность, печать требуемых форм(квитанция, счет, ведомость и т.д.). И даже при асинхронном обмене/запросе данных можно всегда сказать, что это удаленный доступ к защищеноой системе и потребуется защищать систему, канал доступа и клиента. Проще будет не выеживаться. Всего записей: 125 | Зарегистр. 23-11-2006 | Отправлено: 08:06 14-12-2009

Fill747 Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Сегодня на утреннем заседании ГД рассмотрены и приняты в третьем чтении следующие законы: Цитата: ... - "О внесении изменений в статьи 19 и 25 Федерального закона "О персональных данных" (в части исключения требования об использовании криптографических средств защиты персональных данных и продления срока, в течение которого ранее созданные информационные системы персональных данных подлежат приведению в соответствие с Федеральным законом "О персональных данных"), "за" – 311.   Законопроект представил первый заместитель председателя Комитета по конституционному законодательству и государственному строительству Александр Москалец.   По мотивам голосования высказался Владимир Кашин.   ...   По ст.25 п.3 отсрочка до 1 января 2011 года. ---------- Я бы сделал лучше, но мне помогали. Всего записей: 1147 | Зарегистр. 03-02-2003 | Отправлено: 17:24 16-12-2009

Orion_76 Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору А я рад-))) Еще год на свободе!!!   Слышал было предложено около 16 изменений... А с ними что? Всего записей: 386 | Зарегистр. 02-11-2007 | Отправлено: 18:03 16-12-2009

Snekaaa Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Вопрос немного не по теме.   Кто VipNet уже купил, можете дать документацию по продукту этому. В открытом виде её нигде нет, а я хочу начать обучение на администратора VipNet.   Если у кого есть какая либо документация, напиши в приват Всего записей: 57 | Зарегистр. 25-06-2006 | Отправлено: 08:29 17-12-2009 | Исправлено: Snekaaa, 09:35 17-12-2009

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Вы уже обеспечили защиту персональных данных на предприятии?

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование