Ответить в теме

Сообщение от YUM

Попытка гальванизировать труп - Постановление ФСТЭК № 21 от 18.02.2013
Вступило в силу с 02.06.2013 г

Видимо, я очень серый, малограмотный и необразованный человек, но я вообще не понимаю, об чем там речь, что надо или не надо делать, как это все обеспечивать и вообще что означает весь этот набор малопонятных слов.
За исключением одной фразы

могут привлекаться на договорной основе юридическое лицо или индивидуальный предприниматель, имеющие лицензию на деятельность по технической защите конфиденциальной информации.

Попытка гальванизировать труп - Постановление ФСТЭК № 21 от 18.02.2013
Вступило в силу с 02.06.2013 г

Обнаружила нашу компанию в плане проверок Роскомнадзора на 2012 год. Есть уже компании, проходившие такие проверки? Поделитесь опытом. Чего ждать, как они это проводят, на что больше обращают внимание?

Работаем с перс данными клиентов , подали уведомление в роскомнадзор , так сказать "вышли из тени" )) Зарегистрировались в реестре операторов персданных, спецы роскома говорят от нас больше ничего не потребуется никаких отчетов, проверок и т.п. Остальное по минимуму: Положение об обработке перс данных в нашей организации, назначение ответственных лиц за обработку и (или) хранение. Письменное согласие с каждого работника на обработку его перс данных. С клиентов так же письм.согласие. П.С. Всем удачи !!!

а можно для тупых? в итоге то что делать?

во-во, присоединяюсь

Будьте добры ежели кто сталкивался с этой темой или знает конкретно, что сейчас надо делать
отпишитесь

1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;
2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;..."

В свидетельствах о рождении детей (для стандартных вычетов) есть данные о национальности детей и второго родителя, доверенности, выданные на работников покупателей, - здесь субъекты не являются сторонами договора и федеральный закон не устанавливает порядок получения этих данных.

а можно для тупых? в итоге то что делать?

А мы и не начинали ….. кроме нескольких «ягодок»….возраст...

Люди,вы бы хоть внимательно прочли этот закон,особенно статью:"Статья 6. Условия обработки персональных данных

1. Обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.2. Согласия субъекта персональных данных, предусмотренного частью 1 настоящей статьи, не требуется в следующих случаях:
1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;
2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;..."
Мы бешенно начали собирать пакет документов-а потом внимательно стали разбирать каждое слово в законе-и...перестали.

fvd52, выполнять Закон

Интересно, что делать тем ИП, у которых всего 1-2 наемных работника, бутики в аренде площадью 10-15 кв. м, нет бухгалтера и отдела кадров? А таких по стране ох как много!

Сообщение от Olivka-k

у меня такой же вопрос, что делать с этими пер. данными, прочла Приказ 58 , так там еще класс определять надо, говрят штраф 5000 т.р за не выполнение требований!

ПРИМЕРНЫЙ ПЕРЕЧЕНЬ РЕГЛАМЕНТИРУЮЩЕЙ
ДОКУМЕНТАЦИИ ДЛЯ ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ

1. Акт классификации информационной системы персональных данных (ИСПДн).
2. Модель угроз безопасности ПДн при их обработке в ИСПДн (для специальных систем).
3. Определение границ контролируемой зоны ИСПДн.
4. Технический паспорт ИСПДн.
5. Технические паспорта на защищаемые помещения.
6. Электронный журнал регистрации обращений пользователей ИСПДн на получение ПДн.
7. Регламент разграничения прав доступа (Матрица доступа).
8. Приказ о назначении администратора безопасности ИСПДн.
9. Руководство администратора ИСПДн.
10. Руководство пользователя ИСПДн.
11. Приказ об утверждении списка лиц, которым необходим доступ к ПДн, обрабатываемым в ИСПДн, для выполнения служебных (трудовых) обязанностей.
12. Перечень применяемых средств защиты информации (СЗИ).
13. Перечень эксплуатационной и технической документации применяемых СЗИ
14. Перечень носителей ПДн.
15. Заключение о готовности СЗИ к эксплуатации.
16. Политика информационной безопасности в организации.
17. Концепция информационной безопасности ИСПДн в организации.
18. Положение о защите персональных данных.
19. Положение по организации и проведению работ по обеспечению безопасности ПДн при их обработке в ИСПДн.
20. Должностные инструкции персоналу в части обеспечения безопасности ПДн при их обработке в ИСПДн.
21. Рекомендации по использованию программных и аппаратных средств защиты.
22. Положение по организации контроля эффективности защиты информации в организации.
23. Положение об организации режима безопасности помещений, где осуществляется работа с ПДн.
24. Положение о порядке хранения и уничтожения носителей ПДн.
25. Формы учета для организации обработки ПДн (шаблоны, бланки).
26. Отчет об обследования информационных систем.
27. Перечень сведений конфиденциального характера.
28. Приложение к Трудовому договору о неразглашении конфиденциальной информации.
29. Приказ о назначении структурного подразделения или должностного лица, ответственного за обеспечение безопасности ПДн.
30. Копия «Уведомления об обработке ПДн», выписка из реестра операторов ПДн.

Сообщение от Аноним

Всем доброго вечера!

На днях задумалась, что изменится с 1 января в отношении персональных данных сотрудников. У нас есть Положение о пордке обработки и защиты персональных данных, есть перечень допущенных лиц, расписка отв. лица за обработку перс. данных.

У кого есть какая-нибудь информация по этому поводу. Какие документы еще необходимы? Учет у нас автоматизирован, однако, нет возможности переплачивать сторонним фирмам за "защиту" всех данных.

Спасибо за отзывы!

ПРИМЕРНЫЙ ПЕРЕЧЕНЬ РЕГЛАМЕНТИРУЮЩЕЙ
ДОКУМЕНТАЦИИ ДЛЯ ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ

1. Акт классификации информационной системы персональных данных (ИСПДн).
2. Модель угроз безопасности ПДн при их обработке в ИСПДн (для специальных систем).
3. Определение границ контролируемой зоны ИСПДн.
4. Технический паспорт ИСПДн.
5. Технические паспорта на защищаемые помещения.
6. Электронный журнал регистрации обращений пользователей ИСПДн на получение ПДн.
7. Регламент разграничения прав доступа (Матрица доступа).
8. Приказ о назначении администратора безопасности ИСПДн.
9. Руководство администратора ИСПДн.
10. Руководство пользователя ИСПДн.
11. Приказ об утверждении списка лиц, которым необходим доступ к ПДн, обрабатываемым в ИСПДн, для выполнения служебных (трудовых) обязанностей.
12. Перечень применяемых средств защиты информации (СЗИ).
13. Перечень эксплуатационной и технической документации применяемых СЗИ
14. Перечень носителей ПДн.
15. Заключение о готовности СЗИ к эксплуатации.
16. Политика информационной безопасности в организации.
17. Концепция информационной безопасности ИСПДн в организации.
18. Положение о защите персональных данных.
19. Положение по организации и проведению работ по обеспечению безопасности ПДн при их обработке в ИСПДн.
20. Должностные инструкции персоналу в части обеспечения безопасности ПДн при их обработке в ИСПДн.
21. Рекомендации по использованию программных и аппаратных средств защиты.
22. Положение по организации контроля эффективности защиты информации в организации.
23. Положение об организации режима безопасности помещений, где осуществляется работа с ПДн.
24. Положение о порядке хранения и уничтожения носителей ПДн.
25. Формы учета для организации обработки ПДн (шаблоны, бланки).
26. Отчет об обследования информационных систем.
27. Перечень сведений конфиденциального характера.
28. Приложение к Трудовому договору о неразглашении конфиденциальной информации.
29. Приказ о назначении структурного подразделения или должностного лица, ответственного за обеспечение безопасности ПДн.
30. Копия «Уведомления об обработке ПДн», выписка из реестра операторов ПДн.

Сообщение от Kassir

Старый ворчун, ну как же
если
это то, что я и имел ввиду, когда писал
причем практически любые.

А разве нет?

да.

Сообщение от Лёнка

а если я прикинусь,что у меня каменный век и я все данные веду на бумаге...я должна дяденек с автоматом нанимать???

По бумаге тагумент отдельный есть (впридачу к 152-ФЗ).

Старый ворчун, ну как же

не совсем правильно.

если

будут ходить и собирать взятки.

это то, что я и имел ввиду, когда писал

получился прекрасный "крючок", на которые можно поймать эти самые организации

причем практически любые.

А разве нет?

Сообщение от Kassir

Простите, я правильно понимаю, что если взять упрощенно, то в стране принят закон, требования которого фактически не могут быть выполнимы большинстовм мелких и средних организаций, и соответственно, получился прекрасный "крючок", на которые можно поймать эти самые организации? Разъясните.

не совсем правильно.
для начала - требования этого закона не могут быть даже поняты нормальным человеком с высшим техническим и/или юридическим образованием и стажем работы, какое уж тут может выполнение.
так что будут ходить и собирать взятки.


=============
с квартплатными квитанциями за декабрь бумажку принесли - "Согласие на обработку персональных данных". хотят, чтобы я подписал, что согласен на обработку моих данных расчетно-кассовым центром. ну подпишу я её и еще штук пять таких же - прибавится у меня счастья по сравнению с кошмарными десятилетиями, прожитыми мной без восхитительного закона 152-фз?
или защищенности прибавится?

Простите, я правильно понимаю, что если взять упрощенно, то в стране принят закон, требования которого фактически не могут быть выполнимы большинстовм мелких и средних организаций, и соответственно, получился прекрасный "крючок", на которые можно поймать эти самые организации? Разъясните.

Сообщение от BorisG

Ну не смеши.
Какая госслужба?
Речь идет о "придворных" организациях, которые берутся разъяснять, толковать и прочее. Потому YUM и написал слово "компетентных" в кавычках и прямо указал, что это не органы.
По сути, идет банально распил бюджетного бабла.

не "бюджетного", а нашего. С моего конкретного кармана.
Я же, чтобы этим дармоедам заплатить, должен с кого-то получить. Соответственно, этот "кто-то" также с кого-то.
В итоге -> себестоимость-> цена-> мой карман.
Без всякого пришлого к нам болтания про "налогоплательщика", который содержит...
Кстати и эта ветка накручивания в этой-же схеме.

Сорри. Торможу... пропустил, что не органы.

а если я прикинусь,что у меня каменный век и я все данные веду на бумаге...я должна дяденек с автоматом нанимать???

Сообщение от BorisG

Ну не смеши.
Какая госслужба?
Речь идет о "придворных" организациях, которые берутся разъяснять, толковать и прочее. Потому YUM и написал слово "компетентных" в кавычках и прямо указал, что это не органы.
По сути, идет банально распил бюджетного бабла.

Можно подумать, что органы у нас в этом плане компетентные (без кавычек). Лично я про ФСТЭК подумал.

Сообщение от lubezniy

... Это же госслужба. ...

Ну не смеши.
Какая госслужба?
Речь идет о "придворных" организациях, которые берутся разъяснять, толковать и прочее. Потому YUM и написал слово "компетентных" в кавычках и прямо указал, что это не органы.
По сути, идет банально распил бюджетного бабла.

Сообщение от YUM

Т.е. вместо реальной защиты имеем ее видимость.Какой в ней смысл?

Точно такой же, который в законе. Защищать надо то, что есть от кого защищать, и там, откуда крадут. А от остального приходится отписываться.

Сообщение от YUM

Ваши слова, да Богу в уши!
Наш работник ТРИ МЕСЯЦА пытался хоть что-то выяснить у "компетентных" организаций (не органов!)
но он даже зарегестрироваться не смог у них на сайте.
Только телефонное бла-бла-бла, причем каждый раз с новым, мало "компетентным", работником. НИКТО НИЧЕГО НЕ ЗНАЕТ!
Никаких решений!

Естественно. Это же госслужба. Там ляпни что не так (не в смысле неправильно, а в смысле "не понравится начальству, прокуратуре или кому-то ещё") - вмиг пистон хороший вставят. Вот и культивируют там безделие и безответственность. И говорить там никто ничего не хочет.

Сообщение от lubezniy

Рекомендации можно понимать по-разному. В любом случае в теории не бывает систем, из которых нельзя что-нибудь украсть. Весь вопрос только в том, сколько времени и ресурсов на это уйдёт, и хорошая защита - это не та, которая не даёт украсть, а та, которая не даёт сделать это быстро и просто. Профессионалы это хорошо понимают. При всём при этом хорошая защита стоит дорого, и это тоже приходится учитывать. Но мы не об этом, а о бумажках, которыми положено задницу прикрывать.

Т.е. вместо реальной защиты имеем ее видимость.Какой в ней смысл?

Сообщение от lubezniy

...
Лучший метод защиты от утечек - это не сертификация, а разграничение прав доступа для программ, чтобы не давать им возможности проявлять излишнюю сетевую активность, лезть в систему куда не надо и т. п.
А сертификации можно подвергнуть, скажем, не всю программу, а её некую неизменную часть, которая вызывает изменяемые куски. Как у антивирусов - есть ядро программы (меняется сравнительно редко), а есть постоянно меняющиеся вирусные базы.

Ваши слова, да Богу в уши!
Наш работник ТРИ МЕСЯЦА пытался хоть что-то выяснить у "компетентных" организаций (не органов!)
но он даже зарегестрироваться не смог у них на сайте.
Только телефонное бла-бла-бла, причем каждый раз с новым, мало "компетентным", работником. НИКТО НИЧЕГО НЕ ЗНАЕТ!
Никаких решений!

Сообщение от YUM

Решения у жтого вопроса (исполнение требований "рекомендаций") не существует в принципе.Ни за какие деньги.

Рекомендации можно понимать по-разному. В любом случае в теории не бывает систем, из которых нельзя что-нибудь украсть. Весь вопрос только в том, сколько времени и ресурсов на это уйдёт, и хорошая защита - это не та, которая не даёт украсть, а та, которая не даёт сделать это быстро и просто. Профессионалы это хорошо понимают. При всём при этом хорошая защита стоит дорого, и это тоже приходится учитывать. Но мы не об этом, а о бумажках, которыми положено задницу прикрывать.

Сообщение от YUM

Вот только два примера:
ограничить доступ к компьютерам. Это как? Сдавать их на склад по вечерам и получать взад обратно? Оборвать все сетевые кабели? Ну ладно, во время оно, пишущие машинки на праздники все собрались под замок, а что делать с принтерами? Их тоже? А зачем? Вон в телике показывают банкира с Каймановых островов- скинул ИПД на диски и все дела.

В теории да. Можно, в конце концов, просто украсть компьютеры и стырить с них данные (правда, это тоже не всегда простая задача - видел я отдельные защиты своими глазами и даже пытался с ведома хозяев их поломать жёсткими методами - безуспешно). А практика состоит в том, чтобы лица, не допущенные к работе с данными, не могли что-либо записать на диск, вывести на принтер или передать по сети. А допущенное лицо можно привлечь.

Сообщение от YUM

Второй пример.Для получения сертификата защищенности ПО (ну, чтобы там жучка на утечку не вставили) необходимо представить РАСПЕЧАТАННЫЙ код исполняемого и других файлов. Его, с умным видом, кто-то ТАМ ПОЧИТАЕТ. Ха-ха, три раза! У нас в скомпилированном виде каждый модуль "весит" 20 мб. а в распечатанном? Но даже если такое и свершится, то "сертификат" выдадут на мертвого экзешника.Никаких исправлений в него вносить нельзя.Если внес- пожалуй за новым сертификатом. С нашим законотворчеством, даже без учета собственных багов, мы за этими сертификатами будем ходить чаще чем к клиентам.
И в довершение, "за посмотреть", аффилированные к неким дядям компашечки, берут денежки.Примерно миллион за файл. Итого?
Не хило кто-то устроился.

Лучший метод защиты от утечек - это не сертификация, а разграничение прав доступа для программ, чтобы не давать им возможности проявлять излишнюю сетевую активность, лезть в систему куда не надо и т. п.
А сертификации можно подвергнуть, скажем, не всю программу, а её некую неизменную часть, которая вызывает изменяемые куски. Как у антивирусов - есть ядро программы (меняется сравнительно редко), а есть постоянно меняющиеся вирусные базы.

Сообщение от lubezniy

На днях видел доки, что разослал один из московских госорганов по подведомственным структурам - методические рекомендации по приведению ИСПДн в соответствие с законодательством. В пакете несколько десятков документов общим объёмом примерно 1000 страниц. Пока всё ниасилил, но общее впечатление - всё забюрократизировано донельзя.
С другой стороны, сейчас самостоятельно занимаюсь изучением этого вопроса. Впечатление таково: некоторые аспекты проверок можно размазать по стенке в любом суде при попытке оштрафовать контору. В свободное от работы время готовлю развёрнутый материал на эту тему. Может быть, успею подготовить ещё онлайн-помощники по классификации ИСПДн и подготовке доков.

Решения у этого вопроса (исполнение требований "рекомендаций") не существует в принципе.Ни за какие деньги.
Вот только два примера:
ограничить доступ к компьютерам. Это как? Сдавать их на склад по вечерам и получать взад обратно? Оборвать все сетевые кабели? Ну ладно, во время оно, пишущие машинки на праздники все собрались под замок, а что делать с принтерами? Их тоже? А зачем? Вон в телике показывают банкира с Каймановых островов- скинул ИПД на диски и все дела.
Второй пример.Для получения сертификата защищенности ПО (ну, чтобы там жучка на утечку не вставили) необходимо представить РАСПЕЧАТАННЫЙ код исполняемого и других файлов. Его, с умным видом, кто-то ТАМ ПОЧИТАЕТ. Ха-ха, три раза! У нас в скомпилированном виде каждый модуль "весит" 20 мб. а в распечатанном? Счет пойдет на килограммы бумаги. Если не центнеры! Но даже если такое и свершится, то "сертификат" выдадут на мертвого экзешника.Никаких исправлений в него вносить нельзя.Если внес- пожалуй за новым сертификатом. С нашим законотворчеством, даже без учета собственных багов, мы за этими сертификатами будем ходить чаще чем к клиентам.
И в довершение, "за посмотреть", аффилированные к неким дядям компашечки, берут денежки.Примерно миллион за файл. У нас только стандартных экзешников -18. Плюс локализованные. Итого?
Не хило кто-то устроился.

Сообщение от lubezniy

На днях видел доки, что разослал один из московских госорганов по подведомственным структурам - методические рекомендации по приведению ИСПДн в соответствие с законодательством. В пакете несколько десятков документов общим объёмом примерно 1000 страниц. Пока всё ниасилил, но общее впечатление - всё забюрократизировано донельзя.
С другой стороны, сейчас самостоятельно занимаюсь изучением этого вопроса. Впечатление таково: некоторые аспекты проверок можно размазать по стенке в любом суде при попытке оштрафовать контору. В свободное от работы время готовлю развёрнутый материал на эту тему. Может быть, успею подготовить ещё онлайн-помощники по классификации ИСПДн и подготовке доков.

lubezniy, как у Вас продвигаются дела? Можете поделиться наработками?

Будем очень признательны за Ваш труд для всех!!! Ждем с нетерпением!!!

На днях видел доки, что разослал один из московских госорганов по подведомственным структурам - методические рекомендации по приведению ИСПДн в соответствие с законодательством. В пакете несколько десятков документов общим объёмом примерно 1000 страниц. Пока всё ниасилил, но общее впечатление - всё забюрократизировано донельзя.
С другой стороны, сейчас самостоятельно занимаюсь изучением этого вопроса. Впечатление таково: некоторые аспекты проверок можно размазать по стенке в любом суде при попытке оштрафовать контору. В свободное от работы время готовлю развёрнутый материал на эту тему. Может быть, успею подготовить ещё онлайн-помощники по классификации ИСПДн и подготовке доков.