Вы уже обеспечили защиту персональных данных на предприятии? - [2] :: В помощь системному администратору

Уважаемые коллеги!
К 1 января 2010 года все предприятия Российской Федерации должны привести cвою инфраструктуру и регулятивную базу в соответствие с требованиями Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Закон).

Общий коленкор таков.
Согласно Закону к персональным данным относится:
"любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;"
п. 1, ст. 3 Закона

Чем это грозит для предприятия?
В любой компании есть те или иные системы кадрового учета (HR-контур), который содержит подробную информацию о сотруднике (ФИО, дата рождения, ИНН, № Страхового свидетельства Пенсионного фонда, №№ страховых свидетельств ОМС/ДМС, сведения о постановке на воинский учет, №№ банковских счетов, сведения о заработной плате и так далее).

Кроме того, в ряде предприятий имеются различные CRM-cистемы, в которых аккумулируется информация о клиентах (в том числе клиентах - физических лицах), причем часто персонифицированная и детализированная, вплоть до предпочтений тех или иных лиц. Мы же стараемся удовлетворить клиента всеми возможными способами и учесть максимум нюансов?

Ряд компаний также осуществляет сбор и обработку тех или иных персональных данных клиентов через веб-сайты (интернет-продажи и тому подобное).

В ряде случаев есть ещё и бухучет (если клиент физическое лицо, которое оплачивает товары/услуги прямым банковским платежом, на основании договора или без такового).

Стало быть предприятие осуществляет сбор, хранит и обрабатывает персональные данные.

Далее...

п. 2, ст. 3 Закона вводит определение "оператора" (по обработке персональных данных):

Цитата:

2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;

Поздравляю. Мы все - операторы.

Помимо определенных прав субъекта персональных данных, исполнение которых оператор должен обеспечивать (в основном это чисто бумажные штуки вещей - особого вреда компании причинить не могут), существуют ещё и обязательные требования в отношении оператора - они гораздо страшнее.

Закон определяет перечнь таких требований:

Цитата:

Статья 19. Меры по обеспечению безопасности персональных данных при их обработке
1. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
2. Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.
3. Контроль и надзор за выполнением требований, установленных Правительством Российской Федерации в соответствии с частью 2 настоящей статьи, осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.
4. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.

ст. 19 Закона

Относительно того, как выполнить требования 1 пункта пока данных не слишком много. В общем случае на предприятии должны быть:
- Положение о персональных данных
- Положение о контрольно-пропускном режиме (где определен конечный круг лиц, который имеет доступ в помещения, где эта красота хранится физически)
- Регламент по информационной безопасности

Кроме того, предприятие должно использовать сертифицированные (да, разумеется с потайным ключиком у ФСБ) криптографические решения на серверах, на которых расположены базы данных. Также инфраструктура должна быть аттестована (за счет предприятия у уполномоченного органа), что уж совсем ужасно.

Санкции.
Санкции за нарушение Закона незначительны:

Цитата:

Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)
Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) -
влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей.

ст. 13.11 КоАП РФ

Но при проверке вам могут вынести предприсание об устранении выявленных нарушений. За неисполнение предписания санкции более другие:

Цитата:

Статья 19.5. Невыполнение в срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль)
1. Невыполнение в установленный срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), об устранении нарушений законодательства -
влечет наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от одной тысячи до двух тысяч рублей или дисквалификацию на срок до трех лет; на юридических лиц - от десяти тысяч до двадцати тысяч рублей.

ст. 19.5 КоАП РФ
И так далее, вплоть до отзыва лицензии у предприятия на осуществление основной деятельности и уголовной ответственности для ген. директора.

Давайте что-ли обсудим - как жить дальше...
Или может кто уже лазейку какую нашел?

Цитата:

Если я правильно понял, то на большинство конфигураций 1С (особливо на их зарплатные конфигурации) тоже надо будет получать сертификаты и любое изменение конфигурации влечет за собой утрату этого сертификата? Или это не из этой "степи"?

Да. И еще многое, многое, многое другое.

Не судите стпрого. Пусть немного сумбурно. Давно это было... Поищите НА ДОСУГЕ материалы и методические руководства по информационной безопасности. БУДЕТ ОЧЕЬ ИНТЕРЕСНО.

1. Во первых должно быть исследование. на предмет какие данные и где и как обрабатываем?. Подпадают они под законы и какие?. Обязательна ли их защита?.
Защищаем не только электронные данные, но и бумажные, и на любых др. носителях.... но и носители данной инфы - в т.ч. сотрудники.

2. выделяем "узкие" места. Оптимизируем их : сокращение видов объемов и единиц защищаемой информации, ограничим место и сотрудников для работыс такой инфой(например, шкаф с документами/ПК/сеть находятся в отдельном помещении).

3. принимаем рещение о мероприятиях по защите инфы. Это в основном организационные и технические. Для данных определенного типа(уровня секретности) устанавдивается вилка по классу защиты. Для опреденного класа выдвигаются вполне определенные требования по защите не только инфы и средств ее обработки, но и помещений, пересонала, организации работы. Оформляется задание и по этому заданию разрабатывают подробный план мероприятий и того что надо, кто и за сколько сделает.

В часности должен быт назначен админстратор информационной безопасности(ИБ), который будет за ВСЕ отвечать. Кроме еще директора, конечно. Как правивило этот админ ИБ и должен ее обеспечивать. Не будет же козлом отпущения САМ директор?

Должны быть написаны приказы по предприятию и регламенты работы и такой инфой, внесены изменения в служебные обязаности. Сотрудники должны быть ознакомлены с чем и как они работают и как и за что их будут наказывать.

Помещения, их охрана, Сеть, ПК, ВСЕ ПО, переферия должны соотвествовать и быть сертифицированы по требуемому класссу защиты как единый и фиксированный набор компонентов. Добавление/ ремонт/обновление лишит Вас этого. Или потребует доплат.

Все что подвержено вскрытию и/или замене пломбируется аттестцующей организацией и при нарушении пломб теряется статус аттестованых ....

4. Все мероприятия по п 3. можем выполнять сами, а лучше - лицензированая организация.

5. защите/сертификасции подлежат сервера/рабочие станции, принтеры Сетевая инфраструктура(свичи, кабели, проводка). ПРрийдется закрывать все пути по несанкционированой записи инфы на сменные носители(eSATA/USB/LPT/IEE1394/WiFi&etc ports, CD/Флоппи диски), фотоаппарат, факс и др.

6. ограничить доступ в такое помещение(не проходной двор). Сотрудников проинструктипровать и преодически аттестовывать.

7. Совсем забыл - хранение резервных копий ,ключевой и др. информайции - надо железный сейф/ящик. и организация хранения/ сдачи ключевой информации у сотрудников.

Все что ВЫ напишете в заказанном Вами проекте - ВЫ обязаны будете исполнить. Потому, надо сначала проработать как следует все вопросы и ньюансы самим с прикидкой сколько это будет стоить и на сколько можно расчитывать, а уж потом ..... обликать это в проект в пределах имеющихся средств. Потому как Админу ИБ идеальный план нельзя будет выполнить и обеспечивать исполнение, т.к. у директора не будет хватать денег что бы это сделать, а потом содержать . Потому надо в разумных пределах оптимизировать структуру и риски для снижения затрат.
Типичный пример разделение/выделение-> локализация обработки инфы и потенциально опасных участков. Типа доступ в ИНЕТ с отделногоПК, не полключено к сети, Сеть бухгалтерии выделить в физический отдельный сегмент.
Если уж жизнь Вас припрет в части исполнения такого закона и Вас решат назначить таким Админом ИБ, то не плачьтесь директору что как Вам не хочется, тяжело, ненужно это делать. Если кого он пожалеет, то только себя. Потому думайте, ищите как сделать дешево, но сердито, чтобы с Вас не привлекали к ответственности и старайтесь заинтересовать директра результатами:
- если это неизбежно, то надо сделать. Не слишком дорого и наказывать не будут(Возможно и его).
- порядок и дисциплина
- сохранность коммерческой информации Вашей организации.

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR
Версия для печати • Подписаться • Добавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41