ФЗ о Персональных Данных
Давайте все ж вернемся к тому - когда появляется точно ОБЯЗАТЕЛЬНАЯ потребность в сертификации - для небольшой конторы торгующей всякой фигней надо?
кроме "смайла" на такой вопрос ответить нечего.
Ну могли бы ответить что нибудь. Например название вашей организации...
чрезмерные требования в виде искусственного принуждения установки винды - бред.
Вспоминается сценка из КВН (как то там так).
-А я в домике.
-А у меня ключ есть!
-А я в белом домике.
-А я Путин. Буду краток.
уровне напридумывало само себе.
Вы уж извините, по себе людей не судят.
Только законы наши "законодатели" поменяли. И теперь лицензию получать для собственных нужд - лишняя трата денег.
Да вообще безобразие. Ну нафиг все это. И на митинг - нет перс данным! Нет аттестации! Нет
- мутанту!
"Четырёхглавию"
Давайте все ж вернемся к тому - когда появляется точно ОБЯЗАТЕЛЬНАЯ потребность в сертификации - для небольшой конторы торгующей всякой фигней надо?
Сформулируйте задачу более конкретно. Что за контора. Чем торгует. Сколько человек в штате. Какие перс данные - ФИО, зарплата, сведения о здоровье и т.д. Где обрабатываются\хранятся перс данные.
Сформулируйте задачу более конкретно
Ок - только давайте понимать а влияют ли ответы на результат - нужна ли сертификация
Что за контора.
Коммерческая
ЗАО, ИП, ООО и так далее
Чем торгует.
Фаст-фуд. Продукты. Пиво. - вообщем ничего сверхестейственного и запрещенного.
Крепкий алкоголь.
Сколько человек в штате.
5-10-100-999-1001? Результат влияет?
Какие перс данные - ФИО, зарплата, сведения о здоровье и т.д.
Здоровье - только больничные
Все остальное стандартное.
Где
обрабатываются\хранятся перс данные.
Что-то в бумажной форме.
Что-то в электронной форме - 1С скажем
5-10-100-999-1001? Результат влияет?
Да влияет. Исходя из этого поймем сможете ли вы вообще получить лицензию или нет (практический опыт). Укажите кол-во человек для оценки ваших финансовых и кадровых возможностей. Ваша организация как мак-пик или 2-3 ларька?
стандартное.
электронной форме - 1С скажем
Ну очень подробный ответ. Могу вам ответить что-то надо как-то аттестовать.
Конкретная информация - конкретное решение и ответ.
Ну очень подробный ответ. Могу вам ответить что-то надо как-то аттестовать.
Я хочу понять в общем когда надо а когда нет.
Я могу ответить на ваши вопросы исходя из ИП Пупкин скажем - но это не будет полезно для ООО Гребешок - пока некоторые общие моменты - когда юрикам, с какого момента понадобиться данная лицензия и т.д...
Некие критерии что бы разделять - нужна она или нет.
Что вот с 1001го сотрудника да - все нужно.
Вот медицинское учреждение - нужна потому как данные по здоровью там.
Вот для организаций вне зависимости от численности но допущенных до работы с гостайной скажем нужна.
Да влияет. Исходя из этого поймем сможете ли вы вообще получить лицензию или нет (практический опыт).
Давайте не про сможем или нет - а про то когда она вообще нужна?
t
tiu
ну давайте разбираться со ссылками на НПА. Марио пишет про лицензирование и аттестацию, ФСТЭК, проверявший организацию, сотрудником коей я являюсь, не нашли нарушения в отсутствии первого и похвалили за второе.
Итак. Пример № 1. Дядя Вася Пупкин. ИП/ООО/ОАО/МУП. без разницы. Сидит в отдельном здании, занимается обычной торговлей. В штате 10 человек. Все живут в одном городе, где расположена контора. Есть отдельный кадровик.
Обязанности конторы: предоставлять информацию в ПФР, Соцстрах, ИФНС.
Направляем в Роскомсвязьнадзор уведомление об обработке ПДн. На их сайте есть форма. Не помню, может, сразу в электронной форме и можно направить.
Считаем ИСПДн. к примеру, их 2: Кадры и Бухгалтерия. Кадровик и бухгалтер сидят в отдельных кабинетах, закрывающихся на ключ.
Информация, обрабатываемая на компьютерах:
Кадры:
Паспортные данные, образование, доп. информация.
Бухгалтерия:
паспортные данные, зарплата, больничные.
Практически:
Определяем организационные моменты: кто имеет доступ в кабинеты, как учитываются ключи, шторы/жалюзи на окнах и т.д.
В соответствии с 55/86/20 проведём классификацию: обе будут К3 (до 1000 человек или в пределах одной организации; персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию. Иные параметры на классификацию не влияют (что, вообще-то странно)).
Теперь строим частную (для конкретной организации) модель угроз. На основании "Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных" и "Методики определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных". Вот здесь под разработанным собственноручно документом может потребоваться подпись лица: либо имеющего лицензию, либо имеющего корочки по защите информации (диплом ВУЗа, "курсы" - не канают).
Теперь открываем Приказ ФТЭК от 5 февраля 2010 года № 58 "Положение о методах и способах защиты информационных системах персональных данных" и на основании построеннной модели угроз определяем методы и способы защиты.
Разрабатываем параллельно порядка 20 различных внутренних документов (как пример можно взять Методические рекомендации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости).
Как итог, разрабатываем "Положение по организации и проведению работ по обеспечению безопасности ПДн при их обработке в ИСПДн", где прописываем достаточно много разных моментов, описанных в разработанных выше документах.
Теперь на "сертифицированных" ПК (пожалуй, они все соответствуют требованиям, мало кто при покупке просит соответствующие документы) устанавливаем "сертифицированное" ПО (на сайте ФСТЭКа, ЕМНИП, есть xls-файл с перечисленными одобренными программами).
Устанавливаем "сертифицированные" устройства - сетевые экраны, маршрутизаторы и пр (в случае, если есть необходимость). Работаем.
На все запросы госорганов представить на электронный адрес информаци, содержащую ПДн отвечаем, что поскольку не обеспечена защита ПДн, передаваемых по средствам сети общего пользования, данные запросы исполнены быть не могут. Как-то так.
Попа начинается, если есть обработка данных, защищаемых с использованием СКЗИ. Здесь начинаются "секреты". Оформляем допуск к гостайне, обращаемся в тот же ФСТЭК, получаем соответствующие документы, разбираемся, реализуем. Либо обращаемся к лицензированной организации и сваливаем с себя кучу забот. Но не ответственности.
Итак. Пример № 1. Дядя Вася Пупкин. ИП/ООО/ОАО/МУП. без разницы. Сидит в отдельном здании, занимается обычной торговлей. В штате 10 человек. Все живут в одном городе, где расположена контора. Есть отдельный кадровик.
Обязанности конторы: предоставлять информацию в ПФР, Соцстрах, ИФНС.
Направляем в Роскомсвязьнадзор уведомление об обработке ПДн. На их сайте есть форма. Не помню, может, сразу в электронной форме и можно направить.
Считаем ИСПДн. к примеру, их 2: Кадры и Бухгалтерия. Кадровик и бухгалтер сидят в отдельных кабинетах, закрывающихся на ключ.
Информация, обрабатываемая на компьютерах:
Кадры:
Паспортные данные, образование, доп. информация.
Бухгалтерия:
паспортные данные, зарплата, больничные.
Практически:
Определяем организационные моменты: кто имеет доступ в кабинеты, как учитываются ключи, шторы/жалюзи на окнах и т.д.
В соответствии с 55/86/20 проведём классификацию: обе будут К3 (до 1000 человек или в пределах одной организации; персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию. Иные параметры на классификацию не влияют (что, вообще-то странно)).
Теперь строим частную (для конкретной организации) модель угроз. На основании "Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных" и "Методики определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных". Вот здесь под разработанным собственноручно документом может потребоваться подпись лица: либо имеющего лицензию, либо имеющего корочки по защите информации (диплом ВУЗа, "курсы" - не канают).
Теперь открываем Приказ ФТЭК от 5 февраля 2010 года № 58 "Положение о методах и способах защиты информационных системах персональных данных" и на основании построеннной модели угроз определяем методы и способы защиты.
Разрабатываем параллельно порядка 20 различных внутренних документов (как пример можно взять Методические рекомендации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости).
Как итог, разрабатываем "Положение по организации и проведению работ по обеспечению безопасности ПДн при их обработке в ИСПДн", где прописываем достаточно много разных моментов, описанных в разработанных выше документах.
Теперь на "сертифицированных" ПК (пожалуй, они все соответствуют требованиям, мало кто при покупке просит соответствующие документы) устанавливаем "сертифицированное" ПО (на сайте ФСТЭКа, ЕМНИП, есть xls-файл с перечисленными одобренными программами).
Устанавливаем "сертифицированные" устройства - сетевые экраны, маршрутизаторы и пр (в случае, если есть необходимость). Работаем.
На все запросы госорганов представить на электронный адрес информаци, содержащую ПДн отвечаем, что поскольку не обеспечена защита ПДн, передаваемых по средствам сети общего пользования, данные запросы исполнены быть не могут. Как-то так.
Попа начинается, если есть обработка данных, защищаемых с использованием СКЗИ. Здесь начинаются "секреты". Оформляем допуск к гостайне, обращаемся в тот же ФСТЭК, получаем соответствующие документы, разбираемся, реализуем. Либо обращаемся к лицензированной организации и сваливаем с себя кучу забот. Но не ответственности.
ФСТЭК, проверявший организацию, сотрудником коей я являюсь
А вот если посмотреть "О пользователе" то у вас там
Место работы/учебы - федераст. Так вы сотрудник ФСТЭК или федераст?
Определитесь пожалуйста. Без, обид. Как то вы самокритичны.
А по тексту - черновой вариант. Ну если криво косо - и так сойдет!
Расписывать все нюансы долго.
Кратко критика.
Вот здесь под разработанным собственноручно документом может потребоваться подпись лица:
либо имеющего лицензию, либо имеющего корочки по защите информации (диплом ВУЗа, "курсы" - не канают).
Об этом писал выше.
Разрабатываем параллельно порядка 20 различных внутренних документов
Да легко, щас сяду и напишу за 5 мин.
Теперь на "сертифицированных" ПК (пожалуй, они все соответствуют требованиям, мало кто при покупке просит соответствующие документы)
И вы не просите?
"сертифицированное" ПО
И об этом я писал
отвечаем, что поскольку не обеспечена защита ПДн, передаваемых по средствам сети общего пользования, данные запросы исполнены быть не могут. Как-то так.
Шифрование с исп сертиф средств? VPN? Создание защищенного канала? Легче отмазаться, ну понимаю можно и так...
Попа начинается, если есть обработка данных, защищаемых с использованием СКЗИ. Здесь начинаются "секреты". Оформляем допуск к
гостайне
Ну чтож вы так. В одну кучу то Перс данные и гостайну. И еще шифрование сюда. Причем здесь гостайна?
V
Vinigal Pau
Расслабиться всем и срочно
Москва, 8 декабря - РИА Новости. Законопроект, предусматривающий ввод в действие закона "О персональных данных" в 2012 году, на год позже ранее установленного срока, во вторник принят Госдумой в первом чтении.
Законопроект "О внесении изменений в статью 25 Федерального закона "О персональных данных" (в части продления срока приведения ранее созданных информационных систем персональных данных в соответствие с требованиями Федерального закона "О персональных данных") принят Госдумой в первом чтении. После доклада депутата от "Справедливой России" Анатолия Аксакова и содоклада председателя Комитета по конституционному законодательству и государственному строительству Владимира Плигина 445 депутатов из 450 проголосовали "за" внесений изменений.
Накануне Аксаков заявил РИА Новости, что законопроект пройдет "с высокой вероятностью". Депутат мотивировал необходимость очередной годичной отсрочки (первая имела место год назад) ввода в действие закона "О персональных данных" тем, что организации, особенно бюджетные, не готовы исполнять закон, и что в нынешнем виде он "является почвой для коррупции". По словам Аксакова, сейчас идет работа над новой версией закона с серьезными концептуальными доработками.
Второе и третье чтение законопроекта, а также рассмотрение его в Совете Федерации и подписание президентом могут состояться еще до конца 2010 года - как показывает опыт, оставшегося до конца декабря времени на завершение процедуры достаточно.
http://law.edu.ru/news/news.asp?newsID=14484
Москва, 8 декабря - РИА Новости. Законопроект, предусматривающий ввод в действие закона "О персональных данных" в 2012 году, на год позже ранее установленного срока, во вторник принят Госдумой в первом чтении.
Законопроект "О внесении изменений в статью 25 Федерального закона "О персональных данных" (в части продления срока приведения ранее созданных информационных систем персональных данных в соответствие с требованиями Федерального закона "О персональных данных") принят Госдумой в первом чтении. После доклада депутата от "Справедливой России" Анатолия Аксакова и содоклада председателя Комитета по конституционному законодательству и государственному строительству Владимира Плигина 445 депутатов из 450 проголосовали "за" внесений изменений.
Накануне Аксаков заявил РИА Новости, что законопроект пройдет "с высокой вероятностью". Депутат мотивировал необходимость очередной годичной отсрочки (первая имела место год назад) ввода в действие закона "О персональных данных" тем, что организации, особенно бюджетные, не готовы исполнять закон, и что в нынешнем виде он "является почвой для коррупции". По словам Аксакова, сейчас идет работа над новой версией закона с серьезными концептуальными доработками.
Второе и третье чтение законопроекта, а также рассмотрение его в Совете Федерации и подписание президентом могут состояться еще до конца 2010 года - как показывает опыт, оставшегося до конца декабря времени на завершение процедуры достаточно.
http://law.edu.ru/news/news.asp?newsID=14484
e
el-m88
только начал составлять акт классификации ИСПД, как возник вопрос, что писать в графе НАИМЕНОВАНИЕ ИСПД?
Авторизуйтесь, чтобы принять участие в дискуссии.