Вы уже обеспечили защиту персональных данных на предприятии? - [27] :: В помощь системному администратору

Уважаемые коллеги!
К 1 января 2010 года все предприятия Российской Федерации должны привести cвою инфраструктуру и регулятивную базу в соответствие с требованиями Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Закон).

Общий коленкор таков.
Согласно Закону к персональным данным относится:
"любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;"
п. 1, ст. 3 Закона

Чем это грозит для предприятия?
В любой компании есть те или иные системы кадрового учета (HR-контур), который содержит подробную информацию о сотруднике (ФИО, дата рождения, ИНН, № Страхового свидетельства Пенсионного фонда, №№ страховых свидетельств ОМС/ДМС, сведения о постановке на воинский учет, №№ банковских счетов, сведения о заработной плате и так далее).

Кроме того, в ряде предприятий имеются различные CRM-cистемы, в которых аккумулируется информация о клиентах (в том числе клиентах - физических лицах), причем часто персонифицированная и детализированная, вплоть до предпочтений тех или иных лиц. Мы же стараемся удовлетворить клиента всеми возможными способами и учесть максимум нюансов?

Ряд компаний также осуществляет сбор и обработку тех или иных персональных данных клиентов через веб-сайты (интернет-продажи и тому подобное).

В ряде случаев есть ещё и бухучет (если клиент физическое лицо, которое оплачивает товары/услуги прямым банковским платежом, на основании договора или без такового).

Стало быть предприятие осуществляет сбор, хранит и обрабатывает персональные данные.

Далее...

п. 2, ст. 3 Закона вводит определение "оператора" (по обработке персональных данных):

Цитата:

2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;

Поздравляю. Мы все - операторы.

Помимо определенных прав субъекта персональных данных, исполнение которых оператор должен обеспечивать (в основном это чисто бумажные штуки вещей - особого вреда компании причинить не могут), существуют ещё и обязательные требования в отношении оператора - они гораздо страшнее.

Закон определяет перечнь таких требований:

Цитата:

Статья 19. Меры по обеспечению безопасности персональных данных при их обработке
1. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
2. Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.
3. Контроль и надзор за выполнением требований, установленных Правительством Российской Федерации в соответствии с частью 2 настоящей статьи, осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.
4. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.

ст. 19 Закона

Относительно того, как выполнить требования 1 пункта пока данных не слишком много. В общем случае на предприятии должны быть:
- Положение о персональных данных
- Положение о контрольно-пропускном режиме (где определен конечный круг лиц, который имеет доступ в помещения, где эта красота хранится физически)
- Регламент по информационной безопасности

Кроме того, предприятие должно использовать сертифицированные (да, разумеется с потайным ключиком у ФСБ) криптографические решения на серверах, на которых расположены базы данных. Также инфраструктура должна быть аттестована (за счет предприятия у уполномоченного органа), что уж совсем ужасно.

Санкции.
Санкции за нарушение Закона незначительны:

Цитата:

Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)
Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) -
влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей.

ст. 13.11 КоАП РФ

Но при проверке вам могут вынести предприсание об устранении выявленных нарушений. За неисполнение предписания санкции более другие:

Цитата:

Статья 19.5. Невыполнение в срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль)
1. Невыполнение в установленный срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), об устранении нарушений законодательства -
влечет наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от одной тысячи до двух тысяч рублей или дисквалификацию на срок до трех лет; на юридических лиц - от десяти тысяч до двадцати тысяч рублей.

ст. 19.5 КоАП РФ
И так далее, вплоть до отзыва лицензии у предприятия на осуществление основной деятельности и уголовной ответственности для ген. директора.

Давайте что-ли обсудим - как жить дальше...
Или может кто уже лазейку какую нашел?

Почитал я и подумал.

где прямые требования для сертификации операционок и поидее она то и ненужна т.к. на систему достаточно паставить дополн ПО имеющее сертификат на отсутствие НДВ и всё.

Под системой я имею ввиду сервак (шлюз) через который будут выходить все и/или те которым нужно в интернет.

На этот шлюз ставится ПО (например каспер кристал) с убойным сетевым экраном его можно настроить так что только нужные проги будут иметь право конекта к сети интернет ( это системная служба отвечающая за поиск DNS адресов и их IP) и непосредственно отдавать данные внутрь сети например через какой нить шлюзовой обработчик(релей) который наружу бедет висеть только на одном порте а остальное будет происходить уже внутри самой системы и соответственно будет закрыто.

А если к этому ещё и дубль шлюз(релей)добавить в виде ещё одного сервера чтоб сеть выглядела примерно так:

внутренняя сеть>>>шлюз(релей)№2>>>шлюз(релей)№1>>>Интернет

На шлюзах настроить сетевые экраны: одна лицензия касперский кристал на два компа 2200руб грубо и дёшево+ какой нить релей но впринципе можно и без него обойтись.

На клиентах внутри сети прописываешь жёстко назначенные IP локальные из диапазона 192.168.0.0 ставишь при желании тоже сетевые экраны и фильтрацию посещаемых сайтов дабы ограничить использование ресурсов и исключить утечку инфы.
на шлюз(релей)№2 ставишь почтовый сервер для переписки персонала между собой+выдаёшь каждому работнику персональный SSL сертификат для подписывания и защиты пересылаемых почтовых сообщений внутри предприятия(на шлюзе(релей)№2) и для организации безопасной переписки с внешними почтовыми серверами(казначейство, налоговая, ПФР, и др.), т.к. в некоторых почтовых серверах пересылка сообщений производиться только по открытому 25 порту и без авторизации канала SMTP то это очередная дыра которая закрывается использованием SSL подписываемых писем и возможностью шифрования отправителем писем на основе открытого ключа сертификата SSL. Это условие надо обговаривать в договоре и/или иным образом с казначейством, налоговай, ПФР, и др. и требовать от них этого если не исполняют и присылают в открытом виде ответы то писать начальству чтоб обучили элементарному работников в почтовой проге ставить галку зашифровать письпо и подписать его SSL сертификатом.

Дыра 25 порта и отсутствие авторизации SMTP от внешних адресов решается запуском на шлюзе(релей)№1 внешнего почтового сервака задачей которого будет изоляция почтового сервера на шлюзе(релей)№2 используемого для внутренней переписки от внешней среды интернет переназначением порта SMTP на другой и использование авторизации и SSL шифрования между шлюзом(релей)№1 и шлюзом(релей)№2 при передаче почты.

если применить это к компании имеющей филиальную сеть то подымается ещё один почтовый сервак с функциями аналогичными шлюзу(релей)№2 но с использованием авторизации и SSL шифрования SMTP при обмене между серверами висящими на ружу т.е. в интернет.

Это что касаемо почты порты ка вы понимаете можете назначать вообще любые кто как захочет и перенаправление релеев тоже индивидуальность рулит.

Теперь дальше при наличии веб сервера(сайта+форум) задачка немного усложняется но решается сам сервер это отдельный системный блок приконекченный отдельной локальной сетью (сетевая плата+сетевая плата) к шлюз(релей)№2 желательно. в настойках веб сервера(сайта+форум) ставиться порт и адрес расположенный на шлюз(релей)№1 смотрящий в интернет.
php скрипты при этом исполняются на веб сервере(сайта+форум) на котором расположен сам сайт и его ПО
база данных расположенна к примеру на нём же (веб сервере)

Самая главная проблема которую я не могу решить заключается в том как изолировать базу данных MySQL от внешнего IP адреса включая и тот который из внутреннего диапазона 192.168.0.0 и повесить её на заглушку 127.0.0.1.
Так как в конфиге MySQL можно указать только порт при использовании программы конфигурации сервера базы данных по умолчанию.

Как жёстко прилипить MySQL к жёсткому IP адресу?????????????????????

И ещё одна проблема:
Надо определить какие именно программы входящие в состав виндоуса т.е.
таблицу вида: программа+порт (или списки портов)
без которых не возможен выход пользователя в интернет.

А то получается слишком много доверенных по умолчанию служб винды которые имеют беспрепятственный доступ в интернет только команду дай.

А эту команду не обязательно самому пользователю давать где то в начале темы было написано что на майкрософт подали в суд что те скрытно собирали ифу по пользователям вот это стало возможным именно по этому.

Исходя из выше сказанного для нас как сисадминов да и не только это является одной большой проблемой и одной огромнейшей первоначальной угрозой и дыркой в наших компьютерах и системах.

Просьба не писать что это типо не по теме т.к.это тесно связанно с персональными данными напрямую и модераторы я надеюсь поймут!!!

Вот что я выяснил:
на постоянку в
мониторе сетевой активности висят следующие службы:
WININIT.EXE Windows Start-UP Application
SVCHOST.EXE Host Process for Windows Services
LSASS.EXE Local Security Authority Process
SERVICES.EXE Services and Controller app

и помимо этого 4 строки с именем "System" принадлежность к какому файлу я определить не смог. и поэтому им доступ запрещён а разрешить не знаю как.

при включении сетевого экрана локальный сервер виден и открывается в браузере а всё что внешние имена и адреса не открываются в браузере!

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR
Версия для печати • Подписаться • Добавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41