Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Вы уже обеспечили защиту персональных данных на предприятии?

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41

Открыть новую тему     Написать ответ в эту тему

Вы уже обеспечили защиту персональных данных на предприятии?
 ОтветГолосаПроценты
Нет и не собираемся148
12.48%
Нет, но собираемся159
13.41%
Находимся в стадии оценки угрозы173
14.59%
Да, проводим подготовительные работы185
15.60%
Да, соответствуем новым требованиям69
5.82%
В первый раз слышу!452
38.11%
Гости не могут голосовать, зарегистрируйтесть!Всего Голосов: 1186
emx



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Уважаемые коллеги!
К 1 января 2010 года все предприятия Российской Федерации должны привести cвою инфраструктуру и регулятивную базу в соответствие с требованиями Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Закон).
 
Общий коленкор таков.
Согласно Закону к персональным данным относится:
"любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;"
п. 1, ст. 3 Закона
 
Чем это грозит для предприятия?
В любой компании есть те или иные системы кадрового учета (HR-контур), который содержит подробную информацию о сотруднике (ФИО, дата рождения, ИНН, № Страхового свидетельства Пенсионного фонда, №№ страховых свидетельств ОМС/ДМС, сведения о постановке на воинский учет, №№ банковских счетов, сведения о заработной плате и так далее).  
 
Кроме того, в ряде предприятий имеются различные CRM-cистемы, в которых аккумулируется информация о клиентах (в том числе клиентах - физических лицах), причем часто персонифицированная и детализированная, вплоть до предпочтений тех или иных лиц. Мы же стараемся удовлетворить клиента всеми возможными способами и учесть максимум нюансов?
 
Ряд компаний также осуществляет сбор и обработку тех или иных персональных данных клиентов через веб-сайты (интернет-продажи и тому подобное).
 
В ряде случаев есть ещё и бухучет (если клиент физическое лицо, которое оплачивает товары/услуги прямым банковским платежом, на основании договора или без такового).
 
Стало быть предприятие осуществляет сбор, хранит и обрабатывает персональные данные.
 
Далее...
 
п. 2, ст. 3 Закона вводит определение "оператора" (по обработке персональных данных):

Цитата:
2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;

 
Поздравляю. Мы все - операторы.
 
Помимо определенных прав субъекта персональных данных, исполнение которых оператор должен обеспечивать (в основном это чисто бумажные штуки вещей - особого вреда компании причинить не могут), существуют ещё и обязательные требования в отношении оператора - они гораздо страшнее.
 
Закон определяет перечнь таких требований:
 

Цитата:
Статья 19. Меры по обеспечению безопасности персональных данных при их обработке
1. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
2. Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.
3. Контроль и надзор за выполнением требований, установленных Правительством Российской Федерации в соответствии с частью 2 настоящей статьи, осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.
4. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.

ст. 19 Закона
 
Относительно того, как выполнить требования 1 пункта пока данных не слишком много. В общем случае на предприятии должны быть:
- Положение о персональных данных
- Положение о контрольно-пропускном режиме (где определен конечный круг лиц, который имеет доступ в помещения, где эта красота хранится физически)
- Регламент по информационной безопасности
 
Кроме того, предприятие должно использовать сертифицированные (да, разумеется с потайным ключиком у ФСБ) криптографические решения на серверах, на которых расположены базы данных. Также инфраструктура должна быть аттестована (за счет предприятия у уполномоченного органа), что уж совсем ужасно.
 
Санкции.
Санкции за нарушение Закона незначительны:
 

Цитата:
Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)
Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) -
влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей.

ст. 13.11 КоАП РФ
 
Но при проверке вам могут вынести предприсание об устранении выявленных нарушений. За неисполнение предписания санкции более другие:
 

Цитата:
Статья 19.5. Невыполнение в срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль)
1. Невыполнение в установленный срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), об устранении нарушений законодательства -
влечет наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от одной тысячи до двух тысяч рублей или дисквалификацию на срок до трех лет; на юридических лиц - от десяти тысяч до двадцати тысяч рублей.

ст. 19.5 КоАП РФ
И так далее, вплоть до отзыва лицензии у предприятия на осуществление основной деятельности и уголовной ответственности для ген. директора.
 
Давайте что-ли обсудим - как жить дальше...
Или может кто уже лазейку какую нашел?

Всего записей: 11860 | Зарегистр. 05-06-2002 | Отправлено: 09:13 01-07-2009 | Исправлено: emx, 12:00 01-07-2009
Jungorussia

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Что то вы уходите от темы.
Какие то движения чувствуются по персоналке?

Всего записей: 54 | Зарегистр. 04-11-2008 | Отправлено: 23:52 11-03-2010
lovec123

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
oaf56
да мне то вообще пофик, сервер гаранта и машины с клинтами гаранта находятся в открытом сегменте а машины с ПДН в закрытом, на сервере гаранта то же никаких ПДН никрутится, канал инетовский расширили, скоро и гарант как консультант через инет будет обновлятся.

Всего записей: 2734 | Зарегистр. 26-02-2007 | Отправлено: 07:04 12-03-2010
Toparenko

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Jungorussia
Какие то движения чувствуются по персоналке?

1. Появился 58 приказ ФСТЭК (с 15 марта вводится в действие установленным порядком) и с того же времени отменяются Основные мероприятия и Рекомендации
 
Соответственно аттестация не требуется, сертифицированные СЗИ только на К1 (и только по НДВ).
Соостветствие классов К3/К2 = 3Б/2Б/1Д, К1 = 1Г и усиленные 3Б/2Б
По МЭ - ушли требования по 2 классу, но 3 класс пока отался (на максимуме)
 
2. Заработал сайт Ассоциации защиты прав операторов и субъектов персональных данных (DATUM) - идет процесс подготовки ее к регистрации
 
3. Еще месяц назад (для банкиров) вывешен проект изменений в СТО БР
 
4. GlobalTrust перевел (и подтвердил соответсвие перевода в BSI) британский стандарт BS 10012:2009 «Защита данных – Спецификация системы управления персональными данными».
Т.ч. есть возможность, согласно Закона "О техрегулировании", летом  запускать процедуру приведения к нему...

Всего записей: 40 | Зарегистр. 04-10-2005 | Отправлено: 15:25 12-03-2010
Orion_76



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
1. Появился 58 приказ ФСТЭК (с 15 марта вводится в действие установленным порядком) и с того же времени отменяются Основные мероприятия и Рекомендации

 
Из края в край....
 
Если это правда и если сведения о группе инвалидности не являются сведениями о здоровье, то у меня 2класс...
 
Появилась надежда.... что года за 2-3 наберем денег (бюджетная контора) на организацию защиты ПД.

Всего записей: 386 | Зарегистр. 02-11-2007 | Отправлено: 10:20 13-03-2010
Toparenko

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Orion_76
Если это правда  

Проверьте по ссылке

Всего записей: 40 | Зарегистр. 04-10-2005 | Отправлено: 10:16 15-03-2010
BAARK

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Теперь, чтобы получить лицензию, надо - что? Если система К2? Раньше сертификация+аттестация+заявление на лицензирование. Теперь - только лицензирование?

Всего записей: 27 | Зарегистр. 03-05-2007 | Отправлено: 15:45 16-03-2010
kzi

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
BAARK, все тоже. необходимо выполнить лицензионные требования! Их не сокращали и не будут. Если Вы о ТЗКИ, то сморите Пололжение № 504 "О лицензировании деятельности по технической защите конфиденциальной информации" от 15 августа 2006 г.  
 
Вопрос про сертификацию и аттестацию туманны в рамках защиты ИСПДн... Но не выходя за рамки.
 

Всего записей: 18 | Зарегистр. 18-11-2009 | Отправлено: 12:48 17-03-2010
ipmanyak



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Сертификаты на ПО Микрософт от ФСТЭК


----------
В сортире лучше быть юзером, чем админом...

Всего записей: 11980 | Зарегистр. 10-12-2003 | Отправлено: 11:11 01-04-2010 | Исправлено: ipmanyak, 11:17 01-04-2010
AndreyVictorovich

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ipmanyak, случаем не знаешь, они на НДВ не собираются проверять свои продукты?

Всего записей: 2 | Зарегистр. 13-06-2009 | Отправлено: 18:00 01-04-2010
vertex4

Moderator
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
AndreyVictorovich
Уже сделали на основные продукты. Ждут документов от ФСТЭКа, и вывесят на сайте.
 
Добавлено:
AndreyVictorovich
посмотри презентацию по этому поводу

----------
В любой инструкции пропущено самое важное - что делать, если это устройство или программа не работают

Всего записей: 10398 | Зарегистр. 29-01-2006 | Отправлено: 21:51 01-04-2010 | Исправлено: vertex4, 21:52 01-04-2010
res2001



Silver Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Всем привет!
Вот какие возникли вопросы по поводу закона о ПД:
1.На софт купленный ранее надо ли будет приобретать сертификаты ФСТЭК?
2.Сертификаты выдаются на определенный срок, ПО после истечения срока сертификата автоматически становится не сертифицированным и надо опять покупать сертификат?
3.После установки на сертифицированную винду сервиспака она автоматически становится не сертифицированной?

Всего записей: 2580 | Зарегистр. 11-04-2003 | Отправлено: 10:47 02-04-2010
ipmanyak



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
res2001 Вопрос спорный, одни говорят нужно , другие не нужно. Нужно задать вопрос самим ФСТЭК-овцам. Давай ты  проясни этот вопрос и окончательно закроем эту тему. Позвони  в отдел сертификации ФСТЭК России по телефону (499)263-30-57 (дежурный). Говорят очень с пониманием относятся и отвечают на все вопросы.
Все Контактные телефоны ФСТЭК тут
или тут
 


----------
В сортире лучше быть юзером, чем админом...

Всего записей: 11980 | Зарегистр. 10-12-2003 | Отправлено: 12:37 02-04-2010 | Исправлено: ipmanyak, 12:38 02-04-2010
kzi

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
res2001
Читайте новые требования в положении №58.
В нем только для гос. предприятий необходимо использовать сертиф. СрЗИ, а не все ПО и проводить аттестацию ИСПДн!
Если сертификат заканчивается на ПО, его можно продлить (производитель это делает, или на конкретный S/N - сами во ФСТЭК).
 

Всего записей: 18 | Зарегистр. 18-11-2009 | Отправлено: 15:56 02-04-2010
ipmanyak



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Мамыкин - директор по информационной безопасносности ООО "Майкрософт Рус"
http://blogs.technet.com/mamykin/attachment/3315761.ashx
На w2k8 на все версии без R2 и на SQL 2008 уже получены сертификаты, на W2K8 R2 и WIN7 работа идет и они будут получены. Короче читаем доку.

----------
В сортире лучше быть юзером, чем админом...

Всего записей: 11980 | Зарегистр. 10-12-2003 | Отправлено: 16:32 02-04-2010
kzi

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ООО "Майкрософт Рус" не знает, как еще привлечь клиентов, вот теперь сертифицирует свои продукты.
 
Но требований таких уже нет. Документы "Основные мероприятия" и "рекомендации" не действуют...

Всего записей: 18 | Зарегистр. 18-11-2009 | Отправлено: 17:01 02-04-2010
vertex4

Moderator
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
kzi
По словам роскомнадзоровцев (неофициально) - летом доведут закон до ума и обязательную аттестацию для К1 и К2 вернут.

----------
В любой инструкции пропущено самое важное - что делать, если это устройство или программа не работают

Всего записей: 10398 | Зарегистр. 29-01-2006 | Отправлено: 17:08 02-04-2010
ipmanyak



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
kzi Для K1 как бы действуют.vertex4 На фстэк госдума или еще кто  думаю управу найдут, иначе кучу бабла из бюджета придется отвалить для госструктур из-за их прихотей фстэка. Я не думаю, что 58 закон они сами придумали и приняли,  явно им навязали!
Защищаем типа защищаем, а мне тут один перец в аське сообщает,  что у него есть дома ндцать гигабайт свежих баз данных наших госструктур. Кто, что охраянет, тот то и имеет. Инсайдер (ака админ)  украдёт всё, если захочет,  и все эти защиты не помогут.

----------
В сортире лучше быть юзером, чем админом...

Всего записей: 11980 | Зарегистр. 10-12-2003 | Отправлено: 17:41 02-04-2010 | Исправлено: ipmanyak, 17:42 02-04-2010
kzi

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vertex4не стоит верить, т.к. изменение ФЗ будут, но требования устанавливают ФСТЭК и ФСБ. А положение 58 скорее не будут менять.

Всего записей: 18 | Зарегистр. 18-11-2009 | Отправлено: 17:42 02-04-2010
Orion_76



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Защищаем типа защищаем, а мне тут один перец в аське сообщает,  что у него есть дома ндцать гигабайт свежих баз данных наших госструктур. Кто, что охраянет, тот то и имеет. Инсайдер (ака админ)  украдёт всё, если захочет,  и все эти защиты не помогут.  

Всетаки надеюсь, что "перцев", которые не дорожат своей работой, у нас немного. А вот то, что в 95% контор посторонний-обоятельный-парень-с-шоколадкой любую инфу упереть может... Эт уже не очень весело.. А что делать? Во многих конторах(в т.ч. и Гос. и от МВД) пытался разъяснить про необходимость защиты ПД и вооще Инфомационных систем..Выслушают вежливо внимательно с ухмылкой Джоконды, и все по старому. Даже иногда такое впечатление складывается, что это не они чего-то не знают, а я чего-то не вкурсе-)) А потом опять с флэшками бегут - типа почисть от троянов, а то налоговая, пфр или фсс отчет не принимают(часто содержащим ПД-))).
 
В борьбе с использованием не лицензионного софта даже показательные(по ТВ-)))  экзекуции не помогли....
А чтоб защиту ПД внедрить, надо на первый раз, как минимум каждого пятого руководителя расстрелять...тогда может и зачешутся.-)))

Всего записей: 386 | Зарегистр. 02-11-2007 | Отправлено: 16:09 03-04-2010 | Исправлено: Orion_76, 16:16 03-04-2010
ipmanyak



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Orion_76 Сталинист однака!
 Отслеживаем новости по сертификации тут http://www.microsoft.com/Rus/Security/Certificate/default.aspx
в правом фрэйме "Ссылки по теме" ("Текущие результаты сертификации")


----------
В сортире лучше быть юзером, чем админом...

Всего записей: 11980 | Зарегистр. 10-12-2003 | Отправлено: 17:41 05-04-2010 | Исправлено: ipmanyak, 17:52 05-04-2010
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Вы уже обеспечили защиту персональных данных на предприятии?


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru