ФЗ о Персональных Данных

Давайте все ж вернемся к тому - когда появляется точно ОБЯЗАТЕЛЬНАЯ потребность в сертификации - для небольшой конторы торгующей всякой фигней надо?
0
От пользователя tiu
кроме "смайла" на такой вопрос ответить нечего.

Ну могли бы ответить что нибудь. Например название вашей организации...

От пользователя tiu
на самом деле, поскольку текущим задачам удовлетворяет текущая реализация, не вижу смысла в установке проприетарного программного обеспечения. И
чрезмерные требования в виде искусственного принуждения установки винды - бред.

Вспоминается сценка из КВН (как то там так).
-А я в домике.
-А у меня ключ есть!
-А я в белом домике.
-А я Путин. Буду краток.

От пользователя tiu
НЕ готово государство САМО в своих структурах обеспечить присутствие грамотных специалистов по защите информации, а, соответственно, и реализовывать все те положения, что на законодательном
уровне напридумывало само себе.

Вы уж извините, по себе людей не судят.

От пользователя tiu
Только законы наши "законодатели" поменяли. И теперь лицензию получать для собственных нужд - лишняя трата денег.

Да вообще безобразие. Ну нафиг все это. И на митинг - нет перс данным! Нет аттестации! Нет
От пользователя tiu
"Четырёхглавию"
- мутанту!
0
От пользователя ВДУЧ
Давайте все ж вернемся к тому - когда появляется точно ОБЯЗАТЕЛЬНАЯ потребность в сертификации - для небольшой конторы торгующей всякой фигней надо?

Сформулируйте задачу более конкретно. Что за контора. Чем торгует. Сколько человек в штате. Какие перс данные - ФИО, зарплата, сведения о здоровье и т.д. Где обрабатываются\хранятся перс данные.
0
От пользователя Mарио
Сформулируйте задачу более конкретно

Ок - только давайте понимать а влияют ли ответы на результат - нужна ли сертификация
От пользователя Mарио
Что за контора.

Коммерческая
ЗАО, ИП, ООО и так далее
От пользователя Mарио
Чем торгует.

Фаст-фуд. Продукты. Пиво. - вообщем ничего сверхестейственного и запрещенного.
Крепкий алкоголь.
От пользователя Mарио
Сколько человек в штате.

5-10-100-999-1001? Результат влияет?
От пользователя Mарио
Какие перс данные - ФИО, зарплата, сведения о здоровье и т.д.

Здоровье - только больничные
Все остальное стандартное.
От пользователя Mарио
Где обрабатываются\хранятся перс данные.

Что-то в бумажной форме.
Что-то в электронной форме - 1С скажем
0
От пользователя ВДУЧ
5-10-100-999-1001? Результат влияет?

Да влияет. Исходя из этого поймем сможете ли вы вообще получить лицензию или нет (практический опыт). Укажите кол-во человек для оценки ваших финансовых и кадровых возможностей. Ваша организация как мак-пик или 2-3 ларька?

От пользователя ВДУЧ
Все остальное
стандартное.


От пользователя ВДУЧ
Что-то в
электронной форме - 1С скажем

Ну очень подробный ответ. Могу вам ответить что-то надо как-то аттестовать.
Конкретная информация - конкретное решение и ответ.
0
От пользователя Mарио
Ну очень подробный ответ. Могу вам ответить что-то надо как-то аттестовать.

Я хочу понять в общем когда надо а когда нет.

Я могу ответить на ваши вопросы исходя из ИП Пупкин скажем - но это не будет полезно для ООО Гребешок - пока некоторые общие моменты - когда юрикам, с какого момента понадобиться данная лицензия и т.д...
Некие критерии что бы разделять - нужна она или нет.

Что вот с 1001го сотрудника да - все нужно.
Вот медицинское учреждение - нужна потому как данные по здоровью там.
Вот для организаций вне зависимости от численности но допущенных до работы с гостайной скажем нужна.

От пользователя Mарио
Да влияет. Исходя из этого поймем сможете ли вы вообще получить лицензию или нет (практический опыт).

Давайте не про сможем или нет - а про то когда она вообще нужна?
0
tiu
ну давайте разбираться со ссылками на НПА. Марио пишет про лицензирование и аттестацию, ФСТЭК, проверявший организацию, сотрудником коей я являюсь, не нашли нарушения в отсутствии первого и похвалили за второе.

Итак. Пример № 1. Дядя Вася Пупкин. ИП/ООО/ОАО/МУП. без разницы. Сидит в отдельном здании, занимается обычной торговлей. В штате 10 человек. Все живут в одном городе, где расположена контора. Есть отдельный кадровик.
Обязанности конторы: предоставлять информацию в ПФР, Соцстрах, ИФНС.

Направляем в Роскомсвязьнадзор уведомление об обработке ПДн. На их сайте есть форма. Не помню, может, сразу в электронной форме и можно направить.

Считаем ИСПДн. к примеру, их 2: Кадры и Бухгалтерия. Кадровик и бухгалтер сидят в отдельных кабинетах, закрывающихся на ключ.

Информация, обрабатываемая на компьютерах:
Кадры:
Паспортные данные, образование, доп. информация.
Бухгалтерия:
паспортные данные, зарплата, больничные.

Практически:

Определяем организационные моменты: кто имеет доступ в кабинеты, как учитываются ключи, шторы/жалюзи на окнах и т.д.

В соответствии с 55/86/20 проведём классификацию: обе будут К3 (до 1000 человек или в пределах одной организации; персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию. Иные параметры на классификацию не влияют (что, вообще-то странно)).

Теперь строим частную (для конкретной организации) модель угроз. На основании "Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных" и "Методики определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных". Вот здесь под разработанным собственноручно документом может потребоваться подпись лица: либо имеющего лицензию, либо имеющего корочки по защите информации (диплом ВУЗа, "курсы" - не канают).

Теперь открываем Приказ ФТЭК от 5 февраля 2010 года № 58 "Положение о методах и способах защиты информационных системах персональных данных" и на основании построеннной модели угроз определяем методы и способы защиты.

Разрабатываем параллельно порядка 20 различных внутренних документов (как пример можно взять Методические рекомендации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости).

Как итог, разрабатываем "Положение по организации и проведению работ по обеспечению безопасности ПДн при их обработке в ИСПДн", где прописываем достаточно много разных моментов, описанных в разработанных выше документах.

Теперь на "сертифицированных" ПК (пожалуй, они все соответствуют требованиям, мало кто при покупке просит соответствующие документы) устанавливаем "сертифицированное" ПО (на сайте ФСТЭКа, ЕМНИП, есть xls-файл с перечисленными одобренными программами).
Устанавливаем "сертифицированные" устройства - сетевые экраны, маршрутизаторы и пр (в случае, если есть необходимость). Работаем.
На все запросы госорганов представить на электронный адрес информаци, содержащую ПДн отвечаем, что поскольку не обеспечена защита ПДн, передаваемых по средствам сети общего пользования, данные запросы исполнены быть не могут. Как-то так.

Попа начинается, если есть обработка данных, защищаемых с использованием СКЗИ. Здесь начинаются "секреты". Оформляем допуск к гостайне, обращаемся в тот же ФСТЭК, получаем соответствующие документы, разбираемся, реализуем. Либо обращаемся к лицензированной организации и сваливаем с себя кучу забот. Но не ответственности.
0
От пользователя tiu
ФСТЭК, проверявший организацию, сотрудником коей я являюсь

А вот если посмотреть "О пользователе" то у вас там
Место работы/учебы - федераст. Так вы сотрудник ФСТЭК или федераст?
Определитесь пожалуйста. Без, обид. Как то вы самокритичны.
А по тексту - черновой вариант. Ну если криво косо - и так сойдет!
Расписывать все нюансы долго.
Кратко критика.

От пользователя tiu
Вот здесь под разработанным собственноручно документом может потребоваться подпись лица: либо имеющего лицензию, либо имеющего корочки по защите информации (диплом ВУЗа, "курсы" - не канают).

Об этом писал выше.

От пользователя tiu
Разрабатываем параллельно порядка 20 различных внутренних документов

Да легко, щас сяду и напишу за 5 мин.

От пользователя tiu
Теперь на "сертифицированных" ПК (пожалуй, они все соответствуют требованиям, мало кто при покупке просит соответствующие документы)

И вы не просите?

От пользователя tiu
"сертифицированное" ПО

И об этом я писал
От пользователя tiu
На все запросы госорганов представить на электронный адрес информаци, содержащую ПДн
отвечаем, что поскольку не обеспечена защита ПДн, передаваемых по средствам сети общего пользования, данные запросы исполнены быть не могут. Как-то так.

Шифрование с исп сертиф средств? VPN? Создание защищенного канала? Легче отмазаться, ну понимаю можно и так...

От пользователя tiu

Попа начинается, если есть обработка данных, защищаемых с использованием СКЗИ. Здесь начинаются "секреты". Оформляем допуск к
гостайне

Ну чтож вы так. В одну кучу то Перс данные и гостайну. И еще шифрование сюда. Причем здесь гостайна?
0
Vinigal Pau
Расслабиться всем и срочно :-D

Москва, 8 декабря - РИА Новости. Законопроект, предусматривающий ввод в действие закона "О персональных данных" в 2012 году, на год позже ранее установленного срока, во вторник принят Госдумой в первом чтении.

Законопроект "О внесении изменений в статью 25 Федерального закона "О персональных данных" (в части продления срока приведения ранее созданных информационных систем персональных данных в соответствие с требованиями Федерального закона "О персональных данных") принят Госдумой в первом чтении. После доклада депутата от "Справедливой России" Анатолия Аксакова и содоклада председателя Комитета по конституционному законодательству и государственному строительству Владимира Плигина 445 депутатов из 450 проголосовали "за" внесений изменений.

Накануне Аксаков заявил РИА Новости, что законопроект пройдет "с высокой вероятностью". Депутат мотивировал необходимость очередной годичной отсрочки (первая имела место год назад) ввода в действие закона "О персональных данных" тем, что организации, особенно бюджетные, не готовы исполнять закон, и что в нынешнем виде он "является почвой для коррупции". По словам Аксакова, сейчас идет работа над новой версией закона с серьезными концептуальными доработками.

Второе и третье чтение законопроекта, а также рассмотрение его в Совете Федерации и подписание президентом могут состояться еще до конца 2010 года - как показывает опыт, оставшегося до конца декабря времени на завершение процедуры достаточно.

http://law.edu.ru/news/news.asp?newsID=14484
0
ну вот и финита ля комедия :-) еще год будут усиленно трясти бабло с тех у кого оно есть :-) а потом будут вышибать. или если рынок скажет, что бабло еще есть, то снова на год откинут :-) :-D
0
el-m88
только начал составлять акт классификации ИСПД, как возник вопрос, что писать в графе НАИМЕНОВАНИЕ ИСПД?
0
Авторизуйтесь, чтобы принять участие в дискуссии.