Перейти из форума на сайт.


Система IP-видеонаблюдения "Линия". Скачать бесплатную демо-версию для 16 камер. НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Вы уже обеспечили защиту персональных данных на предприятии?

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39

Открыть новую тему     Написать ответ в эту тему

Вы уже обеспечили защиту персональных данных на предприятии?
 ОтветГолосаПроценты
Нет и не собираемся143
12.57%
Нет, но собираемся152
13.36%
Находимся в стадии оценки угрозы170
14.94%
Да, проводим подготовительные работы180
15.82%
Да, соответствуем новым требованиям58
5.10%
В первый раз слышу!435
38.22%
Гости не могут голосовать, зарегистрируйтесть!Всего Голосов: 1138
emx



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Уважаемые коллеги!
К 1 января 2010 года все предприятия Российской Федерации должны привести cвою инфраструктуру и регулятивную базу в соответствие с требованиями Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Закон).
 
Общий коленкор таков.
Согласно Закону к персональным данным относится:
"любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;"
п. 1, ст. 3 Закона
 
Чем это грозит для предприятия?
В любой компании есть те или иные системы кадрового учета (HR-контур), который содержит подробную информацию о сотруднике (ФИО, дата рождения, ИНН, № Страхового свидетельства Пенсионного фонда, №№ страховых свидетельств ОМС/ДМС, сведения о постановке на воинский учет, №№ банковских счетов, сведения о заработной плате и так далее).  
 
Кроме того, в ряде предприятий имеются различные CRM-cистемы, в которых аккумулируется информация о клиентах (в том числе клиентах - физических лицах), причем часто персонифицированная и детализированная, вплоть до предпочтений тех или иных лиц. Мы же стараемся удовлетворить клиента всеми возможными способами и учесть максимум нюансов?
 
Ряд компаний также осуществляет сбор и обработку тех или иных персональных данных клиентов через веб-сайты (интернет-продажи и тому подобное).
 
В ряде случаев есть ещё и бухучет (если клиент физическое лицо, которое оплачивает товары/услуги прямым банковским платежом, на основании договора или без такового).
 
Стало быть предприятие осуществляет сбор, хранит и обрабатывает персональные данные.
 
Далее...
 
п. 2, ст. 3 Закона вводит определение "оператора" (по обработке персональных данных):

Цитата:
2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;

 
Поздравляю. Мы все - операторы.
 
Помимо определенных прав субъекта персональных данных, исполнение которых оператор должен обеспечивать (в основном это чисто бумажные штуки вещей - особого вреда компании причинить не могут), существуют ещё и обязательные требования в отношении оператора - они гораздо страшнее.
 
Закон определяет перечнь таких требований:
 

Цитата:
Статья 19. Меры по обеспечению безопасности персональных данных при их обработке
1. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
2. Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.
3. Контроль и надзор за выполнением требований, установленных Правительством Российской Федерации в соответствии с частью 2 настоящей статьи, осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.
4. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.

ст. 19 Закона
 
Относительно того, как выполнить требования 1 пункта пока данных не слишком много. В общем случае на предприятии должны быть:
- Положение о персональных данных
- Положение о контрольно-пропускном режиме (где определен конечный круг лиц, который имеет доступ в помещения, где эта красота хранится физически)
- Регламент по информационной безопасности
 
Кроме того, предприятие должно использовать сертифицированные (да, разумеется с потайным ключиком у ФСБ) криптографические решения на серверах, на которых расположены базы данных. Также инфраструктура должна быть аттестована (за счет предприятия у уполномоченного органа), что уж совсем ужасно.
 
Санкции.
Санкции за нарушение Закона незначительны:
 

Цитата:
Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)
Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) -
влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей.

ст. 13.11 КоАП РФ
 
Но при проверке вам могут вынести предприсание об устранении выявленных нарушений. За неисполнение предписания санкции более другие:
 

Цитата:
Статья 19.5. Невыполнение в срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль)
1. Невыполнение в установленный срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), об устранении нарушений законодательства -
влечет наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от одной тысячи до двух тысяч рублей или дисквалификацию на срок до трех лет; на юридических лиц - от десяти тысяч до двадцати тысяч рублей.

ст. 19.5 КоАП РФ
И так далее, вплоть до отзыва лицензии у предприятия на осуществление основной деятельности и уголовной ответственности для ген. директора.
 
Давайте что-ли обсудим - как жить дальше...
Или может кто уже лазейку какую нашел?

Всего записей: 11322 | Зарегистр. 05-06-2002 | Отправлено: 09:13 01-07-2009 | Исправлено: emx, 12:00 01-07-2009
zaqwerty17

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Имеется меж сетевой экран dlink dfl 860e , нас сайте ФСТЭК имеется сертификат этого оборудования..  
http://www.dlink.ru/up/sert/DFL-860E.pdf
Что необходимо сделать для получения этого сертификата? Пройти процедуру сертификации и заплатить за нее?

Всего записей: 11 | Зарегистр. 15-02-2013 | Отправлено: 11:47 30-01-2014
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
zaqwerty17
Цитата:
Что необходимо сделать для получения этого сертификата?  
Просто скачать его. Процедуру сертификации уже прошел и заплатить за нее dlink.

----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 16426 | Зарегистр. 13-06-2007 | Отправлено: 12:10 30-01-2014
contrafack

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Хотел спросить про ФЗ от 27.07.2006 N 152-ФЗ (ред. от 23.07.2013) "О персональных данных"
там есть такой пункт:  

Цитата:
Ст. 3: 1) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

Так, получается даже имя в системе - это уже персональные данные?  
 
Если нет, то какой набор считается ПД ?

Всего записей: 2493 | Зарегистр. 21-04-2008 | Отправлено: 15:28 07-03-2014
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
contrafack
Цитата:
Если нет, то какой набор считается ПД ?
 А это как Басманный суд решит  
Вообще-то в мире подразумевается, что ПД – это данные, которые позволяют  
прямо или косвенно идентифицировать субъекта ПД.
Что подразумеваются у нас  - х.з.
Наше законодательство вообще отличается нечеткостью формулировок
и обилием подзаконных актов. Закон N 152-ФЗ ни сам не определяет четко понятия ПД,
ни ссылается на другой закон, однозначно это определяющий.
Если есть желание посмотреть, как это определяют "у них", то см. это: Ссылка

----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 16426 | Зарегистр. 13-06-2007 | Отправлено: 00:19 08-03-2014 | Исправлено: vlary, 00:21 08-03-2014
Djarf99

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Добрый день!
 
Подскажите пожалуйста, если бесплатно создать для приюта брошенных животных базу данных (1С), содержащую в том числе информацию о новых хозяевах питомцев (ФИО, телефон, адрес проживания питомца), будет ли такая система относиться к К4 или уйдет в К3 и окажется медвежьей услугой для приюта?
 
Большое спасибо!
__________________________
С уважением, Владимир.

Всего записей: 3 | Зарегистр. 23-06-2014 | Отправлено: 14:15 23-06-2014
ipmanyak



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Djarf99 Kатегория 4 (Xпд), согласно приказа трех  - это обезличенные данные. У вас этого нет, поскольку есть  ФИО и  адрес. У вас категория 3 минимум. Если сумеете написать прогу с двумя разнесенными базами (например две разные базы на ACCESS), типа  база 1. ФИО и идентификатор и база 2. идентификатор и адрес, тогда будет Категория 4. Есть и другие методы обезличивания - найдете в инете.


----------
В сортире лучше быть юзером, чем админом...

Всего записей: 9321 | Зарегистр. 10-12-2003 | Отправлено: 15:33 23-06-2014 | Исправлено: ipmanyak, 15:41 23-06-2014
Djarf99

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Спасибо за информацию.
 
Я правильно понимаю, факт, что адрес не субъекта, а питомца ничего не меняет потому, что в некоторых случаях он будет совпадать с адресом субъекта или на этом можно что-нибудь наварить? Я думал, основная загвоздка будет в ФИО и телефон, потому, что тут можно однозначно идентифицировать субъекта, наверное.
 

Всего записей: 3 | Зарегистр. 23-06-2014 | Отправлено: 21:15 23-06-2014
ipmanyak



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Djarf99 У тебя ФИО, его адрес, и телефон. Как правильно заметил, по ним можно  идентифицировать субъекта, а это  значит категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных;
 
Приказ ФСТЭК, ФСБ, МИС №55-86-20 от 13.02.2008  Классификация ИСПДн


----------
В сортире лучше быть юзером, чем админом...

Всего записей: 9321 | Зарегистр. 10-12-2003 | Отправлено: 10:26 24-06-2014
Djarf99

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Большое спасибо за терпение!

Всего записей: 3 | Зарегистр. 23-06-2014 | Отправлено: 14:13 24-06-2014
ZlydenGL



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ipmanyak, а собственно есть ли расписанное определение, какие меры защиты необходимы и достаточны при категории К3? В приказе трех не нашел.

Всего записей: 3105 | Зарегистр. 22-06-2002 | Отправлено: 18:28 24-06-2014
ipmanyak



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ZlydenGL ФЗ-152 регулярно обновлялся и  ФСТЭК регулярно делал послабления. Ранее руководствовались 58 приказом фстэка. 58 приказ отменен, теперь вместо него 21 приказ. Хотя и его могли уже поменять. + к 21 приказу  ПП-1119  -
Постановление Правительства Российской Федерации от 1 ноября 2012 г. N 1119 г. Москва
 
http://fstec.ru/normativnye-pravovye-akty-tzi/110-deyatelnost/tekushchaya/tekhnicheskaya-zashchita-informatsii/normativnye-pravovye-akty/prikazy/692-prikaz-fstek-rossii-ot-18-fevralya-2013-g-n-21
 
http://www.rg.ru/2012/11/07/pers-dannye-dok.html
Меры защиты зависят от классификации вашей ИСПДН и модели угроз.  
Почитайте каменты к 21 приказу  
http://www.slideshare.net/risspa/new-fstec-order-for-pd?fb_action_ids=442984232444197&fb_action_types=slideshare%3Adownload&fb_source=other_multiline&action_object_map={%22442984232444197%22%3A425411867548038}&action_type_map={%22442984232444197%22%3A%22slideshare%3Adownload%22}
Многое прояснится.
 
 


----------
В сортире лучше быть юзером, чем админом...

Всего записей: 9321 | Зарегистр. 10-12-2003 | Отправлено: 13:37 25-06-2014
ZlydenGL



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Т.е. опять лом, плац, снег, только размеры лома и плаца, а также погодные условия триггера все время меняются?

Всего записей: 3105 | Зарегистр. 22-06-2002 | Отправлено: 11:05 26-06-2014
Vinegrett

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ребята, а подскажите такой вопрос:
Хочу установить сетевой экран Dlink DFL. В соответствии с законом нужно устанавливать ФСТЭК версию или достаточно обычной?

Всего записей: 8 | Зарегистр. 30-09-2011 | Отправлено: 14:14 23-07-2014
PiterSh



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Всем привет! Подскажите как лучше осуществить контроль данных при следующем раскладе:
Нужно контролировать почту, печать документов, usb и траффик. Всего в компании около 70 машин и 15 принтеров.
В первую очередь интересуют продукты и цены, чтобы можно было представить начальству. Подскажите хотя бы наиболее приемлимые варианты, там уж я по сайтам сорентируюсь.

Всего записей: 6 | Зарегистр. 18-07-2014 | Отправлено: 16:26 24-07-2014
ipmanyak



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
1 Контроль почты - имеется ввиду перлюстрация, ака копии всех писем хранить? - это делается средствами почтового сервера
2 Печать - поиск Учет печати на сетевых принтерах  
http://forum.ru-board.com/topic.cgi?forum=8&bm=1&topic=1485#1
3 usb - политиками домена или локальными запретить USB кроме как для принтеров и сканеров
http://support.microsoft.com/kb/823732  
http://support.microsoft.com/?kbid=555324  
http://forum.ru-board.com/topic.cgi?forum=8&topic=4998#1  
 
4 Трафик - всех не пускать напрямую в инет, только через прокси. На прокси анализировать логи и формировать отчеты - Прокси для Windows II http://forum.ru-board.com/topic.cgi?forum=8&bm=1&topic=2382#1
под линукс  SQUID и анализатор логов SARG или Lightsquid
P.S.
А почему в этот топик вопрос задали? При чем тут защита Пдн ?

----------
В сортире лучше быть юзером, чем админом...

Всего записей: 9321 | Зарегистр. 10-12-2003 | Отправлено: 09:08 25-07-2014 | Исправлено: ipmanyak, 09:10 25-07-2014
NedKo



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Полноценной защиты без отдельной службы безопасности всё-равно не достичь, да и в таком случае полностью обезопасить себя от утечек не получится - можно тупо сфоткать экран с нужным документом. Из менее замороченных вариантов можно предложить каки-нибудь DLP системы типа инфовотча. Погуглите - все основные продукты легко находятся. Почитайте и определитесь, какие вашей компании больше подходят.

Всего записей: 2 | Зарегистр. 22-07-2014 | Отправлено: 17:54 25-07-2014
MARSIANIN

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Полноценной защиты без отдельной службы безопасности всё-равно не достичь

А кто будет сторожить сторожей. Из кого набирать? Если из ........ то IT квалификация  
оставляет желать лучшего.

Всего записей: 302 | Зарегистр. 05-11-2003 | Отправлено: 15:06 27-08-2014
Mrak_DC

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
сторожей сторожит внешний аудит, он же корректирует планы ИБ на следующий год (что не охвачено - включается, выдаются рекомендации)
 
насчет набора и квалификации: существуют а) тесты б) конторы по подбору персонала
 
p.s. здесь вопрос в осознании необходимости ИБ руководством компании

Всего записей: 6 | Зарегистр. 28-03-2008 | Отправлено: 10:00 11-10-2014 | Исправлено: Mrak_DC, 10:01 11-10-2014
gap5



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Подскажите, на предприятии есть самописная БД (php, mysql) с персональными данными контрагентов (физ. лиц с которыми заключены договоры оказания услуг), там паспортные данные, фио, прописка, фотография. Доступ к этой БД осуществляется с 20ПК через браузер. Как я понимаю все это сертифицировать и привести к выполнению законодательства очень-очень дорого, но как мне подсказали есть выход, обрабатывать данные обезличенно, например в электронном виде держать только ту информацию, которая на 100% не даст возможности идентифицировать человека, а оставшуюся часть хранить на бумажном носителе в сейфе...
 
Кто ни будь через такое проходил, как проше это реализовать? И вообще как проходят проверки?
 
P.S. Еще вариант купить сертифицированный ноутбук, поставить на него сертифицированное ПО, и предъявлять в случае проверки его (типа все персональные данные обрабатываются на нем), но ведь проверяющий может подойти к сотруднику и попросить показать, как он работает, а тот без злого умысла (или с умыслом) продемонстрирует сетевую БД...

Всего записей: 721 | Зарегистр. 30-05-2006 | Отправлено: 23:41 01-11-2014
ipmanyak



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
gap5  
Разделение и обезличивание ПДН
 
Информсистемы: как обезличиваются персональные данные?
Установлены требования и методы по обезличиванию персональных данных, обрабатываемых в соответствующих информационных системах, в т. ч. созданных и функционирующих в рамках реализации ФЦП.
Под обезличиванием понимаются действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту.
Обезличивание персональных данных должно обеспечивать не только защиту от несанкционированного использования, но и возможность их обработки.
Выделяют 4 наиболее перспективных и удобных для практического применения метода обезличивания.
Первый - метод введения идентификаторов. Он заключается в замене части сведений (значений персональных данных) идентификаторами с созданием таблицы (справочника) соответствия последних исходным данным.
Второй - метод изменения состава или семантики (путем замены результатами статистической обработки, обобщения или удаления части сведений).
Третий - метод декомпозиции (разбиение множества (массива) персональных данных на несколько подмножеств (частей) с последующим раздельным хранением подмножеств).
Четвертый - метод перемешивания (перестановка отдельных записей, а также групп записей в массиве персональных данных).
 
 
http://www.google.ru/url?sa=t&rct=j&q=&esrc=s&source=web&cd=10&cad=rja&uact=8&ved=0CF4QFjAJ&url=http%3A%2F%2Flibrary.croc.ru%2Fdownload%2F1058%2F4fe9df4a12b1167b57c6d432f4c68caf.pdf&ei=BqRgVJqDJYTDONDBgbAD&usg=AFQjCNGiyBtwceMLl_SdpxuRnBK4-gBHfg&bvm=bv.79189006,d.ZWU
 
На официальном интернет-портале Роскомнадзора размещены методические рекомендации по исполнению приказа Службы от 5 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных».  http://rkn.gov.ru/news/rsoc/news23181.htm  
http://rkn.gov.ru/docs/Xerox_Phaser_3200MFP_20131216122746.pdf
 
Обезличивание персональных данных
http://www.privacy-info.ru/events-pd/2013/10/04/de-personalization.html
 
http://adm-ussuriisk.ru/files/upfiles/infbez/Metod_rek_996.pdf
Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций утверждены методические рекомендации по применению приказа Роскомнадзора от 5 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»
Прямая ссылка  
http://adm-ussuriisk.ru/files/upfiles/infbez/Metod_rek_996.pdf
P.S.
http://www.ispdn.ru/forum/forum1/topic694/?PAGEN_1=2
 
Самое простое делить базу на две , в одной применять уникальные идентификаторы, в другой данные.
 
Или как ты и хотел:
1) убираем из ИСПДн ФИО -> получаем  К4 (152 ФЗ + приказ трех), что нам и нужно!  
2) связку ФИО-id на бумаге усердно охраняем (687 ПП)  
3) ИСПДн К4 можем вообще не защищать (п.1 Приложения к Положению о методах и способах защиты информации в ИСПДн 58-го П ФСТЭК)  


----------
В сортире лучше быть юзером, чем админом...

Всего записей: 9321 | Зарегистр. 10-12-2003 | Отправлено: 15:12 10-11-2014
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Вы уже обеспечили защиту персональных данных на предприятии?

Имя:
Пароль:
Сообщение

Для вставки имени, кликните на нем.

Опции сообщенияДобавить свою подпись
Подписаться на получение ответов по e-mail
Добавить тему в личные закладки
Разрешить смайлики?
Запретить коды


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2017

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru