Вы уже обеспечили защиту персональных данных на предприятии?
	Ответ	Голоса	Проценты
	Нет и не собираемся	148	12.50%
	Нет, но собираемся	158	13.34%
	Находимся в стадии оценки угрозы	173	14.61%
	Да, проводим подготовительные работы	185	15.62%
	Да, соответствуем новым требованиям	69	5.83%
	В первый раз слышу!	451	38.09%
Гости не могут голосовать, зарегистрируйтесть!			Всего Голосов: 1184

emx Moderator Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Уважаемые коллеги! К 1 января 2010 года все предприятия Российской Федерации должны привести cвою инфраструктуру и регулятивную базу в соответствие с требованиями Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Закон).   Общий коленкор таков. Согласно Закону к персональным данным относится: "любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;" п. 1, ст. 3 Закона   Чем это грозит для предприятия? В любой компании есть те или иные системы кадрового учета (HR-контур), который содержит подробную информацию о сотруднике (ФИО, дата рождения, ИНН, № Страхового свидетельства Пенсионного фонда, №№ страховых свидетельств ОМС/ДМС, сведения о постановке на воинский учет, №№ банковских счетов, сведения о заработной плате и так далее).     Кроме того, в ряде предприятий имеются различные CRM-cистемы, в которых аккумулируется информация о клиентах (в том числе клиентах - физических лицах), причем часто персонифицированная и детализированная, вплоть до предпочтений тех или иных лиц. Мы же стараемся удовлетворить клиента всеми возможными способами и учесть максимум нюансов?   Ряд компаний также осуществляет сбор и обработку тех или иных персональных данных клиентов через веб-сайты (интернет-продажи и тому подобное).   В ряде случаев есть ещё и бухучет (если клиент физическое лицо, которое оплачивает товары/услуги прямым банковским платежом, на основании договора или без такового).   Стало быть предприятие осуществляет сбор, хранит и обрабатывает персональные данные.   Далее...   п. 2, ст. 3 Закона вводит определение "оператора" (по обработке персональных данных): Цитата: 2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;   Поздравляю. Мы все - операторы.   Помимо определенных прав субъекта персональных данных, исполнение которых оператор должен обеспечивать (в основном это чисто бумажные штуки вещей - особого вреда компании причинить не могут), существуют ещё и обязательные требования в отношении оператора - они гораздо страшнее.   Закон определяет перечнь таких требований:   Цитата: Статья 19. Меры по обеспечению безопасности персональных данных при их обработке 1. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий. 2. Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных. 3. Контроль и надзор за выполнением требований, установленных Правительством Российской Федерации в соответствии с частью 2 настоящей статьи, осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных. 4. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения. ст. 19 Закона   Относительно того, как выполнить требования 1 пункта пока данных не слишком много. В общем случае на предприятии должны быть: - Положение о персональных данных - Положение о контрольно-пропускном режиме (где определен конечный круг лиц, который имеет доступ в помещения, где эта красота хранится физически) - Регламент по информационной безопасности   Кроме того, предприятие должно использовать сертифицированные (да, разумеется с потайным ключиком у ФСБ) криптографические решения на серверах, на которых расположены базы данных. Также инфраструктура должна быть аттестована (за счет предприятия у уполномоченного органа), что уж совсем ужасно.   Санкции. Санкции за нарушение Закона незначительны:   Цитата: Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) - влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей. ст. 13.11 КоАП РФ   Но при проверке вам могут вынести предприсание об устранении выявленных нарушений. За неисполнение предписания санкции более другие:   Цитата: Статья 19.5. Невыполнение в срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль) 1. Невыполнение в установленный срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), об устранении нарушений законодательства - влечет наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от одной тысячи до двух тысяч рублей или дисквалификацию на срок до трех лет; на юридических лиц - от десяти тысяч до двадцати тысяч рублей. ст. 19.5 КоАП РФ И так далее, вплоть до отзыва лицензии у предприятия на осуществление основной деятельности и уголовной ответственности для ген. директора.   Давайте что-ли обсудим - как жить дальше... Или может кто уже лазейку какую нашел? Всего записей: 11826 | Зарегистр. 05-06-2002 | Отправлено: 09:13 01-07-2009 | Исправлено: emx, 12:00 01-07-2009

Ed_73 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору а если на файло сервере стоит zfs, его тоже надо сертифицировать? Всего записей: 137 | Зарегистр. 07-09-2007 | Отправлено: 17:20 05-08-2009

oaf56 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Цитата:доступ в ИНЕТ с отделногоПК, не полключено к сети,     хм, а насколько усложняется задача, если несколько бухгалтеров в филиалах работают через цитрикс с базой, находящейся в центральном офисе? а если филиалов, скажем, порядка   Цитата: Цитата:доступ в ИНЕТ с отделногоПК, не полключено к сети,       У нас электронная налоговая отчетность, в Украине, думаю в России тоже такое же что-то должно быть. В программах отчетности даные по предприятию, директору, сотрудниках, вынести на отдельный компьютер невозможно.      Электронная почта. Часть документооборота идет через шифрованные электронные сообщения. Как это перенести? 0_о       И при всем этом, существует множество возможностей для доступа к данным, на которые эта вся защита не повлияет. От человеческого фактора, типа подкупа, угроз, до силового захвата оборудования.     Кхе. Ну что Вы плачите? Читайте не только :"доступ в ИНЕТ с отделногоПК, не полключено к сети". Прочтите мой полность пост и не 1 раз. Осознайте. Осознали? Поищите методические рекомендации по ИБ. например много наработок/материалов было в Центробанке. и др. подобных учреждениях. была публичная инфа в инете.     Суть в том что денег и др. ресурсов можно потратить немерено и всеравно не достичь цели.  Защиается вся информация на всех этапах и местах ее обработки. Нельзя защитить все и везде. Потому полюбому требуется оптимизация защищаемой инфы. Если инфа обрабатывается на одном ПК, то ставим его в отдельную комнату Аттестуем, защищаем помещение, ПК, принтер, ПО и все другое что используется ВПЛОТЬ до Элктро сети, телефона, охраны . Если обработка ведетсся в локальной сети, то прийдется защищать локальную сеть(свичи сертифицированые , провода джеки, розеткидолжны быть экранированые) исключить физический доступ к ЛС. А также ВСЕ ПК, перефирию вклюеные в эту ЛС. И ВСЕ ПОМЕЩЕНИЯ. Если в ЛС ЕСть сервера и сервисы, то они тоже должны быть сертифицированы и аттестваны по требуемому классу защиты. Шлюзы в инет, криптография - особая песня и ОЧЕНЬ дорогая. Потому и говорю легче и дешеве сделать по другому: определить класс требуемый защиты(по обрабатываемой инфе), вести обработку отдельно, ну и инет отдельно. Потом если появятся деньги и возможности.... сделаете как надо.   Есть информация подлежащая обязательной защите, а есть "коммерческая тайна" - здесь требования к защите определяет руководство организации. Здесь Можно и не защищать, оставить как есть.   Кстати системы клиент-банк, сдачи отчетности в электронном виде и др. при применениии криптографии ЭЦП ДОЛЖНЫ иметь накладные, опись комплектации сертификаты и аттестацию на конкретные экземпляры(серийные номера)и документацию. Требуйте смело. Завереные копии. Иначе накажут ВАС. Кроме этого дожны быть в составе документации формуляры/руководства по установке, требованиям по соблюдению соответствия заявленому классу зашиты. инсрукции по ИБ   Всего записей: 125 | Зарегистр. 23-11-2006 | Отправлено: 10:04 06-08-2009

YurikGL Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Есть несколько вопросов...   Как быть с софтом, который пишется в пределах организации и регулярно развивается? Как быть с кадровой системой, если она связана с бухгалтерией, которой необходим интернет?   Что есть изолированная сеть в понимании ФСТЭК (в части рекоммендаций по защите)? Если есть транспортная локалка по которой ходит шифрованная сеть с перс.данными. Вторая будет являться изолированной? Если между двумя сетями стоит сервер, который отдает сервисы в обе сети, но не является шлюзом, такие сети изолированы друг от друга? Всего записей: 308 | Зарегистр. 02-09-2004 | Отправлено: 21:29 10-08-2009

YurikGL Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: Цитата: >Как быть с софтом, который пишется в пределах организации и регулярно развивается? Нет проблем он никого не итересует А если он обрабатывает персональные данные? Как тогда?   Цитата: Для разделения сетей нужно применять сертифицированный файрвол   Если есть маршрутизатор 3-го уровня, который просто по VLAN-м раздает DHCP-help-ром ip-адреса разных сетей, то это запрещено?   Все таки, что есть "изолированная сеть"? Есть какое-то определение?   Цитата:   Цитата: >сли между двумя сетями стоит сервер, который отдает сервисы в обе сети, но не является   >шлюзом, такие сети изолированы друг от друга?   С этого места поподробнее, имеется ввиду СУБД или нет?   Нет... Есть сеть А. Есть сеть B. И есть сервер с двумя сетевухами, который одной сетевухой смотрит в сеть А, а другой - в сеть B. На нем расположен, скажем, консультант. Сети А и B будут изолированными? Всего записей: 308 | Зарегистр. 02-09-2004 | Отправлено: 06:47 11-08-2009

oaf56 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Из черного юмора: Пессимист  : "Как Все плохо...." Оптимист: "А будет еще хуже....";)   Цитата: Цитата:Цитата:   >Как быть с софтом, который пишется в пределах организации и регулярно развивается?   Нет проблем он никого не итересует     А если он обрабатывает персональные данные? Как тогда?     По идее ПО и среда разработки, разработчики Должны быть сертифицированы. Но где это может быть и кто потянет : банки, корпорации, Вояки, секретСервисы, ОператорыСвязи.... Знакомый Директор говорит 10,000 рублей за бухгалтерию это так дорого. А зачем еще надо покупать зарплату за 12т. Руб.? это нам дорого. Мы это не потянем(( ПОсмотрите ПО КриптоПро. Там Сертифицируется конкретная СТАБИЛЬНАЯ версия продукта. Изменил - снова сертифицуруй ))) потому старайтесь ЛЕГАЛЬНО уйти.   Цитата: Цитата:Как быть с кадровой системой, если она связана с бухгалтерией, которой необходим интернет? Для доступа в интернет: 1. Куппить сертифицированный аппаратно-програмный файервол за тыс 200-600, например ДИОНИС. 2. Купить ПК, Сертифицированный програмный Фаервол, аттестовать самим. Выйтет для 1 штуки тоже самое, если не  дороже, долго, муторно, ответственно, и не бесплатно для конторы, но Вам и спасибо не скажут. ОТВЕЧАТЬ БУДЕТЕ ВЫ.  КСТАТИ ЕСТЬ ТАКАЯ НОРМА в Гражданском Кодексе : Срок давности на Взысканние убытков <=3 года, (Даже если сотрудник уволился). 3. выгружать отчетность в файл на отдельную дискету. и с дискетой двигать на ПК с Инетом. 4. пОХерить П.1-3. И РАБОТАТЬ. Сообщить варианты руководству и ждать реакции или проверки.   Цитата: Цитата:Все таки, что есть "изолированная сеть"? Есть какое-то определение?   1. Никуда и ни кчему не подключеная с ограниченым доступом- дешево и сердито 2. Спец. Сертифицированые средства защиты(файервол с криптография) - дорого.     Цитата: Цитата:Если в ЛС ЕСть сервера и сервисы, то они тоже должны быть сертифицированы и аттестваны по требуемому классу защиты.     Нет никакой сертификации, а темболее аттестации сервисов Это смотря КАК. Если В защищаемой сети есть Сервер на сертифированом железе с сертифицированной ОС, а надо запусть на нем почту, WEBсервер, файловую систему с криптографией и т.д. При этом эти новые сужбы "сторонние"? Тогда надо аттестовывать и их. Если же они встроены в ОС или ПО и сертифицированы в их составе - тогда ненадо.   Локальная сеть это комплекс. защита комплекса НЕ может быть ВЫШЕ, чем защита ЛЮБОГО элемента с НАИМЕНЬШИМ уровнем защиты. потому достаточно одного незащищенного элемента и ВСЯ ваша защита =00000,0.   Вынесите эту простую мысь в шапку и красным цветом, БОЛЬШИМИ БУКВАМИ.   Для этого все сервисы и службы должны быть в сети. иначе начинаются сложности+деньги. Цитата: Цитата:   Цитата:   >сли между двумя сетями стоит сервер, который отдает сервисы в обе сети, но не является   >шлюзом, такие сети изолированы друг от друга?     С этого места поподробнее, имеется ввиду СУБД или нет?     Нет... Есть сеть А. Есть сеть B. И есть сервер с двумя сетевухами, который одной сетевухой смотрит в сеть А, а другой - в сеть B. На нем расположен, скажем, консультант. Сети А и B будут изолированными?   Хе, VLAN не является(НЕ ПРИЗНАНА) сертифицированой технологией для разграничения сетей/доступа. Для коммерческих сетей - дешево и сердито. Даже если применить криптографию, то на свичах есть транк порты(более чем 1 VLAN- объединение 1 VLAN сетей, например для общих серверов) и перевод порта в спец режим отладки - перенаправление всего трафика на определенный IP. )   Между обычной и защищаемой сетью должен быть файервол, если вы не хотите защищать сервер "между сетями".   В вашем случае сети А и Б будут - не изолировыаны(сервер в 2-х сетях заходи и ты в защищенной сети); - не защищены !!!!!! . Всего записей: 125 | Зарегистр. 23-11-2006 | Отправлено: 09:00 11-08-2009

YurikGL Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: Вам нужно атестовать арм АРМ включает в себя софт, который регулярно (раз в неделю) модифицируется. Как быть? Аттестовывать раз в неделю?     Если не требуется сертификат на WinRAR, то почему от требуется на операционную систему?  Или все же не требуется, просто цена вопроса аттестации будет выше?   Цитата: Нет не будет.   А если в общей локалке делать VPN на сертифицированный шлюз, за которым защищаемая зона? А в локалке есть инет?   Цитата:   Цитата: 3. выгружать отчетность в файл на отдельную дискету. и с дискетой двигать на ПК с Инетом. Самый лучший вариант   Т.е. иметь отдельную версию 1С-ки за отдельные деньги.... Так что ли? Всего записей: 308 | Зарегистр. 02-09-2004 | Отправлено: 10:28 11-08-2009 | Исправлено: YurikGL, 10:36 11-08-2009

YurikGL Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору >Потому что все наложенные средства защиты живут на ней. Причем если используются   >наложенные средства защиты то сертифицированная винда не нужна нужна  просто   >лицензионная.   Как быть с Linux ? Только Alt или Mandriva Spring 2008 ? Если вторая установлена из бесплатного дистрибутива?   >Подключения к инету в класическом понимании вообсче запрещено, под инетом понимается > наличие защищенного крипто канала через недоверенную среду (например интернет).   эээ... для коммерческой организации (а иногда и для гос.организации) подключение к инету необходимо по роду деятельности. Поэтому полностью исключить его нельзя. Особенно если CRM построена на web-приложении, которое смотрит напрямую в инет посетителям. Оттого и вопрос. Попробую описать схему подключения более подробно. Есть локалка, из которой есть наружу проксируемый и NAT-й интернет. В этой локалке стоит сертифицированный VPN-сервер, за которым находится защищаемая зона. При подключении к защищаемой зоне каждый компьютер создает PPTP (IpSEC или подобное) соединение до VPN-сервера. Для большей надежности можно разрешить создание такого соединения только при наличии е-токена. Насколько данная схема допустима с точки зрения 152-ФЗ   Цитата: А что обновляться с флешки нельзя? Речь не об обновлении, а о необходимости наличия отдельной лицензии, отдельной железки-сервера на которой должно крутиться. Всего записей: 308 | Зарегистр. 02-09-2004 | Отправлено: 12:35 11-08-2009 | Исправлено: YurikGL, 12:36 11-08-2009

YurikGL Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: На это придется потратиться Чет подумалось, что фишка с дискетой и флешкой не пройдет. Причина: На компьютерах защищаемой сети не должно быть дисководов, а USB должны быть отключены. Иначе грош цена безопасности. С точки зрения банальной эрудиции, безопаснее дать контролируемый (проксируемый, NAT-й, логирумый, зафайрволленй и т.д.) выход в инет, чем оставить бесконтрольными USB-порты.   И еще вопрос: как быть если персональные данные все же необходимо передавать через интернет? Скажем, филиалу банка сдавать отчетность по кредитам в центр? Скажем, из Петропавловско-Камчатского в Москву?   p.s. А что насчет бесплатного дистрибутива Mandriva? На нее то сертификат типа тоже есть. Всего записей: 308 | Зарегистр. 02-09-2004 | Отправлено: 19:57 11-08-2009

YurikGL Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: Пойдет поверь мне мы саме раз 20 так аттестовывали. Т.е. считается, что неконтролируемый USB безопаснее, чем контролируемый инет? Но ведь при этом очевидно, что вероятность утечки возрастает (вопрос риторический)?     Цитата: Можно используйте ViPNet сертификат 1549. Имено ваш случай, вам не нужен интернет вам нужен доверенный канал через него. Тогда не совсем ясно, что значит "отсутствие подключения к сети Internet". Ведь что бы сделать внешнее соединение, нужно иметь белые IP с обоих сторон. Т.е. железки, находящиеся в защищаемой зоне должны иметь белые IP с другой стороны. Кроме того, на локальных компьютерах в качестве шлюза должена быть железка, которая смотрит в инет.     Цитата: Только вот вопрос какой класс испдн если 1 то его не хватит. А можно ссылку на документ (желательно с указанием пункта) где указано, что ОС обязательно должна быть сертифицирована, а прикладное ПО - нет? И где указано какому классов сертификации операционных систем классам испдн? Всего записей: 308 | Зарегистр. 02-09-2004 | Отправлено: 20:42 11-08-2009

Tim2000 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Затраты организаций и предприятий по всей этой сертификации будут просто бешенными..   Имхо, при вступлении сабжевого закона в силу, проведутся несколько громких проверок (показательных, как это называется) и всё стихнет. При том я сильно сомневаюсь, что эти проверки коснуться гос.организаций, тут кто-то уже говорил об этом.. Всего записей: 860 | Зарегистр. 07-11-2006 | Отправлено: 07:13 12-08-2009

YurikGL Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: Имхо, при вступлении сабжевого закона в силу,   Закон уже вступил в силу   Цитата: При том я сильно сомневаюсь, что эти проверки коснуться гос.организаций Уже коснулись.   Всего записей: 308 | Зарегистр. 02-09-2004 | Отправлено: 07:16 12-08-2009

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Вы уже обеспечили защиту персональных данных на предприятии?

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование