Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Вы уже обеспечили защиту персональных данных на предприятии?

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41

Открыть новую тему     Написать ответ в эту тему

Вы уже обеспечили защиту персональных данных на предприятии?
 ОтветГолосаПроценты
Нет и не собираемся148
12.48%
Нет, но собираемся159
13.41%
Находимся в стадии оценки угрозы173
14.59%
Да, проводим подготовительные работы185
15.60%
Да, соответствуем новым требованиям69
5.82%
В первый раз слышу!452
38.11%
Гости не могут голосовать, зарегистрируйтесть!Всего Голосов: 1186
emx



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Уважаемые коллеги!
К 1 января 2010 года все предприятия Российской Федерации должны привести cвою инфраструктуру и регулятивную базу в соответствие с требованиями Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Закон).
 
Общий коленкор таков.
Согласно Закону к персональным данным относится:
"любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;"
п. 1, ст. 3 Закона
 
Чем это грозит для предприятия?
В любой компании есть те или иные системы кадрового учета (HR-контур), который содержит подробную информацию о сотруднике (ФИО, дата рождения, ИНН, № Страхового свидетельства Пенсионного фонда, №№ страховых свидетельств ОМС/ДМС, сведения о постановке на воинский учет, №№ банковских счетов, сведения о заработной плате и так далее).  
 
Кроме того, в ряде предприятий имеются различные CRM-cистемы, в которых аккумулируется информация о клиентах (в том числе клиентах - физических лицах), причем часто персонифицированная и детализированная, вплоть до предпочтений тех или иных лиц. Мы же стараемся удовлетворить клиента всеми возможными способами и учесть максимум нюансов?
 
Ряд компаний также осуществляет сбор и обработку тех или иных персональных данных клиентов через веб-сайты (интернет-продажи и тому подобное).
 
В ряде случаев есть ещё и бухучет (если клиент физическое лицо, которое оплачивает товары/услуги прямым банковским платежом, на основании договора или без такового).
 
Стало быть предприятие осуществляет сбор, хранит и обрабатывает персональные данные.
 
Далее...
 
п. 2, ст. 3 Закона вводит определение "оператора" (по обработке персональных данных):

Цитата:
2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;

 
Поздравляю. Мы все - операторы.
 
Помимо определенных прав субъекта персональных данных, исполнение которых оператор должен обеспечивать (в основном это чисто бумажные штуки вещей - особого вреда компании причинить не могут), существуют ещё и обязательные требования в отношении оператора - они гораздо страшнее.
 
Закон определяет перечнь таких требований:
 

Цитата:
Статья 19. Меры по обеспечению безопасности персональных данных при их обработке
1. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
2. Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.
3. Контроль и надзор за выполнением требований, установленных Правительством Российской Федерации в соответствии с частью 2 настоящей статьи, осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.
4. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.

ст. 19 Закона
 
Относительно того, как выполнить требования 1 пункта пока данных не слишком много. В общем случае на предприятии должны быть:
- Положение о персональных данных
- Положение о контрольно-пропускном режиме (где определен конечный круг лиц, который имеет доступ в помещения, где эта красота хранится физически)
- Регламент по информационной безопасности
 
Кроме того, предприятие должно использовать сертифицированные (да, разумеется с потайным ключиком у ФСБ) криптографические решения на серверах, на которых расположены базы данных. Также инфраструктура должна быть аттестована (за счет предприятия у уполномоченного органа), что уж совсем ужасно.
 
Санкции.
Санкции за нарушение Закона незначительны:
 

Цитата:
Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)
Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) -
влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей.

ст. 13.11 КоАП РФ
 
Но при проверке вам могут вынести предприсание об устранении выявленных нарушений. За неисполнение предписания санкции более другие:
 

Цитата:
Статья 19.5. Невыполнение в срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль)
1. Невыполнение в установленный срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), об устранении нарушений законодательства -
влечет наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от одной тысячи до двух тысяч рублей или дисквалификацию на срок до трех лет; на юридических лиц - от десяти тысяч до двадцати тысяч рублей.

ст. 19.5 КоАП РФ
И так далее, вплоть до отзыва лицензии у предприятия на осуществление основной деятельности и уголовной ответственности для ген. директора.
 
Давайте что-ли обсудим - как жить дальше...
Или может кто уже лазейку какую нашел?

Всего записей: 11860 | Зарегистр. 05-06-2002 | Отправлено: 09:13 01-07-2009 | Исправлено: emx, 12:00 01-07-2009
ipmanyak



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
BAARK USB порты зарублены политикой домена ибо нефиг. Разлочены на 2-3 компах, у админов  На флэшке ПДн? Если да, то ведите журнал передачи, нужно  шифровать, сам знаешь почему, например на случай утери/кражи  флэхи, или  хотя бы кладите файлы в архив winrar  с приличным паролем.  А что, в том здании нет Инета?


----------
В сортире лучше быть юзером, чем админом...

Всего записей: 11980 | Зарегистр. 10-12-2003 | Отправлено: 15:23 09-03-2011 | Исправлено: ipmanyak, 15:24 09-03-2011
Ralfire



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Хотелось бы со знающими сисадминами посоветоваться. Почитал про антивирус Авира в разделе где не за бесплатно (http://forum.avirus.ru/viewforum.php?f=3), подумываю вместо касперского на предприятии у нас поставить ибо несколько дешевле получается чем каспер... Как думает стоит? Как он по защите и по использованию вообще?

Всего записей: 1 | Зарегистр. 09-03-2011 | Отправлено: 16:03 09-03-2011
ipmanyak



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ralfire Мое мнение Каспер лучше.


----------
В сортире лучше быть юзером, чем админом...

Всего записей: 11980 | Зарегистр. 10-12-2003 | Отправлено: 18:08 09-03-2011
parabellum



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ipmanyak

Цитата:
Мое мнение Каспер лучше

+1
как человек, замученный "доморощенными IT-шниками", поддержу.
но вроде как это надо в другой теме обсуждать.
+ к этому ещё и наличие вот этого фактора, что сыграло определённую роль в своё время.

----------
Quo Vadis, Domine? --||--|>|---(|<)=
Светить всегда, светить везде, до дней последних донца, светить — и никаких гвоздей! Вот лозунг мой — и солнца!

Всего записей: 1273 | Зарегистр. 13-02-2002 | Отправлено: 20:25 09-03-2011
vbrv

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Недавно сменил баню (ходим с друзьями париться регулярно).
В новой бане девочка администратор потребовала от меня заполнить анкету постоянного клиента: ФИО, дом. адрес, тел., email, дата рождения и фото на веб-камеру у неё на рецепшине! ))
 
Распечатаю шапку топика, попрошу передать распечатку руководству.
Парилка у них отличная, жалко будет, если "пересажают" всё руководство и закроют баню

Всего записей: 65 | Зарегистр. 01-02-2009 | Отправлено: 10:31 10-03-2011
katkat13

BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
.

Всего записей: 8 | Зарегистр. 24-04-2008 | Отправлено: 12:13 11-03-2011
CSplinter

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Начали потихоньку готовить пакет документов. Работаю в крупной больнице операторов более 1000, как они представляют это? Причем текучка медсестер, работающих в регистратуре и на постах, довольно существенна.

Всего записей: 9 | Зарегистр. 15-03-2010 | Отправлено: 12:13 11-03-2011
ipmanyak



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
CSplinter У вас категория ПДн сведения о здоровье, класс К1, что подразумевает обязательную аттестацию лицензиатом. Он всё равно возьмет кучу денег, стоит ли самому париться, пусть лицензиат и пишет за вас все документы и отрабатывает свои деньги. То что текучка это мелочи, просто заведите журнал лиц, имеющих доступ к ПДн в ИСПДн и ведите его. Такой журнал по-любасу нужен всем.
 


----------
В сортире лучше быть юзером, чем админом...

Всего записей: 11980 | Зарегистр. 10-12-2003 | Отправлено: 13:49 11-03-2011 | Исправлено: ipmanyak, 13:50 11-03-2011
sergeyrusxxx

Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Почитал я и подумал.
 
где прямые требования для сертификации операционок и поидее она то и ненужна т.к. на систему достаточно паставить дополн ПО имеющее сертификат на отсутствие НДВ и всё.
 
Под системой я имею ввиду сервак (шлюз) через который будут выходить все и/или те которым нужно в интернет.
 
На этот шлюз ставится ПО (например каспер кристал) с убойным сетевым экраном его можно настроить так что только нужные проги будут иметь право конекта к сети интернет ( это системная служба отвечающая за поиск DNS адресов и  их IP) и непосредственно отдавать данные внутрь сети например через какой нить шлюзовой обработчик(релей) который наружу бедет висеть только на одном порте а остальное будет происходить уже внутри самой системы и соответственно будет закрыто.
 
А если к этому ещё и дубль шлюз(релей)добавить в виде ещё одного сервера чтоб сеть выглядела примерно так:
 
внутренняя сеть>>>шлюз(релей)№2>>>шлюз(релей)№1>>>Интернет
 
На шлюзах настроить сетевые экраны: одна лицензия касперский кристал на два компа 2200руб грубо и дёшево+ какой нить релей но впринципе можно и без него обойтись.
 
На клиентах внутри сети прописываешь жёстко назначенные IP локальные из диапазона 192.168.0.0 ставишь при желании тоже сетевые экраны и фильтрацию посещаемых сайтов дабы ограничить использование ресурсов и исключить утечку инфы.
на шлюз(релей)№2 ставишь почтовый сервер для переписки персонала между собой+выдаёшь каждому работнику персональный SSL сертификат для подписывания и защиты пересылаемых почтовых сообщений внутри предприятия(на шлюзе(релей)№2) и для организации безопасной переписки с внешними почтовыми серверами(казначейство, налоговая, ПФР, и др.), т.к. в некоторых почтовых серверах пересылка сообщений производиться только по открытому 25 порту и без авторизации канала SMTP то это очередная дыра которая закрывается использованием SSL подписываемых писем и возможностью шифрования отправителем писем на основе открытого ключа сертификата SSL. Это условие надо обговаривать в договоре и/или иным образом с казначейством, налоговай, ПФР, и др. и требовать от них этого если не исполняют и присылают в открытом виде ответы то писать начальству чтоб обучили элементарному работников в почтовой проге ставить галку зашифровать письпо и подписать его SSL  сертификатом.
 
Дыра 25 порта и отсутствие авторизации SMTP от внешних адресов решается запуском на шлюзе(релей)№1 внешнего почтового сервака задачей которого будет изоляция почтового сервера на шлюзе(релей)№2 используемого для внутренней переписки от внешней среды интернет переназначением порта SMTP на другой и использование авторизации и SSL шифрования между шлюзом(релей)№1 и шлюзом(релей)№2 при передаче почты.
 
если применить это к компании имеющей филиальную сеть то подымается  ещё один почтовый сервак с функциями аналогичными шлюзу(релей)№2 но с использованием авторизации и SSL шифрования SMTP при обмене между серверами висящими на ружу т.е. в интернет.
 
Это что касаемо почты порты ка вы понимаете можете назначать вообще любые кто как захочет и перенаправление релеев тоже индивидуальность рулит.
 
Теперь дальше при наличии веб сервера(сайта+форум) задачка немного усложняется но решается сам сервер это отдельный системный блок приконекченный  отдельной локальной сетью (сетевая плата+сетевая плата) к шлюз(релей)№2 желательно. в настойках веб сервера(сайта+форум) ставиться порт и адрес расположенный на шлюз(релей)№1 смотрящий в интернет.
php скрипты при этом исполняются на веб сервере(сайта+форум) на котором расположен сам сайт и его ПО
база данных расположенна к примеру на нём же (веб сервере)
 
Самая главная проблема  которую я не могу решить заключается в том как изолировать базу данных MySQL от внешнего IP адреса включая и тот который из внутреннего диапазона 192.168.0.0 и повесить её на заглушку 127.0.0.1.
Так как в конфиге MySQL можно указать только порт при использовании программы конфигурации сервера базы данных по умолчанию.
 
Как жёстко прилипить MySQL к жёсткому IP адресу?????????????????????
 
И ещё одна проблема:
Надо определить какие именно программы входящие в состав виндоуса т.е.
таблицу вида: программа+порт (или списки портов)
без которых не возможен выход пользователя в интернет.
 
А то получается слишком много доверенных по умолчанию служб винды которые имеют беспрепятственный доступ в интернет только команду дай.
 
А эту команду не обязательно самому пользователю давать где то в начале темы было написано что на майкрософт подали в суд что те скрытно собирали ифу по пользователям вот это стало возможным именно по этому.
 
Исходя из выше сказанного для нас как сисадминов да и не только это является одной большой проблемой и одной огромнейшей первоначальной угрозой и дыркой в наших компьютерах и системах.
 
Просьба не писать что это типо не по теме т.к.это тесно связанно с персональными данными напрямую и модераторы я надеюсь поймут!!!
 
Вот что я выяснил:
на постоянку в
мониторе сетевой активности висят следующие службы:
WININIT.EXE   Windows Start-UP Application
SVCHOST.EXE  Host Process for Windows Services
LSASS.EXE      Local Security Authority Process
SERVICES.EXE Services and Controller app
 
и помимо этого 4 строки с именем "System" принадлежность к какому файлу я определить не смог. и поэтому им доступ запрещён а разрешить не знаю как.
 
при включении сетевого экрана локальный сервер виден и открывается в браузере а всё что внешние имена и адреса не открываются в браузере!

Всего записей: 74 | Зарегистр. 30-09-2008 | Отправлено: 19:08 13-03-2011 | Исправлено: sergeyrusxxx, 20:48 13-03-2011
Un444given

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Вся эта ботва (ФЗ оПД) точно коснётся КАЖДОГО юр лица? Дело в том, что наш зам вместе с аудиторами посидели-подумали, да решили, что нам вообще ничего предпринимать не надо, так как у нас только договорные отношения с клиентами. И всё, говорят, не парься, не надо никаких СКЗИ и прочего...

Всего записей: 6 | Зарегистр. 13-03-2011 | Отправлено: 23:36 13-03-2011
sergeyrusxxx

Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Цитата:
Вся эта ботва (ФЗ оПД) точно коснётся КАЖДОГО юр лица?

 
Да именно каждого и юр. лица и даже некоторых физических лиц и гос учреждений.
 

Цитата:
да решили, что нам вообще ничего предпринимать не надо, так как у нас только договорные отношения с клиентами.

 
но это не освобождает от обязанности защищать персональные данные, это снимает необходимость брать письменное согласие с каждого субъекта персональных данных.
 
Пропишите в обязанности:разгласишь данные заплотиш штраф это к работникам.
 
Я узнал у роскомнадзора по телефону что если даже один комп в предприятии на котором есть персональные данные любого из лиц даже работников то нужно принять организационно штатные мероприятия по защите инфы, это же требование и к бумажкам в отделе кадров.
 
Я написал письмо им по поводу форумов и сайтов, интернет магазинов и подобного вот жду ответа.
 
Надеюсь не придётся сис админам сайтов и форумов получать письменные разрешение на сбор инфы о пользователях.
Думаю будет достаточно соглашения при регистрации и в правила прописать.
 
Буду надеяться. А в противном случае полная "жжжж".
 
вот кстати полученое мной предыдущее письмо: Подробнее...
 
пока всё

Всего записей: 74 | Зарегистр. 30-09-2008 | Отправлено: 00:08 14-03-2011
Fill747



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
sergeyrusxxx

Цитата:
Пропишите в обязанности:разгласишь данные заплотиш штраф это к работникам.  

какие обязанности? б.г с тобой!...
при приеме на работу с работником, если в его обязанности будет входить работа с конфиденциальной информацией, подписывается Договор о конфиденциальности. и в нем, как правило, конкретно сказано, что "Работник  в случае разглашения и незаконного использования информации, составляющей коммерческую тайну, и сведений конфиденциального характера <Органиации> и контрагентов несет ответственность в соответствии с законодательством Российской Федерации." а ПДн практически во всех организациях относятся к конфиденциальной информации. так что штафом можно и не отделаться...

----------
Я бы сделал лучше, но мне помогали.

Всего записей: 1147 | Зарегистр. 03-02-2003 | Отправлено: 08:56 15-03-2011
ipmanyak



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
sergeyrusxxx

Цитата:
Надеюсь не придётся сис админам сайтов и форумов получать письменные разрешение на сбор инфы о пользователях.
Думаю будет достаточно соглашения при регистрации и в правила прописать.  

Если следовать букве закона, а именно ФЗ № 152, то только письменное согласие является док-вом согласия. Вот разъяснение Роскомнадзора по этому поводу.  
http://www.pd.rsoc.ru/faq/faq21.htm
Второй абзац, вроде как допускает в вебформе прописать согласие, но следующим пунктом пишет  - нужно провести мероприятия по достоверности данных, тем самым практически перечеркивает своё допущение, поскольку достверно проверить это очень проблематично:
Возможно ли получение согласия на обработку персональных данных по телефону? Что является доказательством получения согласия на обработку персональных данных при покупке товаров в интернет-магазинах?
При заполнении вэб-формы заявки на покупку товара на сайте интернет-магазина в информационно-телекоммуникационной сети «Интернет» критерием, свидетельствующим о получении оператором согласия субъекта персональных данных на обработку его персональных данных является файл электронной цифровой подписи.  
Кроме того, оператор вправе ввести в вэб – форму заявки обязательные для заполнения дополнительные поля, устанавливающие условие согласия субъекта персональных данных на обработку его персональных данных, при условии последующего проведения мероприятий по проверке достоверности представленных персональных данных.  
В остальных случаях согласие на обработку персональных данных, равно как и его отзыв, может оформляться только в письменной форме.
Получение согласия на обработку персональных данных по телефону, посредством СМС-сообщений действующим законодательством Российской Федерации не установлено.

----------
В сортире лучше быть юзером, чем админом...

Всего записей: 11980 | Зарегистр. 10-12-2003 | Отправлено: 10:47 15-03-2011 | Исправлено: ipmanyak, 10:49 15-03-2011
BAARK

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
BAARK USB порты зарублены политикой домена ибо нефиг. Разлочены на 2-3 компах, у админов   На флэшке ПДн? Если да, то ведите журнал передачи, нужно  шифровать, сам знаешь почему, например на случай утери/кражи  флэхи, или  хотя бы кладите файлы в архив winrar  с приличным паролем.  А что, в том здании нет Инета?  

Так вот интересует формат такого журнала. Свободная форма или все-таки есть нечто утвержденное ФСТЭК или ФСБ. Из той кипы документов, что была просмотрена, форму такого журнала обнаружить не удалось. И видимо, они идут парой - журнал и порядок пользования.

Всего записей: 27 | Зарегистр. 03-05-2007 | Отправлено: 11:23 24-03-2011
ipmanyak



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
BAARK Форма журнала на твое усмотрение. Поля - кто передал, кому, дата, подписи.


----------
В сортире лучше быть юзером, чем админом...

Всего записей: 11980 | Зарегистр. 10-12-2003 | Отправлено: 16:28 24-03-2011
DJ Tommy



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Прошу помощи по данному вопросу.  
Вводные данные: обычная ООО, далеко за пределами МКАД. Зарегестрирована по одному адресу, фактически арендует офисы в другом месте. Есть сервер 1С физически не доступный для простого смертного (проще говоря - спрятан), подключенный к сети и интернет. Есть несколько бухов, которые с ним работают. Из лиц софта только 1ска, и та взломана на самом серере для упращения работы. Кроме 1Ски других программ для персональных данных нет.
Вопрос по теме:  
- насколько важно провести аттестацию фирмы
- можно ли просто сделать машину, не подключенную к сети - для того что бы показывать что типа там хранятся и обрабатываются данные?
- нужно ли на такую машину полностью лицензионный софт ставить?
- нужно ли остальные помещения отдавать в субаренду, что бы показать типа не мы в них находимся?

Всего записей: 277 | Зарегистр. 12-11-2007 | Отправлено: 15:40 31-03-2011
ipmanyak



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
DJ Tommy Если у вас в 1с только данные ваших работников, то вам ничего не нужно аттестовывать и даже не нужно подавать уведомление в Роскмонадзор, согласно ФЗ 152 ст 22 ч.2 - вас связывают трудовые отношения, но защищать данные нужно. Если есть чужие ПДн, то это другой вопрос, вы должны брать с них согласие на обработку и тд и тп со всеми вытекающими.  
Если вы будете аттестовывать или хотя бы заказывать декларацию соответствия у лицензиата, то лицензионность софта будет одним из требований лицензиата, поскольку пиратки  не могут гарантировать полную безопасность и отсутствие НДВ.
Если к вам придет проверка от Роскомнадзора, в чем я сомневаюсь, если вы не подали уведомление им, то никакие ваши сервера и станции они смотреть не будут, они потребуют пакет локально распорядительных документов, который у вас должен быть.   ФСБ  или ФСТЭК те еще могут поглядеть на ваши серверы и станции, но это вообще  мизерный шанс, что они придут в мелкую контору, они в основном гос. структуры  посещают.  
Перечень локально распорядительных документов, которые у вас должны быть, можете узнать здесь http://72.rsoc.ru/directions/pp/p8532/  
Если у вас данные только ваших работников, то  сделайте эти документы и постарайтесь максимально защитить данные от утечки , кражи и др. насчет помещений в этом случае можете на заморачиваться.
 


----------
В сортире лучше быть юзером, чем админом...

Всего записей: 11980 | Зарегистр. 10-12-2003 | Отправлено: 16:53 31-03-2011
REMZAR123

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
1) Какой класс?
2) в теории да, но выгоднее и правильнее сделать как положено
3) это положено в принципе =)
4) тут не помогу к сожалению

Всего записей: 12 | Зарегистр. 28-11-2006 | Отправлено: 16:55 31-03-2011
DJ Tommy



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
У нас обычная коммерческая фирма с нулевым бюджетом для IT.
Помимо данных на сотрудников еще контрагенты с которыми работаем.
Денег никто не выделит даже на аудит, весь софт пиратский.
Помещения где мы находимся арендуем.
Физически сервер с 1с спрятан
Мероприятия по защите данных де факто проведены в момент моего устройства на работу.
 
Вот и возник вопрос - рано или поздно руководству придет мысль узнать что от нас требуется и что мы сможем сделать что бы снизить к минимуму финансовые расходы. Да и для себя то же стоит этот вопрос выяснить.
Я предпочитаю такие вопросы заранее узнавать что бы быть готовым к возможным встряскам. Хотя скорее всего как и всегда будут все вопросы решены в известной материальной форме.

Всего записей: 277 | Зарегистр. 12-11-2007 | Отправлено: 13:32 04-04-2011
ipmanyak



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
DJ Tommy если контрагенты это физические лица, и вы их данные храните в базе 1С, то вы должны брать с них письменное согласие на обработку их ПДн. Перечень локально распорядительных документов, которые у вас должны быть, я уже вам огласил. Ну и данные нужно защищать. Как защищать, это уже зависит от категории и класса ПДн. Читайте приказ трех -  38 Приказ ФСТЭК, ФСБ, МИС №55-86-20 от 13.02.2008 Классификация ИСПДн.doc. классифицируйте свою ИСПДН, после классификации определяйте, чем  и как защищать.Хотя бы прочтите 58 приказ ФСТЭка. 58 приказ от 5.02.2010 № 58 Об утверждении положения о методах и средствах защиты информации в ИСПДн.doc


----------
В сортире лучше быть юзером, чем админом...

Всего записей: 11980 | Зарегистр. 10-12-2003 | Отправлено: 14:37 04-04-2011
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Вы уже обеспечили защиту персональных данных на предприятии?


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru