Вы уже обеспечили защиту персональных данных на предприятии?
	Ответ	Голоса	Проценты
	Нет и не собираемся	148	12.50%
	Нет, но собираемся	158	13.34%
	Находимся в стадии оценки угрозы	173	14.61%
	Да, проводим подготовительные работы	185	15.62%
	Да, соответствуем новым требованиям	69	5.83%
	В первый раз слышу!	451	38.09%
Гости не могут голосовать, зарегистрируйтесть!			Всего Голосов: 1184

emx Moderator Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Уважаемые коллеги! К 1 января 2010 года все предприятия Российской Федерации должны привести cвою инфраструктуру и регулятивную базу в соответствие с требованиями Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Закон).   Общий коленкор таков. Согласно Закону к персональным данным относится: "любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;" п. 1, ст. 3 Закона   Чем это грозит для предприятия? В любой компании есть те или иные системы кадрового учета (HR-контур), который содержит подробную информацию о сотруднике (ФИО, дата рождения, ИНН, № Страхового свидетельства Пенсионного фонда, №№ страховых свидетельств ОМС/ДМС, сведения о постановке на воинский учет, №№ банковских счетов, сведения о заработной плате и так далее).     Кроме того, в ряде предприятий имеются различные CRM-cистемы, в которых аккумулируется информация о клиентах (в том числе клиентах - физических лицах), причем часто персонифицированная и детализированная, вплоть до предпочтений тех или иных лиц. Мы же стараемся удовлетворить клиента всеми возможными способами и учесть максимум нюансов?   Ряд компаний также осуществляет сбор и обработку тех или иных персональных данных клиентов через веб-сайты (интернет-продажи и тому подобное).   В ряде случаев есть ещё и бухучет (если клиент физическое лицо, которое оплачивает товары/услуги прямым банковским платежом, на основании договора или без такового).   Стало быть предприятие осуществляет сбор, хранит и обрабатывает персональные данные.   Далее...   п. 2, ст. 3 Закона вводит определение "оператора" (по обработке персональных данных): Цитата: 2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;   Поздравляю. Мы все - операторы.   Помимо определенных прав субъекта персональных данных, исполнение которых оператор должен обеспечивать (в основном это чисто бумажные штуки вещей - особого вреда компании причинить не могут), существуют ещё и обязательные требования в отношении оператора - они гораздо страшнее.   Закон определяет перечнь таких требований:   Цитата: Статья 19. Меры по обеспечению безопасности персональных данных при их обработке 1. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий. 2. Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных. 3. Контроль и надзор за выполнением требований, установленных Правительством Российской Федерации в соответствии с частью 2 настоящей статьи, осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных. 4. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения. ст. 19 Закона   Относительно того, как выполнить требования 1 пункта пока данных не слишком много. В общем случае на предприятии должны быть: - Положение о персональных данных - Положение о контрольно-пропускном режиме (где определен конечный круг лиц, который имеет доступ в помещения, где эта красота хранится физически) - Регламент по информационной безопасности   Кроме того, предприятие должно использовать сертифицированные (да, разумеется с потайным ключиком у ФСБ) криптографические решения на серверах, на которых расположены базы данных. Также инфраструктура должна быть аттестована (за счет предприятия у уполномоченного органа), что уж совсем ужасно.   Санкции. Санкции за нарушение Закона незначительны:   Цитата: Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) - влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей. ст. 13.11 КоАП РФ   Но при проверке вам могут вынести предприсание об устранении выявленных нарушений. За неисполнение предписания санкции более другие:   Цитата: Статья 19.5. Невыполнение в срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль) 1. Невыполнение в установленный срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), об устранении нарушений законодательства - влечет наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от одной тысячи до двух тысяч рублей или дисквалификацию на срок до трех лет; на юридических лиц - от десяти тысяч до двадцати тысяч рублей. ст. 19.5 КоАП РФ И так далее, вплоть до отзыва лицензии у предприятия на осуществление основной деятельности и уголовной ответственности для ген. директора.   Давайте что-ли обсудим - как жить дальше... Или может кто уже лазейку какую нашел? Всего записей: 11826 | Зарегистр. 05-06-2002 | Отправлено: 09:13 01-07-2009 | Исправлено: emx, 12:00 01-07-2009

ipmanyak Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору andrage   данные ИЧП (ФИО, ИНН, адрес...) да -  это ПДн . Но: 2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных.   Если заключен договор с ИЧП значит декларировать обработку ПДН  не нужно. Я так считаю и имхо Роскомнадзор тоже, ссылку на полный ответ от Роскомнадзора я вам давал выше. И об этом прямо сказано в статье 22. Можно смело наезжать на госпожу из "надзорного органа" ссылкой на эту статью. И не следует бояться или стесняться. То, что вы процитировали это то, что вообще не попадает под действие закона.   1 - вы обрабатываете не для личных и семейных нужд   2 - вы не архивный  фонд РФ 3 - единый государственный реестр индивидуальных предпринимателей - это имхо относится к налоговой инспекции, а не к вам   4 - у вас не Гостайна Поэтому эти  4 пункта к вам никак не относятся! В вашем случае закон действует и данные об ИЧП это ПДн, но декларировать эту обработку не требуется. ---------- В сортире лучше быть юзером, чем админом... Всего записей: 11743 | Зарегистр. 10-12-2003 | Отправлено: 17:17 18-02-2010 | Исправлено: ipmanyak, 17:28 18-02-2010

Nomolos Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Уважаемые! Подскажите, пожалуйста. Предположим на предприятии установлена система гарант или консультант. Соответственно еженедельно приходят их обновлять. А предприятие попадает под 3 (2) категорию. Следовательно, должны быть обеспечены средства защиты от утечки персональных данных, а если учесть тот факт, что как правило системы консультант и гарант установлены на тех компьютерах где есть персональные данные (Допустим юристы, у которых есть договора. Или бухгалтера которые имеют доступ к бухгалтерии.), то получается полный п.....п. Как быть в таком случае и какие средства кто применяет? З.Ы. http://rapidshare.com/files/357789315/PDn.rar.html Презентация семинара проходившего в городе Н. Про безопасность и перс. данные. Просьба кто сольет, перезалейте. т.к. у меня на рапиде не премиум. Всего записей: 69 | Зарегистр. 21-11-2006 | Отправлено: 12:52 02-03-2010

Fill747 Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Nomolos В первую очередь необходимо заключить Соглашение о конфиденциальности с организацией, которая вам обновляет Гарант/Консультант. С технической точки зрения: совсем не обязательно руками приходящих обновлять ПО на компьютерах бухгалтеров/юристов. Пусть приходящие сливают обновление куда-нибудь на файловый сервер, ну а дальше ваш IT-отдел уже сам обновляет то, что необходимо. ---------- Я бы сделал лучше, но мне помогали. Всего записей: 1147 | Зарегистр. 03-02-2003 | Отправлено: 13:41 02-03-2010

Orion_76 Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Nomolos ТОже актуально...   Цитата: Пусть приходящие сливают обновление куда-нибудь на файловый сервер, ну а дальше ваш IT-отдел уже сам обновляет то, что необходимо.  не очень-то они горят желанием дистрибутивы, ключи, коды отдавать-))) Всего записей: 386 | Зарегистр. 02-11-2007 | Отправлено: 14:31 02-03-2010

Nomolos Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата:  не очень-то они горят желанием дистрибутивы, ключи, коды отдавать-))) оссобенно гарант со своими ответами. Что касается консультанта, выяснил вот что: Они могут расшарить доступ к фтп, от куда можно слить обновление, НО после того как обновление будет сделано, очень сильно просят отправить им файл отчет об обновлении. Хотя последнее, как мне кажется, вообще не проблема организации(МОЕ МНЕНИЕ: Вам нужно, пропишите это в договоре, и сделайте нормальную обновлялку. Иначе это ваши проблемы что вам нужен отчет.) где установлен консультант. З.Ы. мое мнение, это мое мнение. и прошу не разводить флуд на эту тему. Кому надо отвечу в личку и обосную свое мнение.   Добавлено: Цитата: В первую очередь необходимо заключить Соглашение о конфиденциальности с организацией Как оператор перс. данных, я, в первую очередь несу ответственность, а не менеджер по обновлению, который вообще может не знать что он с другой организации принес вирус, который слил данные. И никакие бумаги здесь не помогут.   Добавлено: З.Ы. обновлять гарант из инета вообще накладно, 16 гиг стандартное обновление. Как опять таки удалось выяснить, организации которые так обновляются, ставят обновление вечером перед уходом с работы, утром готово будет. Всего записей: 69 | Зарегистр. 21-11-2006 | Отправлено: 16:14 02-03-2010

Orion_76 Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Как оператор перс. данных, я, в первую очередь несу ответственность, а не менеджер по обновлению, который вообще может не знать что он с другой организации принес вирус, который слил данные. И никакие бумаги здесь не помогут.     И вирусы приносили, и права доступа к системе им пошире надо... Придется таким распространителям принцип распространения менять... К машине с ПД я никаких менеджеров не пущу-))   Всего записей: 386 | Зарегистр. 02-11-2007 | Отправлено: 16:31 02-03-2010

Fill747 Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Orion_76 Цитата: не очень-то они горят желанием дистрибутивы, ключи, коды отдавать-))) Не понял, какое отношение имеют дистрибутивы с ключами к обновлениям баз данных? У нас приходит дядечка из консультанта, сливает обновления в выделенный ему каталог, а вечером эти обновления заливаются туда, где им самое место. ---------- Я бы сделал лучше, но мне помогали. Всего записей: 1147 | Зарегистр. 03-02-2003 | Отправлено: 15:31 03-03-2010

Nomolos Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: У нас приходит дядечка из консультанта У Вас видимо гаранта нет. Потому как для обновления гаранта нужен ответ от их центра. Всего записей: 69 | Зарегистр. 21-11-2006 | Отправлено: 08:15 04-03-2010

ipmanyak Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Минюст зарегистрировал приказ от 5.02.2010 № 58 “Об утверждении положения о методах и средствах защиты информации в ИСПДн”. Документ  "Положение о методах и способах защиты информации в информационных системах персональных данных"  вступил в силу.  Документ можно скачать тут  http://webfile.ru/4291589   Теперь вместо 4-книжья имеем 5-книжье. Есть небольшие послабления. Блог Царёва по этому поводу   http://www.tsarev.biz/?p=1255 http://www.tsarev.biz/?tag=ispdn ---------- В сортире лучше быть юзером, чем админом... Всего записей: 11743 | Зарегистр. 10-12-2003 | Отправлено: 08:36 04-03-2010 | Исправлено: ipmanyak, 08:43 04-03-2010

oaf56 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Nomolos:У Вас видимо гаранта нет. Потому как для обновления гаранта нужен ответ от их центра. Гарант могут обновлять тоже с USB HDD. Серверный вариант точно. Цитата: BAARK:Коллеги, что используете из Firewall из фстековского списка? Циски серии PIX и ASA аццки дороги. Обрати внимание В списке указано не только изделие с конкретной торговой маркой, моделью, ЗАЧАСТУЮ КОНКРЕТНЫЕ экземпляры изделий(серийный номера или расположение на объекте с маркировкой). еСТЬ ЖЕ ПО. Посмотри в их сторону. Только надо знать требования по защите и нужно ли для достижения их "сертифицированое" железо(в том числе и по требованиям ПО). Всего записей: 125 | Зарегистр. 23-11-2006 | Отправлено: 10:41 10-03-2010

oaf56 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору У нас принимали решение и платили "сверху". И Выбрали АПК ДИОНИС( есть в списке СпецПО(набор встроеных служб и сервисов) на сертифицированной платформе- промышленный ПК Intel/PC в стойку 4U*19" ). Особенность ЛЮБОГО АПК - штучное/массовое изделие. Должно быть заточено под функции и ПО. Стабильность, надежность определяется кроме реализации ПО еще и факторами:  кол-во задействованных служб/сервисов; степени нагрузки на них.  Т.е. кондиционостью железа, его рабочими температурами, ресурсом на отказ компонентов. Чем более задействовано функционала, тем меньше должны быть запроектированы рабочие нагрузки, и ПИКОВЫЕ. Т.е. работа почтового сервера способна подавить канал инет и службы сети. и аналогично - интенсивный трафик(50-100 мб) и его логирование на диск. В принципе, если понимать сильные и слабые места, владеть напильником и иметь голову на плечах, то в принципе ВСЕ решаемо.(теперешние админы уже года 4 не подходят к нему) Недостатки есть практически у любых решений. А преимущество в определенных условиях - станет недостатком.   Добавлено: Вообще любая защита - это как замок от честного человека. 100% защиты нет и не будет. Посмотри чисто програмный комплекс, например: http://www.infotecs.ru/Soft/office_f.htm Поищи инфу. Контактный телефон там есть, надеюсь с выбором помогут. Интересуйся есть ли сертификат, на что и на какой срок. Будут ли продлять.   Добавлено: Подборка продуктов разных: http://www.infotrust.ru/content/view/48/26/ Всего записей: 125 | Зарегистр. 23-11-2006 | Отправлено: 12:36 10-03-2010

lovec123 Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору oaf56 Цитата: Цитата:Nomolos:У Вас видимо гаранта нет.   Потому как для обновления гаранта нужен ответ от их центра.   Гарант могут обновлять тоже с USB HDD. Серверный вариант точно.   так в том то и дело что носитель пофик какой хоть hdd хоть dvd-r болванка а всё равно при обновлении требуется звонок в головной центр с начиткой кода и вводом ответа, другое дело если обновление качаются через инет по договору Всего записей: 2734 | Зарегистр. 26-02-2007 | Отправлено: 20:46 10-03-2010

oaf56 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору lovec123,Смотри на жизнь проще. Есть договор на ПО и обслуживание. НУ и Читайте договор и просите ТО ЧТО ВАМ НАДО. Гарант -  плодит свои виртуальные филиалы/представительства - дилерскую сеть. Как правило их представители есть на местах. Система строится как пирамида из офисов/представителей. У нас для клиентов приобретающих сетевой(файл-серверный) вариант приходит "манагер" с диском и заливает обновления. При этом дело поставлено так, что клиент заплатил и ЕГО обслуживают(дают номера(только по указанию гл. манагера в случае краха/переустановки/обновления сервера) и обновления ПРИНОСЯТ). это Когда я занимался этим. В принципе это осталось и сейчас. Код выдаваемый Гарантом привязывает конкретный экземпляр установки к конкретному ПК(конфигурация Железа+ ПО). При первой установке ставится дистриб., генерится укальный коддля ЭТОГО сервера. Гл.Манагер получает ответный код, и доводят до Вас. Вы же, надеюсь не ставите сервер на гнилой, падающий или эксперементальный сервер. В остальных случаях код активации не меняется(При обновлении самой БД).   П.С. Кстати, менеджмент нашего Гаранта - люди вполне умные, адекватные и заинтересованы в клиентах. А рядовые сотрудники везде могут быть разные. Всего записей: 125 | Зарегистр. 23-11-2006 | Отправлено: 08:09 11-03-2010

lovec123 Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору oaf56 Цитата: При первой установке ставится дистриб., генерится укальный коддля ЭТОГО сервера. Гл.Манагер получает ответный код, и доводят до Вас. Вы же, надеюсь не ставите сервер на гнилой, падающий или эксперементальный сервер. В остальных случаях код активации не меняется(При обновлении самой БД).   сервер не гнилой и каждую неделю при обновлении БД чел звонит в головной офис говорит цифры и вбивает ответ, возможно с тех пор как вы занимались гарантом прошло не мало лет либо нас  тупа разводят, в след раз точно посмотрю откель он берёт цифры и куда вбивает ответ Всего записей: 2734 | Зарегистр. 26-02-2007 | Отправлено: 10:37 11-03-2010

oaf56 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору lovec123 Просто у Вас может партнер Гаранта, который имеет всего 10 договоров на продукт, а запрашивает коды по 100 и каждый день? Я бы такому тоже особо не доверял и контролировал его жадность. Хотя смену конфигурации и клонирование можно обойти. Всего записей: 125 | Зарегистр. 23-11-2006 | Отправлено: 10:54 11-03-2010

oaf56 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору lovec123 Работники бывают разные. Они может может за их зарплату и не ХОТЯТ включать мозги и напрягаться, а может их зАшУгали. Обоснуй свой пожелание и задай ? что МЫ(ОНИ и ВЫ ВМЕСТЕ) можем сделать для решения. Если тебе нужно, но ты не можешь этого добиться у него - обратись к манагеру/старшему. В любой конторе есть ХОТЬ ОДИН человек, способный прИнимать решения и зАставлять их реализовывать. Найди его. С "дворниками" обсуждать твои проблемы бесполезно. Одна из существенных причин помогать тебе - будет мысль, что это возможно нужно и другим, но они пока это не высказали и скоро потребуют. Всего записей: 125 | Зарегистр. 23-11-2006 | Отправлено: 17:44 11-03-2010

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Вы уже обеспечили защиту персональных данных на предприятии?

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование