Вы уже обеспечили защиту персональных данных на предприятии?
	Ответ	Голоса	Проценты
	Нет и не собираемся	148	12.50%
	Нет, но собираемся	158	13.34%
	Находимся в стадии оценки угрозы	173	14.61%
	Да, проводим подготовительные работы	185	15.62%
	Да, соответствуем новым требованиям	69	5.83%
	В первый раз слышу!	451	38.09%
Гости не могут голосовать, зарегистрируйтесть!			Всего Голосов: 1184

emx Moderator Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Уважаемые коллеги! К 1 января 2010 года все предприятия Российской Федерации должны привести cвою инфраструктуру и регулятивную базу в соответствие с требованиями Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Закон).   Общий коленкор таков. Согласно Закону к персональным данным относится: "любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;" п. 1, ст. 3 Закона   Чем это грозит для предприятия? В любой компании есть те или иные системы кадрового учета (HR-контур), который содержит подробную информацию о сотруднике (ФИО, дата рождения, ИНН, № Страхового свидетельства Пенсионного фонда, №№ страховых свидетельств ОМС/ДМС, сведения о постановке на воинский учет, №№ банковских счетов, сведения о заработной плате и так далее).     Кроме того, в ряде предприятий имеются различные CRM-cистемы, в которых аккумулируется информация о клиентах (в том числе клиентах - физических лицах), причем часто персонифицированная и детализированная, вплоть до предпочтений тех или иных лиц. Мы же стараемся удовлетворить клиента всеми возможными способами и учесть максимум нюансов?   Ряд компаний также осуществляет сбор и обработку тех или иных персональных данных клиентов через веб-сайты (интернет-продажи и тому подобное).   В ряде случаев есть ещё и бухучет (если клиент физическое лицо, которое оплачивает товары/услуги прямым банковским платежом, на основании договора или без такового).   Стало быть предприятие осуществляет сбор, хранит и обрабатывает персональные данные.   Далее...   п. 2, ст. 3 Закона вводит определение "оператора" (по обработке персональных данных): Цитата: 2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;   Поздравляю. Мы все - операторы.   Помимо определенных прав субъекта персональных данных, исполнение которых оператор должен обеспечивать (в основном это чисто бумажные штуки вещей - особого вреда компании причинить не могут), существуют ещё и обязательные требования в отношении оператора - они гораздо страшнее.   Закон определяет перечнь таких требований:   Цитата: Статья 19. Меры по обеспечению безопасности персональных данных при их обработке 1. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий. 2. Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных. 3. Контроль и надзор за выполнением требований, установленных Правительством Российской Федерации в соответствии с частью 2 настоящей статьи, осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных. 4. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения. ст. 19 Закона   Относительно того, как выполнить требования 1 пункта пока данных не слишком много. В общем случае на предприятии должны быть: - Положение о персональных данных - Положение о контрольно-пропускном режиме (где определен конечный круг лиц, который имеет доступ в помещения, где эта красота хранится физически) - Регламент по информационной безопасности   Кроме того, предприятие должно использовать сертифицированные (да, разумеется с потайным ключиком у ФСБ) криптографические решения на серверах, на которых расположены базы данных. Также инфраструктура должна быть аттестована (за счет предприятия у уполномоченного органа), что уж совсем ужасно.   Санкции. Санкции за нарушение Закона незначительны:   Цитата: Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) - влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей. ст. 13.11 КоАП РФ   Но при проверке вам могут вынести предприсание об устранении выявленных нарушений. За неисполнение предписания санкции более другие:   Цитата: Статья 19.5. Невыполнение в срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль) 1. Невыполнение в установленный срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), об устранении нарушений законодательства - влечет наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от одной тысячи до двух тысяч рублей или дисквалификацию на срок до трех лет; на юридических лиц - от десяти тысяч до двадцати тысяч рублей. ст. 19.5 КоАП РФ И так далее, вплоть до отзыва лицензии у предприятия на осуществление основной деятельности и уголовной ответственности для ген. директора.   Давайте что-ли обсудим - как жить дальше... Или может кто уже лазейку какую нашел? Всего записей: 11826 | Зарегистр. 05-06-2002 | Отправлено: 09:13 01-07-2009 | Исправлено: emx, 12:00 01-07-2009

demon1981 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору kzi Цитата: Аттестация для комм. организаций не обязательна! а в соответствии с чем? и в соответствии с чем она обязательна для бюджетников? Всего записей: 189 | Зарегистр. 28-03-2007 | Отправлено: 10:24 05-05-2010

niichavo Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору demon1981 Цитата: и ещё может кто в курсе: где написано об обязательности или необязательности предоставления в роскомнадзор уведомлений об обработке (о намерении осуществлять обработку) персональных данных? за исключением случаев, предусмотренных частью 2 статьи 22 ФЗ-152: читай Уведомление Роскомнадзора Всего записей: 836 | Зарегистр. 14-09-2005 | Отправлено: 12:39 05-05-2010

demon1981 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору kzi Цитата: Для государственных - в соответствии с указом Президента №188 КонсультантПлюс --------------------------- Просмотр всего документа закончен. Фрагмент не найден.   искал слово "аттестация" в указе 188 Президента а на счет аттестации для коммерческих учреждений тыж сам писал на странице 20 этой темы что она там не нужна. Всего записей: 189 | Зарегистр. 28-03-2007 | Отправлено: 14:08 05-05-2010 | Исправлено: demon1981, 14:11 05-05-2010

demon1981 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору kzi а не подскажешь, пожалуйста, в СТР-К пунктик или статью чтоб всю книженцию не перерывать? Всего записей: 189 | Зарегистр. 28-03-2007 | Отправлено: 15:26 05-05-2010

ipmanyak Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору demon1981  2.17. Объекты информатизации должны быть аттестованы на соответствие требованиям по защите информации ( Здесь и далее под аттестацией понимается комиссионная приемка объекта информатизации силами предприятия с обязательным участием специалиста по защите информации.)       Добавлено: http://www.afa.biz.ua/doc/drg/STR-K.zip ---------- В сортире лучше быть юзером, чем админом... Всего записей: 11743 | Зарегистр. 10-12-2003 | Отправлено: 16:42 06-05-2010

ipmanyak Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору kzi Дайте дсп-шный, почитаю. А почему этот левый?   ГОСУДАРСТВЕННАЯ ТЕХНИЧЕСКАЯ КОМИССИЯ ПРИ ПРЕЗИДЕНТЕ РОССИЙСКОЙ ФЕДЕРАЦИИ   Решение Коллегии Гостехкомиссии России № 7.2/02.03.01г.   СПЕЦИАЛЬНЫЕ ТРЕБОВАНИЯ И РЕКОМЕНДАЦИИ ПО ТЕХНИЧЕСКОЙ ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ   (СТР-К)   Москва 2001     ---------- В сортире лучше быть юзером, чем админом... Всего записей: 11743 | Зарегистр. 10-12-2003 | Отправлено: 17:09 06-05-2010

oaf56 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Комментарий от фирмы 1С : Новый поворот в защите ПДн - отмена двух документов ФСТЭК России. http://www.buh.ru/document-1619 Ознакомиться СтОиТ. И подумать... Мыслят то верно. Всего записей: 125 | Зарегистр. 23-11-2006 | Отправлено: 11:20 11-05-2010

ipmanyak Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору oaf56 Боян уже. Я о 58 приказе писал еще 4 марта на 18 странице, ваш пост был буквально следом, через 1 после моего - 10 марта, но вы видимо то,  что выше, не читаете.       ---------- В сортире лучше быть юзером, чем админом... Всего записей: 11743 | Зарегистр. 10-12-2003 | Отправлено: 17:45 11-05-2010 | Исправлено: ipmanyak, 17:46 11-05-2010

Toparenko Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: demon1981 а в соответствии с чем? и в соответствии с чем она обязательна для бюджетников? 1. СТР-К (ДСП, не прошел Минюст - т.ч. применяется по решению ведомства): Цитата: 2.3.    Требования и рекомендации настоящего документа распространяются на защиту государственных   информационных   ресурсов   некриптографическими   методами, направленными на предотвращение утечки защищаемой информации по техническим каналам, от несанкционированного доступа к ней и специальных воздействий на информацию в целях ее уничтожения, искажения и блокирования. При проведении работ по защите негосударственных информационных ресурсов, составляющих коммерческую тайну, банковскую тайну и т.д.,  требования настоящего документа носят рекомендательный характер. Цитата: 2.17.    Объекты информатизации должны быть аттестованы по требованиям безопасности информации в соответствии с нормативными документами Гостехкомиссии России и требованиями настоящего документа.   2. ГОСТ Р 51583-2000 и ГОСТ Р 51624—2000 (оба ДСП)   С 2004 года у нас все ГОСТы, не затрагивающие безопасность человека, являются не обязательными... Т.ч. опять вопрос на решение ведомства.   3. Указ Президента РФ от 17 марта 2008 Г. N 351 "О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена" Цитата: 1. Установить, что: б) при необходимости подключения информационных систем, информационно-телекоммуникационных сетей и средств вычислительной техники, указанных в подпункте "а" настоящего пункта, к информационно-телекоммуникационным сетям международного информационного обмена такое подключение производится только с использованием специально предназначенных для этого средств защиты информации, в том числе шифровальных (криптографических) средств, прошедших в установленном законодательством Российской Федерации порядке сертификацию в Федеральной службе безопасности Российской Федерации и (или) получивших подтверждение соответствия в Федеральной службе по техническому и экспортному контролю. Выполнение данного требования является обязательным для операторов информационных систем, владельцев информационно-телекоммуникационных сетей и (или) средств вычислительной техники; в) государственные органы в целях защиты общедоступной информации, размещаемой в информационно-телекоммуникационных сетях международного информационного обмена, используют только средства защиты информации, прошедшие в установленном законодательством Российской Федерации порядке сертификацию в Федеральной службе безопасности Российской Федерации и (или) получившие подтверждение соответствия в Федеральной службе по техническому и экспортному контролю; Т.е. здесь только про обязательность использования сертифицированных средств.   Т.ч. на счет совсем обязательности для гос-ов я бы не сказал... Но при принятии ведомством СТР-К и/или ГОСТ-ов требования по аттестации становятся обязательными.   После отмены Основных мероприятий ФСТЭК требований по обязательности аттестации для комерсов нет.   Есть лишь "оценка соответствия" в ПП781, но оценка соответствия производится в виде обязательной сертификации, добровольной сертификации и декларации соответствия (по закону "О техрегулированию").   Добавлено: Цитата: kzi что за бред про аттестацию? Это левый СТР-К! Читайте нормальный ДСП-шный   Это не левый, а один из проектов СТР-К.   Добавлено: Цитата: ipmanyak Дайте дсп-шный, почитаю. А почему этот левый?   .... Москва 2001 СТР-К Утвержден приказом Гостехкомиссии России от 30 августа 2002 г. №282 Всего записей: 40 | Зарегистр. 04-10-2005 | Отправлено: 16:03 12-05-2010

ToTaLictikus Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Всем привет. Прочитал. Голова не может все переварить. 21 страница, а информации много.   У меня ситуация: Ленинградская область. Муниципальное образовательное учреждение. Не школа! Скажем так, мы относимся к доп.образованию. Учреждение государственное, со всеми вытекающими.   У нас порядка 100 ПК подключенных в интернету. Есть бухгалтерия, секретарь. Личную информацию обрабатывают. Есть на сервка (win 2003) "АРМ директор" - программа где данные о сотрудниках. У секретаря соответственно есть документы на ПК, в которых личная инфа есть. Ну бухгалтерия понятно.   Род информации ФИО, адреса, телефоны. Есть о слушателях информация, там тоже адреса, телефоны, такое все. Думаю это в 3 классу наверное относится. Ну могут и ко 2 отнести, т.к. в скорее всего есть и ИНН и страховое в эл.виде.   Что делать?   Я инженер. Нас тут 2,5 человека всего. Но отвечаю за все как бы я. Что мне делать как ведущему инженеру? Прочитал, понял, что своими силами не обойтись.   Обращаться ли в администрацию района? Что им писать? Просить деньги? Но не знаю как составить смету, т.к. не понимаю что нужно учитывать и как считать. О каких деньгах вообще речь идет. Понятно что о больших, но все же. Как сосчитать? Как обезопасить себя? Как защитить учреждение? Не совсем все еще и лицензионное то. Что делать? Какой алгоритм действий?   Денег у нас на такое нет, это как бы ясно понятно. По-этому, скажите как быть? Всего записей: 160 | Зарегистр. 22-07-2003 | Отправлено: 10:30 13-05-2010

oaf56 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору oaf56 Цитата: Комментарий от фирмы 1С : Новый поворот в защите ПДн - отмена двух документов ФСТЭК России. http://www.buh.ru/document-1619 Ознакомиться СтОиТ. И подумать... Мыслят то верно.   Цитата: ipmanyak oaf56 Боян уже. Я о 58 приказе писал еще 4 марта на 18 странице, ваш пост был буквально следом, через 1 после моего - 10 марта, но вы видимо то,  что выше, не читаете.   0. Извини, читал. Что это не ново - догадываюсь. Кстати, выше были ссылки на другие новости... 1. Это взгляд методистов фирмы 1С. Они отличаются системным подходом к любой проблеме  ее анализу и принятию решения. Лично я их уважаю за это, чту . Думаю что многим, особенно кто начинает, будет интересно и полезно не только ознакомиться, но и поучиться правильно думать. 2. Информация для 1С это их и работа и хлеб. Потому ничего странного нет в том, что в открытом доступе результат их работы появляется "слегка" позже. Они публично показывают, что проблема им известна, они ее решают. И предостерегают своих некоторых жадных пользователей. Всего записей: 125 | Зарегистр. 23-11-2006 | Отправлено: 11:51 13-05-2010

Orion_76 Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Задача такая... Не могу определиться с выбором Межсетевого экрана Исходные данные: 1.Сельская (районный центр) бюджетная контора . 2.ИСПДН - 2 класс 3.Кол-во рабочих станций 10-15. 4.Интернет      - Электронная почта (обмен данными с вышестоящей организацией в т.ч. и содержащими ПД)    - Удаленное администрирование локального сервера БД из вышестоящей организации (Linux, Oracle).    - Свободный серфинг.    - Обновление ПО.    - Возможно в перспективе VPN.   Большинство МЭ расчитаны на сети 100-300 машин с немаленьким трафиком, цены соответствующие. Я думаю, приобретать таких "монстров" по 100-200 т.р. смысла (и денег) нет.   Посоветуйте , пожалуйста, что-нибудь под имеющиеся задачи.       Всего записей: 386 | Зарегистр. 02-11-2007 | Отправлено: 08:38 20-05-2010

ipmanyak Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Orion_76 Уверен, что ИСПДН класс 2?   Можно купить ViPNet Personal Firewall и поставить  на каждую тачку, всего 472 руб за штуку. Продукт сертифицирован ФСТЭК и ФСБ. Для приобретения сертифицированного ФСБ,  куда обращаться написано в самом низу на указанной странице:   http://www.infotecs.ru/Soft/personalf.htm   ViPNet Personal Firewall Сертификат соответствия: ФСБ России №СФ/115-1285 от 27 февраля 2009 г. на соответствие требованиям ФСБ России к устройствам типа межсетевые экраны 4 класса защищенности и может использоваться для защиты информации от несанкционированного доступа в информационных и телекоммуникационных системах органов государственной власти Российской Федерации. http://www.infotecs.ru/lic_sert.htm МЭ 4 класса кажется покатит для ИСПДН класса 2     ---------- В сортире лучше быть юзером, чем админом... Всего записей: 11743 | Зарегистр. 10-12-2003 | Отправлено: 15:14 20-05-2010 | Исправлено: ipmanyak, 15:16 20-05-2010

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Вы уже обеспечили защиту персональных данных на предприятии?

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование