Защита персональных данных с 01.01.2011

[Аноним]

Всем доброго вечера!

На днях задумалась, что изменится с 1 января в отношении персональных данных сотрудников. У нас есть Положение о пордке обработки и защиты персональных данных, есть перечень допущенных лиц, расписка отв. лица за обработку перс. данных.

У кого есть какая-нибудь информация по этому поводу. Какие документы еще необходимы? Учет у нас автоматизирован, однако, нет возможности переплачивать сторонним фирмам за "защиту" всех данных.

Спасибо за отзывы!

[Olivka-k]

у меня такой же вопрос, что делать с этими пер. данными, прочла Приказ 58 , так там еще класс определять надо, говрят штраф 5000 т.р за не выполнение требований!

[Мисс Ватсон]

Была на семинаре по этому вопросу, напугали что будут серьезные проверки по защите перс данных, тоже задемалась! Часть у вас уже сделана, еще мне посоветовали с каждого работника взять его письменное согласие на обработку персональных данныхи указать какие именно данные будут обрабатываться, каким способом будет вестись обработка. Если работаете с перс данными клиентов и с них надо брать письм. согласие на обработку пер. данных. Еще важно хранение этих данных, это сейфы, охранные сигнализации , опечатывание кабинетов ответств. лицами, где хранится инфа. Вобщем чем больше документальных подтверждений о хранении, обработке и защите - тем лучше!
Да .. и про класс, действительно, если организация работает с большим кол-ом перс данных клиентов и работников необходимо подавать в ком. надзор (если память не изменяет ) заявку на определении класса организации 1,2,3 , мы работаем с большим кол-ом перс данных клиентов ( но не как банки и сот компании конечно) , но это такая волокита и трата времени поэтому не буду этого деать, надеюсь того что сделано будет достаточно!

[mvf]

В планах еще на один год перенести введение в действие.

[Мисс Ватсон]

это радует, абсурдный закон! Я когда с клиентов беру письм согласие начинаю обяснять, цитировать выдержки из закона почему я сних беру это чертово согласие на меня смотрят как на полную идиотку, чесн слово

[YUM]

Всем доброго вечера!

На днях задумалась, что изменится с 1 января в отношении персональных данных сотрудников. У нас есть Положение о пордке обработки и защиты персональных данных, есть перечень допущенных лиц, расписка отв. лица за обработку перс. данных.

У кого есть какая-нибудь информация по этому поводу. Какие документы еще необходимы? Учет у нас автоматизирован, однако, нет возможности переплачивать сторонним фирмам за "защиту" всех данных.

Спасибо за отзывы!

Вы еще забыли металлические двери, решетки на окнах во все комнаты, где обрабатываются ИПД.
Сейфы для хранения всех бумажек. А еще - сертификат на программное обеспечение, что оно не содержит "жучков", позволяющих сторонним лицам этим самые ИПД, украсть.
Вот это требование, кстати говоря, делает ВСЮ работу по защите ИПД бессмысленными. Потому, что стоимость получения такого сертификата для разработчика программного обеспечения исчисляется десятками, если не сотнями миллионов рублей.
У нас человек, который пытался выяснить все необходимые разрешения и сертификаты, едва в обморок не упал, когда ему, бодреньким голосом объявили процедуру получения сертификата "безжучковости". Эти "веселые ребятки" затребовали РАСПЕЧАТКУ всего программного кода, проводящего обработку и хранение ИПД. Они-де, просмотрят код...
Скомпилированный исполняемый файл "весит" более 20 мегабайт.Сколько потянет не скомпилированный, тот, который можно читать глазами, даже ориентировочно представить трудно. Таких файлов в нашей системе - 18! Плюс локализованные версии для отдельных видов деятельности. Расчет стоимости "услуги" - за прочитанный мегабайт.
Но и это еще не все. Сертификат выдается на конкретный файл, имеющий определенную CRC.При внесении в него изменений, процедура получения повторяется. И так до бесконечности...
Еще раз убеждаемся в истинности постулата: Законы святы, да исполнители - супостаты!

[Генук]

В планах еще на один год перенести введение в действие.

в первом чтении приняли поправку депутата В.Плигина, члена генсовета ЕР...

ко второму чтению (завтра) уже закон звучит так:
http://www.duma.gov.ru/faces/lawsear...jsp?c=444277-5

Статья 1
Внести в часть 3 статьи 25 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, № 31, ст. 3451; 2009, № 52, ст. 6439) изменение, изложив ее в следующей редакции:
«3. Информационные системы персональных данных, созданные до 1 января 2011 года, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 июля 2011 года.».

[mvf]

А я на Морозовский смотрел:
http://asozd2.duma.gov.ru/main.nsf/(...RN=262191-5&02

...заменив слова "не позднее 1 января 2010 года" словами "не позднее 1 января 2012 года".

[Alex_50]

Еще забыли про стулья, на которых сидим. полный абсурд

[Аноним]

Спасибо всем, порадовали хорошей новостью!

Но, этот вопрос будет актуалент через год

хочу узнать обязательно ли подавать заявку в Роскомнадзор, если фирма совсем небольшая, как определить свой класс организации?

а еще я прочитала, что 1С готовит "глобальные" нововведения в части защиты перс. данных, например, в конфигурации 1С 8.2
т.е. получается, что в документах можно ссылаться будет на то, что в 1С все защищено, так? и не нежно будет никому переплачивать, так?

[Старый ворчун]

Урроды!

Фирма обязана обеспечить доступ к персональным данным работников чертовой уйме проверяльщиков из чертовой уймы проверятельных контор + обязана "предоставлять" эти данные наложке, ПФР, частично ФСС.

Все эти проверки и предоставления не имеют никакого отношения к правилам секретного делопроизводства, т.е. данные никак не защищены от любых утечек.

И ко всему этому бардаку гэбьё сочинило ещё один дебильный закон - мало они наварили на ГАС-Выборы, ЕГАИС-водка и ЭКЛЗ.

[Аноним]

это о ком так???

у Вас есть-какие-нибудь доки по защите перс. даннх?

[Старый ворчун]

это о ком так???

если вопрос ко мне - об авторах закона и депутатах.

у Вас есть-какие-нибудь доки по защите перс. даннх?

какие доки? какая защита?
через месяц в ПФР и ИФНС будут свободно валяться тонны бумаг с этими самыми персональными данными (персучет и 2ндфл).

[lubezniy]

На днях видел доки, что разослал один из московских госорганов по подведомственным структурам - методические рекомендации по приведению ИСПДн в соответствие с законодательством. В пакете несколько десятков документов общим объёмом примерно 1000 страниц. Пока всё ниасилил, но общее впечатление - всё забюрократизировано донельзя.
С другой стороны, сейчас самостоятельно занимаюсь изучением этого вопроса. Впечатление таково: некоторые аспекты проверок можно размазать по стенке в любом суде при попытке оштрафовать контору. В свободное от работы время готовлю развёрнутый материал на эту тему. Может быть, успею подготовить ещё онлайн-помощники по классификации ИСПДн и подготовке доков.

[rina461]

Будем очень признательны за Ваш труд для всех!!! Ждем с нетерпением!!!

[Аноним]

На днях видел доки, что разослал один из московских госорганов по подведомственным структурам - методические рекомендации по приведению ИСПДн в соответствие с законодательством. В пакете несколько десятков документов общим объёмом примерно 1000 страниц. Пока всё ниасилил, но общее впечатление - всё забюрократизировано донельзя.
С другой стороны, сейчас самостоятельно занимаюсь изучением этого вопроса. Впечатление таково: некоторые аспекты проверок можно размазать по стенке в любом суде при попытке оштрафовать контору. В свободное от работы время готовлю развёрнутый материал на эту тему. Может быть, успею подготовить ещё онлайн-помощники по классификации ИСПДн и подготовке доков.

lubezniy, как у Вас продвигаются дела? Можете поделиться наработками?

[YUM]

На днях видел доки, что разослал один из московских госорганов по подведомственным структурам - методические рекомендации по приведению ИСПДн в соответствие с законодательством. В пакете несколько десятков документов общим объёмом примерно 1000 страниц. Пока всё ниасилил, но общее впечатление - всё забюрократизировано донельзя.
С другой стороны, сейчас самостоятельно занимаюсь изучением этого вопроса. Впечатление таково: некоторые аспекты проверок можно размазать по стенке в любом суде при попытке оштрафовать контору. В свободное от работы время готовлю развёрнутый материал на эту тему. Может быть, успею подготовить ещё онлайн-помощники по классификации ИСПДн и подготовке доков.

Решения у этого вопроса (исполнение требований "рекомендаций") не существует в принципе.Ни за какие деньги.
Вот только два примера:
ограничить доступ к компьютерам. Это как? Сдавать их на склад по вечерам и получать взад обратно? Оборвать все сетевые кабели? Ну ладно, во время оно, пишущие машинки на праздники все собрались под замок, а что делать с принтерами? Их тоже? А зачем? Вон в телике показывают банкира с Каймановых островов- скинул ИПД на диски и все дела.
Второй пример.Для получения сертификата защищенности ПО (ну, чтобы там жучка на утечку не вставили) необходимо представить РАСПЕЧАТАННЫЙ код исполняемого и других файлов. Его, с умным видом, кто-то ТАМ ПОЧИТАЕТ. Ха-ха, три раза! У нас в скомпилированном виде каждый модуль "весит" 20 мб. а в распечатанном? Счет пойдет на килограммы бумаги. Если не центнеры! Но даже если такое и свершится, то "сертификат" выдадут на мертвого экзешника.Никаких исправлений в него вносить нельзя.Если внес- пожалуй за новым сертификатом. С нашим законотворчеством, даже без учета собственных багов, мы за этими сертификатами будем ходить чаще чем к клиентам.
И в довершение, "за посмотреть", аффилированные к неким дядям компашечки, берут денежки.Примерно миллион за файл. У нас только стандартных экзешников -18. Плюс локализованные. Итого?
Не хило кто-то устроился.

[lubezniy]

Решения у жтого вопроса (исполнение требований "рекомендаций") не существует в принципе.Ни за какие деньги.

Рекомендации можно понимать по-разному. В любом случае в теории не бывает систем, из которых нельзя что-нибудь украсть. Весь вопрос только в том, сколько времени и ресурсов на это уйдёт, и хорошая защита - это не та, которая не даёт украсть, а та, которая не даёт сделать это быстро и просто. Профессионалы это хорошо понимают. При всём при этом хорошая защита стоит дорого, и это тоже приходится учитывать. Но мы не об этом, а о бумажках, которыми положено задницу прикрывать.

Вот только два примера:
ограничить доступ к компьютерам. Это как? Сдавать их на склад по вечерам и получать взад обратно? Оборвать все сетевые кабели? Ну ладно, во время оно, пишущие машинки на праздники все собрались под замок, а что делать с принтерами? Их тоже? А зачем? Вон в телике показывают банкира с Каймановых островов- скинул ИПД на диски и все дела.

В теории да. Можно, в конце концов, просто украсть компьютеры и стырить с них данные (правда, это тоже не всегда простая задача - видел я отдельные защиты своими глазами и даже пытался с ведома хозяев их поломать жёсткими методами - безуспешно). А практика состоит в том, чтобы лица, не допущенные к работе с данными, не могли что-либо записать на диск, вывести на принтер или передать по сети. А допущенное лицо можно привлечь.

Второй пример.Для получения сертификата защищенности ПО (ну, чтобы там жучка на утечку не вставили) необходимо представить РАСПЕЧАТАННЫЙ код исполняемого и других файлов. Его, с умным видом, кто-то ТАМ ПОЧИТАЕТ. Ха-ха, три раза! У нас в скомпилированном виде каждый модуль "весит" 20 мб. а в распечатанном? Но даже если такое и свершится, то "сертификат" выдадут на мертвого экзешника.Никаких исправлений в него вносить нельзя.Если внес- пожалуй за новым сертификатом. С нашим законотворчеством, даже без учета собственных багов, мы за этими сертификатами будем ходить чаще чем к клиентам.
И в довершение, "за посмотреть", аффилированные к неким дядям компашечки, берут денежки.Примерно миллион за файл. Итого?
Не хило кто-то устроился.

Лучший метод защиты от утечек - это не сертификация, а разграничение прав доступа для программ, чтобы не давать им возможности проявлять излишнюю сетевую активность, лезть в систему куда не надо и т. п.
А сертификации можно подвергнуть, скажем, не всю программу, а её некую неизменную часть, которая вызывает изменяемые куски. Как у антивирусов - есть ядро программы (меняется сравнительно редко), а есть постоянно меняющиеся вирусные базы.

[YUM]

Рекомендации можно понимать по-разному. В любом случае в теории не бывает систем, из которых нельзя что-нибудь украсть. Весь вопрос только в том, сколько времени и ресурсов на это уйдёт, и хорошая защита - это не та, которая не даёт украсть, а та, которая не даёт сделать это быстро и просто. Профессионалы это хорошо понимают. При всём при этом хорошая защита стоит дорого, и это тоже приходится учитывать. Но мы не об этом, а о бумажках, которыми положено задницу прикрывать.

Т.е. вместо реальной защиты имеем ее видимость.Какой в ней смысл?

...
Лучший метод защиты от утечек - это не сертификация, а разграничение прав доступа для программ, чтобы не давать им возможности проявлять излишнюю сетевую активность, лезть в систему куда не надо и т. п.
А сертификации можно подвергнуть, скажем, не всю программу, а её некую неизменную часть, которая вызывает изменяемые куски. Как у антивирусов - есть ядро программы (меняется сравнительно редко), а есть постоянно меняющиеся вирусные базы.

Ваши слова, да Богу в уши!
Наш работник ТРИ МЕСЯЦА пытался хоть что-то выяснить у "компетентных" организаций (не органов!)
но он даже зарегестрироваться не смог у них на сайте.
Только телефонное бла-бла-бла, причем каждый раз с новым, мало "компетентным", работником. НИКТО НИЧЕГО НЕ ЗНАЕТ!
Никаких решений!

[lubezniy]

Т.е. вместо реальной защиты имеем ее видимость.Какой в ней смысл?

Точно такой же, который в законе. Защищать надо то, что есть от кого защищать, и там, откуда крадут. А от остального приходится отписываться.

Ваши слова, да Богу в уши!
Наш работник ТРИ МЕСЯЦА пытался хоть что-то выяснить у "компетентных" организаций (не органов!)
но он даже зарегестрироваться не смог у них на сайте.
Только телефонное бла-бла-бла, причем каждый раз с новым, мало "компетентным", работником. НИКТО НИЧЕГО НЕ ЗНАЕТ!
Никаких решений!

Естественно. Это же госслужба. Там ляпни что не так (не в смысле неправильно, а в смысле "не понравится начальству, прокуратуре или кому-то ещё") - вмиг пистон хороший вставят. Вот и культивируют там безделие и безответственность. И говорить там никто ничего не хочет.

[BorisG]

... Это же госслужба. ...

Ну не смеши.
Какая госслужба?
Речь идет о "придворных" организациях, которые берутся разъяснять, толковать и прочее. Потому YUM и написал слово "компетентных" в кавычках и прямо указал, что это не органы.
По сути, идет банально распил бюджетного бабла.

[lubezniy]

Ну не смеши.
Какая госслужба?
Речь идет о "придворных" организациях, которые берутся разъяснять, толковать и прочее. Потому YUM и написал слово "компетентных" в кавычках и прямо указал, что это не органы.
По сути, идет банально распил бюджетного бабла.

Можно подумать, что органы у нас в этом плане компетентные (без кавычек). Лично я про ФСТЭК подумал.

[Лёнка]

а если я прикинусь,что у меня каменный век и я все данные веду на бумаге...я должна дяденек с автоматом нанимать???

[lubezniy]

Сорри. Торможу... пропустил, что не органы.

[YUM]

Ну не смеши.
Какая госслужба?
Речь идет о "придворных" организациях, которые берутся разъяснять, толковать и прочее. Потому YUM и написал слово "компетентных" в кавычках и прямо указал, что это не органы.
По сути, идет банально распил бюджетного бабла.

не "бюджетного", а нашего. С моего конкретного кармана.
Я же, чтобы этим дармоедам заплатить, должен с кого-то получить. Соответственно, этот "кто-то" также с кого-то.
В итоге -> себестоимость-> цена-> мой карман.
Без всякого пришлого к нам болтания про "налогоплательщика", который содержит...
Кстати и эта ветка накручивания в этой-же схеме.

[Kassir]

Простите, я правильно понимаю, что если взять упрощенно, то в стране принят закон, требования которого фактически не могут быть выполнимы большинстовм мелких и средних организаций, и соответственно, получился прекрасный "крючок", на которые можно поймать эти самые организации? Разъясните.

[Старый ворчун]

Простите, я правильно понимаю, что если взять упрощенно, то в стране принят закон, требования которого фактически не могут быть выполнимы большинстовм мелких и средних организаций, и соответственно, получился прекрасный "крючок", на которые можно поймать эти самые организации? Разъясните.

не совсем правильно.
для начала - требования этого закона не могут быть даже поняты нормальным человеком с высшим техническим и/или юридическим образованием и стажем работы, какое уж тут может выполнение.
так что будут ходить и собирать взятки.


=============
с квартплатными квитанциями за декабрь бумажку принесли - "Согласие на обработку персональных данных". хотят, чтобы я подписал, что согласен на обработку моих данных расчетно-кассовым центром. ну подпишу я её и еще штук пять таких же - прибавится у меня счастья по сравнению с кошмарными десятилетиями, прожитыми мной без восхитительного закона 152-фз?
или защищенности прибавится?

[Kassir]

Старый ворчун, ну как же

не совсем правильно.

если

будут ходить и собирать взятки.

это то, что я и имел ввиду, когда писал

получился прекрасный "крючок", на которые можно поймать эти самые организации

причем практически любые.

А разве нет?

[lubezniy]

а если я прикинусь,что у меня каменный век и я все данные веду на бумаге...я должна дяденек с автоматом нанимать???

По бумаге тагумент отдельный есть (впридачу к 152-ФЗ).

[Старый ворчун]

Старый ворчун, ну как же
если
это то, что я и имел ввиду, когда писал
причем практически любые.

А разве нет?

да.