Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Вы уже обеспечили защиту персональных данных на предприятии?

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41

Открыть новую тему     Написать ответ в эту тему

Вы уже обеспечили защиту персональных данных на предприятии?
 ОтветГолосаПроценты
Нет и не собираемся148
12.48%
Нет, но собираемся159
13.41%
Находимся в стадии оценки угрозы173
14.59%
Да, проводим подготовительные работы185
15.60%
Да, соответствуем новым требованиям69
5.82%
В первый раз слышу!452
38.11%
Гости не могут голосовать, зарегистрируйтесть!Всего Голосов: 1186
emx



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Уважаемые коллеги!
К 1 января 2010 года все предприятия Российской Федерации должны привести cвою инфраструктуру и регулятивную базу в соответствие с требованиями Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Закон).
 
Общий коленкор таков.
Согласно Закону к персональным данным относится:
"любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;"
п. 1, ст. 3 Закона
 
Чем это грозит для предприятия?
В любой компании есть те или иные системы кадрового учета (HR-контур), который содержит подробную информацию о сотруднике (ФИО, дата рождения, ИНН, № Страхового свидетельства Пенсионного фонда, №№ страховых свидетельств ОМС/ДМС, сведения о постановке на воинский учет, №№ банковских счетов, сведения о заработной плате и так далее).  
 
Кроме того, в ряде предприятий имеются различные CRM-cистемы, в которых аккумулируется информация о клиентах (в том числе клиентах - физических лицах), причем часто персонифицированная и детализированная, вплоть до предпочтений тех или иных лиц. Мы же стараемся удовлетворить клиента всеми возможными способами и учесть максимум нюансов?
 
Ряд компаний также осуществляет сбор и обработку тех или иных персональных данных клиентов через веб-сайты (интернет-продажи и тому подобное).
 
В ряде случаев есть ещё и бухучет (если клиент физическое лицо, которое оплачивает товары/услуги прямым банковским платежом, на основании договора или без такового).
 
Стало быть предприятие осуществляет сбор, хранит и обрабатывает персональные данные.
 
Далее...
 
п. 2, ст. 3 Закона вводит определение "оператора" (по обработке персональных данных):

Цитата:
2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;

 
Поздравляю. Мы все - операторы.
 
Помимо определенных прав субъекта персональных данных, исполнение которых оператор должен обеспечивать (в основном это чисто бумажные штуки вещей - особого вреда компании причинить не могут), существуют ещё и обязательные требования в отношении оператора - они гораздо страшнее.
 
Закон определяет перечнь таких требований:
 

Цитата:
Статья 19. Меры по обеспечению безопасности персональных данных при их обработке
1. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
2. Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.
3. Контроль и надзор за выполнением требований, установленных Правительством Российской Федерации в соответствии с частью 2 настоящей статьи, осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.
4. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.

ст. 19 Закона
 
Относительно того, как выполнить требования 1 пункта пока данных не слишком много. В общем случае на предприятии должны быть:
- Положение о персональных данных
- Положение о контрольно-пропускном режиме (где определен конечный круг лиц, который имеет доступ в помещения, где эта красота хранится физически)
- Регламент по информационной безопасности
 
Кроме того, предприятие должно использовать сертифицированные (да, разумеется с потайным ключиком у ФСБ) криптографические решения на серверах, на которых расположены базы данных. Также инфраструктура должна быть аттестована (за счет предприятия у уполномоченного органа), что уж совсем ужасно.
 
Санкции.
Санкции за нарушение Закона незначительны:
 

Цитата:
Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)
Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) -
влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей.

ст. 13.11 КоАП РФ
 
Но при проверке вам могут вынести предприсание об устранении выявленных нарушений. За неисполнение предписания санкции более другие:
 

Цитата:
Статья 19.5. Невыполнение в срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль)
1. Невыполнение в установленный срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), об устранении нарушений законодательства -
влечет наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от одной тысячи до двух тысяч рублей или дисквалификацию на срок до трех лет; на юридических лиц - от десяти тысяч до двадцати тысяч рублей.

ст. 19.5 КоАП РФ
И так далее, вплоть до отзыва лицензии у предприятия на осуществление основной деятельности и уголовной ответственности для ген. директора.
 
Давайте что-ли обсудим - как жить дальше...
Или может кто уже лазейку какую нашел?

Всего записей: 11860 | Зарегистр. 05-06-2002 | Отправлено: 09:13 01-07-2009 | Исправлено: emx, 12:00 01-07-2009
champa



Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
oaf56
Спасибо. Просто это как я суечусь за одно место моего начальника=)) Так и есть, что в УВД есть отдел занимающийся этим вопросом, только вот человек там меньше меня в этом вопросе понимает=)) Там небольшая неразбериха вышла (то ли не тех обучили, то ли обучили, а потом в другой отдел перевели...). Я-то как раз и понимаю, что было бы неплохо самому все сделать, обучиться (начальство пойдет скорей всего на это). Но, с учетом еще формирующейся инфраструктуры, паралельная работа по защите ПДн затянется на месяц, а то и более! Как-то так!  
Сказали просто, что мол есть где-то документ, прямо говорящий что мол вот этот отдел должен заниматься защитой ПДн. А вот где он, не знаю!

Всего записей: 281 | Зарегистр. 05-03-2007 | Отправлено: 15:27 20-12-2010
patsev anton

BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Про документ, прямо говорящий что мол вот этот отдел должен заниматься защитой ПДн- думаю всем интересен.

Всего записей: 72 | Зарегистр. 16-06-2008 | Отправлено: 18:06 20-12-2010
ipmanyak



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
http://www.garant.ru/hotlaw/federal/293584/  
Федеральный закон от 23 декабря 2010 г. N 359-ФЗ "О внесении изменения в статью 25 Федерального закона "О персональных данных"
 
     Принят Государственной Думой 10 декабря 2010 года
     Одобрен Советом Федерации 15 декабря 2010 года
 
     Статья 1
     Внести в часть 3 статьи 25 Федерального закона от 27 июля 2006 года
N 152-ФЗ "О персональных данных" (Собрание  законодательства   Российской
Федерации, 2006, N 31, ст. 3451; 2009, N 52, ст. 6439) изменение, изложив
ее в следующей редакции:
     "3. Информационные системы  персональных  данных,  созданные    до 1
января 2011 года, должны быть приведены в  соответствие  с   требованиями
настоящего Федерального закона не позднее 1 июля 2011 года.".
 
     Статья 2
     Настоящий Федеральный закон вступает в силу с 1 января 2011 года.
 
Президент Российской Федерации                               Д. Медведев
 
Москва, Кремль
23 декабря 2010 года
N 359-ФЗ
 


----------
В сортире лучше быть юзером, чем админом...

Всего записей: 11980 | Зарегистр. 10-12-2003 | Отправлено: 13:35 25-12-2010
Alukardd



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ipmanyak
чего и следовало ожидать, результаты первого чтения привели в исполнение и внесли в законодательство.

----------
Microsoft gives you windows, linuх gives you the whole house...
I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

Всего записей: 6571 | Зарегистр. 28-08-2008 | Отправлено: 13:46 25-12-2010
oaf56

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
champa
1.Отсрочка /см. пост ipmanyak выше/
2.Читай тему. С НАЧАЛА. Думай. Дали время. Можно обойтись ПОКА ОРГМЕРАМИ  и ПЛАНАМИ на РАЗВИТИЕ. Но главное нужен не документ, а такая мелочь, как деньги, деньги, и еще раз деньги. ТАк замывалось изначально. Без них ничего не сделать толком. У тебя их нет, а  на свою з/п поднимать на высоту .... для "простого" до УжАса и жАдного начАльства - только повадь Ж). И не хватит этого. Тем боле, что законы - вещь ветренная и не постоянная.

Всего записей: 125 | Зарегистр. 23-11-2006 | Отправлено: 16:41 29-12-2010
emx



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ну что, господа.
Мне вот вчера пришло письмо счастья (с наступающим!) из Роскомнадзора с просьбой незамедлительно (в течение 7 дней) сдаться и прислать им Уведомление об обработке ПД.

----------
In medio stat virtus.
ТА!

Всего записей: 11860 | Зарегистр. 05-06-2002 | Отправлено: 10:08 30-12-2010
ipmanyak



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
emx По логике раз выполнение ФЗ 152 продлили на полгода, то и прием Уведомлений тоже должны продлить. Ну просят подать - подайте, если по ФЗ 152 вам это положено. Проверять вас в 2011 году вряд ли будут, потому что план проверок уже утвержден на 2011 год.  Планы проверок http://rsoc.ru/plan-and-reports/contolplan/,  
прямая ссылка на документ:  http://rsoc.ru/docs/4_Plan_proverok_2011.doc  
Поищите там себя.  
 


----------
В сортире лучше быть юзером, чем админом...

Всего записей: 11980 | Зарегистр. 10-12-2003 | Отправлено: 11:25 30-12-2010
emx



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ipmanyak

Цитата:
Ну просят подать - подайте

Это уже после каникул, если успеем. Ибо чем больше сделаешь в конце года, тем дольше разгребать последствия в следующем.
 

Цитата:
Поищите там себя.  

Поискал - нету.  
 


----------
In medio stat virtus.
ТА!

Всего записей: 11860 | Зарегистр. 05-06-2002 | Отправлено: 16:18 30-12-2010
oaf56

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
emx
1. а пришло письмо счастья обычным письмом, письмом с уведомлением(под роспись лица от получателя), телеграммой(тоже под роспись), спец. почтой/фельдегерьской(под подпись спецработника/руководителя), экспресс-почтой(под роспись) или иным способом?
Если обычным письмом(не под роспись), то доказать факт получения - невозможно. Иначе - задокументировано, и будет 1 экз у почтового оператора, 2 экз прийдет отправителю. Ж)
2. Такое письмо, должно поступить СНАЧАЛА начальнику, и только как он его отпишет, то либо тебе напрямую, либо по ВСЕЙ цепочке РУКОВОДСТВА опять же тебе. Смотри дату которой тебе его отписали.... и визу начальнегов.
3. В принципе катастрофы здесь ПОКА нет. надо стараться соблюдать формальные требования - наличие ответственных, внутренних распорядительных документов, уведомлять субъекта об обработке ПД для конкретных целей и просить его согласия об этом под роспись. Отвечать на запросы субъекта ПД, органа в установленный срок - 7 дней.  
Всех с Новым Годом, Терпения и Удачи.
 
П.С. Входящие письма по этой теме для того, чтобы доказать, что не крайний, надо хранить с ковертами(на них проставляют штемпель Почтового отделения с датой отправки и датой получения в ПОЧТОВЫХ ОТДЕЛЕНИЯХ), копией уведомления(если есть), в котором вы расписываетесь за получение "писем счастья" и ставьте дату и если поздно вечером, то и время. а то некоторые говорят, что отправили письмо месяц назад, и почему мы не отвечаем, а мы его еще и не получали. ПОчта иногда долго доставляет, особенно ценные, с уведомлением. Они у них обрабатываются отдельно от обычных.
На исходящих, отправленных с уведомлением, на самом уведомлении не ленитесь, пишите вернуть Сидорову. И.И. и ДЛЯ СЕБЯ кратко О чем было письмо, А то забудете, пока придет для какой оно модели нуно.
 
П.С1. В отношении исходящих писем тоже самое. В обычном делопроизводстве организации часто требуется иметь как минимум 2 экз. исходящих писем: 1 получателю, второй отправителю. Лицо ответственное за ИБ должно вести у себя отдельную(ые) папки по номенклатуре дел, потому заведи правило оформлять ТРЕТИЙ экз. документа. ПОдписывай все 3 экз руководителем, либо тем, кому положено и заверяй подпись печатью организации на всех экземплярах. Чтобы потом случайно ЧТО-ТО не затерялось, а у тебя не оказалась просто бумажка. Значит виноват ТЫ. Инициатива - наказуема.
 
П.С2. Хотя у тебя будет делопроизводство ДСП(Как информация ограниченного доступа). Если есть спецчасть, то возможно(определяется положением/приказом об обработке документов) документы ДСП должны регистрироваться у них.  

Всего записей: 125 | Зарегистр. 23-11-2006 | Отправлено: 09:58 03-01-2011 | Исправлено: oaf56, 15:50 06-01-2011
daniyl

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
emx
 

Цитата:
Да, соответствуем новым требованиям

 
И за всю эту работу, нас в начале года всех поувольняют!
Директораст наш хорош!!!
 
Да и сами ступили... можно было сделать и так, как написал тов. oaf56 :
Цитата:
надо стараться соблюдать формальные требования требования

 
Удачи.
 

Всего записей: 53 | Зарегистр. 06-01-2006 | Отправлено: 12:32 05-01-2011
Dneprint

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
.

Всего записей: 1 | Зарегистр. 05-02-2011 | Отправлено: 03:02 05-02-2011 | Исправлено: ShriEkeR, 15:27 04-03-2011
vladlenchik



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Мдя, 1С как всегда занимается спекуляцией
В покупке Z билда есть смысл или это покупать если проведены все остальные организационные мероприятия?
Просто для успокоения души скинуть им денег чтоль предлагают?

Всего записей: 28 | Зарегистр. 06-03-2007 | Отправлено: 01:45 09-02-2011
ipmanyak



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vladlenchik Просвятите плыз насчет Z-билда в 1С. Я не в теме насчет 1с. Что это Z-билд?. Лично я 1с классифицирую как класс К3 (работники конторы)  и всё. В лучшем случае поставлю им персонал  фаер типа Vipnet или вообще ничего не буду ставить, типа виндовым брандмауэром обойдутся.

----------
В сортире лучше быть юзером, чем админом...

Всего записей: 11980 | Зарегистр. 10-12-2003 | Отправлено: 20:43 09-02-2011 | Исправлено: ipmanyak, 20:46 09-02-2011
Alukardd



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ipmanyak
Цитата:
Vipnet
эта убогая поделка, отдельный разговор...

----------
Microsoft gives you windows, linuх gives you the whole house...
I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

Всего записей: 6571 | Зарегистр. 28-08-2008 | Отправлено: 20:50 09-02-2011
ipmanyak



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Alukardd твое предложение вместо vipnet ?


----------
В сортире лучше быть юзером, чем админом...

Всего записей: 11980 | Зарегистр. 10-12-2003 | Отправлено: 07:35 10-02-2011
Alukardd



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ipmanyak
штука в том что я не занимался исследованием рынка СЕРТИФИЦИРОВАННЫХ продуктов, а так у меня ситуация такова, что локалка считается закрытым сегментом и шлюзуется через linux сервер, с разумеется ни кем не сертифицированным netfilter/iptables. И того на сколько я понял закон, в такой ситуации не обязательно устанавливать фаерволы на сервера БД или на клиентские машины. Тут дупло только в том, что стоит на шлюзе, а там СПО...

----------
Microsoft gives you windows, linuх gives you the whole house...
I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

Всего записей: 6571 | Зарегистр. 28-08-2008 | Отправлено: 13:04 10-02-2011
Shad0wl0rd



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Вот инфо по защите персональных данных. http://persondata.ru

Всего записей: 253 | Зарегистр. 02-01-2006 | Отправлено: 10:34 11-02-2011
geofrost2010

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
А из ФСТЭК всего лишь 8 проверок по персональным данным на 2011 год - не слишком-то они себя утруждают

Всего записей: 3 | Зарегистр. 16-02-2011 | Отправлено: 11:57 18-02-2011
ipmanyak



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
geofrost2010 Фстэк может и 8, но основную массу проверок делает Роскомнадзор.


----------
В сортире лучше быть юзером, чем админом...

Всего записей: 11980 | Зарегистр. 10-12-2003 | Отправлено: 16:30 21-02-2011
BAARK

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
А как у вас организована работа со сменными носителями. Например, с флешками. Когда между зданиями сети нет и передать данные нужно, используя флешку или другой носитель. Ведете ли вы учет таких флешек и их перемещений, шифруете и информацию? И т.п.

Всего записей: 27 | Зарегистр. 03-05-2007 | Отправлено: 14:11 04-03-2011
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Вы уже обеспечили защиту персональных данных на предприятии?


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru