Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Вы уже обеспечили защиту персональных данных на предприятии?

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41

Открыть новую тему     Написать ответ в эту тему

Вы уже обеспечили защиту персональных данных на предприятии?
 ОтветГолосаПроценты
Нет и не собираемся148
12.50%
Нет, но собираемся158
13.34%
Находимся в стадии оценки угрозы173
14.61%
Да, проводим подготовительные работы185
15.62%
Да, соответствуем новым требованиям69
5.83%
В первый раз слышу!451
38.09%
Гости не могут голосовать, зарегистрируйтесть!Всего Голосов: 1184
emx



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Уважаемые коллеги!
К 1 января 2010 года все предприятия Российской Федерации должны привести cвою инфраструктуру и регулятивную базу в соответствие с требованиями Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Закон).
 
Общий коленкор таков.
Согласно Закону к персональным данным относится:
"любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;"
п. 1, ст. 3 Закона
 
Чем это грозит для предприятия?
В любой компании есть те или иные системы кадрового учета (HR-контур), который содержит подробную информацию о сотруднике (ФИО, дата рождения, ИНН, № Страхового свидетельства Пенсионного фонда, №№ страховых свидетельств ОМС/ДМС, сведения о постановке на воинский учет, №№ банковских счетов, сведения о заработной плате и так далее).  
 
Кроме того, в ряде предприятий имеются различные CRM-cистемы, в которых аккумулируется информация о клиентах (в том числе клиентах - физических лицах), причем часто персонифицированная и детализированная, вплоть до предпочтений тех или иных лиц. Мы же стараемся удовлетворить клиента всеми возможными способами и учесть максимум нюансов?
 
Ряд компаний также осуществляет сбор и обработку тех или иных персональных данных клиентов через веб-сайты (интернет-продажи и тому подобное).
 
В ряде случаев есть ещё и бухучет (если клиент физическое лицо, которое оплачивает товары/услуги прямым банковским платежом, на основании договора или без такового).
 
Стало быть предприятие осуществляет сбор, хранит и обрабатывает персональные данные.
 
Далее...
 
п. 2, ст. 3 Закона вводит определение "оператора" (по обработке персональных данных):

Цитата:
2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;

 
Поздравляю. Мы все - операторы.
 
Помимо определенных прав субъекта персональных данных, исполнение которых оператор должен обеспечивать (в основном это чисто бумажные штуки вещей - особого вреда компании причинить не могут), существуют ещё и обязательные требования в отношении оператора - они гораздо страшнее.
 
Закон определяет перечнь таких требований:
 

Цитата:
Статья 19. Меры по обеспечению безопасности персональных данных при их обработке
1. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
2. Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.
3. Контроль и надзор за выполнением требований, установленных Правительством Российской Федерации в соответствии с частью 2 настоящей статьи, осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.
4. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.

ст. 19 Закона
 
Относительно того, как выполнить требования 1 пункта пока данных не слишком много. В общем случае на предприятии должны быть:
- Положение о персональных данных
- Положение о контрольно-пропускном режиме (где определен конечный круг лиц, который имеет доступ в помещения, где эта красота хранится физически)
- Регламент по информационной безопасности
 
Кроме того, предприятие должно использовать сертифицированные (да, разумеется с потайным ключиком у ФСБ) криптографические решения на серверах, на которых расположены базы данных. Также инфраструктура должна быть аттестована (за счет предприятия у уполномоченного органа), что уж совсем ужасно.
 
Санкции.
Санкции за нарушение Закона незначительны:
 

Цитата:
Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)
Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) -
влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей.

ст. 13.11 КоАП РФ
 
Но при проверке вам могут вынести предприсание об устранении выявленных нарушений. За неисполнение предписания санкции более другие:
 

Цитата:
Статья 19.5. Невыполнение в срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль)
1. Невыполнение в установленный срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), об устранении нарушений законодательства -
влечет наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от одной тысячи до двух тысяч рублей или дисквалификацию на срок до трех лет; на юридических лиц - от десяти тысяч до двадцати тысяч рублей.

ст. 19.5 КоАП РФ
И так далее, вплоть до отзыва лицензии у предприятия на осуществление основной деятельности и уголовной ответственности для ген. директора.
 
Давайте что-ли обсудим - как жить дальше...
Или может кто уже лазейку какую нашел?

Всего записей: 11820 | Зарегистр. 05-06-2002 | Отправлено: 09:13 01-07-2009 | Исправлено: emx, 12:00 01-07-2009
DonDD



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Цитата:
А кто-нибудь с этим "новым" уже сталкивался?

Пока только в виде того, что РКН заставил подавать заявки о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных.

----------
Скажи нет, барыгам на RU-BOARD!

Всего записей: 1169 | Зарегистр. 25-03-2006 | Отправлено: 11:42 10-10-2015
obtim



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Еще вопрос в рамках конкурентной борьбы: кто-нибудь пробовал катать на конкурентов "телеги" от физ. лица об отсутствии конкурента в списке операторов РКН? - меня интересует, какой ответ дает РКн на такие заявки и делает что-нибудь по ним..

----------
Дьявол коварен - он может явиться к нам просто в образе дьявола

Всего записей: 8930 | Зарегистр. 03-03-2002 | Отправлено: 15:43 10-10-2015
DonDD



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
А не обязательно только на конкурентов катать .  РКН очень таки оперативно работает, там где ему нужно. И ответ оперативно дает (причем не важно по каким каналам поступило обращение), и держит в курсе предпринятых им действий, а главное, что предпринимает определенные шаги, подключая прокуратуру.

----------
Скажи нет, барыгам на RU-BOARD!

Всего записей: 1169 | Зарегистр. 25-03-2006 | Отправлено: 17:58 10-10-2015 | Исправлено: DonDD, 18:02 10-10-2015
aequit

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Подскажите, сколько стоят сейчас в не столичных регионах работы под ключ - аттестовать 1 рабочее место вместе с софтом и средствами защиты? И со всеми немыслимыми бумажками конечно.

Всего записей: 192 | Зарегистр. 17-11-2005 | Отправлено: 13:41 13-02-2016
ipmanyak



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
aequit Не публикуют таких цифр, и их не будет. Цены зависят от самих объектов, цены у всех разные. Обследование  1 цена, приведение ИСПДН к ФЗ 152 , ака аттестация рабочих мест - другая, так как зависит от того K1 K2 или K3  у вас. Обзвоните фирмы, предоставляющие такие услуги, пригласите  на беседу, там и обсудите.  Сразу просите, чтобы по договору сделали вам организационные документы, которые требует Роскомнадзор, порядка 20-25 штук.  


----------
В сортире лучше быть юзером, чем админом...

Всего записей: 11724 | Зарегистр. 10-12-2003 | Отправлено: 16:00 15-02-2016
dimation9696

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Очень полезная тема, спасибо)

Всего записей: 5 | Зарегистр. 25-04-2016 | Отправлено: 13:32 25-04-2016
Matfey36

BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Что-то я не совсем понимаю, насколько это все обязательная процедура и кем контролируется?
 
Но у меня есть встречный вопрос - ищу толкового человека (или компанию), которая смогла бы обеспечить автоматизацию на производстве и провести ряд улучшений (например, контроль за транспортом и общая безопасность, система безопасности). Как пример: konsom.ru/solutions/
 
Знаете ли вы людей, предоставляющих такие услуги? Можете ли кого-то советовать?

Всего записей: 4 | Зарегистр. 25-07-2016 | Отправлено: 12:58 22-08-2016
ipmanyak



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Matfey36 Ты бы прочитал ф.закон 152, прежде чем вопрос задавать. Там все ответы есть. Закон обязателен, если ваша контора попадает под него. Храните чужие ПДН в СУБД - попадаете.  Контроль осуществляет согласно ст. 23 этого закона  -  федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи. В настоящий момент это  РОСКОМНАДЗОР.
Второй вопрос не по теме топика , удали его.

----------
В сортире лучше быть юзером, чем админом...

Всего записей: 11724 | Зарегистр. 10-12-2003 | Отправлено: 15:27 22-08-2016 | Исправлено: ipmanyak, 12:53 11-01-2017
comunist



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Доброго времени суток... Нужна помощь.... Кто постиг ИВК Юпитер ? Некоторые детали надо уточнить...

Всего записей: 21 | Зарегистр. 12-09-2016 | Отправлено: 21:12 04-11-2016
Matfey36

BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
*




За спам на форумах пропадет эрекция, помни об этом. Бан. /emx/

Всего записей: 4 | Зарегистр. 25-07-2016 | Отправлено: 18:21 29-11-2016 | Исправлено: emx, 18:13 01-12-2016
igor me v2

BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
одно вытекает  

Другое втекает Модератор оповещён, короче...

Всего записей: 7213 | Зарегистр. 27-03-2016 | Отправлено: 18:09 01-12-2016
obtim



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Давно не интересовался темой. Вопросы:
1. Сейчас Типовые и специальные ИСПДн, как понятия выведены из обращения?
2. Всем рулит постановление правительства 1119 или еще что-то надо читать?

----------
Дьявол коварен - он может явиться к нам просто в образе дьявола

Всего записей: 8930 | Зарегистр. 03-03-2002 | Отправлено: 11:03 17-03-2017
ipmanyak



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
obtim Отошел от этого и давно.  По пункту 1.  - хз, типовые и специальные ИСПДн  классифицировались в приказе трех,  но этот  Приказ ФСТЭК России, ФСБ России, Мининформсвязи №55/86/20 от 13.02.2008 года, утверждающий порядок проведения классификации информационных систем персональных данных, был отменен  20 февраля 2014 года, опять же, «тройственным приказом» (ФСТЭК РФ №151, ФСБ РФ №786, Минкомсвязи РФ №61 от 31.12.2013 года)
А был отменен именно из-за нестыковок с ПП  1119. Вместо классификации там вводят понятие инф. систем, обрабатывающей определенные категории ПДн, 4 уровня защищенности и  угрозы 3 типов. Так что чисто мои мнение, да, надо руководствоваться ПП 1119.


----------
В сортире лучше быть юзером, чем админом...

Всего записей: 11724 | Зарегистр. 10-12-2003 | Отправлено: 08:20 05-04-2017 | Исправлено: ipmanyak, 08:30 05-04-2017
obtim



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ipmanyak
Озадачу другим вопросом. Есть фаервол Керио, который сертефицирован ФСТЭКом только для 8-ой линейки. На объекте используется 9-ая(лицензия). По регламенту защиты он требуется сертифицированным. Если приобретем 8-ую версию на 5-ть лицензий(минималка), то в случае документальной проверки такой вариант может прокатить?
Какой сканер безопасности ФСТЭКовский посоветуете, который по минималке(стоимости) прокатит?

----------
Дьявол коварен - он может явиться к нам просто в образе дьявола

Всего записей: 8930 | Зарегистр. 03-03-2002 | Отправлено: 08:31 05-04-2017
ipmanyak



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
obtim Сказал же, что отошел от защиты ПДн. Но про сканер могу посоветовать  Xspider от  Positive Technologies
https://www.ptsecurity.com/ru-ru/products/xspider/
Сертификат ФСТЭК  https://www.ptsecurity.com/upload/ptru/products/licenses/xspider/XSpider-FSTEK.jpg  
Если глянешь на этот сертификат то увидишь, что он до октября 2017 года. Имхо все сертификаты ФСБ и ФСТЭК дают на 2-3 года и они быстро протухают. Так что твой сертификат  Керио 8.2 протухнет уже через год в феврале 2018 года  и от тебя это не зависит никак.  
http://www.kerio.ru/sites/default/files/sertifikat-fstek-kerio-control-8.2.h.pdf
Если 8.2 имел сертификат, то не думаю, что регуляторы будут  сильно недовольны 9-ым керио. Ну если  дадут указявку исправить положение в такой-то срок, то  поставите 8.2. Штрафовать сразу за это не будут, да и штраф за это имхо небольшой.


----------
В сортире лучше быть юзером, чем админом...

Всего записей: 11724 | Зарегистр. 10-12-2003 | Отправлено: 08:47 05-04-2017 | Исправлено: ipmanyak, 08:47 05-04-2017
obtim



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ipmanyak
Спасибо! Услышал, что хотел

Всего записей: 8930 | Зарегистр. 03-03-2002 | Отправлено: 08:52 05-04-2017
noblekey



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
obtim

Цитата:
Всем рулит постановление правительства 1119 или еще что-то надо читать?

Постановление 1119 регламентирует определение уровней защищенности ИСПДн. а как это все защищать написано в 21 приказе ФСТЭК
 

Всего записей: 902 | Зарегистр. 01-07-2005 | Отправлено: 12:43 20-06-2017
noblekey



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Я понимаю что мой вопрос больше из области права но все же может у кого есть опыт создания данных систем?
ну а теперь суть вопроса:
Есть ИС с перс.данными которая эксплуатируется в государственном органе исполнительной власти субъекта РФ и создана в целях реализации ФЗ. В данном ФЗ нет указания что для исполнения данного закона необходимо создавать ГИС, также нет законов субъекта  РФ о необходимости создания  и о создании ГИС. Вопрос является ли приказ о вводе в эксплуатацию органа власти основанием считать что данная ИС является ГИС? и может ли орган испол. власти издать приказ о создании ГИС не имея правового основания для создания ГИС указанного в ФЗ и законах субъекта РФ а только на основании решения руководителя ОИВ?

Всего записей: 902 | Зарегистр. 01-07-2005 | Отправлено: 14:43 28-06-2017
ipmanyak



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
noblekey  Почитайте блог Лукацкого на эту тему.  
http://lukatsky.blogspot.ru/2014/03/17.html
По идее наличие  обычного приказа о вводе в эксплуатацию информационной системы в госоргане делает ее государственной, а в муцниципальном учреждении - муниципальной. И никакая регистрация для этого не требовалась (исключая федеральные ГИС определенных типов).
 
Возможно после 2014 года уже что-то изменилось.
В частности -  
Cогласно  ПП РФ от 14.11.2015 N 1235 "О федеральной государственной информационной системе координации информатизации" (вместе с "Положением о федеральной государственной информационной системе координации информатизации")
http://www.consultant.ru/document/cons_doc_LAW_189119/
согласно этому ПП Реестр федеральных государственных информационных систем передан Минкомсвязи.
 
Почитайте   Приказ Минкомсвязи России «Об утверждении порядка внесения сведений о выполнении требований к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации, а также состава сведений, которые подлежат внесению, и срока их представления»  
от 11.08.2016 №375
 
Лучше  обратитесь в Минкомсвязи  за разъяснениями.
 
P.S.
Хорошо подумайте, стоит ли регить вашу ИС как ГИС !!!
 
Если организация подключена к государственной информационной системе, то приказ ФСТЭК № 17 обязывает аттестовать систему, а для защиты информации должны применяться только сертифицированные средства защиты информации (имеющие действующие сертификаты ФСТЭК или ФСБ).
 
Нередки случаи, когда оператор информационной системы ошибочно относит ее к ГИСам, в то время как она таковой не является. В итоге к системе применяются избыточные меры по защите. Например, если по ошибке оператор информационной системы персональных данных классифицировал ее как государственную, ему придется выполнить более жесткие требования к безопасности обрабатываемой информации, чем того требует закон. Тем временем требования к защите информационных систем персональных данных, которые регулирует приказ ФСТЭК № 21, менее жесткие и не обязывают аттестовать систему.
 
 
 


----------
В сортире лучше быть юзером, чем админом...

Всего записей: 11724 | Зарегистр. 10-12-2003 | Отправлено: 14:36 03-07-2017 | Исправлено: ipmanyak, 14:40 03-07-2017
Fillthewave

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Срочно нужно было привести всё в порядок перед проверкой, нашли облачную услугу по обработке ПДн в соответствии со всеми требованиями. Платим ежемесячно, из-за конкуренции цены адекватные у многих облачных провайдеров

Всего записей: 1 | Зарегистр. 25-07-2017 | Отправлено: 09:05 25-07-2017 | Исправлено: Fillthewave, 09:08 25-07-2017
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Вы уже обеспечили защиту персональных данных на предприятии?


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru