Comments 40
Если не перенесут сроки, то с 1го января можно будет в суд подавать на такие организации.
Именно. Запрос информации по обработке моих ПДн, и вперед с песней.
Хотя физикам трудно будет пробивать это по инстанциям. Но любители найдутся.
Хотя физикам трудно будет пробивать это по инстанциям. Но любители найдутся.
Само собой найдутся. У нас препод по праву подкидывает иногда советы типа «как заработать денег с помощью наших законов». Не он один такой, сам подумываю над этим. Кстати, у нас на кафедре расположен региональный центр защиты информации, который занимается курсами подготовки персонала для работа с гос. тайной и ПДн, статистика обращений к ним пока не радует. Немного фирм изъявило желание подготовить людей.
Как web-разработчика, меня интересует "№ 8-ФЗ". Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления. А сколько библиотек у вас в городе без сайтов? )
Да не одними библиотекарями едины ))) Под него очень много подведомственных уч-ий попадает. Я вчера по городу, с начальником 28 штук насчитал. =)
Так это коснется только Гос/учебных учереждений, баз данных, и сего подобного? а говорили вроде еще и предпринимателей будут потрошить в связи с ужесточением каких то мер от Майкрософт, или я заблуждаюсь?
вбил наугад фз152.ру (латиницей) и попал на сайт бывшей конторы… мда… тесен мир, однако…
Кто-нибудь знает, есть аналог ФЗ 152 в Украине?
— категория 1 персональные данные, касающиеся
расовой
расовой
Объясните мне, пожалуйста, такую вещь: Предположим, я — индивидуальный предприниматель и веду в эксель-табличке список сотрудник или контрагентов. Мне, что, надо на эту эксель-табличку получать какой-то сертификат, показывающий, что моя табличка не противоречит закону?
Не совсем. Если по этим данным нельзя однозначно идентифицировать человека — нет(4 категория). Если можно и не содержит дополнительных сведений(3 категория), при этом для обработки данных не используются средства автоматизации(не Ваш случай) — нет. Во всех остальных случаях Вы должны аттестовать свою систему обработки персональных данных. А так же в любом случае подготовить пакет документов(классификация, модель угроз и тд, большой список).
Используемое ПО должно быть с сертификатом ФСТЭК(а не просто лицензионное) и Вы должны доказать, что используемые средства защиты достаточны для защиты данных(на основе модели угроз). А для систем, введенных в эксплуатацию после введения закона о персональных данных, обязательно соответствие требованиям ФСТЭК(ДСП документы, предоставляются по запросу операторам и лицензиатам ФСТЭК). Там вообще мрак.
P.S — в любом случае Вам необходимо зарегестрироваться как оператор ПД.
Используемое ПО должно быть с сертификатом ФСТЭК(а не просто лицензионное) и Вы должны доказать, что используемые средства защиты достаточны для защиты данных(на основе модели угроз). А для систем, введенных в эксплуатацию после введения закона о персональных данных, обязательно соответствие требованиям ФСТЭК(ДСП документы, предоставляются по запросу операторам и лицензиатам ФСТЭК). Там вообще мрак.
P.S — в любом случае Вам необходимо зарегестрироваться как оператор ПД.
Откуда информация что я должен аттестовывать ИС? у кого аттестовывать? Откуда информация про сертифицированное ПО?
В законе Ф-152 ничего этого нет.
И как я могу соответствовать требованиям ФСТЭК если 4 методички ФСТЭК ДСП я их и видеть не должен.
И регистрироваться в Роскомнадзоре нужно если я обрабатываю ПД БЕЗ согласия владельца а так же передаю их третьйм лицам.
В законе Ф-152 ничего этого нет.
И как я могу соответствовать требованиям ФСТЭК если 4 методички ФСТЭК ДСП я их и видеть не должен.
И регистрироваться в Роскомнадзоре нужно если я обрабатываю ПД БЕЗ согласия владельца а так же передаю их третьйм лицам.
ФЗ — не единственный документ в области ПДн.
Уведомить РКН нужно в любом случае, если вы обрабатываете персональные данные. Если обрабатываете без согласия — просто нарушаете закон.
Насчет методичек ФСТЭК — вроде, любой оператор ПДн может их заказать. Тем более ДСП там остались только 2 методы.
остальное на сайте выложено.
И регистрироваться в Роскомнадзоре нужно если я обрабатываю ПД БЕЗ согласия владельца а так же передаю их третьйм лицам.
Уведомить РКН нужно в любом случае, если вы обрабатываете персональные данные. Если обрабатываете без согласия — просто нарушаете закон.
Насчет методичек ФСТЭК — вроде, любой оператор ПДн может их заказать. Тем более ДСП там остались только 2 методы.
остальное на сайте выложено.
В соответствии п. 1 ст. 22 Федерального закона от 27.07.2006 г. 152-Ф
2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
4) являющихся общедоступными персональными данными;
5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;
6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.
2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
4) являющихся общедоступными персональными данными;
5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;
6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.
Согласен, я не так выразился. Можно обрабатывать без уведомления в описанных случаях.
Я к тому, что фраза «регистрироваться в Роскомнадзоре нужно если я обрабатываю ПД БЕЗ согласия владельца а так же передаю их третьйм лицам.» неверна.
Есть случаи, когда согласие на обработку не требуется. Но нет логической связи, что если обрабатывается без согласия владельца, то нужно уведомить.
Например, заполнили вы на улице анкету, расписались. Там есть приписка, что вы согласны на обработку ПДн. Фактически, согласие получено, но уведомить РКН надо, так как это не попадает в вышеприведенные исключения.
Может быть и обратная ситуация — когда не требуется ни отдельного согласия, ни уведомления.
Я к тому, что фраза «регистрироваться в Роскомнадзоре нужно если я обрабатываю ПД БЕЗ согласия владельца а так же передаю их третьйм лицам.» неверна.
Есть случаи, когда согласие на обработку не требуется. Но нет логической связи, что если обрабатывается без согласия владельца, то нужно уведомить.
Например, заполнили вы на улице анкету, расписались. Там есть приписка, что вы согласны на обработку ПДн. Фактически, согласие получено, но уведомить РКН надо, так как это не попадает в вышеприведенные исключения.
Может быть и обратная ситуация — когда не требуется ни отдельного согласия, ни уведомления.
Проводить аттестацию информационной системы персональных данных вправе только организация, которая обладает лицензией ФСТЭК России на деятельность по технической защите конфиденциальной информации (в лицензии должно быть указано, что организация имеет право оказывать данные услуги). Для защиты персональных данных можно использовать только сертифицированные средства защиты персональных данных. На сайте ФСТЭК России (http://www.fstec.ru/_doc/reestr_sszi/_reestr_sszi.xls) можно ознакомиться с Реестром сертифицированных средств защиты информации. На сайте ФСБ России (http://www.fsb.ru/fsb/supplement/contact/lsz/perechen.htm) можно ознакомиться с Перечнем средств защиты информации, не содержащей сведений, составляющих государственную тайну.
«для обработки данных не используются средства автоматизации(не Ваш случай)» => Вы утверждаете, что в его случае используются средства автоматизации.
Но в ПОСТАНОВЛЕНИЕ от 15 сентября 2008 г. N 687 ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ ОБ ОСОБЕННОСТЯХ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОСУЩЕСТВЛЯЕМОЙ БЕЗ ИСПОЛЬЗОВАНИЯ СРЕДСТВ АВТОМАТИЗАЦИИ сказано следующее:
I. Общие положения
1. Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее — персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
2. Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.
Исходя из этого, Вы не можете так смелоутверждать, что в его ИСПДн используются средства автоматизации.
Но в ПОСТАНОВЛЕНИЕ от 15 сентября 2008 г. N 687 ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ ОБ ОСОБЕННОСТЯХ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОСУЩЕСТВЛЯЕМОЙ БЕЗ ИСПОЛЬЗОВАНИЯ СРЕДСТВ АВТОМАТИЗАЦИИ сказано следующее:
I. Общие положения
1. Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее — персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
2. Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.
Исходя из этого, Вы не можете так смелоутверждать, что в его ИСПДн используются средства автоматизации.
Опять действительно полезная инициатива (действительно защищать персовальные данные, раскрытие которых может привести к финансовым/моральным потерям) превратиться в очередной способ «доения» интеграторов/разработчиков.
Кризис — кризисов, а чиновникам кушать хочется.
Кризис — кризисов, а чиновникам кушать хочется.
чиновники кстати сейчас обсуждают данную проблему, в связи с очень жесткими требованиями и дырой в бюджете.
То есть с помощью этих жестких требований закрыть дыру в бюджете? (даже и не знаю вставлять смайлик или нет)
Давайте не будет разводить троллинг. Чиновники хотят пересмотреть закон из-за дыры в бюджете И из-за завышенных требованиях к информационным системам(на уровне гос. тайны, как они сами выражаются). Собственно все заинтересованные в данной теме с нетерпением ждут их решений.
P.S — еще стоит вопрос о типовом списке и форме документов, что очень пригодилось бы.
P.S — еще стоит вопрос о типовом списке и форме документов, что очень пригодилось бы.
Правда, нисколько не собирался троллить.
Просто предполагаю.
Но после триумфального ЕГАИСа (от того же Атласа, если не ошибаюсь), немного пессимистично настроен.
Но, повторюсь, если эта инициатива не будет «пшиком», то она имеет смысл.
Работал в двух ИТ-компаниях и прдставляю, КАКОЙ объём персональной информации может храниться в ИС :)
Просто предполагаю.
Но после триумфального ЕГАИСа (от того же Атласа, если не ошибаюсь), немного пессимистично настроен.
Но, повторюсь, если эта инициатива не будет «пшиком», то она имеет смысл.
Работал в двух ИТ-компаниях и прдставляю, КАКОЙ объём персональной информации может храниться в ИС :)
Перечень полезных ссылок для заинтересованных:
ispdn.ru/
www.fstec.ru/
Запасаемся попкорном господа. Что родят нам наши законодатели к 2010 году? Разрулят текущий маразм или оставят «поле деятельности для адвокатов»? Всё это и множество другого в течение двух оставшихся месяцев.
ispdn.ru/
www.fstec.ru/
Запасаемся попкорном господа. Что родят нам наши законодатели к 2010 году? Разрулят текущий маразм или оставят «поле деятельности для адвокатов»? Всё это и множество другого в течение двух оставшихся месяцев.
ispdn.ru/practice/ в разделе «судебной практики» пока мало интересного, было бы интересно, если бы там решения выкладывали по спорам.
Статья написана в слишком мрачных тонах. Все не так страшно.
Уже существует достаточное количество схем, позволяющих выполнить требования закона без серьезных инвестиций и головной боли.
Например, в данный момент, любую систему можно подогнать под класс «специальная». Вся защита в этом случае будет строиться от частной модели угроз, которую вы сами опишите, опустив все неактуальные угрозы безопасности. Есть ещё обезличивание персональных данных, а также сегментирование информационных систем персональных данных. С помощью этих методов можно понизить класс системы до 4 и 3, к которым не предъявляются какие-то особенные требования.
Да и проверки, кстати говоря, уже идут :) Правда, пока добровольные.
Уже существует достаточное количество схем, позволяющих выполнить требования закона без серьезных инвестиций и головной боли.
Например, в данный момент, любую систему можно подогнать под класс «специальная». Вся защита в этом случае будет строиться от частной модели угроз, которую вы сами опишите, опустив все неактуальные угрозы безопасности. Есть ещё обезличивание персональных данных, а также сегментирование информационных систем персональных данных. С помощью этих методов можно понизить класс системы до 4 и 3, к которым не предъявляются какие-то особенные требования.
Да и проверки, кстати говоря, уже идут :) Правда, пока добровольные.
План проверок Роскомнадзора опубликован на их сайте, там же есть и судебная практика по нарушениям Ф-152. Это проверяющий орган и ни ФСТЭК, ни ФСБ самостоятельно не имеют права проводить проверку по соблюдению закона Ф-152 (это в законе написано), но их может привлечь Роскомнадзор.
Закон о ПД касается не только ИСПДн, но и данных которые хранятся на бумажных носителях.
Основная работа по соблюдению закона строится на внутренних документах компании. Должностные инструкции, Положения об обработке и хранению ПД, назначение ответственных, акты приемки и акты классификации, а также подписанию с владельцами ПД документа о согласии на передачу и обработку их ПД и тд.
PS. Не доверяйте информации от интеграторов, что это сложно и дорого, они на этом деньги зарабатывают. Сделать можно и самим, главное внимательно читать законы, да и привлеките грамотного юриста.
Закон о ПД касается не только ИСПДн, но и данных которые хранятся на бумажных носителях.
Основная работа по соблюдению закона строится на внутренних документах компании. Должностные инструкции, Положения об обработке и хранению ПД, назначение ответственных, акты приемки и акты классификации, а также подписанию с владельцами ПД документа о согласии на передачу и обработку их ПД и тд.
PS. Не доверяйте информации от интеграторов, что это сложно и дорого, они на этом деньги зарабатывают. Сделать можно и самим, главное внимательно читать законы, да и привлеките грамотного юриста.
Да-да :)
Где-то выкладывали смету на 17.000.000 руб.
У этих интеграторов выходило что-то вроде 65.000 за рабочее место + сотни тысяч за каждый разработанный документ и приказ. Но там на рабочих местах учитывалась защита от утечек по техническим каналам, что действительно недешево. Хоть и совсем не нужно.
Где-то выкладывали смету на 17.000.000 руб.
У этих интеграторов выходило что-то вроде 65.000 за рабочее место + сотни тысяч за каждый разработанный документ и приказ. Но там на рабочих местах учитывалась защита от утечек по техническим каналам, что действительно недешево. Хоть и совсем не нужно.
Полезная ссылка — сайт Роскомнадзора, которому поручено заниматься аттестацией и ведением реестра ИСПДн. pd.rsoc.ru/. Там же есть реестр операторов персональных данных (к слову, одноклассники.ру уже давно там: pd.rsoc.ru/operators-registry/operators-list/?id=08-0011315).
Что касается сертификации систем и повальной неготовности поставщиков, то скажу следующее: обязательной сертификации в ИСПДн подлежат средства защиты информации. Но можно ли считать средством защиты информации тот же Офис? Или какую-нибудь ERP-систему? Никто не может дать вразумительного ответа. Некоторые про запас сертифицируются (вот относительно свежий официальный реестр ВСЕХ сертифицированных средств www.fstec.ru/_doc/reestr_sszi/_reestr_sszi.xls — там вы найдете и SharePoint, и Office, и парочку систем документооборота, и уж точно многие антивирусы, даллас локи и етокены). Но большинство не спешат (о том, сколько это стоит и какая это головная боль для разработчиков без видимого эффекта, я говорить не буду).
Что касается сертификации систем и повальной неготовности поставщиков, то скажу следующее: обязательной сертификации в ИСПДн подлежат средства защиты информации. Но можно ли считать средством защиты информации тот же Офис? Или какую-нибудь ERP-систему? Никто не может дать вразумительного ответа. Некоторые про запас сертифицируются (вот относительно свежий официальный реестр ВСЕХ сертифицированных средств www.fstec.ru/_doc/reestr_sszi/_reestr_sszi.xls — там вы найдете и SharePoint, и Office, и парочку систем документооборота, и уж точно многие антивирусы, даллас локи и етокены). Но большинство не спешат (о том, сколько это стоит и какая это головная боль для разработчиков без видимого эффекта, я говорить не буду).
Мда, хабр не потянул такую тему… правительство тоже…
«ну так, чтобы и серверная и настольная платформа, и хотя бы базовый пользовательский софт»
Может я не понял, но вот чем я пользуюсь: настольная — ALT Linux 4.0 Desktop Professional (там есть и Firefox, и Openoffce.org, и даже Wine :), серверная — ALT Linux 4.0 Server Edition. Обе сертифицированы ФСТЭК по уровню контроля отсутствия недекларированных возможностей на 4 уровень и защищенность от несанкционированного доступа к информации — по 5 классу. При чем без привязки к железу. RHEL сертифицирован только для железа IBM определенных моделей.
Может я не понял, но вот чем я пользуюсь: настольная — ALT Linux 4.0 Desktop Professional (там есть и Firefox, и Openoffce.org, и даже Wine :), серверная — ALT Linux 4.0 Server Edition. Обе сертифицированы ФСТЭК по уровню контроля отсутствия недекларированных возможностей на 4 уровень и защищенность от несанкционированного доступа к информации — по 5 классу. При чем без привязки к железу. RHEL сертифицирован только для железа IBM определенных моделей.
Sign up to leave a comment.
ФЗ-152, новый год и проблемы небогатых заказчиков