Перейти из форума на сайт.


Система IP-видеонаблюдения "Линия". Скачать бесплатную демо-версию для 16 камер. НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Вы уже обеспечили защиту персональных данных на предприятии?

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39

Открыть новую тему     Написать ответ в эту тему

Вы уже обеспечили защиту персональных данных на предприятии?
 ОтветГолосаПроценты
Нет и не собираемся142
12.51%
Нет, но собираемся151
13.30%
Находимся в стадии оценки угрозы169
14.89%
Да, проводим подготовительные работы180
15.86%
Да, соответствуем новым требованиям58
5.11%
В первый раз слышу!435
38.33%
Гости не могут голосовать, зарегистрируйтесть!Всего Голосов: 1135
emx



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Уважаемые коллеги!
К 1 января 2010 года все предприятия Российской Федерации должны привести cвою инфраструктуру и регулятивную базу в соответствие с требованиями Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Закон).
 
Общий коленкор таков.
Согласно Закону к персональным данным относится:
"любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;"
п. 1, ст. 3 Закона
 
Чем это грозит для предприятия?
В любой компании есть те или иные системы кадрового учета (HR-контур), который содержит подробную информацию о сотруднике (ФИО, дата рождения, ИНН, № Страхового свидетельства Пенсионного фонда, №№ страховых свидетельств ОМС/ДМС, сведения о постановке на воинский учет, №№ банковских счетов, сведения о заработной плате и так далее).  
 
Кроме того, в ряде предприятий имеются различные CRM-cистемы, в которых аккумулируется информация о клиентах (в том числе клиентах - физических лицах), причем часто персонифицированная и детализированная, вплоть до предпочтений тех или иных лиц. Мы же стараемся удовлетворить клиента всеми возможными способами и учесть максимум нюансов?
 
Ряд компаний также осуществляет сбор и обработку тех или иных персональных данных клиентов через веб-сайты (интернет-продажи и тому подобное).
 
В ряде случаев есть ещё и бухучет (если клиент физическое лицо, которое оплачивает товары/услуги прямым банковским платежом, на основании договора или без такового).
 
Стало быть предприятие осуществляет сбор, хранит и обрабатывает персональные данные.
 
Далее...
 
п. 2, ст. 3 Закона вводит определение "оператора" (по обработке персональных данных):

Цитата:
2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;

 
Поздравляю. Мы все - операторы.
 
Помимо определенных прав субъекта персональных данных, исполнение которых оператор должен обеспечивать (в основном это чисто бумажные штуки вещей - особого вреда компании причинить не могут), существуют ещё и обязательные требования в отношении оператора - они гораздо страшнее.
 
Закон определяет перечнь таких требований:
 

Цитата:
Статья 19. Меры по обеспечению безопасности персональных данных при их обработке
1. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
2. Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.
3. Контроль и надзор за выполнением требований, установленных Правительством Российской Федерации в соответствии с частью 2 настоящей статьи, осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.
4. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.

ст. 19 Закона
 
Относительно того, как выполнить требования 1 пункта пока данных не слишком много. В общем случае на предприятии должны быть:
- Положение о персональных данных
- Положение о контрольно-пропускном режиме (где определен конечный круг лиц, который имеет доступ в помещения, где эта красота хранится физически)
- Регламент по информационной безопасности
 
Кроме того, предприятие должно использовать сертифицированные (да, разумеется с потайным ключиком у ФСБ) криптографические решения на серверах, на которых расположены базы данных. Также инфраструктура должна быть аттестована (за счет предприятия у уполномоченного органа), что уж совсем ужасно.
 
Санкции.
Санкции за нарушение Закона незначительны:
 

Цитата:
Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)
Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) -
влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей.

ст. 13.11 КоАП РФ
 
Но при проверке вам могут вынести предприсание об устранении выявленных нарушений. За неисполнение предписания санкции более другие:
 

Цитата:
Статья 19.5. Невыполнение в срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль)
1. Невыполнение в установленный срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), об устранении нарушений законодательства -
влечет наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от одной тысячи до двух тысяч рублей или дисквалификацию на срок до трех лет; на юридических лиц - от десяти тысяч до двадцати тысяч рублей.

ст. 19.5 КоАП РФ
И так далее, вплоть до отзыва лицензии у предприятия на осуществление основной деятельности и уголовной ответственности для ген. директора.
 
Давайте что-ли обсудим - как жить дальше...
Или может кто уже лазейку какую нашел?

Всего записей: 11253 | Зарегистр. 05-06-2002 | Отправлено: 09:13 01-07-2009 | Исправлено: emx, 12:00 01-07-2009
niichavo



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Кроме того, предприятие должно использовать сертифицированные (да, разумеется с потайным ключиком у ФСБ) криптографические решения на серверах, на которых расположены базы данных. Также инфраструктура должна быть аттестована (за счет предприятия у уполномоченного органа), что уж совсем ужасно.  

Хмм... Пусть, допустим, уже существует инфраструктура открытого ключа и настроены службы сертификации на Windows Server 2003. клиентские ОСы - Winows XP. Сёрверы 2003 и 2008. Используется EFS для папок/файлов, где лежит эта БД (в виде файлика exсel ), используются списки доступа, и т.д. и т.п. Этого не достаточно, если учесть, что xp, 2003 и, возможно уже скоро 2008, сертифицированы ФСБ? А именно:

  • интегрированные средства криптографической защиты этих продуктов удовлетворяют уровню КС2
  • сами указанные продукты удовлетворяют уровню АК2

Всего записей: 836 | Зарегистр. 14-09-2005 | Отправлено: 10:29 01-07-2009
Bonifaci



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
сомневаюсь, что Ваши ОСы прошли сертификацию. У Вас должны быть документы, поддтверждающие, что Ваши ОСы (дистрибутивы) прошли проверку!

Всего записей: 16 | Зарегистр. 29-08-2006 | Отправлено: 13:53 01-07-2009 | Исправлено: Bonifaci, 13:54 01-07-2009
evgeni666



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Bonifaci

Цитата:
сомневаюсь, что Ваши ОСы прошли сертификацию. У Вас должны быть документы, поддтверждающие, что Ваши ОСы (дистрибутивы) прошли проверку!

Шапка прошла http://www.vniins.ru/products/rhel

Всего записей: 358 | Зарегистр. 22-12-2005 | Отправлено: 14:56 01-07-2009
contrafack

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
сомневаюсь, что Ваши ОСы прошли сертификацию. У Вас должны быть документы, поддтверждающие, что Ваши ОСы (дистрибутивы) прошли проверку!

а что за проверка ? И кто должен подтвердить это?  
подробнее, пожалуйста !

Всего записей: 2461 | Зарегистр. 21-04-2008 | Отправлено: 21:08 01-07-2009
niichavo



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Bonifaci

Цитата:
сомневаюсь, что Ваши ОСы прошли сертификацию...

Вы о чём? Осы конторы, которая их купила. А сертификат выдан майкрософт (далее по ссылкам). Следовательно я использую сертифицированные Осы. Таким образом я не нарушаю закон или, таки, нарушаю? Вот я о чём в первом посте размышлял.

Всего записей: 836 | Зарегистр. 14-09-2005 | Отправлено: 22:41 01-07-2009 | Исправлено: niichavo, 22:54 01-07-2009
Valery12

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Вы о чём? Осы конторы, которая их купила. А сертификат выдан майкрософт (далее по ссылкам). Следовательно я использую сертифицированные Осы. Таким образом я не нарушаю закон или, таки, нарушаю? Вот я о чём в первом посте размышлял.
 
Как обычно у нас бывает, все гораздо веселее
имеется в виду  что операционные системы и ПО должны иметь сертификаты ФСТЭК,  
да и XP  и  server2003 и многие другие продукты microsoft их получили но это не значит что купив лицензионную винду вы тоже их автоматически получили.  
Вы должны были покупать эту винду у авторизованных у нас фирм вместе с таким сертификатом (естественно дороже, например у http://altx-soft.ru/) или связываться с этими фирмами и докупать сертификаты на свое лицензионное ПО дополнительно (точнее вы заключаете договор по которому они типа проверяют ваши дистрибутивы на предмет соответствия сертифицированным)!
И вот теперь размышления,  
все это затевалось с "благой целью" гарантировать что в дистрибутивах нет закладок для возможной утечки конфиденциальной информации, дистрибутив они проверили сертификат выдали.  
Теперь регулярно для винды выходят хотфиксы, каждый из которых потенциально может быть такой закладкой! -  
вывод  
обновления ставить нельзя
каждый хотфикс будет проверятся и сертифицироваться
после этого у тех же фирм мы будем их поштучно с сертификатами приобретать!!!

Всего записей: 2323 | Зарегистр. 21-07-2003 | Отправлено: 12:16 02-07-2009 | Исправлено: Valery12, 13:01 02-07-2009
d0r0fey



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Valery12
мне думается что уж для ТАКИХ систем обновления ставятся с сертифицированного сервера обновлений, поэтому и поштучно приобретать не нужно. всё включено
 
Добавлено:
 
Подробнее...

Всего записей: 1106 | Зарегистр. 13-03-2009 | Отправлено: 13:50 02-07-2009 | Исправлено: d0r0fey, 14:07 02-07-2009
Valery12

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
d0r0fey
Если Вы в курсе несколько вопросов:
Сейчас в России уже работают такие сервера?
WSUS с ними работает?
Эта услуга оплачивается отдельно или приобретая сертифицированные OS мы получаем и ее?

Всего записей: 2323 | Зарегистр. 21-07-2003 | Отправлено: 15:17 02-07-2009
contrafack

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Valery12
WSUS в сертифисированных системах нету. все обновление получайте на cd. оплачивается отдельно.  
также нету встроенный EFS. несто него ГОСТ шифрование, для которого надо сертификат от ФСБ.

Всего записей: 2461 | Зарегистр. 21-04-2008 | Отправлено: 15:40 02-07-2009
d0r0fey



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
у нас ещё пока головная организация думает,но говорят будет это - ViPNet CUSTOM http://www.infotecs.ru/Soft/custom.htm
 

Цитата:
Если Вы в курсе несколько вопросов

спросил, сказали, что дают ключ, и с этим ключом ты скачиваешь и ставишь определенные обновления. по правилам, все обновления ставятся вручную.
 
как не по правилам, спрашивать не стал

Всего записей: 1106 | Зарегистр. 13-03-2009 | Отправлено: 15:41 02-07-2009
Valery12

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ViPNet CUSTOM у нас уже используется но похоже этого будет мало, поскольку он сертифицирован для взаимодействия между системами по каналам связи, а для защиты файловой системы придется приобретать что то еще.

Всего записей: 2323 | Зарегистр. 21-07-2003 | Отправлено: 16:07 02-07-2009
niichavo



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Даа, ужж... Грустная картина получается. Сплошные неудобства.
 
Добавлено:
Как я заметил, сертифицированы только русские версии. И английские версии серверов автоматически исключаются из сертифицированных? Как быть в этом случае? Заказывать проверку на предмет соответствия сертифицированным? Такое возможно и, если возможно, сколько это может стоить? И стоит ли это вообще делать?

Всего записей: 836 | Зарегистр. 14-09-2005 | Отправлено: 17:02 02-07-2009
Valery12

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
niichavo если у вас не гос структура, которым деваться некуда, задача ваша и вашего руководства - не попасть под действие этого закона, иначе огребете по полной прогармме
 например можно не хранить в электронном виде ФИО и паспортные данные своих сотрудников, а завести бумажные карточки, присвоить каждой уникальный код и уже эти коды использовать в своих базах.

Всего записей: 2323 | Зарегистр. 21-07-2003 | Отправлено: 13:44 03-07-2009
contrafack

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Valery12
 
ага. верно. вчера с директором поговорили об этом. наверно будет так и делать.  
ФИО будем в компьютере ввести: сотрудник 1, сотрудник 2, сотрудник 3. а все остальные останется. когда надо будет в налоговую передать что то, то ручной подпишем и все.  
(у нас сотрудников мало, так что удобно будет.)
 
Вы не забудьте, чтоб использовать криптографию - какие требование надо )))))))) вам легче арендовать в войсковом часте комнату и там разместить  сервер

Всего записей: 2461 | Зарегистр. 21-04-2008 | Отправлено: 12:35 04-07-2009
dbf



Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Товарищи, а как быть регистраторам в зоне RU.? Ведь у них имеются базы данных где присутствуют данные , на чье имя зарегистрировано имя в зоне RU. Ведь там и фио и паспортные данные. Наверняка им придется стратифицироваться по полной.

Всего записей: 208 | Зарегистр. 21-02-2003 | Отправлено: 18:22 04-07-2009
valhalla



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Valery12

Цитата:
если у вас не гос структура, которым деваться некуда

Не смешите меня. Госструктуры-то как раз на это наплюют, с них денег требовать не будут
Вообще-то, господа, подобные требования уже очень давно существуют, например, для защиты коммерческой тайны и мало кого это колышит, потому как для шифрования никакие DES-ы сертифицированы быть не могут, а покупать отечественные железки вряд ли кто будет (ГОСТ по шифрованию секретен, если кто не в курсе).

Всего записей: 2914 | Зарегистр. 30-10-2001 | Отправлено: 20:31 05-07-2009
Valery12

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Не смешите меня. Госструктуры-то как раз на это наплюют, с них денег требовать не будут  

что значит не будут, или Вы имеете в виду аппарат президента,
я работаю в фонде с государственным финансирование, у нас был бюджет на закупку железа и софта, теперь с этим законом все полетело к черту - новых средств нам не выделили, и теперь мы на эти деньги , по конкурсу заплатили 300 т.р. сертифицированной организации только за исследование и создание проекта по приведению нашей сети в соответствие с этим законом (еще неизвестно какой класс нам присвоят) и миллион за vipnet/
Но у нас хоть был бюджет, а что будут делать районные и поселковые администрации? я спрашивал в их хилый бюджет вливаний никто делать не собирается.

Всего записей: 2323 | Зарегистр. 21-07-2003 | Отправлено: 09:04 06-07-2009
pav



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
valhalla

Цитата:
Госструктуры-то как раз на это наплюют, с них денег требовать не будут

Моё мнение - ещё один мёртворождённый закон. А представьте ситуацию, когда небольшая конторка, допустим по ремонту бытовой техники. Ведь там и паспортные данные, и адреса, и возможные предпочтения и даже кто когда дома бывает. Дык это любую конторку, где записывают данные клиентов можно под соусом этого закона прикрыть, надавить и ещё куча вариантов.

Всего записей: 1856 | Зарегистр. 27-01-2002 | Отправлено: 11:31 06-07-2009
BagaBaga

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
>> Моё мнение - ещё один мёртворождённый закон
Ну, если Вас захотят повинуть, то это мнение Вам не поможет... А вот закон поможет, но, боюсь, не вам...
 
Добавлено:
Да, еще, если Вы пользуете "сертифицированные" компоненты, то это не значит, что у вас сертифицированная система. Например, своя дописка в насквозь сертифицированную ERP или CRM (или "кастомизация" 1С) резко превращает ее в систему, требующую сертификации.  
 
Разумеется, Вам это будет чего-то вполне официально стоить (сборы, госпошлина, экспертиза, закупка лицензий на средства шифрования)...

Всего записей: 463 | Зарегистр. 14-11-2005 | Отправлено: 12:25 06-07-2009
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Вы уже обеспечили защиту персональных данных на предприятии?

Имя:
Пароль:
Сообщение

Для вставки имени, кликните на нем.

Опции сообщенияДобавить свою подпись
Подписаться на получение ответов по e-mail
Добавить тему в личные закладки
Разрешить смайлики?
Запретить коды


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2017

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru