ФЗ №152 (о защите персональных данных)

[Andrey Ford]

Тоесть надо сертифицировать 1С? Это шутка такая или серьезно? Думаю этим вопросом всетаки должны в самом 1С заниматься а не каждый ее пользователь (фирма ее использующая).

я тебе про это и сказал,1С должна,но если не будет,проблемы будут твои
но помимо этого тебе еще надо написать кучу всяких умных бумаг

 

[Phoenix]

Кто что делает по нему, осталось ждать до 01.01.2010?

поставлю паролина винду - для юзверей, на 1с для юзверей, витуху спрячу в трубу где её видать, поствлю каспя или нода вместо вёба, тырнет будет только когда лично разрешу, контроль на физ уровне, в тумбочках сзади пломбы и сетка рабица, перепишу номерва винтов, напиш служебку(точнее уже написал) по правилам юзанья ПК под подпись.
И хорош, мы 3ий класс... до нас особо дела нет.

П.С. криптографию - ф топку, макс- паролить раром некоторые вещи, а то чё то накладно и больно геморно будет.

 

[Andrey Ford]

поставлю паролина винду - для юзверей, на 1с для юзверей, витуху спрячу в трубу где её видать, поствлю каспя или нода вместо вёба, тырнет будет только когда лично разрешу, контроль на физ уровне, в тумбочках сзади пломбы и сетка рабица, перепишу номерва винтов, напиш служебку(точнее уже написал) по правилам юзанья ПК под подпись.
И хорош, мы 3ий класс... до нас особо дела нет.

П.С. криптографию - ф топку, макс- паролить раром некоторые вещи, а то чё то накладно и больно геморно будет.

гы, а модель угроз писать не будешь? а регламент по обработке и защите инфы не будешь? ну и все в этом же духеrankster:
для 3 класса надо

 

[Phoenix]

гы, а модель угроз писать не будешь? а регламент по обработке и защите инфы не будешь? ну и все в этом же духеrankster:
для 3 класса надо

модель угроз - сообразна защите (ну точнее наоборот)... первое что напшу - учреждение режимое - вход по пропускам ну и т.д. (в принципе эта сказка тоже месяц назад написана ) )
Ну а что? физически изолировать сеть - сделаем-с, програно - тож не вопрос, кто работает с инфой только и могёт упереть - а от этого не спасёшься.

вроди 3ий класс на скокая с ФЗ помню "может вызвать небольшое неудобство в случае утечки инфы", короче данные типа, место жилья и работы, ничего интересного.

 

[Andrey Ford]

модель угроз - сообразна защите (ну точнее наоборот)... первое что напшу - учреждение режимое - вход по пропускам ну и т.д. (в принципе эта сказка тоже месяц назад написана ) )
Ну а что? физически изолировать сеть - сделаем-с, програно - тож не вопрос, кто работает с инфой только и могёт упереть - а от этого не спасёшься.

вроди 3ий класс на скокая с ФЗ помню "может вызвать небольшое неудобство в случае утечки инфы", короче данные типа, место жилья и работы, ничего интересного.

ну так практически все по 3 и идут,тока госучреждения по 1-2,4 -это если у тебя практически одна ручная обработка или обезличенные данные,что из области фантастики
писал согласно базовой модели ФСТЭК? если да и есть документ от ФСТЭК,их документ,выложи суда,твоя модель не нужна,а то месяц ждать

 

[Phoenix]

ну так практически все по 3 и идут,тока госучреждения по 1-2,4 -это если у тебя практически одна ручная обработка или обезличенные данные,что из области фантастики
писал согласно базовой модели ФСТЭК? если да и есть документ от ФСТЭК,их документ,выложи суда,твоя модель не нужна,а то месяц ждать

ФСТЭК - можно полно? что оно должно быть и как выглядеть?

Я пришёл, мне сунули пакет бамажков, там был ФЗ, и ещё хрень какая то. прочёл 2 раза, сел фантазировать.

сейчас сессия, но на днях появлюсь на работе - цапану все бумажки и писанину мою - будет интересно что - скину.

Писал по схеме что там были указаны:
ограничение доступа на территорию
доступа в кабинет
доступа к железу (невозможность незаметного ивлечения и подключения компонентов и устройств, подмены жёстких)
достуа к сети (физического доступа к проводам)

потом по софту:
нет тырнета
ативирь
фаервол (в комплекте с пенсионным ПО випнет, а чо, экономия! )
учётки под виндой создал - никак на них бухгалтеров не разгоню
пароль на программу заставки - её включение через 1 мин бездействия

Инструкцию как действовать при ключении ПК, обнаружении сторонних устройств, "не стандартного" поведения ПК, и что бы если что - всё на юзверя (каким пасс должен быть, как часто менять, где и как хранить и т.д., короче иногда прямой текст из ФЗ)

Но вроди там какая то комиссия должна решать, достаточно ли предпринятых действий или нет.

Я просто как бы не соврать, летом озадачился по этому поводу.

 

[Andrey Ford]

ФСТЭК - можно полно? что оно должно быть и как выглядеть?

Я пришёл, мне сунули пакет бамажков, там был ФЗ, и ещё хрень какая то. прочёл 2 раза, сел фантазировать.

сейчас сессия, но на днях появлюсь на работе - цапану все бумажки и писанину мою - будет интересно что - скину.

Писал по схеме что там были указаны:
ограничение доступа на территорию
доступа в кабинет
доступа к железу (невозможность незаметного ивлечения и подключения компонентов и устройств, подмены жёстких)
достуа к сети (физического доступа к проводам)

потом по софту:
нет тырнета
ативирь
фаервол (в комплекте с пенсионным ПО випнет, а чо, экономия! )
учётки под виндой создал - никак на них бухгалтеров не разгоню
пароль на программу заставки - её включение через 1 мин бездействия

Инструкцию как действовать при ключении ПК, обнаружении сторонних устройств, "не стандартного" поведения ПК, и что бы если что - всё на юзверя (каким пасс должен быть, как часто менять, где и как хранить и т.д., короче иногда прямой текст из ФЗ)

Но вроди там какая то комиссия должна решать, достаточно ли предпринятых действий или нет.

Я просто как бы не соврать, летом озадачился по этому поводу.

просто как точно называется не помню,в инете есть наименования, помню,что от 15 февраля, это все документы ФСТЭК,можэт тебе их и дали,раз писал по предложенной схеме
я то озаботился только сейчас

 

[Phoenix]

просто как точно называется не помню,в инете есть наименования, помню,что от 15 февраля, это все документы ФСТЭК,можэт тебе их и дали,раз писал по предложенной схеме
я то озаботился только сейчас

ХЗ, МБ, но там как я понял всё комиссия должна решать и т.д.... так что всё ран я остался в непонятках...
вобщем, бамажки отковыряю, будет что интересное - личку стукну

 

[Al_Samuel]

Мрак то какой :smile2:

 

[Andrey Ford]

модераторы,объедините пож-та темы
http://www.autosaratov.ru/phorum/showthread.php?t=79567

 

[svv]

3. Установить на компы СЗИ от несанкционированного доступа, аттестованные ФСТЭК. В принципе достаточно установить WinXp, имеющую такой сертификат.

В принципе - недостаточно.
"Такого" сертификата нет у WinXp, поскольку система не является средством защиты от НСД.

 

[svv]

поставлю паролина винду - для юзверей, на 1с для юзверей, витуху спрячу в трубу где её видать, поствлю каспя или нода вместо вёба,

"Вёба" можно оставить, но серифицированную версию 4.44.
Если каспера, то коробки 2009/2010 не проканают, надо брать WorkSpace Security или BusinessSpace Security, устанавливать из серитифицированного дистрибутива (версия от 2007 года), к дистрибутиву должен быть формуляр и т.д. Даже если установлено будет из правильного дистрибутива, но формуляра нет - нарушение.
У нода тоже надо приобретать сертифицированный дистрибутив.
Под это дело производители подняли цену: был дистрибутив по 40 рублей, а теперь от 500 до 2000 руб у Kасперского. У нода - 2500 руб. Это только дистрибутив, а лицензии - само собой, надо покупать на нужное количество защищаемых объектов.

По некоторым бредовым обзорам производителей средств защиты - на каждые примерно 20 человек населения есть 1 потенциальный обработчик персданных (организация, которая должна будет соответствовать требованиям). Пока незаметно, что кто-то серьёзно к этим требованиям отнёсся. Дело недешевое, многим организациям просто не под силу будет выполнить эти требования. В каждой конторе теперь будет нужен специальный человек (хорошо, если один, а то и целый отдел/управление бездельников), который должен быть в курсе этих требований, должен будет знать, за что его контора (и без того дышащая на ладан) может быть подвергнута санкциям, если требования не будут выполнены.

Дело тёмное. Видимо, большинство рассуждает так: "Торопиться не надо - ещё может подоспеть приказ об отмене/отсрочке этой мутоты".
Хотя, в свете последних бредней про сокращение часовых поясов, кажется мне: чем абсурдней нововведение (а других и не припоминается за последние 15 лет), тем с большим тщанием проверяющие будут требовать выполнения.

 

[Net]

Обработка в 1С как обычно. Полностью руками кадры по моему никто не обрабатывает.

а чем их, простите, в комп вносят?

инструкции и положения по ограничению доступа к информации

уже довольно продолжительное время в каждой организации д/б документ, регламентирующий получение, обработку, хранение, уничтожение ПД работников.Входит в состав ЛНА и доводится до сведения работника при приеме под подпись. Кроме того, практикуется получение у сотрудника разрешение в письменной форме на обработку его ПД. (например для получения мед.полисов, зарплатных карт)

трудовые книжки спрятать в сейф

по инструкции, собственно, их оттуда никто и не вынимал....

 

[Anthrax]

В принципе - недостаточно.
"Такого" сертификата нет у WinXp, поскольку система не является средством защиты от НСД.

http://www.microsoft.com/Rus/Security/Certificate/results.mspx

 

[Andrey Ford]

коллеги,у кого есть от ФСТЭК документ от 15 февраля с методикой построения базовой модели угроз, выложите суда плиз

 

[Romario]

это ДСПшные документы, их только по запросу присылают, в инете их нет. И присылают их в бумажном виде.

 

[эрмак]

Тут навеяло: помниться копировальная и печатная техника должна тоже определенным образом сертифицироваться и контролироваться. Как бы и не отменял никто.
Есть большое желание подождать до 10 года и посмотреть что будет с ЭТИМ конкретным законом. Мнеозвучили вилку штрафов и когда стоимость создания струкруты обработки в рамках этого закона подошла к вершней граници вилки я что-то еще больше стал думать на тему "подождать". "Как есть" закон мягко говоря глупый получается.

 

[Andrey Ford]

это ДСПшные документы, их только по запросу присылают, в инете их нет. И присылают их в бумажном виде.

я знаю ,с двух они уже сняли ДСП, тем более,если его высылают всем,какой он ДСП

отсканировал и выложил или переслал

 

[Andrey Ford]

читаем

Статья 22. Уведомление об обработке персональных данных

1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
4) являющихся общедоступными персональными данными;
5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;
6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.

Вопросы
1)так как все практически используют данные только при расчете з/п и кадровой службой и их связывают трудовые отношения,то уведомлять не надо?
2) компания коммерческая и выписывает счета ип, там по идее тоже есть данные, приходные ордера в кассу от сторонних физлиц,тогда уведомлять всетаки надо?

 

[Andrey Ford]

коллеги, у кого как с наработками по этому закону?