Вы уже обеспечили защиту персональных данных на предприятии?
	Ответ	Голоса	Проценты
	Нет и не собираемся	151	12.67%
	Нет, но собираемся	160	13.42%
	Находимся в стадии оценки угрозы	173	14.51%
	Да, проводим подготовительные работы	185	15.52%
	Да, соответствуем новым требованиям	69	5.79%
	В первый раз слышу!	454	38.09%
Гости не могут голосовать, зарегистрируйтесть!			Всего Голосов: 1192

emx Moderator Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Уважаемые коллеги! К 1 января 2010 года все предприятия Российской Федерации должны привести cвою инфраструктуру и регулятивную базу в соответствие с требованиями Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Закон).   Общий коленкор таков. Согласно Закону к персональным данным относится: "любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;" п. 1, ст. 3 Закона   Чем это грозит для предприятия? В любой компании есть те или иные системы кадрового учета (HR-контур), который содержит подробную информацию о сотруднике (ФИО, дата рождения, ИНН, № Страхового свидетельства Пенсионного фонда, №№ страховых свидетельств ОМС/ДМС, сведения о постановке на воинский учет, №№ банковских счетов, сведения о заработной плате и так далее).     Кроме того, в ряде предприятий имеются различные CRM-cистемы, в которых аккумулируется информация о клиентах (в том числе клиентах - физических лицах), причем часто персонифицированная и детализированная, вплоть до предпочтений тех или иных лиц. Мы же стараемся удовлетворить клиента всеми возможными способами и учесть максимум нюансов?   Ряд компаний также осуществляет сбор и обработку тех или иных персональных данных клиентов через веб-сайты (интернет-продажи и тому подобное).   В ряде случаев есть ещё и бухучет (если клиент физическое лицо, которое оплачивает товары/услуги прямым банковским платежом, на основании договора или без такового).   Стало быть предприятие осуществляет сбор, хранит и обрабатывает персональные данные.   Далее...   п. 2, ст. 3 Закона вводит определение "оператора" (по обработке персональных данных): Цитата: 2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;   Поздравляю. Мы все - операторы.   Помимо определенных прав субъекта персональных данных, исполнение которых оператор должен обеспечивать (в основном это чисто бумажные штуки вещей - особого вреда компании причинить не могут), существуют ещё и обязательные требования в отношении оператора - они гораздо страшнее.   Закон определяет перечнь таких требований:   Цитата: Статья 19. Меры по обеспечению безопасности персональных данных при их обработке 1. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий. 2. Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных. 3. Контроль и надзор за выполнением требований, установленных Правительством Российской Федерации в соответствии с частью 2 настоящей статьи, осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных. 4. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения. ст. 19 Закона   Относительно того, как выполнить требования 1 пункта пока данных не слишком много. В общем случае на предприятии должны быть: - Положение о персональных данных - Положение о контрольно-пропускном режиме (где определен конечный круг лиц, который имеет доступ в помещения, где эта красота хранится физически) - Регламент по информационной безопасности   Кроме того, предприятие должно использовать сертифицированные (да, разумеется с потайным ключиком у ФСБ) криптографические решения на серверах, на которых расположены базы данных. Также инфраструктура должна быть аттестована (за счет предприятия у уполномоченного органа), что уж совсем ужасно.   Санкции. Санкции за нарушение Закона незначительны:   Цитата: Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) - влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей. ст. 13.11 КоАП РФ   Но при проверке вам могут вынести предприсание об устранении выявленных нарушений. За неисполнение предписания санкции более другие:   Цитата: Статья 19.5. Невыполнение в срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль) 1. Невыполнение в установленный срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), об устранении нарушений законодательства - влечет наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от одной тысячи до двух тысяч рублей или дисквалификацию на срок до трех лет; на юридических лиц - от десяти тысяч до двадцати тысяч рублей. ст. 19.5 КоАП РФ И так далее, вплоть до отзыва лицензии у предприятия на осуществление основной деятельности и уголовной ответственности для ген. директора.   Давайте что-ли обсудим - как жить дальше... Или может кто уже лазейку какую нашел? Всего записей: 11868 | Зарегистр. 05-06-2002 | Отправлено: 09:13 01-07-2009 | Исправлено: emx, 12:00 01-07-2009

anolina1 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору То есть, если Дума не расшевелиться по этому предложению, мне, чтобы удовлетворить закону нужно будет за бумажкой в ФСБ идти? Опять же, собственные нужды в коммерческой организации - что сюда входит? Там вся деятельность на извлечение прибыли направлена. Всего записей: 168 | Зарегистр. 31-03-2005 | Отправлено: 16:59 28-10-2009

Signa Звездный Ветер Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Пипец. Срочно уволняюсь. Не хочется быть козлом отпущения - пытаются навесить на меня админа ИБ. Нафиг такое счастье эникейщику? Всего записей: 357 | Зарегистр. 02-07-2002 | Отправлено: 22:30 28-10-2009

anolina1 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Сори, не туда написал... Всего записей: 168 | Зарегистр. 31-03-2005 | Отправлено: 01:01 29-10-2009 | Исправлено: anolina1, 01:02 29-10-2009

Toparenko Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: lovec123 сегодня обратился к атестующей фирме они сделали большие глаза и сказали не дай бог Аккредитованных организаций на всю РФ всего 315 шт (а операторов порядка 7 млн.) - см. на сайте ФСТЭК "Перечень органов по аттестации Системы сертификации средств защиты информации по требованиям безопасности информации № РОСС RU.0001.01БИ00"   Проверьте там Вашего аттестатора Всего записей: 40 | Зарегистр. 04-10-2005 | Отправлено: 12:23 30-10-2009

vchikarin Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Что все так уцепились за это шифрование. Где написано что оно обязательно. Шифрование, как один из способов. Если вы можете защитить данные без шифрования, то оно и не нужно, и никто не принуждает вас его использовать. Другой случай когда вы переносите такие данные на флешке или на ноутбуке, который можно потерять или спереть. Всего записей: 3 | Зарегистр. 06-02-2007 | Отправлено: 20:03 30-10-2009

ptitza_in_da_ruboard Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Варианты Решения для размышления Письмо Рособразования от 22.10.2009 N 17-187 "Об обеспечении защиты персональных данных" http://www.ed.gov.ru/news/newdocs/11620/   тут трут тему http://community.livejournal.com/personal_data/   Добавлено: subj   http://base.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=61801;dst=0 Всего записей: 362 | Зарегистр. 19-05-2008 | Отправлено: 23:24 03-11-2009

Toparenko Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: lovec123 а как это соотносится с персональными данными которые к гос тайне неотносятся вообще ПДн, относящиеся к ГТ вообще под 152-ФЗ не подпадают.   Четырехкнижие ФСТЭК (единственные документы, где определена обязательность аттестации не для ГТ) не прошли Минюст и не утверждены первыми лицами ведомства - соответственно по ПП1009-1997 года не подлежат применению как не вступившие в силу (на тех же Парламентских слушаниях был поднят вопрос, что данные документы имеют неопределенный правоприменительный статус).   Вот именно по этому я говорю, что на настоящий момент нет подлежащих применению документов, определящих обязательную аттестацию для АСЗИ(в том числе ИСПДн) и получение лицензии на ТЗКИ операторов.   К сожалению все риски идут на оператора:   - если не аттестует, но документы пройдут Минюст - невыполнение требований и предъявление санкций - если аттестует, но документы так и не пройдут Минюст (или будут отменены/изменены) - зря потраченные деньги на добровольную аттестацию   Цитата: lovec123 и не конфликтеет ли это с На настоящий момент не конфликтует.   Цитата: lovec123 и где в этом документе написанно что после аттестации мы можем самостоятельно переаттестовывать рабочии места без уплаты денюжек в стороннии организации? Нигде. Только устные заявления ФСТЭК.   Цитата: ptitza_in_da_ruboard Письмо Рособразования от 22.10.2009 N 17-187 "Об обеспечении защиты персональных данных"   http://www.ed.gov.ru/news/newdocs/11620/   Вот здесь по этому поводу мнение сообщества ПСПО - http://community.livejournal.com/ru_foss/13535.html   Цитата: ptitza_in_da_ruboard тут трут тему   http://community.livejournal.com/personal_data/   Не-а Это новостная лента по теме Тема мониторится на razved.info, в том числе там есть ветка со ссылками Где пишут и "ломают копья"   Цитата: ptitza_in_da_ruboard Добавлено:   subj   Тогда лучше на "Персональные данные - вход в тему" Всего записей: 40 | Зарегистр. 04-10-2005 | Отправлено: 10:46 05-11-2009

lovec123 Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Toparenko Спасибо в принцепе если закон не пройдёт то будет веселло, если пройдёт будет грустно, если будет не значительно - значительно изменён будет кому грустно а кому вессело Всего записей: 2734 | Зарегистр. 26-02-2007 | Отправлено: 13:22 05-11-2009

oaf56 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору MARSIANIN А что смущает? Это до сих пор происходит без твоего согласия. В свете того, что с 01/01/2009 г. вступает в действие 152-ФЗ "О персональных данных" в части наказаний. Конторы пытаютя прикрыться. В принципе, ничего крамольного здесь нет. Твое Письменое Заявление - выступает в качестве свительства, что ты не возражаещь. При поступлении на работу ты обязан лично предоставить свои данные. По 152-фз контора не имеет права использовать даные о тебе, полученые от третьей строны. Но по жизни на этапе проверки верности сообщенных тобой данных нужно подтвердить их. Проверить это можно только отправив запрос в соотв. орган. Например, потвердить твой диполом. Точнее, что ты обучался, а не купил его в переходе. Данные в налоговую, пенсионный, соцстрах полюбому будут предоставлены. Личное дело сотрудника и информация по его Зарплате должна хранитьтся 75 лет. Это необходимо будет и тебе для начисления(оформлении)пенсии и восстановлении трудовой, стажа и т.д. Вообще по 152-ФЗ операторПерсональныхДанных (т.е. твоя контора) должен предупредить субъекта об : - о том какие ПД и для чего нужны и на какой срок предполагается их использовать- это ты привел текст такого заявления; - о возможных последствиях при отказе от обработки. В случае отказа работодатель не сможет даже начислить тебе Зарплату и перечислить налоги и платежи в фонды. Т.Е. ОН НЕ СМОЖЕТ ИСПОЛНЯТЬ ТВОЙ трудовой договор. - считай ты написал заявление на увольнение.   Добавлено: Цитата: Письмо Рособразования от 22.10.2009 N 17-187 "Об обеспечении защиты персональных данных"   ht_tp://www.ed.gov.ru/news/newdocs/11620 В принципе, разумно, дешево и сердито. Для бедных бюджетников самое то. Всего записей: 125 | Зарегистр. 23-11-2006 | Отправлено: 08:28 10-11-2009 | Исправлено: oaf56, 08:30 10-11-2009

MARSIANIN Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: А что смущает? Это до сих пор происходит без твоего согласия. т.е. нарушали закон . Смущает Цитата: сообщение моих персональных данных третьей стороне   т.е.  любой третьей стороне.     И зачем этой стороне нах.... знать мои данные о   домашнем телефоне   паспортных данных сведений о ближайших родственниках и членах семьи!!!! и т.д. Может им копии ключей от квартиры сдать ? Цитата: В принципе, разумно, дешево и сердито. Для бедных бюджетников самое то. В том и дело что подобное для фирмы акционерами которой стала крупная гос. корпорация Цитата: выражаю согласие на использование моих персональных данных в целях размещения на внутренних информационно-справочных ресурсах ОАО «Газмяс»,   При том что ЗАО «Газмяс» лишь акционеры ОАО «ХХХХХ» и люди в ОАО юридически не имеют отношений и каких-либо подписанных документов к данному ЗАО. Всего записей: 399 | Зарегистр. 05-11-2003 | Отправлено: 15:06 10-11-2009 | Исправлено: MARSIANIN, 15:09 10-11-2009

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Вы уже обеспечили защиту персональных данных на предприятии?

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование