Перейти из форума на сайт.


Система IP-видеонаблюдения "Линия". Скачать бесплатную демо-версию для 16 камер. НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Вы уже обеспечили защиту персональных данных на предприятии?

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39

Открыть новую тему     Написать ответ в эту тему

Вы уже обеспечили защиту персональных данных на предприятии?
 ОтветГолосаПроценты
Нет и не собираемся142
12.51%
Нет, но собираемся151
13.30%
Находимся в стадии оценки угрозы169
14.89%
Да, проводим подготовительные работы180
15.86%
Да, соответствуем новым требованиям58
5.11%
В первый раз слышу!435
38.33%
Гости не могут голосовать, зарегистрируйтесть!Всего Голосов: 1135
emx



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Уважаемые коллеги!
К 1 января 2010 года все предприятия Российской Федерации должны привести cвою инфраструктуру и регулятивную базу в соответствие с требованиями Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Закон).
 
Общий коленкор таков.
Согласно Закону к персональным данным относится:
"любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;"
п. 1, ст. 3 Закона
 
Чем это грозит для предприятия?
В любой компании есть те или иные системы кадрового учета (HR-контур), который содержит подробную информацию о сотруднике (ФИО, дата рождения, ИНН, № Страхового свидетельства Пенсионного фонда, №№ страховых свидетельств ОМС/ДМС, сведения о постановке на воинский учет, №№ банковских счетов, сведения о заработной плате и так далее).  
 
Кроме того, в ряде предприятий имеются различные CRM-cистемы, в которых аккумулируется информация о клиентах (в том числе клиентах - физических лицах), причем часто персонифицированная и детализированная, вплоть до предпочтений тех или иных лиц. Мы же стараемся удовлетворить клиента всеми возможными способами и учесть максимум нюансов?
 
Ряд компаний также осуществляет сбор и обработку тех или иных персональных данных клиентов через веб-сайты (интернет-продажи и тому подобное).
 
В ряде случаев есть ещё и бухучет (если клиент физическое лицо, которое оплачивает товары/услуги прямым банковским платежом, на основании договора или без такового).
 
Стало быть предприятие осуществляет сбор, хранит и обрабатывает персональные данные.
 
Далее...
 
п. 2, ст. 3 Закона вводит определение "оператора" (по обработке персональных данных):

Цитата:
2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;

 
Поздравляю. Мы все - операторы.
 
Помимо определенных прав субъекта персональных данных, исполнение которых оператор должен обеспечивать (в основном это чисто бумажные штуки вещей - особого вреда компании причинить не могут), существуют ещё и обязательные требования в отношении оператора - они гораздо страшнее.
 
Закон определяет перечнь таких требований:
 

Цитата:
Статья 19. Меры по обеспечению безопасности персональных данных при их обработке
1. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
2. Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.
3. Контроль и надзор за выполнением требований, установленных Правительством Российской Федерации в соответствии с частью 2 настоящей статьи, осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.
4. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.

ст. 19 Закона
 
Относительно того, как выполнить требования 1 пункта пока данных не слишком много. В общем случае на предприятии должны быть:
- Положение о персональных данных
- Положение о контрольно-пропускном режиме (где определен конечный круг лиц, который имеет доступ в помещения, где эта красота хранится физически)
- Регламент по информационной безопасности
 
Кроме того, предприятие должно использовать сертифицированные (да, разумеется с потайным ключиком у ФСБ) криптографические решения на серверах, на которых расположены базы данных. Также инфраструктура должна быть аттестована (за счет предприятия у уполномоченного органа), что уж совсем ужасно.
 
Санкции.
Санкции за нарушение Закона незначительны:
 

Цитата:
Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)
Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) -
влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей.

ст. 13.11 КоАП РФ
 
Но при проверке вам могут вынести предприсание об устранении выявленных нарушений. За неисполнение предписания санкции более другие:
 

Цитата:
Статья 19.5. Невыполнение в срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль)
1. Невыполнение в установленный срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), об устранении нарушений законодательства -
влечет наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от одной тысячи до двух тысяч рублей или дисквалификацию на срок до трех лет; на юридических лиц - от десяти тысяч до двадцати тысяч рублей.

ст. 19.5 КоАП РФ
И так далее, вплоть до отзыва лицензии у предприятия на осуществление основной деятельности и уголовной ответственности для ген. директора.
 
Давайте что-ли обсудим - как жить дальше...
Или может кто уже лазейку какую нашел?

Всего записей: 11253 | Зарегистр. 05-06-2002 | Отправлено: 09:13 01-07-2009 | Исправлено: emx, 12:00 01-07-2009
Ermolaeva



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Сейчас таких облачных услуг немерено.

Всего записей: 8 | Зарегистр. 02-12-2016 | Отправлено: 19:10 17-08-2017
loalcat88

Newbie
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
В этом законе бесит одно, его придумали очень глупые и упёртые люди которые везде хотят засунуть свои лапки лишь бы выёжиться перед народом типа мы работаем. Защита персональных данных давным давно используется во всех системах, которые с этими данными работают, только эта система не понятна тупому российскому чиновнику. И вот чиновники решили что надо подогнать предприятия под своё тупое колхозное мировосприятие. Делать предприятиям больше нечего кроме как эти тупые законы исполнять. А зная совсем точно насколько "квалифицированные" специалисты работают в ФСБ я бы им не то что пароли, ключ от туалета не доверил.

Всего записей: 14 | Зарегистр. 19-04-2015 | Отправлено: 19:44 18-09-2017 | Исправлено: loalcat88, 19:45 18-09-2017
igor me v2



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
квалифицированные" специалисты работают в ФСБ  

Да, местами и такое бывает :0 А особенно здорово смотрится, когда например знакомый из военкомата просит зачистить на компе реестр от флешек вставленных, чтобы ФСБ не прихватило за "несоблюдение режима...". В общем у нас в стране даже разные министерства порой друг с другом воюют и каждый тянет одеяло на себя, вместо того, чтобы общее дело делать. Один из весомых плюсов этого только в том, что при такой системе нас трудно завоевать Придут завеватели и потонут в этом бардаке, гы
Ну и про закон отчасти тоже согласен. Хотя есть и плюсы. Например защита медицинской информации, всё же она стала охранятся надёжнее, я считаю. Хотя еонечно это можно сделать и с меньшими затратами, а не как сейчас, 7-ки и SecretNet на каждый комп. Но то уже второй вопрос... Ну а бухи и отделы калров на предприятиях, если предприятие адекватное и там адекватный админ, они и раньше вполне хорошо с этим справлялись...

Всего записей: 1794 | Зарегистр. 27-03-2016 | Отправлено: 15:17 19-09-2017 | Исправлено: igor me v2, 15:18 19-09-2017
MAGNet



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Цитата:
Например защита медицинской информации, всё же она стала охранятся надёжнее, я считаю

О чем вы? Какая медицинская информация? в пятницу был в поликлинике, вся моя "медицинская информация" мне выдается в регистратуре в виде книжечки формата А5, а на морде лица напечатаны все(!) мои данные: ФИО, дата рождения, паспорт (серия/номер), СНИЛС, полис ОМС, адрес регистрации, место жительсва, номер мобильного, место работы, должность.. Что ещё вам нужно для получения кредита? Фотография? Да легко - все углы увешаны камерами.
Какой мне прок от того, что у них там в сети это как-то всё защищено, если оно всё есть в открытом виде и свободно лежит валяется на столах у медперсонала или в таком же открытом виде хранится на обычных стеллажах?

Всего записей: 1532 | Зарегистр. 31-03-2004 | Отправлено: 08:58 25-09-2017
igor me v2



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Админу админово. Я говорил только про электронное хранение. Ибо чтобы срисовать всё то, что написано на бумажке - надо прийти конретно в вашу поликлинику и на месте физически переписать, сфоткать и т. п. Потенциальный круг - персонал больницы и её посетители. Сотни людей. Если же оно хреново защищено и не зашифровано В СЕТИ - потенциальный круг школьников-хакеров - пол мира, миллионы людей . Просто оценить соотношение угроз...

Всего записей: 1794 | Зарегистр. 27-03-2016 | Отправлено: 23:26 25-09-2017 | Исправлено: igor me v2, 23:51 25-09-2017
MAGNet



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Цитата:
Просто оценить соотношение угроз...

оке. вот специально для вас озвучиваю подтекст: "если всё это валяется в свободном доступе везде подряд, хаотически, неконтролируемо и общедоступно, т.е. в крайней степени раздолбайства на низком уровне организации, то что вы хотите там вообще увидеть?"
так доступно?!
в моей поликлинике, которая обслуживает не один десяток тысяч пациентов есть всего один админ, который сидит в одном кабинете с кадрами/бухгалтерией и этот же кабинет по совместительству является "серверной".
столкнулся с ним как-то у дверей и заметил, что за такой "пучок проводов" меня бы лишили премии, как минимум, да. Там просто из дырки в косяке над дверью кабинета выходило два десятка УТПшников и разбредалось по стенам..
Повторю вопрос: про какую защиту персональных данных мы тут разговаривали?

Всего записей: 1532 | Зарегистр. 31-03-2004 | Отправлено: 19:27 03-10-2017
igor me v2



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Пучок проводов к ПД не имеет никакого отношения. У меня тоже много пучков и косяков. А всё остальное, что я хотел сказать - вы и так поняли, правда?

Всего записей: 1794 | Зарегистр. 27-03-2016 | Отправлено: 02:28 04-10-2017
MAGNet



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
igor me v2, без сомнения, но никто мене не переубедит в том, что если бардак здесь.. бардак там.. то бардак везде и во всём.

Всего записей: 1532 | Зарегистр. 31-03-2004 | Отправлено: 04:47 04-10-2017
igor me v2



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Не совсем так. Там, где есть люди которые хотят, чтобы как минимум в их маленьком хозяйстве не было бардака - его там не будет...  
ЗЫ Я по отдельным примерам никогда не сужу об отрасли в целом!

Всего записей: 1794 | Зарегистр. 27-03-2016 | Отправлено: 00:05 06-10-2017
MAGNet



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
igor me v2, сэр! я есть то,кто не хочет бардака и по сему его имеет лишь в зоне своей некомпетентности
спешу заметить, что если мы в России, то бардак везде.
да и в Цкраине, с Казахстаном и Беларусью тоже. До кучи, чтоб не обольщались

Всего записей: 1532 | Зарегистр. 31-03-2004 | Отправлено: 20:41 06-10-2017
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Вы уже обеспечили защиту персональных данных на предприятии?

Имя:
Пароль:
Сообщение

Для вставки имени, кликните на нем.

Опции сообщенияДобавить свою подпись
Подписаться на получение ответов по e-mail
Добавить тему в личные закладки
Разрешить смайлики?
Запретить коды


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2017

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru