Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Вы уже обеспечили защиту персональных данных на предприятии?

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41

Открыть новую тему     Написать ответ в эту тему

Вы уже обеспечили защиту персональных данных на предприятии?
 ОтветГолосаПроценты
Нет и не собираемся148
12.48%
Нет, но собираемся159
13.41%
Находимся в стадии оценки угрозы173
14.59%
Да, проводим подготовительные работы185
15.60%
Да, соответствуем новым требованиям69
5.82%
В первый раз слышу!452
38.11%
Гости не могут голосовать, зарегистрируйтесть!Всего Голосов: 1186
emx



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Уважаемые коллеги!
К 1 января 2010 года все предприятия Российской Федерации должны привести cвою инфраструктуру и регулятивную базу в соответствие с требованиями Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Закон).
 
Общий коленкор таков.
Согласно Закону к персональным данным относится:
"любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;"
п. 1, ст. 3 Закона
 
Чем это грозит для предприятия?
В любой компании есть те или иные системы кадрового учета (HR-контур), который содержит подробную информацию о сотруднике (ФИО, дата рождения, ИНН, № Страхового свидетельства Пенсионного фонда, №№ страховых свидетельств ОМС/ДМС, сведения о постановке на воинский учет, №№ банковских счетов, сведения о заработной плате и так далее).  
 
Кроме того, в ряде предприятий имеются различные CRM-cистемы, в которых аккумулируется информация о клиентах (в том числе клиентах - физических лицах), причем часто персонифицированная и детализированная, вплоть до предпочтений тех или иных лиц. Мы же стараемся удовлетворить клиента всеми возможными способами и учесть максимум нюансов?
 
Ряд компаний также осуществляет сбор и обработку тех или иных персональных данных клиентов через веб-сайты (интернет-продажи и тому подобное).
 
В ряде случаев есть ещё и бухучет (если клиент физическое лицо, которое оплачивает товары/услуги прямым банковским платежом, на основании договора или без такового).
 
Стало быть предприятие осуществляет сбор, хранит и обрабатывает персональные данные.
 
Далее...
 
п. 2, ст. 3 Закона вводит определение "оператора" (по обработке персональных данных):

Цитата:
2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;

 
Поздравляю. Мы все - операторы.
 
Помимо определенных прав субъекта персональных данных, исполнение которых оператор должен обеспечивать (в основном это чисто бумажные штуки вещей - особого вреда компании причинить не могут), существуют ещё и обязательные требования в отношении оператора - они гораздо страшнее.
 
Закон определяет перечнь таких требований:
 

Цитата:
Статья 19. Меры по обеспечению безопасности персональных данных при их обработке
1. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
2. Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.
3. Контроль и надзор за выполнением требований, установленных Правительством Российской Федерации в соответствии с частью 2 настоящей статьи, осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.
4. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.

ст. 19 Закона
 
Относительно того, как выполнить требования 1 пункта пока данных не слишком много. В общем случае на предприятии должны быть:
- Положение о персональных данных
- Положение о контрольно-пропускном режиме (где определен конечный круг лиц, который имеет доступ в помещения, где эта красота хранится физически)
- Регламент по информационной безопасности
 
Кроме того, предприятие должно использовать сертифицированные (да, разумеется с потайным ключиком у ФСБ) криптографические решения на серверах, на которых расположены базы данных. Также инфраструктура должна быть аттестована (за счет предприятия у уполномоченного органа), что уж совсем ужасно.
 
Санкции.
Санкции за нарушение Закона незначительны:
 

Цитата:
Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)
Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) -
влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей.

ст. 13.11 КоАП РФ
 
Но при проверке вам могут вынести предприсание об устранении выявленных нарушений. За неисполнение предписания санкции более другие:
 

Цитата:
Статья 19.5. Невыполнение в срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль)
1. Невыполнение в установленный срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), об устранении нарушений законодательства -
влечет наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от одной тысячи до двух тысяч рублей или дисквалификацию на срок до трех лет; на юридических лиц - от десяти тысяч до двадцати тысяч рублей.

ст. 19.5 КоАП РФ
И так далее, вплоть до отзыва лицензии у предприятия на осуществление основной деятельности и уголовной ответственности для ген. директора.
 
Давайте что-ли обсудим - как жить дальше...
Или может кто уже лазейку какую нашел?

Всего записей: 11860 | Зарегистр. 05-06-2002 | Отправлено: 09:13 01-07-2009 | Исправлено: emx, 12:00 01-07-2009
alex lego

BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
.

Всего записей: 57 | Зарегистр. 28-02-2010 | Отправлено: 18:28 20-06-2011
oaf56

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Очередное послабление. Новости. Июнь 2011 г. :: Теперь не требуется получение согласия субъекта персональных данных в случае обработки персональных данных управляющими компаниями http://www.buh.ru/newsDescr-7615

Цитата:
ipmanyak: по этой ссылке пишет раздел пуст
ссылку поправил.

Цитата:
ipmanyak:  интересно ценнег на «1С:Предприятие, 8.2z» насколько отличатся от обычного?
Смотри Инф. письмо: "О выпуске защищенного программного комплекса "1С:Предприятие, версия 8.2z" http://www.1c.ru/news/info.jsp?id=12891
У тебя уже должны быть куплены платфрма, конфигурации и имЕться ключи защиты. Это только просто особый вариант самой платформы -- "сертифицированный". Он не содержит ключей сервера или клиентских. обновление отдЕльное, свое. и за отдЕльную плату. по деньгам не так уж и дорого для конторы.
Добавлено:

Цитата:
oaf56 Решили нанять лицензиата, хотели сделать хотя бы декларацию соответствия, перцы сразу сказали, мы выдвинем требования, которые вы даже, если реализуете, то ваша сеть, субд, будет тормозить, остановилсись на том, что сделают обследование, сделают техническое задание на защиту ПДН, а реализуем мы это или нет - на наше усмотрение, ну и само собой подготовят пакет требуемых документов ( порядка 20 штук), в том числе модель угроз.  Ценнег примерно 1500-2000 тыр за рабочее место, ака компы.

Если ты - админ ИБ, то тебе лучше не доверяться и надеяться, как на мать родную лицензиатам. .... Работа у них такая... Ж). Потом везде есть спецы, а есть и просто - работники. А отвечать за то, что они напишут Вам за Ваши деньги будете Вы контора, руководитель, АдминИБ . Решаете то Вы, чтО и кАк защищать И реалИзовывать защиту. Они должны Вас консультировать как ЭКСПЕРТы-консультанты. Почитай тему сначала. внимательнее...  и поймешь к чему может привести СЛЕПОЕ доверие. С одной стороны - Если вы напишите больше и не выполните мероприятия, Вам могут запретить обработку ПД. Ж) С другой - чтоТО нАДо же сделать? и пусть разделят ответственность с тобой руководство, начальники отделов и их работники. Только ЭТО ИХ приведет в чувство. А иначе - тебя ИМ ни сколько НЕ жаль. Для этого грамотно оформляй бумаги. приказы, служебные регламенты, инструкции. Думай головой и будь пессимистом.

Всего записей: 125 | Зарегистр. 23-11-2006 | Отправлено: 22:11 22-06-2011 | Исправлено: oaf56, 22:38 22-06-2011
oaf56

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Модель угроз - это ТОЖЕ на Ваше усмотрение. Вы можете СОЗНАТЕЛЬНО, сами  создать условия, при которых некоторые угрозы будут полностью или большей частью НЕЙТРАЛИз
ОВАНЫ. тогда Ваша контора сможет не тратиться на технические средства защиты от этих угроз или существенно понизить класс защиты. Сегодня оплачивал квитанцию в РегионГазе. Так они поставили раньше барьер между посетителями и специалистами в зале, чтобы не было видно мониторы, а теперь и закрепили на этом барьере перегородки, которые разделяют посетителей.

Всего записей: 125 | Зарегистр. 23-11-2006 | Отправлено: 22:32 23-06-2011
ipmanyak



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
oaf56 это имхо мелочь, основная угроза это инсайдер, от него не так просто защититься.


----------
В сортире лучше быть юзером, чем админом...

Всего записей: 11980 | Зарегистр. 10-12-2003 | Отправлено: 17:25 27-06-2011
yurmax

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
от них защищаться себе дороже. в отличии от требований, гос-во не дает возможности  и механизма полноценных проверок и контроля персонала.
любой вася пупкин со специальностью ит инженера может быть натыкан за месяц любой например экономической туфтой и отправлен на внедрение в компанию.
учитывая то, что у нас не считается странным работать не по основному образованию, то информации он сможет вынести тонны.

Всего записей: 1 | Зарегистр. 26-11-2010 | Отправлено: 04:32 28-06-2011
KOLDUN1986



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
В итоге закон то вступил в силу сегодня или как?

Всего записей: 2 | Зарегистр. 28-02-2008 | Отправлено: 14:43 01-07-2011
oaf56

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
ipmanyak:это имхо мелочь,

Эта мелочь -оформление бумажек - может дать формальный повод для назначения "козлом отпущения" с последующим увольнением по статье...

Всего записей: 125 | Зарегистр. 23-11-2006 | Отправлено: 17:37 02-07-2011
SerCos

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ребята, интересует вопрос: У нас частная поликлиника, две стомклиники, три лабаратории в которых делают анализы и мед. центр, находятся в разных концах города. Обмена между ними нет, точнее есть только между лабораториями и поликлиникой, (но так как между ними 300 метров, наверное дешевле будет заслать гонца с анализами...) Вобщем поставили задачу привести все к 152 ФЗ. Вопросы:
 
1. МИС с базами пациентов везде самописные, это проканает или нато сертифицированные ФСТЭК?
 
2. В поликлинике 30 тонких клиентов на thinstation, подключенных к серверу терминалов (Win2003 Server), там же крутится простенькая база с медкарточками и анализами. Это наверное самое проблемное место, тонкие клиенты вообще нужно как-то сертифицировать? thinstation не прокатит?
 
3. При самостоятельном приведении этого хозяйства к 152 ФЗ, обязательны-ли в штате обученные люди с сертификатами? И если да, то где можно пройти обучение?
 
4. Базы во всех клиниках обязательно проводить как разные? Писанины-то больше в 4 раза...
 
5. Получается К1, реально как-то защиту снизить до кс3?
 
 

Всего записей: 13 | Зарегистр. 12-10-2008 | Отправлено: 15:03 04-07-2011
ipmanyak



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
SerCos  
У вас сведения о здоровье Xпд=1, согласно Приказа ФСТЭК, ФСБ, МИС №55-86-20 от 13.02.2008  Классификация ИСПДн, попадаете под К1 со всеми вытекающими, снизить класс не сможете, потому что он уже не зависит  от Хнпд (число записей в субд). Ну если уберете сведения о здоровье, то да. Сможете убрать?

Цитата:
1. МИС с базами пациентов везде самописные, это проканает или нато сертифицированные ФСТЭК?  

Не проканает, поскольку К1,  Программное обеспечение средств защиты информации, применяемых в информационных системах 1 класса, проходит контроль отсутствия недекларированных возможностей, и используемый софт ака ваша прога тоже. "
Это осуществляют организации, имеющие соответствующие лицензии на такой вид деятельности.  

Цитата:
2. В поликлинике 30 тонких клиентов на thinstation, подключенных к серверу терминалов (Win2003 Server), там же крутится простенькая база с медкарточками и анализами. Это наверное самое проблемное место, тонкие клиенты вообще нужно как-то сертифицировать? thinstation не прокатит?  
Операционка и софт должны бить сертифицированными.

Цитата:
3. При самостоятельном приведении этого хозяйства к 152 ФЗ, обязательны-ли в штате обученные люди с сертификатами? И если да, то где можно пройти обучение?  
Самостоятельно вам будет очень -  очень затруднительно это сделать. А обученные специалисты нужны всегда, не только в этом случае. Курсов в инете много, найдете сами.

Цитата:
4. Базы во всех клиниках обязательно проводить как разные? Писанины-то больше в 4 раза...  
Если базы разные, не взаимосвязаны, то сколбко баз - столько ИСПДн.

Цитата:
5. Получается К1, реально как-то защиту снизить до кс3?  
 
Если не будет сведений о здоровье, то может быть снизите  до К2.  До К3 это вряд ли, у вас же в базе явно больше 1000 персон, хотя если  сумеете обезличить их и  убрать сведения о здоровье, то возможно снизите до К3  и даже К4.
Совет 1  - обратитесь к лицензиату, он попросит вас заполнить анкету, после чего скажет примерную стоимость работ для аттестации, а она для вас обязательна на текущий момент, поскольку пока у вас класс К1.  
Совет 2   - когда узнаете у лицензиата сколько это будет стоить (только их работа, не включая сертифицированный софт и спец железки, которые вам придется приобрести), то  вам очень захочется уйти  от автоматизированной обработки, то есть вернутся к бумажкам-картотекам, для вас это будет  имхо  самое дешевое решение. Если Минздрав еще что-то сможет забашлять  госполиклиникам и больницам (что тоже очень сомнительно, нет у них пока таких денег), то частники вряд ли захотят вбухивать в это огромные деньги.
 
 
 
 
 


----------
В сортире лучше быть юзером, чем админом...

Всего записей: 11980 | Зарегистр. 10-12-2003 | Отправлено: 16:31 04-07-2011 | Исправлено: ipmanyak, 16:39 04-07-2011
SerCos

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ipmanyak

Цитата:
У вас сведения о здоровье Xпд=1, согласно Приказа ФСТЭК, ФСБ, МИС №55-86-20 от 13.02.2008  Классификация ИСПДн, попадаете под К1 со всеми вытекающими, снизить класс не сможете, потому что он уже не зависит  от Хнпд (число записей в субд). Ну если уберете сведения о здоровье, то да. Сможете убрать?  

 
Можно в базе оставить только запись на прием к врачу, Это относится к сведениям о здоровье? а медкнижки вести в бумажном виде.
 

Цитата:
Операционка и софт должны бить сертифицированными.  

Оппа, тогда с тонкими вообще пролет, есть-ли вообще в природе что-то типа thinstation с сертификатом ФСТЭК, можно даже от мелкософта?
 

Цитата:
Самостоятельно вам будет очень -  очень затруднительно это сделать. А обученные специалисты нужны всегда, не только в этом случае. Курсов в инете много, найдете сами.  

Сегодня начальство сказало что будем делать только сами, на любые курсы готово отправить, будем пробовать... По окончании обучения как я понял должны выдать сертификат ФСТЭК, ФСБ или чего-то еще? То-есть курсы должны быть тоже сертифицированные?  
 
Вообще начальство хочет чтобы мы сами стали лицензиатом, может есть ссылки как это сделать? Понимаю что гемор недетский и все это малореально, но обосновать перед начальством бесперспективность подобного занятия тоже надо.
 
 
 
 
 

Всего записей: 13 | Зарегистр. 12-10-2008 | Отправлено: 07:26 05-07-2011
ipmanyak



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
SerCos

Цитата:
Можно в базе оставить только запись на прием к врачу, Это относится к сведениям о здоровье? а медкнижки вести в бумажном виде.  
Это будет правильное решение.
 

Цитата:
Оппа, тогда с тонкими вообще пролет, есть-ли вообще в природе что-то типа thinstation с сертификатом ФСТЭК, можно даже от мелкософта?  
вы можете купить ПО от Микрософт сертифицированное Фстэком, ценнег не знаю, уточните у дилеров. Информация по теме  
http://www.microsoft.com/Rus/Security/Certificate/what_is_sertified_product.aspx
Для обновлений по WSUS вам будет дан доступ на спецсайт с логином  и паролем.
Некоторые ОС Линукс имеют сертификаты ФСТЭК, например  Альт линукс, Мандрива. Антивирусы - Drweb и Касперский.
Есть и железки-компы, имеющие сертификаты Фстэка, они идут со смарт-ключами или еще с какой-то встроенной  фичей.  
 

Цитата:
Вообще начальство хочет чтобы мы сами стали лицензиатом,  
Оно вам надо? Именно геммор и бабло нехилое потребуется.
 
 


----------
В сортире лучше быть юзером, чем админом...

Всего записей: 11980 | Зарегистр. 10-12-2003 | Отправлено: 12:37 05-07-2011 | Исправлено: ipmanyak, 12:40 05-07-2011
SerCos

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ipmanyak

Цитата:
Оно вам надо? Именно геммор и бабло нехилое потребуется.  

Еще-бы убедить начальство... Оно у нас такое, специфическое.
Получается если становится лицензиатом нужно:
 
1. Спецкомната сертифицированная.
2. Обязательное сертифицированное спецоборудование.
3. Сосоящие в штате люди с сертификатами.
4. Куча бумажной писанины.
 
Еще что-то?
 
За сертификацию каждого пункта я так понимаю платить нехилые бабки придется? Прикинуть-бы примерный масштаб затрат... Хотя-бы какой порядок цен, сотни тысяч или лимоны?
 
Сертифицировать будет лицензиат, я так понимаю, или непосредственно ФСТЭК?
 
 
 
 

Всего записей: 13 | Зарегистр. 12-10-2008 | Отправлено: 13:02 05-07-2011 | Исправлено: SerCos, 13:05 05-07-2011
ipmanyak



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
SerCos Чтобы стать лицензиатом вы должны иметь примерно такие лицензии:
Лицензия на деятельность по технической защите конфиденциальной информации
Лицензия на деятельность по разработке и (или) производству средств защиты конфиденциальной информации
Свидетельство о государственной аккредитации
Лицензия на осуществление работ, связанных с использованием сведений, составляющих государственную тайну
Лицензия на осуществление распространения шифровальных (криптографических) средств
Лицензия на осуществление технического обслуживания шифровальных (криптографических) средств.
 

Цитата:
За сертификацию каждого пункта я так понимаю платить нехилые бабки придется? Прикинуть-бы примерный масштаб затрат... Хотя-бы какой порядок цен, сотни тысяч или лимоны?  
Этот вопрос вы можете задать специалистам ФСТЭК в вашем регионе по телефону, обычно отвечают нормально и адекватно. Структуру ФСТЭК с контактными телефонами и  емайлами можете узнать здесь  
http://www.fstec.ru/_razd/_osno.htm
дежурный по ФСТЭК России     (495) 696-94-20, (495) 696-49-04 (факс)
Пройдитесь по карте сайта http://www.fstec.ru/_razd/_karto.htm
там же найдете ссылку на страницу-форум, где можете задать свои вопросы
Впрочем вот ветка того форума по получению лицензий  
http://www.itsec.ru/forum.php?sub=4865&from=0
http://www.itsec.ru/forum.php?sub=4865&from=10  пост от Елена - ответ на ваш вопрос, что нужно для получения самой первой лицензии в списке в вверху.
Если вы не собираетесь в дальнейшем предоставлять услуги по защите ПДн, то и лицензитатом не зачем быть.
 


----------
В сортире лучше быть юзером, чем админом...

Всего записей: 11980 | Зарегистр. 10-12-2003 | Отправлено: 07:12 06-07-2011 | Исправлено: ipmanyak, 07:16 06-07-2011
Alukardd



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Открытое письмо Президенту по поводу внесений изменений в ФЗ-152

----------
Microsoft gives you windows, linuх gives you the whole house...
I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

Всего записей: 6571 | Зарегистр. 28-08-2008 | Отправлено: 13:24 06-07-2011
4pgorinich

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
С трудом верится, что произойдут адекватные изменения, но хочется в это верить, ибо эти ИСПД вот уже где сидят ((

Всего записей: 55 | Зарегистр. 16-12-2007 | Отправлено: 09:11 07-07-2011 | Исправлено: 4pgorinich, 09:20 07-07-2011
Orion_76



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Судя по тому, как внедряется Защита Персданных на просторах России (года 4 или 5 помоему закон пытается вступить в силу?-))) Уже давно пора делать это как-то по другому-)))

Всего записей: 386 | Зарегистр. 02-11-2007 | Отправлено: 14:33 07-07-2011
RasConRas

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Понимаю, что поздно спохватился, но лучше поздно чем никогда.
 
Ситуация - есть интернет-магазин - база по заказчикам + собственное коммерческое клиент-серверное приложение с базой в несколько тысяч пользователей (ФИО, телефоны, даты регистраций, города проживания).
 
я правильно понимаю, что из-за большого количества клиентов-пользователей класс получается второй и с этим ничего уже не сделать?

Всего записей: 55 | Зарегистр. 05-02-2008 | Отправлено: 16:58 08-07-2011
ipmanyak



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
RasConRas да, согласно Приказа ФСТЭК, ФСБ, МИС №55-86-20 от 13.02.2008  Классификация ИСПДн, как я понял вы уже видели таблицу в этом документе.


----------
В сортире лучше быть юзером, чем админом...

Всего записей: 11980 | Зарегистр. 10-12-2003 | Отправлено: 17:36 08-07-2011 | Исправлено: ipmanyak, 17:41 08-07-2011
foureleven



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Объясните, пожалуйста, "по пунктам", какие необходимо совершить действия бюджетной организации, например, администрации сельского поселения, для выполнения требований 152-фз. Желательно еще и ссылку на нормативные акты с требованием выполнения подобных действий.  
 
Организация из себя предстваляет небольшой штат сотрудников, лвс,набор бухгалтерсокго программного обеспечения по расчету зарплаты, учет кадров, системы электронного документооборота с казначейством, банком, налоговой, пфр, отсюда вытекает наличие выхода в интернет, антивирусный софт, офисный пакет.  
 
Я так понимаю необходма матрица доступа, выполнение технических работ по разграничению доступа по лвс, создание приказов на наделения прав доступа к ресурсам, что еще? Или вообще я не правильно понимаю. Кто может выполнить данные работы? Обязательно нанимать кого-то?  
 
Заранее спасибо!  
 

Всего записей: 5 | Зарегистр. 10-05-2011 | Отправлено: 11:38 09-07-2011
RasConRas

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ipmanyak
Спасибо, просто надеялся, что что-то недопонял.  
 
foureleven
Поскольку вы не больница, думаю, никто вас никогда не тронет - бюджетников, да и денег на сертифицированное по никто не выделит, а потому я бы ограничился кучей бумажек и забыл про этот дурацкий закон
 
 
Интересно, хоть кто-нибудь уже соответствует?  потому как у меня руководство 100% не захочет менять лицензионные виндоуз-сервера на сервера лицензионные же, но к тому еще и сертифицированные. Тупо растрата бюджета "вникуда".
кстати, вот еще момент. преположим купили сертифицированный фстэк дистриб и что? какой больной человек будет переустанавливать кучу по если итак лицензионное и работает? диск сертифицированный просто положат на полочку и будут говорить, что да, мы соответствуем...
 

Всего записей: 55 | Зарегистр. 05-02-2008 | Отправлено: 11:56 10-07-2011 | Исправлено: RasConRas, 11:58 10-07-2011
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Вы уже обеспечили защиту персональных данных на предприятии?


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru