Как помнят все интересующиеся ФЗ-152 «О персональных данных» был принят в далеком 2006 году. Введение Закона в действие долго откладывалось, но когда-то он должен был заработать. 1 июля 2011 это случилось.
Для нас (госконтора, база примерно на 20000 человек в то время) проблема поднялась в 2008 году.
На начальном этапе не слишком сильно, но потом как в сказке: «Чем дальше, тем страшнее».
Первый этап — начальные Оргмеры.
— В каждой бумажке типа Заявления появилась надпись маленькими буковками (чтобы оставить прежний размер бланка) — «Выражаю согласие на необходимое использование моих персональных данных, в том числе в информационных системах».
— В Заявлениях на детские пособия было внесено добавление про несовершеннолетних детей.
— Также были взяты отдельные Заявления с согласием предоставления и передачи данных из других учреждений (Пенсионный Фонд, НПФ т.п.).
Очень много бумаг и совсем мало техники
Второй этап — разработка правильной документации.
Наступал 2009 год и было известно, что Закон снова отложат. Финансирования нет. Никто особо не торопится. Можно разрабатывать документацию. Вышестоящая контора дала образцы следующих документов:
Третий этап — закупка технических средств защиты информации.
Правильнее сказать, что закупала головная контора, мы потом только забирали. В результате получились:
— Далласы на рабочие станции
— Випнет координатор для защищенного доступа по IP-MPLS каналу к вышестоящей конторе.
— Глушилки
— Проведена сертификация Windows Server (здесь подобное обсуждается)
Четвертый этап — умственно-физические работы.
Защищаемая автоматизированная система должна быть защищена и физически. Тут очень удачно подвернулся переезд отдела, работающего с персональными данными на другой этаж. Данный отдел оказался в ограниченном помещении, один из кабинетов отобрали под серверную. В результате с этажа на маршрутизатор выходят два кабеля (основной и резервный). Компьютера форматнули, установили чистую обновленную винду, офис, антивирь, рабочую прогу. В октябре 2009 приехали ребята с Питера. Установили Далласы, глушилки, настроили випнет, сделали все замеры, откорректировали документацию.
Пятый этап — завершение.
В конце октября 2009 собралась внутренняя комиссия по защите персональных данных. Были назначены ответственные лица, которые должны были за неделю подготовить документы и провести работы по защите персональных данных (те самые, что перечислены со второго этапа). За неделю ответственные все сделали. И комиссия с радостью приняла защищенную систему в эксплуатацию. Скоро был получен аттестат на три года, на чем все и кончилось.
Понятно, что на самом деле кончилось еще не все.
К примеру защищенная система является единым программно-техническим комплексом. Мышь не поменяешь. Зато раз в год можно вызвать аттестатора для проверки соблюдения всех показателей защиты. А аттестатор имеет право изменять имеющиеся документы. Так что мышь поменять реально.
Ну и современная идея электронного межведомственного взаимодействия. Идея хорошая. Вот только, не предусмотренная предыдущей концепцией защиты персональных данных. Так что когда реализуем — будем делать аттестацию снова.
Спасибо за внимание.
Для нас (госконтора, база примерно на 20000 человек в то время) проблема поднялась в 2008 году.
На начальном этапе не слишком сильно, но потом как в сказке: «Чем дальше, тем страшнее».
Первый этап — начальные Оргмеры.
— В каждой бумажке типа Заявления появилась надпись маленькими буковками (чтобы оставить прежний размер бланка) — «Выражаю согласие на необходимое использование моих персональных данных, в том числе в информационных системах».
— В Заявлениях на детские пособия было внесено добавление про несовершеннолетних детей.
— Также были взяты отдельные Заявления с согласием предоставления и передачи данных из других учреждений (Пенсионный Фонд, НПФ т.п.).
Очень много бумаг и совсем мало техники
Второй этап — разработка правильной документации.
Наступал 2009 год и было известно, что Закон снова отложат. Финансирования нет. Никто особо не торопится. Можно разрабатывать документацию. Вышестоящая контора дала образцы следующих документов:
- Приказ о назначении должностных лиц, ответственных за защиту информации ограниченного доступа, не содержащей государственной тайны;
- Приказ об определении контролируемой зоны, в которой расположены узлы автоматизированной системы предназначенной для обработки информации ограниченного доступа, не содержащей государственно тайны;
- Приказ о запрещении обработки информации ограниченного доступа на не аттестованных объектах информатизации
- Инструкцию по эксплуатации средств защиты информации объекта вычислительной техники;
- Инструкцию по установке нового и модификации используемого программного обеспечения на автоматизированной системе обрабатывающей информацию ограниченного доступа;
- Инструкцию по организации антивирусной защиты на автоматизированной системе обрабатывающей информацию ограниченного доступа;
- Инструкцию администратору информационной безопасности автоматизированной системы, обрабатывающей информацию ограниченного доступа;
- Инструкцию по внесению изменений в списки пользователей и наделению их полномочиями доступа к ресурсам автоматизированной системы обрабатывающей информацию ограниченного доступа;
- Инструкцию по организации парольной защиты автоматизированной системы;
- Инструкцию по организации резервного копирования данных автоматизированной системы обрабатывающей информацию ограниченного доступа;
- Инструкцию пользователя автоматизированной системы.
- Матрицу доступа к защищаемым ресурсам автоматизированной системы;
- Технический паспорт на АС;
- Журнал учета допуска к работе в автоматизированной системе обрабатывающей информацию ограниченного доступа;
- Журнал учета и выдачи машинных носителей информации предназначенных для хранения информации ограниченного доступа, не содержащей государственной тайны;
- Журнал учета средств защиты информации;
- Форму Заявки на внесение пользователей АС;
- Форму Акта проведения технических работ на объектах информатизации АС;
- Перечень сведений конфиденциального характера;
- Перечень защищаемых информационных ресурсов;
- Описание технологического процесса обработки информации в выделенной локальной вычислительной сети;
- Схему коммутации выделенной локально вычислительной сети;
- Список лиц, допущенных к самостоятельной работе в АС.
Третий этап — закупка технических средств защиты информации.
Правильнее сказать, что закупала головная контора, мы потом только забирали. В результате получились:
— Далласы на рабочие станции
— Випнет координатор для защищенного доступа по IP-MPLS каналу к вышестоящей конторе.
— Глушилки
— Проведена сертификация Windows Server (здесь подобное обсуждается)
Четвертый этап — умственно-физические работы.
Защищаемая автоматизированная система должна быть защищена и физически. Тут очень удачно подвернулся переезд отдела, работающего с персональными данными на другой этаж. Данный отдел оказался в ограниченном помещении, один из кабинетов отобрали под серверную. В результате с этажа на маршрутизатор выходят два кабеля (основной и резервный). Компьютера форматнули, установили чистую обновленную винду, офис, антивирь, рабочую прогу. В октябре 2009 приехали ребята с Питера. Установили Далласы, глушилки, настроили випнет, сделали все замеры, откорректировали документацию.
Пятый этап — завершение.
В конце октября 2009 собралась внутренняя комиссия по защите персональных данных. Были назначены ответственные лица, которые должны были за неделю подготовить документы и провести работы по защите персональных данных (те самые, что перечислены со второго этапа). За неделю ответственные все сделали. И комиссия с радостью приняла защищенную систему в эксплуатацию. Скоро был получен аттестат на три года, на чем все и кончилось.
Понятно, что на самом деле кончилось еще не все.
К примеру защищенная система является единым программно-техническим комплексом. Мышь не поменяешь. Зато раз в год можно вызвать аттестатора для проверки соблюдения всех показателей защиты. А аттестатор имеет право изменять имеющиеся документы. Так что мышь поменять реально.
Ну и современная идея электронного межведомственного взаимодействия. Идея хорошая. Вот только, не предусмотренная предыдущей концепцией защиты персональных данных. Так что когда реализуем — будем делать аттестацию снова.
Спасибо за внимание.