Перейти из форума на сайт.


Система IP-видеонаблюдения "Линия". Скачать бесплатную демо-версию для 16 камер. НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Вы уже обеспечили защиту персональных данных на предприятии?

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39

Открыть новую тему     Написать ответ в эту тему

Вы уже обеспечили защиту персональных данных на предприятии?
 ОтветГолосаПроценты
Нет и не собираемся143
12.57%
Нет, но собираемся152
13.36%
Находимся в стадии оценки угрозы170
14.94%
Да, проводим подготовительные работы180
15.82%
Да, соответствуем новым требованиям58
5.10%
В первый раз слышу!435
38.22%
Гости не могут голосовать, зарегистрируйтесть!Всего Голосов: 1138
emx



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Уважаемые коллеги!
К 1 января 2010 года все предприятия Российской Федерации должны привести cвою инфраструктуру и регулятивную базу в соответствие с требованиями Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Закон).
 
Общий коленкор таков.
Согласно Закону к персональным данным относится:
"любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;"
п. 1, ст. 3 Закона
 
Чем это грозит для предприятия?
В любой компании есть те или иные системы кадрового учета (HR-контур), который содержит подробную информацию о сотруднике (ФИО, дата рождения, ИНН, № Страхового свидетельства Пенсионного фонда, №№ страховых свидетельств ОМС/ДМС, сведения о постановке на воинский учет, №№ банковских счетов, сведения о заработной плате и так далее).  
 
Кроме того, в ряде предприятий имеются различные CRM-cистемы, в которых аккумулируется информация о клиентах (в том числе клиентах - физических лицах), причем часто персонифицированная и детализированная, вплоть до предпочтений тех или иных лиц. Мы же стараемся удовлетворить клиента всеми возможными способами и учесть максимум нюансов?
 
Ряд компаний также осуществляет сбор и обработку тех или иных персональных данных клиентов через веб-сайты (интернет-продажи и тому подобное).
 
В ряде случаев есть ещё и бухучет (если клиент физическое лицо, которое оплачивает товары/услуги прямым банковским платежом, на основании договора или без такового).
 
Стало быть предприятие осуществляет сбор, хранит и обрабатывает персональные данные.
 
Далее...
 
п. 2, ст. 3 Закона вводит определение "оператора" (по обработке персональных данных):

Цитата:
2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;

 
Поздравляю. Мы все - операторы.
 
Помимо определенных прав субъекта персональных данных, исполнение которых оператор должен обеспечивать (в основном это чисто бумажные штуки вещей - особого вреда компании причинить не могут), существуют ещё и обязательные требования в отношении оператора - они гораздо страшнее.
 
Закон определяет перечнь таких требований:
 

Цитата:
Статья 19. Меры по обеспечению безопасности персональных данных при их обработке
1. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
2. Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.
3. Контроль и надзор за выполнением требований, установленных Правительством Российской Федерации в соответствии с частью 2 настоящей статьи, осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.
4. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.

ст. 19 Закона
 
Относительно того, как выполнить требования 1 пункта пока данных не слишком много. В общем случае на предприятии должны быть:
- Положение о персональных данных
- Положение о контрольно-пропускном режиме (где определен конечный круг лиц, который имеет доступ в помещения, где эта красота хранится физически)
- Регламент по информационной безопасности
 
Кроме того, предприятие должно использовать сертифицированные (да, разумеется с потайным ключиком у ФСБ) криптографические решения на серверах, на которых расположены базы данных. Также инфраструктура должна быть аттестована (за счет предприятия у уполномоченного органа), что уж совсем ужасно.
 
Санкции.
Санкции за нарушение Закона незначительны:
 

Цитата:
Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)
Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) -
влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей.

ст. 13.11 КоАП РФ
 
Но при проверке вам могут вынести предприсание об устранении выявленных нарушений. За неисполнение предписания санкции более другие:
 

Цитата:
Статья 19.5. Невыполнение в срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль)
1. Невыполнение в установленный срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), об устранении нарушений законодательства -
влечет наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от одной тысячи до двух тысяч рублей или дисквалификацию на срок до трех лет; на юридических лиц - от десяти тысяч до двадцати тысяч рублей.

ст. 19.5 КоАП РФ
И так далее, вплоть до отзыва лицензии у предприятия на осуществление основной деятельности и уголовной ответственности для ген. директора.
 
Давайте что-ли обсудим - как жить дальше...
Или может кто уже лазейку какую нашел?

Всего записей: 11317 | Зарегистр. 05-06-2002 | Отправлено: 09:13 01-07-2009 | Исправлено: emx, 12:00 01-07-2009
LOTerr

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
17. Контроль за выполнением настоящих требований организуется и проводится оператором (уполномоченным лицом) самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации.
 так поставить все можно самостоятельно, ну а купить конечно у лицензированных товарищей

Всего записей: 8 | Зарегистр. 20-12-2012 | Отправлено: 12:58 29-05-2013
ipmanyak



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
постановление 1119 защита от класса системы зависеть стала значительно меньше

Я б так не сказал, скорее наоборот. По НДВ например Оракл и Линукс RED HAT не сертифицированы, а значит нужно считать угрозой. И тд и тп.  
 
 
 
Добавлено:
Сделаете всё самостоятельно и без нареканий при проверке - я только порадуюсь за вас, и попрошу совета

----------
В сортире лучше быть юзером, чем админом...

Всего записей: 9317 | Зарегистр. 10-12-2003 | Отправлено: 13:01 29-05-2013
LOTerr

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ну по мне так проще защитить систему именно по своим угрозам, чем полностью выполнять 58 приказ, насчет проверки: любая проверка сможет найти нарушение если захочет я сам буду рад если все будет гладко)) а вот еще раз скажу по поводу сторонних компаний, взбесил сегодняшний семинар в котором такая компания привела человека с росскомнадзора который почитал 152, рассказал о штрафах, дальше влез сотрудник и давай привлекать образование (пожалуй единственных с кого еще денег не выгребли) лично мне пришлось самостоятельно переделывать каждый документ который нам они предоставили:
1. зачем постоянно указывать ФИО сотрудников, не проще сослаться на их должности и трудовые договора
2. перечень требуется только 1 и это перечень ИСПДН а не того какие программные средства туда входят и т.д и т.п. (для себя конечно можно но зачем утверждать приказом)
3. ну и самое интересное это согласие на обработку которое теперь берется на каждом шагу, о нем вообще можно забыть в половине случаев

Всего записей: 8 | Зарегистр. 20-12-2012 | Отправлено: 13:15 29-05-2013
ipmanyak



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
58 приказ ФСТЭКА отменен - ПРИКАЗ ФСТЭК от 18 февраля 2013 г. N 21
http://fstec.ru/component/content/article/110-deyatelnost/tekushchaya/tekhnicheskaya-zashchita-informatsii/normativnye-pravovye-akty/prikazy/692-prikaz-fstek-rossii-ot-18-fevralya-2013-g-n-21
Теперь нужно руководствоваться 21 приказом  
"СОСТАВ И СОДЕРЖАНИЕ ОРГАНИЗАЦИОННЫХ И ТЕХНИЧЕСКИХ МЕР ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ"
каменты к приказу
http://www.securitylab.ru/blog/personal/shaurojen/30429.php
 


----------
В сортире лучше быть юзером, чем админом...

Всего записей: 9317 | Зарегистр. 10-12-2003 | Отправлено: 13:57 29-05-2013
LOTerr

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
а вот за то отдельное СПАСИБО.

Всего записей: 8 | Зарегистр. 20-12-2012 | Отправлено: 14:11 29-05-2013
Diabolik



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Тема вызвала ироническую улыбку, которая появляется у человека, который на деле понимает разницу, между "хочу" сверху и обстоятельствами на месте. Особенно когда речь заходит о российском малом бизнесе.

Всего записей: 4199 | Зарегистр. 02-10-2004 | Отправлено: 23:12 28-06-2013
urodliv



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Diabolik
Теме уже совсем скоро "стукнет" 4 года, а вы только сейчас решили опубликовать ваше мнение. Почему?
 
Русский "авось" для успокоения себя любимого и пароль на вход в компьютер - для успокоения совести несведущих потребителей. Вот и всё что нужно малому бизнесу по этой теме.

----------
Очень скоро еда станет совершенно безвкусной, и тогда этот недостаток придётся компенсировать хорошо развитым воображением.

Всего записей: 5739 | Зарегистр. 29-04-2009 | Отправлено: 23:42 28-06-2013 | Исправлено: urodliv, 23:43 28-06-2013
Diabolik



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
urodliv
Наткнулся только что. Время мало что меняет в данном контексте. А про "авось" не совсем верно, это скорее повальная тупость и пох...зм, то есть даже до "авося" частенько дело вообще не доходит.

Всего записей: 4199 | Зарегистр. 02-10-2004 | Отправлено: 09:40 04-07-2013 | Исправлено: Diabolik, 09:42 04-07-2013
obtim



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Отсканировал документашку от системы Инфоклиника. Старовато (2009 год), но дает некоторые разъяснения по сабжу:

Цитата:
Данный документ призван дать общие дополнительные разъяснения по вопросам обеспечения безопасности персональных данных и порядку обращения с ними, а так же возможностям МИС SDS по обеспечению безопасности персональных данных.

http://zalil.ru/34679162

----------
Дьявол коварен - он может явиться к нам просто в образе дьявола

Всего записей: 7823 | Зарегистр. 03-03-2002 | Отправлено: 16:19 15-08-2013
fenix379

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
После выхода законодательного пакета, инспекции поняли, что не знают как на этом срубить бабла. 1С чего вроде как даже разработало, но вскоре об этом забыли.
Сейчас тема не актуальна.

----------
http://fx-trend.com/pamm/520050?agent=502753 - Альтернатива банковским вкладам

Всего записей: 367 | Зарегистр. 30-11-2004 | Отправлено: 09:12 16-08-2013
OLEGxUSSR

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ресторан, два компа. Сделаны приказы что все согласны с обработкой их персональных данных и приказ о коммерческой тайне (целых два рецепта) Как их защитить в компьютерном смысле - вообще не представляю... (если имеется ввиду что-то вроде криптошифрования файлов)

Всего записей: 88 | Зарегистр. 02-05-2010 | Отправлено: 18:39 16-08-2013 | Исправлено: OLEGxUSSR, 18:41 16-08-2013
MAGNet



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
OLEGxUSSR
эта паника!!
придлагаю скрвца в бомбаубежзе.
если нет, можна проста спрятатса пад прилавак.
пиздецома ниизбежна!!

Всего записей: 1535 | Зарегистр. 31-03-2004 | Отправлено: 19:44 16-08-2013
ipmanyak



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
OLEGxUSSR Поставь себя на место хакера/инсайдера и подумай как ты можешь украсть из компа эти два рецепта, вот эти способы и методы предотврати.
На вскидку, откючить:  
- USB для всего, кроме клавы и мыши, политиками или правкой реестра  
- DVD-привод, если пишущий
- флопарь, если таковой есть
- выход в интернет

----------
В сортире лучше быть юзером, чем админом...

Всего записей: 9317 | Зарегистр. 10-12-2003 | Отправлено: 05:55 19-08-2013
kuza84

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Короче устроился сис. админом первый раз, в полу гос .учреждение, от админа требовали подготовить все документы по этой теме  "обеспечили защиту персональных данных на предприятии" и следовать их, нальству на это был насрать т.к. на админа это отписали, консультировался у компании, которые услуги в сфере ИТ предоставляет и там четко сказали, нечего сочинять самому, разбираться в моделях угроз и т.д. (сам читал эту шнягу на примере, написано через жопу там нет конкретики) сказали заплати "Контуру" 15к рублей и они все тебе подготовят. И сказали что проверять (Роскомнадзор) будут только бумаги, а то что стоит на компе или не стоит не проверяют. ФСБ может прийти и компы проверить на защиту персональных данных. Короче на  деле делаешь себя сам ответсвенным и сам же себе отвечаешь.
 

Всего записей: 101 | Зарегистр. 06-05-2006 | Отправлено: 18:47 25-08-2013
ipmanyak



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
kuza84 Лучше нанять лицензиата ФСТЭК.


----------
В сортире лучше быть юзером, чем админом...

Всего записей: 9317 | Зарегистр. 10-12-2003 | Отправлено: 09:58 29-08-2013
Red Snapper

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
значит К3. Защищать нужно. Но уведомлять Роскомнадзор не нужно, аттестовать и декларировать не требуется. Методы и способы защиты для систем 3 класса можно почитать в 58 приказе ФСТЭК от 5.02.2010  и в  ПП РФ №781 от 17.11.2007 Положение о ПД в ИСПДн.doc  
Прочитал всю тему, хотелось бы увидеть "уведомлять Роскомнадзор не нужно, аттестовать и декларировать не требуется." На основании чего можно так сделать, у меня я так понимаю К3.

Всего записей: 36 | Зарегистр. 19-03-2009 | Отправлено: 03:51 11-09-2013
beglec777

BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ща на этом законе торгашня хорошо продуктами "под ключ" наварится )))

Всего записей: 129 | Зарегистр. 28-01-2008 | Отправлено: 16:29 11-09-2013
ipmanyak



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Red Snapper А сам ФЗ 152 читали? Видимо нет.  
Статья 22. Уведомление об обработке персональных данных
http://base.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=149747


----------
В сортире лучше быть юзером, чем админом...

Всего записей: 9317 | Зарегистр. 10-12-2003 | Отправлено: 17:45 11-09-2013
Red Snapper

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ipmanyak
Каюсь, не читал, только вчера закончил читать форум )
Спасибо за ответ.

Всего записей: 36 | Зарегистр. 19-03-2009 | Отправлено: 01:16 12-09-2013
HloZ

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
У нас, на заводе, поставили Интернет Контроль Сервер (ФСТЭК версию).  Нормальное решение и админы довольны и бухгалтеры (приемлемое сочетание цена-качество).

Всего записей: 9 | Зарегистр. 02-07-2012 | Отправлено: 12:30 11-10-2013
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Вы уже обеспечили защиту персональных данных на предприятии?

Имя:
Пароль:
Сообщение

Для вставки имени, кликните на нем.

Опции сообщенияДобавить свою подпись
Подписаться на получение ответов по e-mail
Добавить тему в личные закладки
Разрешить смайлики?
Запретить коды


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2017

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru