Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 61
что с 1 июля все перенесут на 20, с 20 на 30 и так далее. В результате же ничего переносить не стали и 95% компаний оказались в луже.
Причина не в этом. 95% компаний считают, что решить проблему «полюбовно» проще, чем приводить в соответствие.
Причина не в этом. 95% компаний считают, что решить проблему «полюбовно» проще, чем приводить в соответствие.
В нашей стране проще взятку дать, чем нанять системного администратора и покупать сертифицированный софт.
Тут дело не в стране, а в законе. Накой, спрашивается, я должен покупать 100 сертифицированных дистрибутивов windows xp на 100 машин, если я использую коропоративные лицензии и устанавливаю на все 100 машин один и тот же дистрибутив?
А продавцы сертифицированного ПО продают винду с сертификатами только на 1 машину. Microsoft говорит — нас это не волнует, разбирайтесь с ними сами.
Нормальных сертифицированных фаерволов нет. Продукты Eset и Agnitum'а сертифицированы только частично, ставить их нельзя. А поделки от SecurityCOde и прочих российских производителей и не хочется…
А продавцы сертифицированного ПО продают винду с сертификатами только на 1 машину. Microsoft говорит — нас это не волнует, разбирайтесь с ними сами.
Нормальных сертифицированных фаерволов нет. Продукты Eset и Agnitum'а сертифицированы только частично, ставить их нельзя. А поделки от SecurityCOde и прочих российских производителей и не хочется…
Используйте Linux. Есть два сертифицированных linux дистрибутива ALT Linux и ASP Linux.
Да ALT Linux весьма можно, он недавно сертифицирован по максимуму до К1 (на ASP сертификат закончился давно, к сожалению). Внешний файрвол и криптуху, если нужны, можно брать Заставу (он под Альт работает) или КриптоПРО
Издеваетесь?
Сертифицированый Windows дешевле купить. Если лицензия не нужна (уже куплена), они за 2 тыр продаются (примерно).
Я о том и говорю, что сейчас закон позволяет хитроумным продавцам ПО делать деньги буквально из воздуха.
Согласно условиям применения, комплект считается сертифицированным только при наличии купона технической поддержки, соответствующего типу компьютера (Рабочая станция или Сервер) с уникальным номером, в количестве 1 купон на 1 компьютер.
Альт Линукс СПТ 6.0 Рабочая станция с технической поддержкой на 1 год — 7000 рублей
Сертифицированый Windows дешевле купить. Если лицензия не нужна (уже куплена), они за 2 тыр продаются (примерно).
Я о том и говорю, что сейчас закон позволяет хитроумным продавцам ПО делать деньги буквально из воздуха.
Сертифицированый Windows дешевле купить. Если лицензия не нужна (уже куплена), они за 2 тыр продаются (примерно).
А давно у нас обычный Windows сертифицирован для работы с персональными данными? Что-то мне подсказывает что это не так. И Windows для работы с персональными данными сертифицировали определенной версии и с дополнительным ПО. Ну а что ALT типа денег хочет за поддержку, так вы ценник техподдержки MS не выясняли? :)
Для ALT, все с той же ссылки:
Т.е., без поддержки, версия не считается сертифицированной. Каждый год надо будет платить.
Windows XP и Windows 7. Еще их продает «Альтекс софт» (или как-то так) — на сайт сейчас зайти не могу, лежит, но порядок цен такой же.
Там дело в том, что сертифицированный дистрибутив не содержит лицензии Microsoft — ее нужно покупать отдельно, но об этом я уже писал.
Сертифицированной считается система, установленная с оригинального диска, имеющего уникальный номер, проставленный сертифицированной лабораторией, и действующий купон технической поддержки.
Т.е., без поддержки, версия не считается сертифицированной. Каждый год надо будет платить.
Windows XP и Windows 7. Еще их продает «Альтекс софт» (или как-то так) — на сайт сейчас зайти не могу, лежит, но порядок цен такой же.
Там дело в том, что сертифицированный дистрибутив не содержит лицензии Microsoft — ее нужно покупать отдельно, но об этом я уже писал.
Сертифицированной считается система, установленная с оригинального диска, имеющего уникальный номер, проставленный сертифицированной лабораторией, и действующий купон технической поддержки.
Т.е., без поддержки, версия не считается сертифицированной. Каждый год надо будет платить.
Windows XP и Windows 7.
В случае с Windows все ровно тоже самое. Опять же Windows XP Pro сейчас купить сложно, а вот Windows 7 Корпоративная. А она стоит далеко не всем те две тысячи про которые вы говорите :)
Там дело в том, что сертифицированный дистрибутив не содержит лицензии Microsoft — ее нужно покупать отдельно, но об этом я уже писал.
Мне вот очень сильно интересно как в этом случае обеспечивается сертификация.
В случае с Windows все ровно тоже самое. Опять же Windows XP Pro сейчас купить сложно, а вот Windows 7 Корпоративная. А она стоит далеко не всем те две тысячи про которые вы говорите :)
Посмотрите на мой самый первый комментарий. У нас есть 100 машин с лицензионной Windows XP/Vista/7 — есть уже! Не надо мне покупать лицензии! А сертификаты надо! И сертификат этот стоит около 2-х тысяч на одно рабочее место.
Вы своим первым комментарием предложили мне переход на linux. В этом случае уже стоимость ПО для перехода будет больше чем стоимость сертификации имеющегося ПО. Не говоря уже о затратах связанных со сменой инфраструктуры.
Мне вот очень сильно интересно как в этом случае обеспечивается сертификация.
Они присылают мне дистрибутивы, якобы проверенные спец. лабораторией, с сертификатами. Я с этих дистрибутивов устанавливаю операционку и ввожу свои ключи. По крайней мере они говорят так.
У нас есть 100 машин с лицензионной Windows XP/Vista/7 — есть уже! Не надо мне покупать лицензии! А сертификаты надо! И сертификат этот стоит около 2-х тысяч на одно рабочее место.
Я рад за вас что они уже есть. Мы про вас или про вообще? :) Если про вообще, то разницы особой на что переводить не будет. Опять же в случае если потребуется сервер то как раз вариант ALT Linux с нуля будет дешевле Windows Server.
Ну и да цитата с того сайта:
Дистрибутив должен быть лицензионным, установленного образца, произведен официальным репликатором Microsoft
Дистрибутив должен содержать ту версию программного обеспечения, которая указана в сертификате ФСТЭК России, и на которую имеется соответствующая лицензия
Вы уверены что у вас все приобретенные Windows той версии? :)
Они присылают мне дистрибутивы, якобы проверенные спец. лабораторией, с сертификатами. Я с этих дистрибутивов устанавливаю операционку и ввожу свои ключи. По крайней мере они говорят так.
Хорошо. Это произошло что дальше? Кем осуществляется поддержка, откуда берутся обновления и кем после обновления подтверждается что у вас все еще все сертифицировано? :)
Я рад за вас что они уже есть. Мы про вас или про вообще?
Вообще-то, я про себя. И про тех, у кого уже используется лицензионное, но не сертифицированное ФСТЭК ПО.
Вы уверены что у вас все приобретенные Windows той версии? :)
Да, уверен. Им наплевать, на самом деле, на дистрибутив. Главное, чтоб на диске было написано Service Pack 2 или Service Pack 3.
Хорошо. Это произошло что дальше? Кем осуществляется поддержка, откуда берутся обновления и кем после обновления подтверждается что у вас все еще все сертифицировано? :)
О да. Это отдельный разговор. У них какое-то свое ПО для обновлений. Есть даже возможность централизованной установки этих обновлений. Что-то типа своего WSUS'a с преферансом и девицами.
Сами сертифицированные обновления входят во все пакеты (состав пакетов), а вот софтину надо покупать.
Вот в том то и дело что не факт, что будет дешевле с нуля покупать linux или windows :) Хотя конечно это сильно зависит от инфраструктуры.
C нуля — естественно не факт, но речь шла не об этом.
Мне вообще кажется, что для систем которые только создаются намного легче соответствовать 152 ФЗ. Если бы он появился лет 10 назад, когда инфраструктура нашего предприятия только создавалась, нам было бы намного легче. Например, мы могли бы засунуть в отдельное помещение отдел кадров и зарплатчиков, по другому планировать схемы БД и многое другое. А вот сейчас, перестраивать имеющуюся систему намного сложнее.
Мне вообще кажется, что для систем которые только создаются намного легче соответствовать 152 ФЗ. Если бы он появился лет 10 назад, когда инфраструктура нашего предприятия только создавалась, нам было бы намного легче. Например, мы могли бы засунуть в отдельное помещение отдел кадров и зарплатчиков, по другому планировать схемы БД и многое другое. А вот сейчас, перестраивать имеющуюся систему намного сложнее.
С Альтом, вероятно, можно договориться. С M$ — никогда (если вы не Газпром).
завтра Совет Федерации будет рассматривать новую версию закона. так что сейчас особо рыпаться смысла нет. уведомлять нужно будет до 13 года.
Вот эти надо полагать? Здорово! Действительно рыпаться не надо…
> Кто-нибудь уже сталкивался с проверками? Если да, то сколько времени дают на устранение неполадок?
Читайте регламент проверок РКН тут или позвоните в территориальный орган РКН. Там сидят адекватные и понимающие люди, которые ответят на ваши вопросы.
Читайте регламент проверок РКН тут или позвоните в территориальный орган РКН. Там сидят адекватные и понимающие люди, которые ответят на ваши вопросы.
РосКомНадзор проверяет организационные мероприятия, описанные в Законе (т.е. всё, кроме защиты информации).
Защиту информации проверяет в части криптографии — ФСБ, всю остальную — ФСТЭК.
Графики плановых проверок на этот год вывешены на сайтах прокуратур всех областей, внеплановые проверки возможны в крайне редких случаях (на сегодняшний день имеется правовой казус, согласно которому инициировать внеплановую проверку по 152-ФЗ по жалобе физ.лица невозможно).
Защиту информации проверяет в части криптографии — ФСБ, всю остальную — ФСТЭК.
Графики плановых проверок на этот год вывешены на сайтах прокуратур всех областей, внеплановые проверки возможны в крайне редких случаях (на сегодняшний день имеется правовой казус, согласно которому инициировать внеплановую проверку по 152-ФЗ по жалобе физ.лица невозможно).
Графики проверок ФСТЭК и ФСБ есть на их сайтах.
ФСТЭК, кстати, вообще не занимается внеплановыми проверками (по крайней мере в в отчете за 2010 год они об этом прямо заявляют).
Да и если посмотреть на эти графики, и ФСТЭК и ФСБ интересуют госучреждения.
ФСТЭК, кстати, вообще не занимается внеплановыми проверками (по крайней мере в в отчете за 2010 год они об этом прямо заявляют).
Да и если посмотреть на эти графики, и ФСТЭК и ФСБ интересуют госучреждения.
В отчете РКН как Уполномоченного органа защиты прав субъектов персональных данных за 2010 год — www.rsoc.ru/docs/Otchet_2010.pdf — на странице 5 показана общая доля внеплановых проверок.
Из 1253 проверок, проведенных за 2010 год, 449 были внеплановыми — это редкий случай? Это 1/3 от общего числа проверок.
Из 1253 проверок, проведенных за 2010 год, 449 были внеплановыми — это редкий случай? Это 1/3 от общего числа проверок.
Вы вообще в курсе что такое персональные данные? Это такие данные которые позволяют достоверно узнать что вот этот человек это тот самый. Простой пример фИО и адрес проиживания. ФИО и телефон и т.п. Если вы храните ФИО, login и email этого мало :)
А если например юзер может динамически добавлять поля и ввести например всю информацию? Ну для друзей например
если я гражданин другой страны, но сайт на российском хостинге — я должен подчиняться российским законам?
Закон действует для держателей, а не для пользователей.
Я бы предположил, что речь идет прежде всего о юр.лицах, а поскольку вы юр.лицом, зарегистрированным в РФ, не являетесь (судя по вашим словам), то на вас закон не распространяется. И на территории РФ вас даже не привлечь за незаконное предпринимательство. Так что можно смело забить :) Ну а как там с законами на Украине — это вам виднее :)
Определение ПДн в законе очень расплывчатое
1) персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;ФИО, кстати, названы прямо, а мои мыло/логин явно ко мне относятся.
Фишка в том что данные должны быть такие чтобы можно было точно определить человека. К примеру если у вас лежит ФИО и дата рождения, то это не персональные данные. Вы по ним человека установить не можете. Если у вас лежит ФИО и адрес, это персональные данные так-как вы точно можете определить человека. Все комбинации которые позволяют точно определить человека относятся к персональным данным.
Ну не совсем так. ФИО и дата рождения — это очень даже персональные данные. Просто относятся они к категории 4 — обезличенные или общедоступные. А то о чем говорите вы — это персональные данные категории 3 — позволяющие однозначно идентифицировать субъекта.
Классификация ПДн и ИСПДн
Классификация ПДн и ИСПДн
А новое определение читали?
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
И после этого определения, ПДн может быть, практически, что угодно. При этом новое определения является лучшим переводом такого же определения из Европейской Конвенции.
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
И после этого определения, ПДн может быть, практически, что угодно. При этом новое определения является лучшим переводом такого же определения из Европейской Конвенции.
Уважаемые коллеги, скажите пожалуйста, вот есть сайт — городской каталог предприятий. Название фирмы, ФИО директора, телефон конторы.
Подпадают ли эти данные под персональные? Это же официальные данные юрлица. А если это ЧП?
Нас уже окончательно запутали — где узнать истину?
Подпадают ли эти данные под персональные? Это же официальные данные юрлица. А если это ЧП?
Нас уже окончательно запутали — где узнать истину?
Федеральный закон от 8 августа 2001 г. N 129-ФЗ «О государственной регистрации юридических лиц и индивидуальных предпринимателей»:
Статья 6.
1. Содержащиеся в государственных реестрах сведения и документы являются открытыми и общедоступными, за исключением сведений, доступ к которым ограничен в соответствии с абзацем вторым настоящего пункта.
Сведения о номере, о дате выдачи и об органе, выдавшем документ, удостоверяющий личность физического лица, содержащиеся в государственных реестрах, могут быть предоставлены исключительно органам государственной власти, иным государственным органам, судам, органам государственных внебюджетных фондов в случаях и в порядке, которые установлены Правительством Российской Федерации. Данное ограничение не применяется при предоставлении содержащих указанные сведения копий учредительных документов юридических лиц, а также сведений о месте жительства индивидуальных предпринимателей.
Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных»:
Статья 3.
12) общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
Как следствие:
а) да — это персональные данные;
но
б) обеспечение конфиденциальности персональных данных не требуется (ст.7, ч.2);
в) уведомление субъекта по ч.3 ст.18 — не требуется;
г) оператор вправе осуществлять их обработку без уведомления РосКомНадзора (ст.22, ч.2, п.4);
д) согласие субъекта не требуется — Вы апеллируете к 129-ФЗ.
Статья 6.
1. Содержащиеся в государственных реестрах сведения и документы являются открытыми и общедоступными, за исключением сведений, доступ к которым ограничен в соответствии с абзацем вторым настоящего пункта.
Сведения о номере, о дате выдачи и об органе, выдавшем документ, удостоверяющий личность физического лица, содержащиеся в государственных реестрах, могут быть предоставлены исключительно органам государственной власти, иным государственным органам, судам, органам государственных внебюджетных фондов в случаях и в порядке, которые установлены Правительством Российской Федерации. Данное ограничение не применяется при предоставлении содержащих указанные сведения копий учредительных документов юридических лиц, а также сведений о месте жительства индивидуальных предпринимателей.
Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных»:
Статья 3.
12) общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
Как следствие:
а) да — это персональные данные;
но
б) обеспечение конфиденциальности персональных данных не требуется (ст.7, ч.2);
в) уведомление субъекта по ч.3 ст.18 — не требуется;
г) оператор вправе осуществлять их обработку без уведомления РосКомНадзора (ст.22, ч.2, п.4);
д) согласие субъекта не требуется — Вы апеллируете к 129-ФЗ.
До сих пор в голове как то не укладывается всё это… Так не должно быть.
Сорри за небольшую рекламу.
Учебный центр «SmartLevel IBS» предлагает авторский курс: «Организация работы с персональными данными (ФЗ-152)». Вот ссылка на программу — хttp://www.smartlevel.ru/rus/kursi/avtorskie_kuri/organizatsiya_raboti_s_personal_nimi_dannimi_fz-152_/
Если нужны скидки, можете обратиться ко мне.
Учебный центр «SmartLevel IBS» предлагает авторский курс: «Организация работы с персональными данными (ФЗ-152)». Вот ссылка на программу — хttp://www.smartlevel.ru/rus/kursi/avtorskie_kuri/organizatsiya_raboti_s_personal_nimi_dannimi_fz-152_/
Если нужны скидки, можете обратиться ко мне.
Использовать не сертифицированное ПО и называть его средством защиты информации в документации на свою ИСПДн — довольно рискованный шаг, любая проверка до этого докопается, как пить дать. Но использовать ТОЛЬКО сертифицированное ПО нет необходимости.
В плане защиты локальной сети — от чего защиты? Какого размера локальная сеть? Слишком общий вопрос. В зависимости от размера сети и модели угроз можно применять что угодно, от VipNet Personal Firewall и TrustAccess до «Континентов» и Stonegate Firewall/VPN.
В плане защиты локальной сети — от чего защиты? Какого размера локальная сеть? Слишком общий вопрос. В зависимости от размера сети и модели угроз можно применять что угодно, от VipNet Personal Firewall и TrustAccess до «Континентов» и Stonegate Firewall/VPN.
Вообще говоря, самостоятельно выполнить требования ФЗ-152 будет очень тяжело. Дело в том, что начиная с К2 и выше в комплекс технических мероприятий почти наверняка войдет установка средств криптографической защиты информации. Но их Вашей компании никто не продаст, если у Вас нет лицензий ФСБ на работу с криптографией. И даже если где-то взять, то самостоятельная их установка без лицензии юридически не легитимна. То есть, варягов звать придется по-любому или получать лицензию на криптографию.
1) ДА.
2) Сертифицированное ПО если это является обязательным условием. Обычно обезличивают данные и защищают как КТ. А там дело свободное.
3) Зависит от организации.
4) Сталкивались. 2 недели давали.
Закон весьма сыроват, специалистов выпускать не успевают. Но даже специалисты по выходу сами не знают, что нужно. Нет ни конкретных методик, ни средств обоснованных. ФСТЭК со своими рекомендациями часто запутывает и при проведении аудита вопросы могут возникнуть со всех сторон.
Как человек не отдалённый к таким организаций сообщаю, что единственный смысл это уйти от ответственности и срубить бабла.
Т.е. Ни КТО не отвечает за данные. Если ваши данные украдут, то фирма скажет мол у нас всё сертифицировано, пройдены все шаги проверок. Идите в полицию. В полиции пожмут плечами и ни кто морально вам выплачивать не чего не будет.
К примеру у зубного врача и небольших клиник я считал, выгодней убрать персональные данные с ПК. И перенести их на карты бумажного варианта, а те в сейф. Выгода до 90%. Знаю тормозит прогресс, но таковы законы. Для людей же.
2) Сертифицированное ПО если это является обязательным условием. Обычно обезличивают данные и защищают как КТ. А там дело свободное.
3) Зависит от организации.
4) Сталкивались. 2 недели давали.
Закон весьма сыроват, специалистов выпускать не успевают. Но даже специалисты по выходу сами не знают, что нужно. Нет ни конкретных методик, ни средств обоснованных. ФСТЭК со своими рекомендациями часто запутывает и при проведении аудита вопросы могут возникнуть со всех сторон.
Как человек не отдалённый к таким организаций сообщаю, что единственный смысл это уйти от ответственности и срубить бабла.
Т.е. Ни КТО не отвечает за данные. Если ваши данные украдут, то фирма скажет мол у нас всё сертифицировано, пройдены все шаги проверок. Идите в полицию. В полиции пожмут плечами и ни кто морально вам выплачивать не чего не будет.
К примеру у зубного врача и небольших клиник я считал, выгодней убрать персональные данные с ПК. И перенести их на карты бумажного варианта, а те в сейф. Выгода до 90%. Знаю тормозит прогресс, но таковы законы. Для людей же.
Читаю и волосы дыбом встают.
Неужели я должен менять MySQL интернет-магазина с ПД на что-то еще (я его годами оттачивал под высокую нагрузку). Вместо ipfw и iptables ставить непонятно что, а FreeBSD, CentOS, Ubuntu Server на серверах поменять на винды?
Они это серьезно?
Неужели я должен менять MySQL интернет-магазина с ПД на что-то еще (я его годами оттачивал под высокую нагрузку). Вместо ipfw и iptables ставить непонятно что, а FreeBSD, CentOS, Ubuntu Server на серверах поменять на винды?
Они это серьезно?
Кстати а если например у меня есть сайт (на хостинге российском), который хранит например ФИО, email, адрес. Я зарегистрирован как ИП, чтобы добропорядочно платить налоги, но в РКН ничего не отправлял.
Как они могут на меня повлиять? Написать хостеру чтобы мой сайт закрыли? Домой то они не придут ко мне, это частная собственность.
Как они могут на меня повлиять? Написать хостеру чтобы мой сайт закрыли? Домой то они не придут ко мне, это частная собственность.
Возникает вопрос — если человек является разработчиком приложения в какой-нибудь соц. сети например и у него есть список зарегистрированных в данном приложении пользователей с какими-нибудь сопутствующими данными на сервере — это является обработкой ПД?
P.S. Законов не читал, но вряд ли там составлен четкий перечень, что ПД, а что нет
P.S. Законов не читал, но вряд ли там составлен четкий перечень, что ПД, а что нет
Можете кидать в меня камни, но я знаю примеры (в русле, отличном от хранения персональных данных), когда для проверки делалась липовая, поверхностная, нерабочая инфраструктура, а для работы нормальная, проверенная годами (но, разумеется, несертифицированная). Проверщики увидят ровно то, что вы им покажете.
Так что те, у кого годами выдрессированная конфигурация MySQL, можно особо не переживать конкретно по поводу этого не переживать. Другой вопрос, что денег придется все равно потратить. :(
Так что те, у кого годами выдрессированная конфигурация MySQL, можно особо не переживать конкретно по поводу этого не переживать. Другой вопрос, что денег придется все равно потратить. :(
У нас в Дагестане, была проверка нотариуса РосКомНадзором, нарушений не нашли :)… На данном этапе главное бумажки правильно заполнить и на 90% ты выполнил положения закона
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Защита персональных данных — как быть и что делать?