Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Вы уже обеспечили защиту персональных данных на предприятии?

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41

Открыть новую тему     Написать ответ в эту тему

Вы уже обеспечили защиту персональных данных на предприятии?
 ОтветГолосаПроценты
Нет и не собираемся148
12.48%
Нет, но собираемся159
13.41%
Находимся в стадии оценки угрозы173
14.59%
Да, проводим подготовительные работы185
15.60%
Да, соответствуем новым требованиям69
5.82%
В первый раз слышу!452
38.11%
Гости не могут голосовать, зарегистрируйтесть!Всего Голосов: 1186
emx



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Уважаемые коллеги!
К 1 января 2010 года все предприятия Российской Федерации должны привести cвою инфраструктуру и регулятивную базу в соответствие с требованиями Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Закон).
 
Общий коленкор таков.
Согласно Закону к персональным данным относится:
"любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;"
п. 1, ст. 3 Закона
 
Чем это грозит для предприятия?
В любой компании есть те или иные системы кадрового учета (HR-контур), который содержит подробную информацию о сотруднике (ФИО, дата рождения, ИНН, № Страхового свидетельства Пенсионного фонда, №№ страховых свидетельств ОМС/ДМС, сведения о постановке на воинский учет, №№ банковских счетов, сведения о заработной плате и так далее).  
 
Кроме того, в ряде предприятий имеются различные CRM-cистемы, в которых аккумулируется информация о клиентах (в том числе клиентах - физических лицах), причем часто персонифицированная и детализированная, вплоть до предпочтений тех или иных лиц. Мы же стараемся удовлетворить клиента всеми возможными способами и учесть максимум нюансов?
 
Ряд компаний также осуществляет сбор и обработку тех или иных персональных данных клиентов через веб-сайты (интернет-продажи и тому подобное).
 
В ряде случаев есть ещё и бухучет (если клиент физическое лицо, которое оплачивает товары/услуги прямым банковским платежом, на основании договора или без такового).
 
Стало быть предприятие осуществляет сбор, хранит и обрабатывает персональные данные.
 
Далее...
 
п. 2, ст. 3 Закона вводит определение "оператора" (по обработке персональных данных):

Цитата:
2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;

 
Поздравляю. Мы все - операторы.
 
Помимо определенных прав субъекта персональных данных, исполнение которых оператор должен обеспечивать (в основном это чисто бумажные штуки вещей - особого вреда компании причинить не могут), существуют ещё и обязательные требования в отношении оператора - они гораздо страшнее.
 
Закон определяет перечнь таких требований:
 

Цитата:
Статья 19. Меры по обеспечению безопасности персональных данных при их обработке
1. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
2. Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.
3. Контроль и надзор за выполнением требований, установленных Правительством Российской Федерации в соответствии с частью 2 настоящей статьи, осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.
4. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.

ст. 19 Закона
 
Относительно того, как выполнить требования 1 пункта пока данных не слишком много. В общем случае на предприятии должны быть:
- Положение о персональных данных
- Положение о контрольно-пропускном режиме (где определен конечный круг лиц, который имеет доступ в помещения, где эта красота хранится физически)
- Регламент по информационной безопасности
 
Кроме того, предприятие должно использовать сертифицированные (да, разумеется с потайным ключиком у ФСБ) криптографические решения на серверах, на которых расположены базы данных. Также инфраструктура должна быть аттестована (за счет предприятия у уполномоченного органа), что уж совсем ужасно.
 
Санкции.
Санкции за нарушение Закона незначительны:
 

Цитата:
Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)
Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) -
влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей.

ст. 13.11 КоАП РФ
 
Но при проверке вам могут вынести предприсание об устранении выявленных нарушений. За неисполнение предписания санкции более другие:
 

Цитата:
Статья 19.5. Невыполнение в срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль)
1. Невыполнение в установленный срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), об устранении нарушений законодательства -
влечет наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от одной тысячи до двух тысяч рублей или дисквалификацию на срок до трех лет; на юридических лиц - от десяти тысяч до двадцати тысяч рублей.

ст. 19.5 КоАП РФ
И так далее, вплоть до отзыва лицензии у предприятия на осуществление основной деятельности и уголовной ответственности для ген. директора.
 
Давайте что-ли обсудим - как жить дальше...
Или может кто уже лазейку какую нашел?

Всего записей: 11860 | Зарегистр. 05-06-2002 | Отправлено: 09:13 01-07-2009 | Исправлено: emx, 12:00 01-07-2009
funkyru

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Toparenko

Цитата:
 
А нафига 1В? ИСПДн К1?
Можно попробовать спецИСПДн - тогда есть варианты снижения через модель угроз с мандатного на ролевой доступ и применения СЗИ, сертифицированных на 1Г.
Но это уже надо смотреть по конкретному объекту.  

 
АС для работы с секретной информацией. Никаких персональных данных в ней хранится не будет.  Так что нужно аттестовать по классу 1В. Панцирь-С имеет сертификат по 3 классу СВТ, а это не подходит.
 
 
 
 
 

Всего записей: 8 | Зарегистр. 16-04-2008 | Отправлено: 08:49 21-12-2009
Toparenko

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
funkyru
АС для работы с секретной информацией

АСЗИ под ГТ не место для обсуждения в открытом форуме - обращайтесь в собственное ПЗГТ.
 
В крайнем случае по несекретным нормам дам консультацию в личке.
 

Цитата:
funkyru
Панцирь-С имеет сертификат по 3 классу СВТ, а это не подходит

Внимательно читайте РД и ГОСТы по АСЗИ - проходит.
3-го класса СВТ хватит и на 1Б

Всего записей: 40 | Зарегистр. 04-10-2005 | Отправлено: 10:55 21-12-2009
ShriEkeR



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Операторам персональных данных подарили год

----------
Absit invidia verbo

Всего записей: 6382 | Зарегистр. 27-09-2004 | Отправлено: 13:30 21-12-2009
Toparenko

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
ShriEkeR
Операторам персональных данных подарили год

Пока перенос только Думу прошел...
261 заседание СФ запланировано на 29.12.09.
Потом еще должен подписать Президент  

Всего записей: 40 | Зарегистр. 04-10-2005 | Отправлено: 14:51 21-12-2009
les86

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Уважаемые форумчане. Данный вопрос меня очень беспокоит. В сети преогромное множество ресурсов по данному вопросу - но склонен именно руборд рассматривать как площадку для решение спорных и не очень вопросов.  
Запутался в информации, комментариях и т.д. Хоть также уповаю на измененные статьи и сроки, и на "пронесет". Нохотелось бы несколько мероприятий провести.
 
Есть контора - используются ПД в кадрах (1-2 компа) и бухгалтерии.  
 
В кадрах нет никакой автоматизированной системы - все приказы и данные в эксельках и тексовых форматах. В домене, храниться инфа в папке на серваке куда доступ есть только специалисту по персоналу. Выход в интернет есть - через шлюз (софтовый) как и у всей сетки. По фирме вышел указ - и проведениях мероприятий - направленных на .. приведение работы организации в соответсвие с  этомим законом. На мои плечи - "план по настройки ЭВМ" - это грубо говоря.
 
От инета отрубить, от домена, файлы хранить на локальном - это не проблема.  
 
Бухгалтерия - там 1с бух учет, банк- клиент, пенсионный фонд, налоговая (это все электронное) и понятное дело ворды и эксельки. Локалка отдельная физически, доступ в инет только коммутируемый - дуал-ап.
 
я так понимаю - это две разные среды - по этому два так сказать "ответа". Но сейчас интересен именно вариант с кадрами.
Прошу совета - в каком порядке, какими нормативными документами руководствоваться в моем случае.  
 
В связи с суматохой - к помощи спец организациям пока обращаться не решаемся - бюджет очень ограничен на ИТ.
 
П.С.: если персональные данные 4 категории - в моем случае с кадрами это абсурд (но не я ж буду экспертизу проводить) - какие тогда требования практические при настройки ПК?

Всего записей: 30 | Зарегистр. 09-10-2006 | Отправлено: 16:56 22-12-2009 | Исправлено: les86, 17:02 22-12-2009
anpsoft



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
то есть вы фактически возвращаете контору в 19 век ?
 

Всего записей: 121 | Зарегистр. 13-10-2002 | Отправлено: 23:16 22-12-2009
oaf56

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Почитай тему сначала, обрати внимание:

Цитата:
ptitza_in_da_ruboard: Варианты Решения для размышления  
Письмо Рособразования от 22.10.2009 N 17-187 "Об обеспечении защиты персональных данных"  
http://www.ed.gov.ru/news/newdocs/11620/  

В кадрах неможет быть данных только  обезличеных данных - это 100%. Они есть на бумаге обязательно.

Всего записей: 125 | Зарегистр. 23-11-2006 | Отправлено: 08:45 23-12-2009
SBBerkov

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Народ, не паримся, готовим бумажки. В 19й век откатываться не нужно. Регуляторы будут ещё минимум полтора года удовлетворены тем, что у вас на руках есть некий перечень документов: регистрация как оператора ПД, классификация ИС, в зависимости от класса - модель угроз, ещё какие-то доки по самой ИС и её средствам защиты,ну и конечно подписи всех сотрудников о том, что они согласны с обработкой их ПД организацией. А дальше видно будет. Не порите горячку, пишите бумажки. Больше бумаги - чище жопа! 8)

Всего записей: 21 | Зарегистр. 24-06-2008 | Отправлено: 15:43 25-12-2009
kermit

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
а есть пошаговые понятные инструкции что нужно сделать в средней организации, у которой все ПДн это данные сотрудников, которые ведут кадры и бухгалтерия?

Всего записей: 463 | Зарегистр. 01-10-2003 | Отправлено: 11:53 26-12-2009 | Исправлено: kermit, 20:36 26-12-2009
anpsoft



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
купить им сейф, папки бумажные, и пусть пока не пришли переписывают от руки или на печатающей машинке с ближайшего музея с экрана на бумагу
 
компьютеры выбросить от греха подальше
 

Всего записей: 121 | Зарегистр. 13-10-2002 | Отправлено: 13:35 26-12-2009
anpsoft



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
а если использовать такое ?
http://ru.wikipedia.org/wiki/ISCSI
 
на Хабре было обсуждение про проверки органов лицензионности и придирки к продуктам с лицензией GPL  
и вспомнили про ISCSI
 
пусть приходят, арестовывают сервер, а на нем даже винта нет вообще
 
 

Всего записей: 121 | Зарегистр. 13-10-2002 | Отправлено: 01:36 28-12-2009
lovec123

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
anpsoft
ну вообщето во фстеке спецы поумнее чем в обепе, одни деятели сделали хранение баз на вайфай диске и вмуровали его в пол тем неменее хранилище было выколупонно

Всего записей: 2734 | Зарегистр. 26-02-2007 | Отправлено: 19:36 02-01-2010
MARSIANIN

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
anpsoft  
ну вообщето во фстеке спецы поумнее чем в обепе

Вполне возможно. Выход в размещении данных
на площадке за приделами РФ. К сожалению надежное решение
не будет бесплатным, а по сумме подходит только для крупных фирм.

Всего записей: 384 | Зарегистр. 05-11-2003 | Отправлено: 08:52 03-01-2010
lovec123

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
MARSIANIN
ну да чтобы увеличть защиту ПД от наших кулхацкеров мы эти данные сразу на сервера пентагона

Всего записей: 2734 | Зарегистр. 26-02-2007 | Отправлено: 10:33 03-01-2010
farseer777



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Можно ли обычный Ethernet-ADSL-модем считать фаерволлом и не ставить на винду фаерволл? Соединение PPPoE настроено в модеме, интернет раздается NAT-ом.




читаем Правила /ShriEkeR/

Всего записей: 169 | Зарегистр. 07-06-2006 | Отправлено: 11:51 08-01-2010 | Исправлено: ShriEkeR, 12:07 10-01-2010
lovec123

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
farseer777 в каком контексте? тема про ПД (персональные данные)

Всего записей: 2734 | Зарегистр. 26-02-2007 | Отправлено: 12:02 10-01-2010
farseer777



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Извиняюсь, совершенно не там задал вопрос. Дошло только после просмотра темы.

Всего записей: 169 | Зарегистр. 07-06-2006 | Отправлено: 17:15 10-01-2010
oaf56

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
kermit
Методические документы ФСТЭК+ФСБ - основное. Ну и их Вольный Конспект:

Цитата:
- Документы, регламентирующие обработку персональных данных http://www.itsec.ru/articles2/Inf_security/documents-pd  
- Компания Х: первые шаги к обеспечению информационной безопасности http://www.itsec.ru/articles2/Inf_security/first-step  
- Документы, регламентирующие обработку ПДн с использованием криптосредств (СКЗИ) http://www.reignvox.ru/privacy-comments.html  
 
, Посмотри обсуждения.

Цитата:
anpsoft..... и вспомнили про ISCSI  
 
пусть приходят, арестовывают сервер, а на нем даже винта нет вообще

ISCSI - сетевое  хранилище данных, т.е. "просто" высоконадежный сетевой диск. Реализуется за счет специальных аппаратных средств или програмно на обычном, но  мощном  И ОЧЕНЬ_НАДЕЖЕОМ ПК с быстрыми дисками(лучше аппаратный RAID). За счет оптимизации железа и ПО  для работы ТОЛЬКО дисковой подсистемы и ее надежности, а так же размещения на них множества БД используется для замены докальных дисков с данными серверов и рабочих станций, систем хранения. Преимущество в том, что тратятся деньги на ОДНУ быструю дисковую подсистему ISCSI, на не на КАЖДЫЙ сервер/станцию. Недостаток - выход из строя ISCSI - ПОЛНЫЙ паралич всех систем, данные которых лежат на нем.
По сути ISCSI -это дальнейшее развитие расшареных сетевых дисков в сторону безопасноти, надежности и ускорения работы. Использование аппаратных спец. средств или ПО(с приличным железом) наводит на мысль о том, что шарага с 2 ПК это просто не потянет, да и не нужно ей ЭТО  
 
Т.к. Все это Целеесобразно и городится для храниения и работы с данными БД, то кроме централизации хранения и возможной удаленности от мест обработки этих данных есть еще боллее важное потребительское свойство - скорость работы. Наличие постоянных высокоскоростных каналов(как правило ПРОВОДНЫХ) - 110% вероятность обнаружения.
 
Зато использование ISCSI может быть как дополнительный контур безопасности: при организации отдельного сегмента ЛС в котором будут только ISCSI и сервера БД.
Хотя в теории, чем больше компонент, тем меньше надежность.

Всего записей: 125 | Зарегистр. 23-11-2006 | Отправлено: 12:12 11-01-2010
oaf56

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ну и как Ваш покорный слуга и поклонник 1С обращаю Ваше внимание:
На сайте 1С опубликована новость в разделе "Новости учета, налогообложения и автоматизации".
11.01.2010 Защита персональных данных http://www.buh.ru/newsDescr-5660

Всего записей: 125 | Зарегистр. 23-11-2006 | Отправлено: 07:09 13-01-2010
MrIKS



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Еще один способ честного отъема денег у населения...

Всего записей: 2 | Зарегистр. 21-12-2006 | Отправлено: 12:07 13-01-2010
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Вы уже обеспечили защиту персональных данных на предприятии?


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru