Вы уже обеспечили защиту персональных данных на предприятии?
	Ответ	Голоса	Проценты
	Нет и не собираемся	148	12.50%
	Нет, но собираемся	158	13.34%
	Находимся в стадии оценки угрозы	173	14.61%
	Да, проводим подготовительные работы	185	15.62%
	Да, соответствуем новым требованиям	69	5.83%
	В первый раз слышу!	451	38.09%
Гости не могут голосовать, зарегистрируйтесть!			Всего Голосов: 1184

emx Moderator Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Уважаемые коллеги! К 1 января 2010 года все предприятия Российской Федерации должны привести cвою инфраструктуру и регулятивную базу в соответствие с требованиями Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Закон).   Общий коленкор таков. Согласно Закону к персональным данным относится: "любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;" п. 1, ст. 3 Закона   Чем это грозит для предприятия? В любой компании есть те или иные системы кадрового учета (HR-контур), который содержит подробную информацию о сотруднике (ФИО, дата рождения, ИНН, № Страхового свидетельства Пенсионного фонда, №№ страховых свидетельств ОМС/ДМС, сведения о постановке на воинский учет, №№ банковских счетов, сведения о заработной плате и так далее).     Кроме того, в ряде предприятий имеются различные CRM-cистемы, в которых аккумулируется информация о клиентах (в том числе клиентах - физических лицах), причем часто персонифицированная и детализированная, вплоть до предпочтений тех или иных лиц. Мы же стараемся удовлетворить клиента всеми возможными способами и учесть максимум нюансов?   Ряд компаний также осуществляет сбор и обработку тех или иных персональных данных клиентов через веб-сайты (интернет-продажи и тому подобное).   В ряде случаев есть ещё и бухучет (если клиент физическое лицо, которое оплачивает товары/услуги прямым банковским платежом, на основании договора или без такового).   Стало быть предприятие осуществляет сбор, хранит и обрабатывает персональные данные.   Далее...   п. 2, ст. 3 Закона вводит определение "оператора" (по обработке персональных данных): Цитата: 2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;   Поздравляю. Мы все - операторы.   Помимо определенных прав субъекта персональных данных, исполнение которых оператор должен обеспечивать (в основном это чисто бумажные штуки вещей - особого вреда компании причинить не могут), существуют ещё и обязательные требования в отношении оператора - они гораздо страшнее.   Закон определяет перечнь таких требований:   Цитата: Статья 19. Меры по обеспечению безопасности персональных данных при их обработке 1. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий. 2. Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных. 3. Контроль и надзор за выполнением требований, установленных Правительством Российской Федерации в соответствии с частью 2 настоящей статьи, осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных. 4. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения. ст. 19 Закона   Относительно того, как выполнить требования 1 пункта пока данных не слишком много. В общем случае на предприятии должны быть: - Положение о персональных данных - Положение о контрольно-пропускном режиме (где определен конечный круг лиц, который имеет доступ в помещения, где эта красота хранится физически) - Регламент по информационной безопасности   Кроме того, предприятие должно использовать сертифицированные (да, разумеется с потайным ключиком у ФСБ) криптографические решения на серверах, на которых расположены базы данных. Также инфраструктура должна быть аттестована (за счет предприятия у уполномоченного органа), что уж совсем ужасно.   Санкции. Санкции за нарушение Закона незначительны:   Цитата: Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) - влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей. ст. 13.11 КоАП РФ   Но при проверке вам могут вынести предприсание об устранении выявленных нарушений. За неисполнение предписания санкции более другие:   Цитата: Статья 19.5. Невыполнение в срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль) 1. Невыполнение в установленный срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), об устранении нарушений законодательства - влечет наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от одной тысячи до двух тысяч рублей или дисквалификацию на срок до трех лет; на юридических лиц - от десяти тысяч до двадцати тысяч рублей. ст. 19.5 КоАП РФ И так далее, вплоть до отзыва лицензии у предприятия на осуществление основной деятельности и уголовной ответственности для ген. директора.   Давайте что-ли обсудим - как жить дальше... Или может кто уже лазейку какую нашел? Всего записей: 11826 | Зарегистр. 05-06-2002 | Отправлено: 09:13 01-07-2009 | Исправлено: emx, 12:00 01-07-2009

champa Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору oaf56 Спасибо. Просто это как я суечусь за одно место моего начальника=)) Так и есть, что в УВД есть отдел занимающийся этим вопросом, только вот человек там меньше меня в этом вопросе понимает=)) Там небольшая неразбериха вышла (то ли не тех обучили, то ли обучили, а потом в другой отдел перевели...). Я-то как раз и понимаю, что было бы неплохо самому все сделать, обучиться (начальство пойдет скорей всего на это). Но, с учетом еще формирующейся инфраструктуры, паралельная работа по защите ПДн затянется на месяц, а то и более! Как-то так!   Сказали просто, что мол есть где-то документ, прямо говорящий что мол вот этот отдел должен заниматься защитой ПДн. А вот где он, не знаю! Всего записей: 281 | Зарегистр. 05-03-2007 | Отправлено: 15:27 20-12-2010

ipmanyak Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору http://www.garant.ru/hotlaw/federal/293584/   Федеральный закон от 23 декабря 2010 г. N 359-ФЗ "О внесении изменения в статью 25 Федерального закона "О персональных данных"        Принят Государственной Думой 10 декабря 2010 года      Одобрен Советом Федерации 15 декабря 2010 года        Статья 1      Внести в часть 3 статьи 25 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" (Собрание  законодательства   Российской Федерации, 2006, N 31, ст. 3451; 2009, N 52, ст. 6439) изменение, изложив ее в следующей редакции:      "3. Информационные системы  персональных  данных,  созданные    до 1 января 2011 года, должны быть приведены в  соответствие  с   требованиями настоящего Федерального закона не позднее 1 июля 2011 года.".        Статья 2      Настоящий Федеральный закон вступает в силу с 1 января 2011 года.   Президент Российской Федерации                               Д. Медведев   Москва, Кремль 23 декабря 2010 года N 359-ФЗ   ---------- В сортире лучше быть юзером, чем админом... Всего записей: 11743 | Зарегистр. 10-12-2003 | Отправлено: 13:35 25-12-2010

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ipmanyak чего и следовало ожидать, результаты первого чтения привели в исполнение и внесли в законодательство. ---------- Microsoft gives you windows, linuх gives you the whole house... I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it. Всего записей: 6563 | Зарегистр. 28-08-2008 | Отправлено: 13:46 25-12-2010

oaf56 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору champa 1.Отсрочка /см. пост ipmanyak выше/ 2.Читай тему. С НАЧАЛА. Думай. Дали время. Можно обойтись ПОКА ОРГМЕРАМИ  и ПЛАНАМИ на РАЗВИТИЕ. Но главное нужен не документ, а такая мелочь, как деньги, деньги, и еще раз деньги. ТАк замывалось изначально. Без них ничего не сделать толком. У тебя их нет, а  на свою з/п поднимать на высоту .... для "простого" до УжАса и жАдного начАльства - только повадь Ж). И не хватит этого. Тем боле, что законы - вещь ветренная и не постоянная. Всего записей: 125 | Зарегистр. 23-11-2006 | Отправлено: 16:41 29-12-2010

emx Moderator Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Ну что, господа. Мне вот вчера пришло письмо счастья (с наступающим!) из Роскомнадзора с просьбой незамедлительно (в течение 7 дней) сдаться и прислать им Уведомление об обработке ПД. ---------- ТА! ||| Ваш Лис пока в отпуске. Всего записей: 11826 | Зарегистр. 05-06-2002 | Отправлено: 10:08 30-12-2010

ipmanyak Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору emx По логике раз выполнение ФЗ 152 продлили на полгода, то и прием Уведомлений тоже должны продлить. Ну просят подать - подайте, если по ФЗ 152 вам это положено. Проверять вас в 2011 году вряд ли будут, потому что план проверок уже утвержден на 2011 год.  Планы проверок http://rsoc.ru/plan-and-reports/contolplan/,   прямая ссылка на документ:  http://rsoc.ru/docs/4_Plan_proverok_2011.doc   Поищите там себя.     ---------- В сортире лучше быть юзером, чем админом... Всего записей: 11743 | Зарегистр. 10-12-2003 | Отправлено: 11:25 30-12-2010

emx Moderator Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ipmanyak Цитата: Ну просят подать - подайте Это уже после каникул, если успеем. Ибо чем больше сделаешь в конце года, тем дольше разгребать последствия в следующем.   Цитата: Поищите там себя.   Поискал - нету.     ---------- ТА! ||| Ваш Лис пока в отпуске. Всего записей: 11826 | Зарегистр. 05-06-2002 | Отправлено: 16:18 30-12-2010

oaf56 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору emx 1. а пришло письмо счастья обычным письмом, письмом с уведомлением(под роспись лица от получателя), телеграммой(тоже под роспись), спец. почтой/фельдегерьской(под подпись спецработника/руководителя), экспресс-почтой(под роспись) или иным способом? Если обычным письмом(не под роспись), то доказать факт получения - невозможно. Иначе - задокументировано, и будет 1 экз у почтового оператора, 2 экз прийдет отправителю. Ж) 2. Такое письмо, должно поступить СНАЧАЛА начальнику, и только как он его отпишет, то либо тебе напрямую, либо по ВСЕЙ цепочке РУКОВОДСТВА опять же тебе. Смотри дату которой тебе его отписали.... и визу начальнегов. 3. В принципе катастрофы здесь ПОКА нет. надо стараться соблюдать формальные требования - наличие ответственных, внутренних распорядительных документов, уведомлять субъекта об обработке ПД для конкретных целей и просить его согласия об этом под роспись. Отвечать на запросы субъекта ПД, органа в установленный срок - 7 дней.   Всех с Новым Годом, Терпения и Удачи.   П.С. Входящие письма по этой теме для того, чтобы доказать, что не крайний, надо хранить с ковертами(на них проставляют штемпель Почтового отделения с датой отправки и датой получения в ПОЧТОВЫХ ОТДЕЛЕНИЯХ), копией уведомления(если есть), в котором вы расписываетесь за получение "писем счастья" и ставьте дату и если поздно вечером, то и время. а то некоторые говорят, что отправили письмо месяц назад, и почему мы не отвечаем, а мы его еще и не получали. ПОчта иногда долго доставляет, особенно ценные, с уведомлением. Они у них обрабатываются отдельно от обычных. На исходящих, отправленных с уведомлением, на самом уведомлении не ленитесь, пишите вернуть Сидорову. И.И. и ДЛЯ СЕБЯ кратко О чем было письмо, А то забудете, пока придет для какой оно модели нуно.   П.С1. В отношении исходящих писем тоже самое. В обычном делопроизводстве организации часто требуется иметь как минимум 2 экз. исходящих писем: 1 получателю, второй отправителю. Лицо ответственное за ИБ должно вести у себя отдельную(ые) папки по номенклатуре дел, потому заведи правило оформлять ТРЕТИЙ экз. документа. ПОдписывай все 3 экз руководителем, либо тем, кому положено и заверяй подпись печатью организации на всех экземплярах. Чтобы потом случайно ЧТО-ТО не затерялось, а у тебя не оказалась просто бумажка. Значит виноват ТЫ. Инициатива - наказуема.   П.С2. Хотя у тебя будет делопроизводство ДСП(Как информация ограниченного доступа). Если есть спецчасть, то возможно(определяется положением/приказом об обработке документов) документы ДСП должны регистрироваться у них.   Всего записей: 125 | Зарегистр. 23-11-2006 | Отправлено: 09:58 03-01-2011 | Исправлено: oaf56, 15:50 06-01-2011

vladlenchik Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Мдя, 1С как всегда занимается спекуляцией В покупке Z билда есть смысл или это покупать если проведены все остальные организационные мероприятия? Просто для успокоения души скинуть им денег чтоль предлагают? Всего записей: 28 | Зарегистр. 06-03-2007 | Отправлено: 01:45 09-02-2011

ipmanyak Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору vladlenchik Просвятите плыз насчет Z-билда в 1С. Я не в теме насчет 1с. Что это Z-билд?. Лично я 1с классифицирую как класс К3 (работники конторы)  и всё. В лучшем случае поставлю им персонал  фаер типа Vipnet или вообще ничего не буду ставить, типа виндовым брандмауэром обойдутся. ---------- В сортире лучше быть юзером, чем админом... Всего записей: 11743 | Зарегистр. 10-12-2003 | Отправлено: 20:43 09-02-2011 | Исправлено: ipmanyak, 20:46 09-02-2011

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ipmanyak Цитата: Vipnet эта убогая поделка, отдельный разговор... ---------- Microsoft gives you windows, linuх gives you the whole house... I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it. Всего записей: 6563 | Зарегистр. 28-08-2008 | Отправлено: 20:50 09-02-2011

ipmanyak Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Alukardd твое предложение вместо vipnet ? ---------- В сортире лучше быть юзером, чем админом... Всего записей: 11743 | Зарегистр. 10-12-2003 | Отправлено: 07:35 10-02-2011

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ipmanyak штука в том что я не занимался исследованием рынка СЕРТИФИЦИРОВАННЫХ продуктов, а так у меня ситуация такова, что локалка считается закрытым сегментом и шлюзуется через linux сервер, с разумеется ни кем не сертифицированным netfilter/iptables. И того на сколько я понял закон, в такой ситуации не обязательно устанавливать фаерволы на сервера БД или на клиентские машины. Тут дупло только в том, что стоит на шлюзе, а там СПО... ---------- Microsoft gives you windows, linuх gives you the whole house... I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it. Всего записей: 6563 | Зарегистр. 28-08-2008 | Отправлено: 13:04 10-02-2011

Shad0wl0rd Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Вот инфо по защите персональных данных. http://persondata.ru Всего записей: 253 | Зарегистр. 02-01-2006 | Отправлено: 10:34 11-02-2011

geofrost2010 Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору А из ФСТЭК всего лишь 8 проверок по персональным данным на 2011 год - не слишком-то они себя утруждают Всего записей: 3 | Зарегистр. 16-02-2011 | Отправлено: 11:57 18-02-2011

ipmanyak Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору geofrost2010 Фстэк может и 8, но основную массу проверок делает Роскомнадзор. ---------- В сортире лучше быть юзером, чем админом... Всего записей: 11743 | Зарегистр. 10-12-2003 | Отправлено: 16:30 21-02-2011

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Вы уже обеспечили защиту персональных данных на предприятии?

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование