ФЗ №152 (о защите персональных данных)

[Andrey Ford]

Кто что делает по нему, осталось ждать до 01.01.2010?

 

[DAE]

поясни о чем идет речь

 

[Andrey Ford]

поясни о чем идет речь

закон почитай, я тебе все пункты не изложу
в кратце: сертификация, шифрация,криптография итд
потом проверки и наложения штрафов, на юрлица до 20т

 

[Alex 777]

Ну так круг субъектов по этому закону весьма ограничен, не?

 

[Mazzay]

Ну так круг субъектов по этому закону весьма ограничен, не?

Персональные данные обрабатываются на любом предприятий. Кадровый учёт, например.

 

[Andrey Ford]

Ну так круг субъектов по этому закону весьма ограничен, не?

неа,касается теперь всех, а ваша контора сертифицирует,правда не все

 

[Anthrax]

1. Написать кучу документов (перечень конфиденциальной информации, инструкции и положения по ограничению доступа к информации, о порядке работы с ПД, о режиме предприятия, и так далее;
2. Выделить компы, на которых производится обработка ПД из сети и обрубить их от инета, вызвать лицензированную ФСТЭК лабораторию для проверки выделенных компов.
3. Установить на компы СЗИ от несанкционированного доступа, аттестованные ФСТЭК. В принципе достаточно установить WinXp, имеющую такой сертификат.
4. Оборудовать помещение сигнализацией, решетками на окнах, трудовые книжки спрятать в сейф, параноики могут поставить защиту от утечек по побочным электромагнитным полям, посадить пограничника с собакой, подходы к серверной заминировать.
Вроде все. Много муторной бумажной и в общем то никчемной работы.

 

[Бармалей]

К тому же все системы обработки персональных данных должны регистрироваться в связьнадзоре, вроде...

Гемор ещё тот. Представители управления ФСТЭК по округу говорили, что вопрос о переносе сроков введения сейчас обсуждается, и возможно в середине декабря будет какое-то решение. Однако ФСТЭК против переноса.

 

[Nivur]

Куча документов делал ... забодался ... даже уведомление в ростехнадзор ужо ушло, типо мы готовы на работе))))

 

[Andrey Ford]

было бы интересно,чтобы в рамках этой темы можно было поделится готовыми документами и инструкциями, не изобретать велосипед
кто то уже готов, кто то начал только готовится
документы как правило типовые и похожие,убрал название организации и можно пользоваться, ну чуть по тексту поменять
какое ПО и средства защиты используют
как то так

 

[Куц]

http://www.samag.ru/forum/index.php/topic,1043.0.html
вот это почитайте...чел под ником axel все правильно излагает! Сам сейчас как раз глубоко изучаю этот вопрос (по долгу учебы приходиться). Сразу кину подсказку по этому вопросу: если есть возможность обезличить базу данных с ПД, т.е. если ее даже кто-то и сопрет, то нельзя будет понять какие данные к кому относяться - действуйте так, класс ПД будет самым низким и соответственно меры на их защиту тоже будут минимальными.

 

[Andrey Ford]

http://www.samag.ru/forum/index.php/topic,1043.0.html
вот это почитайте...чел под ником axel все правильно излагает! Сам сейчас как раз глубоко изучаю этот вопрос (по долгу учебы приходиться). Сразу кину подсказку по этому вопросу: если есть возможность обезличить базу данных с ПД, т.е. если ее даже кто-то и сопрет, то нельзя будет понять какие данные к кому относяться - действуйте так, класс ПД будет самым низким и соответственно меры на их защиту тоже будут минимальными.

не все базы можно обезличить

 

[!Chip]

А есть требования к хранению данных? (ПО, алгоритмы шифрования, надёжность хранения и тд и тп)

 

[эрмак]

Персональные данные обрабатываются на любом предприятий. Кадровый учёт, например.

Собственно насколько я понимаю ситуация такая:
1) ФСТЭК должен проверять операторов обрабатывающих персональные данные на предмет соблюдения закона.
2) Для того чтоб ФСТЭК знал о том кого проверять, оператор должен уведомить его о том что он обрабатывает такие данные:

Статья 22. Уведомление об обработке персональных данных

1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

3) Собственно во второй часте статьи есть вот что:

2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;

Исходя из этого возникает вопрос: всетаки если нет у организации никаких сборов персонально информации кроме обычной информации у кадрового отдела и в бухгалтерии по кадрам (b2b например), то под дейстие этого закона она по этому же закону не попадает. Или попадает?

 

[Andrey Ford]

Собственно насколько я понимаю ситуация такая:
1) ФСТЭК должен проверять операторов обрабатывающих персональные данные на предмет соблюдения закона.
2) Для того чтоб ФСТЭК знал о том кого проверять, оператор должен уведомить его о том что он обрабатывает такие данные:

3) Собственно во второй часте статьи есть вот что:


Исходя из этого возникает вопрос: всетаки если нет у организации никаких сборов персонально информации кроме обычной информации у кадрового отдела и в бухгалтерии по кадрам (b2b например), то под дейстие этого закона она по этому же закону не попадает. Или попадает?

попадает,просто ФСТЭК можешь не уведомлять
если у тебя вообще везде ручная обработка,то тогда тебе положение об архиве, допуск лиц и живи спокойно

 

[эрмак]

если у тебя вообще везде ручная обработка,то тогда тебе положение об архиве, допуск лиц и живи спокойно

Обработка в 1С как обычно. Полностью руками кадры по моему никто не обрабатывает.

 

[Andrey Ford]

Обработка в 1С как обычно. Полностью руками кадры по моему никто не обрабатывает.

тогда попадаешь и у 1С должен быть сертификат ФСТЭК

 

[Romario]

все дело в классификации, можно не сертифицировать только системы ПД 4 класа, для третьево класса ну декларация. Так что почти все попадают под сертификацию.

 

[Andrey Ford]

все дело в классификации, можно не сертифицировать только системы ПД 4 класа, для третьево класса ну декларация. Так что почти все попадают под сертификацию.

сетифицировать 1 и 2 класс, там и лицензировать тоже
ПО нужно сертифицировать

 

[эрмак]

ПО нужно сертифицировать

Тоесть надо сертифицировать 1С? Это шутка такая или серьезно? Думаю этим вопросом всетаки должны в самом 1С заниматься а не каждый ее пользователь (фирма ее использующая).