Защита персональных данных — как быть и что делать?

    Многие уже в курсе, что 1 июля окончательно вступили в силу положения закона ФЗ-152 «О персональных данных». Федеральный закон, регулирующий деятельность по обработке (использованию) персональных данных, претерпел значительные изменения, которые могут сильно подпортить бизнес большинству компаний.

    Согласно новым требованиям, компании, в которых на компьютерах обрабатывается или используется персональная информация физического лица, обязаны поддерживать высокую защищенность этих данных, используя сертифицированные средства защиты.

    В связи с тем, что на данный момент менее 5% компаний готовы соблюдать эти требования, на рынке появилось множество системных интеграторов и специалистов в области информационной безопасности, готовых помочь компании продолжить работать в штатном режиме за N-ую сумму (от 10 000 рублей до unlim рублей).

    На Хабре мелькали статьи, в которых авторы призывали системных администраторов и IT-менеджеров готовиться к «судному дню».

    Ну что же, «судный день» настал, и я хочу поделиться собранной информацией по этой теме. Надеюсь, эта информация поможет многим сэкономить десятки, а то и сотни тысяч рублей.

    По описанию до ката напрашивается вопрос: если заранее было известно, что изменения будут, почему компании не подготовились? Все потому, что неоднократно переносились сроки полного вступления в силу всех требований закона и многие думали, что с 1 июля все перенесут на 20, с 20 на 30 и так далее. В результате же ничего переносить не стали и 95% компаний оказались в луже.

    Теперь для попадания в реестр операторов персональных данных необходимо привести свои информационные системы в соответствие с новыми требованиями. Могут потребоваться месяцы, чтобы разработать всю документацию, подготовить регламенты и внедрить выбранные средства защиты.

    Отсутствие желания платить большие деньги интеграторам и специалистам заставило поискать в сети информацию о том, как самостоятельно добиться соблюдения нормативных требований по обработке персональных данных.

    Информации уже достаточно и найти ее не сложно.

    Например:
    • ispdn.ru — открытая площадка для обсуждения вопросов в области защиты персональных данных, проектирования и использования информационных систем персональных данных, на которой присутствует перечень всех сертифицированных решений, краткие отчеты о проверках операторов, обзор судебной практики, оживленный форум и типовые решения по защите информации в ИСПДн.
    • www.itsec.ru/forum.php — форум журнала «Информационная безопасность», на который нередко заглядывают представители регулирующих органов.
    • anvolkov.blogspot.com — блог «Безопасность для понимающих и не очень», с альтернативным взглядом на процессы «улучшения» законодательства в области персональных данных.
    • pd.rsoc.ru/inter-services/forum — официальный портал персональных данных, на котором есть практически всё от мониторинга изменений законодательства, до обзора судебной практики, только это «всё» ищется через раз, а систематизация раздела «Вопросы операторов персональных данных» привязана исключительно к дате появления вопроса на портале, независимо был ли ответ полуофициальным, просто полезным и совсем бессмысленным, в общем поплутать на этом портале придется не слабо.


    Если говорить о каком-то структурированном, пошаговогом алгоритме с четкими рекомендациями, то стоит упомянуть сайт http://zpdn-day.ru. Информация там, насколько я понимаю, предоставляется бесплатно. На сайте есть инструкции, шаблоны документов, плюс ребята организуют бесплатные вебинары, посвященные проблемам, связанным с ФЗ-152 и ЗПДн.

    Более полный список ссылок на ресурсы по теме можно найти тут.

    Однако понятно, что теория может очень сильно отличаться от практики, поэтому давайте делиться опытом, если у кого-то такой уже имеется. В принципе, интересна будет любая информация.

    Ну и список вопросов для обсуждения:

    1) Кто-нибудь уже заполнял уведомление об обработке ПДн на сайте Роскомнадзора?
    2) Что лучше выбрать — только сертифицированное ПО, 50 на 50 или вообще не покупать софт с сертификатами?
    3) Какие средства защиты для локалки с ПДн? Рекомендуем и делимся опытом.
    4) Кто-нибудь уже сталкивался с проверками? Если да, то сколько времени дают на устранение неполадок?

    Заранее спасибо за ответы.
    Поделиться публикацией

    Комментарии 61

      +6
      что с 1 июля все перенесут на 20, с 20 на 30 и так далее. В результате же ничего переносить не стали и 95% компаний оказались в луже.

      Причина не в этом. 95% компаний считают, что решить проблему «полюбовно» проще, чем приводить в соответствие.
        +1
        нет ли уже данных по стоимости «полюбовного» урегулирования? :)
          0
          От количества ПК зависит и от города.
          В миллиониках 7-15 тыс за шт. В остальных 5-7 тыс. Так же влияет количество компаний проводящих работы по аудиту и защите.
        0
        В нашей стране проще взятку дать, чем нанять системного администратора и покупать сертифицированный софт.
          +1
          Тут дело не в стране, а в законе. Накой, спрашивается, я должен покупать 100 сертифицированных дистрибутивов windows xp на 100 машин, если я использую коропоративные лицензии и устанавливаю на все 100 машин один и тот же дистрибутив?
          А продавцы сертифицированного ПО продают винду с сертификатами только на 1 машину. Microsoft говорит — нас это не волнует, разбирайтесь с ними сами.
          Нормальных сертифицированных фаерволов нет. Продукты Eset и Agnitum'а сертифицированы только частично, ставить их нельзя. А поделки от SecurityCOde и прочих российских производителей и не хочется…
            +3
            Используйте Linux. Есть два сертифицированных linux дистрибутива ALT Linux и ASP Linux.
              +1
              Да ALT Linux весьма можно, он недавно сертифицирован по максимуму до К1 (на ASP сертификат закончился давно, к сожалению). Внешний файрвол и криптуху, если нужны, можно брать Заставу (он под Альт работает) или КриптоПРО
                0
                Издеваетесь?
                Согласно условиям применения, комплект считается сертифицированным только при наличии купона технической поддержки, соответствующего типу компьютера (Рабочая станция или Сервер) с уникальным номером, в количестве 1 купон на 1 компьютер.
                Альт Линукс СПТ 6.0 Рабочая станция с технической поддержкой на 1 год — 7000 рублей

                Сертифицированый Windows дешевле купить. Если лицензия не нужна (уже куплена), они за 2 тыр продаются (примерно).
                Я о том и говорю, что сейчас закон позволяет хитроумным продавцам ПО делать деньги буквально из воздуха.
                  0
                  Сертифицированый Windows дешевле купить. Если лицензия не нужна (уже куплена), они за 2 тыр продаются (примерно).

                  А давно у нас обычный Windows сертифицирован для работы с персональными данными? Что-то мне подсказывает что это не так. И Windows для работы с персональными данными сертифицировали определенной версии и с дополнительным ПО. Ну а что ALT типа денег хочет за поддержку, так вы ценник техподдержки MS не выясняли? :)
                    0
                    Для ALT, все с той же ссылки:
                    Сертифицированной считается система, установленная с оригинального диска, имеющего уникальный номер, проставленный сертифицированной лабораторией, и действующий купон технической поддержки.

                    Т.е., без поддержки, версия не считается сертифицированной. Каждый год надо будет платить.
                    Windows XP и Windows 7. Еще их продает «Альтекс софт» (или как-то так) — на сайт сейчас зайти не могу, лежит, но порядок цен такой же.
                    Там дело в том, что сертифицированный дистрибутив не содержит лицензии Microsoft — ее нужно покупать отдельно, но об этом я уже писал.
                      0
                      Сертифицированной считается система, установленная с оригинального диска, имеющего уникальный номер, проставленный сертифицированной лабораторией, и действующий купон технической поддержки.

                      Т.е., без поддержки, версия не считается сертифицированной. Каждый год надо будет платить.
                      Windows XP и Windows 7.

                      В случае с Windows все ровно тоже самое. Опять же Windows XP Pro сейчас купить сложно, а вот Windows 7 Корпоративная. А она стоит далеко не всем те две тысячи про которые вы говорите :)

                      Там дело в том, что сертифицированный дистрибутив не содержит лицензии Microsoft — ее нужно покупать отдельно, но об этом я уже писал.

                      Мне вот очень сильно интересно как в этом случае обеспечивается сертификация.
                        0
                        В случае с Windows все ровно тоже самое. Опять же Windows XP Pro сейчас купить сложно, а вот Windows 7 Корпоративная. А она стоит далеко не всем те две тысячи про которые вы говорите :)

                        Посмотрите на мой самый первый комментарий. У нас есть 100 машин с лицензионной Windows XP/Vista/7 — есть уже! Не надо мне покупать лицензии! А сертификаты надо! И сертификат этот стоит около 2-х тысяч на одно рабочее место.
                        Вы своим первым комментарием предложили мне переход на linux. В этом случае уже стоимость ПО для перехода будет больше чем стоимость сертификации имеющегося ПО. Не говоря уже о затратах связанных со сменой инфраструктуры.
                        Мне вот очень сильно интересно как в этом случае обеспечивается сертификация.

                        Они присылают мне дистрибутивы, якобы проверенные спец. лабораторией, с сертификатами. Я с этих дистрибутивов устанавливаю операционку и ввожу свои ключи. По крайней мере они говорят так.
                          0
                          У нас есть 100 машин с лицензионной Windows XP/Vista/7 — есть уже! Не надо мне покупать лицензии! А сертификаты надо! И сертификат этот стоит около 2-х тысяч на одно рабочее место.

                          Я рад за вас что они уже есть. Мы про вас или про вообще? :) Если про вообще, то разницы особой на что переводить не будет. Опять же в случае если потребуется сервер то как раз вариант ALT Linux с нуля будет дешевле Windows Server.

                          Ну и да цитата с того сайта:
                          Дистрибутив должен быть лицензионным, установленного образца, произведен официальным репликатором Microsoft
                          Дистрибутив должен содержать ту версию программного обеспечения, которая указана в сертификате ФСТЭК России, и на которую имеется соответствующая лицензия

                          Вы уверены что у вас все приобретенные Windows той версии? :)

                          Они присылают мне дистрибутивы, якобы проверенные спец. лабораторией, с сертификатами. Я с этих дистрибутивов устанавливаю операционку и ввожу свои ключи. По крайней мере они говорят так.

                          Хорошо. Это произошло что дальше? Кем осуществляется поддержка, откуда берутся обновления и кем после обновления подтверждается что у вас все еще все сертифицировано? :)
                            0
                            Я рад за вас что они уже есть. Мы про вас или про вообще?

                            Вообще-то, я про себя. И про тех, у кого уже используется лицензионное, но не сертифицированное ФСТЭК ПО.
                            Вы уверены что у вас все приобретенные Windows той версии? :)

                            Да, уверен. Им наплевать, на самом деле, на дистрибутив. Главное, чтоб на диске было написано Service Pack 2 или Service Pack 3.
                            Хорошо. Это произошло что дальше? Кем осуществляется поддержка, откуда берутся обновления и кем после обновления подтверждается что у вас все еще все сертифицировано? :)

                            О да. Это отдельный разговор. У них какое-то свое ПО для обновлений. Есть даже возможность централизованной установки этих обновлений. Что-то типа своего WSUS'a с преферансом и девицами.
                            Сами сертифицированные обновления входят во все пакеты (состав пакетов), а вот софтину надо покупать.
                              0
                              Вот в том то и дело что не факт, что будет дешевле с нуля покупать linux или windows :) Хотя конечно это сильно зависит от инфраструктуры.
                                0
                                C нуля — естественно не факт, но речь шла не об этом.
                                Мне вообще кажется, что для систем которые только создаются намного легче соответствовать 152 ФЗ. Если бы он появился лет 10 назад, когда инфраструктура нашего предприятия только создавалась, нам было бы намного легче. Например, мы могли бы засунуть в отдельное помещение отдел кадров и зарплатчиков, по другому планировать схемы БД и многое другое. А вот сейчас, перестраивать имеющуюся систему намного сложнее.
                                  0
                                  >А вот сейчас, перестраивать имеющуюся систему намного сложнее.

                                  Вообще говоря у вас 5 лет было на перестройку ;)
                                    0
                                    ну, в общем, согласен. Но фактически, о подготовке задумались только в прошлом году (и вопрос почему так поздно уже не ко мне :) — долго телепались юристы и руководство)
                    0
                    С Альтом, вероятно, можно договориться. С M$ — никогда (если вы не Газпром).
              +1
              завтра Совет Федерации будет рассматривать новую версию закона. так что сейчас особо рыпаться смысла нет. уведомлять нужно будет до 13 года.
                0
                Вот эти надо полагать? Здорово! Действительно рыпаться не надо…
                0
                > Кто-нибудь уже сталкивался с проверками? Если да, то сколько времени дают на устранение неполадок?

                Читайте регламент проверок РКН тут или позвоните в территориальный орган РКН. Там сидят адекватные и понимающие люди, которые ответят на ваши вопросы.
                  0
                  РосКомНадзор проверяет организационные мероприятия, описанные в Законе (т.е. всё, кроме защиты информации).
                  Защиту информации проверяет в части криптографии — ФСБ, всю остальную — ФСТЭК.

                  Графики плановых проверок на этот год вывешены на сайтах прокуратур всех областей, внеплановые проверки возможны в крайне редких случаях (на сегодняшний день имеется правовой казус, согласно которому инициировать внеплановую проверку по 152-ФЗ по жалобе физ.лица невозможно).
                    0
                    Графики проверок ФСТЭК и ФСБ есть на их сайтах.

                    ФСТЭК, кстати, вообще не занимается внеплановыми проверками (по крайней мере в в отчете за 2010 год они об этом прямо заявляют).

                    Да и если посмотреть на эти графики, и ФСТЭК и ФСБ интересуют госучреждения.
                      0
                      В отчете РКН как Уполномоченного органа защиты прав субъектов персональных данных за 2010 год — www.rsoc.ru/docs/Otchet_2010.pdf — на странице 5 показана общая доля внеплановых проверок.

                      Из 1253 проверок, проведенных за 2010 год, 449 были внеплановыми — это редкий случай? Это 1/3 от общего числа проверок.
                  • НЛО прилетело и опубликовало эту надпись здесь
                      0
                      Вы вообще в курсе что такое персональные данные? Это такие данные которые позволяют достоверно узнать что вот этот человек это тот самый. Простой пример фИО и адрес проиживания. ФИО и телефон и т.п. Если вы храните ФИО, login и email этого мало :)
                        0
                        А если например юзер может динамически добавлять поля и ввести например всю информацию? Ну для друзей например
                          0
                          ССЗБ :) Особенно если это доступно публично.
                        • НЛО прилетело и опубликовало эту надпись здесь
                            0
                            если я гражданин другой страны, но сайт на российском хостинге — я должен подчиняться российским законам?

                            Закон действует для держателей, а не для пользователей.
                            • НЛО прилетело и опубликовало эту надпись здесь
                                0
                                Я бы предположил, что речь идет прежде всего о юр.лицах, а поскольку вы юр.лицом, зарегистрированным в РФ, не являетесь (судя по вашим словам), то на вас закон не распространяется. И на территории РФ вас даже не привлечь за незаконное предпринимательство. Так что можно смело забить :) Ну а как там с законами на Украине — это вам виднее :)
                                • НЛО прилетело и опубликовало эту надпись здесь
                                    0
                                    Если как юр.лицо на территории РФ, то закон будет распространяться на вас.
                            0
                            Определение ПДн в законе очень расплывчатое
                            1) персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;
                            ФИО, кстати, названы прямо, а мои мыло/логин явно ко мне относятся.
                              0
                              Фишка в том что данные должны быть такие чтобы можно было точно определить человека. К примеру если у вас лежит ФИО и дата рождения, то это не персональные данные. Вы по ним человека установить не можете. Если у вас лежит ФИО и адрес, это персональные данные так-как вы точно можете определить человека. Все комбинации которые позволяют точно определить человека относятся к персональным данным.
                                0
                                Ну не совсем так. ФИО и дата рождения — это очень даже персональные данные. Просто относятся они к категории 4 — обезличенные или общедоступные. А то о чем говорите вы — это персональные данные категории 3 — позволяющие однозначно идентифицировать субъекта.
                                Классификация ПДн и ИСПДн
                                  0
                                  По категории 4 там особо делать ничего не надо :) Поэтому я ее опускаю.
                                    0
                                    Делать-то особо ничего не надо, но если РКН придет с проверкой надо быть готовым ему это объяснить и, вероятно, доказать. Т.е. какой-то набор документов все равно должен иметься.
                                0
                                А новое определение читали?

                                Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

                                И после этого определения, ПДн может быть, практически, что угодно. При этом новое определения является лучшим переводом такого же определения из Европейской Конвенции.
                                  0
                                  Откуда это новое? Я смотрю действующую редакцию закона (в ред. 04.06.2011 N 123-ФЗ). Но и по действующему тоже фактически любая информация может быть признана ПДн.
                                    +1
                                    Это новое из принятых в третьем чтении поправок к 152-ФЗ
                            +1
                            Уважаемые коллеги, скажите пожалуйста, вот есть сайт — городской каталог предприятий. Название фирмы, ФИО директора, телефон конторы.
                            Подпадают ли эти данные под персональные? Это же официальные данные юрлица. А если это ЧП?
                            Нас уже окончательно запутали — где узнать истину?
                              +2
                              Федеральный закон от 8 августа 2001 г. N 129-ФЗ «О государственной регистрации юридических лиц и индивидуальных предпринимателей»:
                              Статья 6.
                              1. Содержащиеся в государственных реестрах сведения и документы являются открытыми и общедоступными, за исключением сведений, доступ к которым ограничен в соответствии с абзацем вторым настоящего пункта.
                              Сведения о номере, о дате выдачи и об органе, выдавшем документ, удостоверяющий личность физического лица, содержащиеся в государственных реестрах, могут быть предоставлены исключительно органам государственной власти, иным государственным органам, судам, органам государственных внебюджетных фондов в случаях и в порядке, которые установлены Правительством Российской Федерации. Данное ограничение не применяется при предоставлении содержащих указанные сведения копий учредительных документов юридических лиц, а также сведений о месте жительства индивидуальных предпринимателей.


                              Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных»:
                              Статья 3.
                              12) общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.


                              Как следствие:
                              а) да — это персональные данные;
                              но
                              б) обеспечение конфиденциальности персональных данных не требуется (ст.7, ч.2);
                              в) уведомление субъекта по ч.3 ст.18 — не требуется;
                              г) оператор вправе осуществлять их обработку без уведомления РосКомНадзора (ст.22, ч.2, п.4);
                              д) согласие субъекта не требуется — Вы апеллируете к 129-ФЗ.
                                0
                                Спасибо огромнейшее, теперь знаем, куда копать!
                              +2
                              До сих пор в голове как то не укладывается всё это… Так не должно быть.
                                +5
                                Это узаконенный грабёж на уровне целого государства. Исключительно дерзкий и мощно проплаченный.
                                Я не понимаю, почему все дружно мычат и молчат.
                                • НЛО прилетело и опубликовало эту надпись здесь
                                    0
                                    Как бы нам это потом анальным эффектом не откликнулось.
                                    Нам нужен продуктивный план (хиппи, в сторону!).
                                –13
                                Сорри за небольшую рекламу.
                                Учебный центр «SmartLevel IBS» предлагает авторский курс: «Организация работы с персональными данными (ФЗ-152)». Вот ссылка на программу — хttp://www.smartlevel.ru/rus/kursi/avtorskie_kuri/organizatsiya_raboti_s_personal_nimi_dannimi_fz-152_/
                                Если нужны скидки, можете обратиться ко мне.
                                  0
                                  Использовать не сертифицированное ПО и называть его средством защиты информации в документации на свою ИСПДн — довольно рискованный шаг, любая проверка до этого докопается, как пить дать. Но использовать ТОЛЬКО сертифицированное ПО нет необходимости.

                                  В плане защиты локальной сети — от чего защиты? Какого размера локальная сеть? Слишком общий вопрос. В зависимости от размера сети и модели угроз можно применять что угодно, от VipNet Personal Firewall и TrustAccess до «Континентов» и Stonegate Firewall/VPN.
                                    0
                                    Вообще говоря, самостоятельно выполнить требования ФЗ-152 будет очень тяжело. Дело в том, что начиная с К2 и выше в комплекс технических мероприятий почти наверняка войдет установка средств криптографической защиты информации. Но их Вашей компании никто не продаст, если у Вас нет лицензий ФСБ на работу с криптографией. И даже если где-то взять, то самостоятельная их установка без лицензии юридически не легитимна. То есть, варягов звать придется по-любому или получать лицензию на криптографию.
                                      0
                                      1) ДА.
                                      2) Сертифицированное ПО если это является обязательным условием. Обычно обезличивают данные и защищают как КТ. А там дело свободное.
                                      3) Зависит от организации.
                                      4) Сталкивались. 2 недели давали.

                                      Закон весьма сыроват, специалистов выпускать не успевают. Но даже специалисты по выходу сами не знают, что нужно. Нет ни конкретных методик, ни средств обоснованных. ФСТЭК со своими рекомендациями часто запутывает и при проведении аудита вопросы могут возникнуть со всех сторон.

                                      Как человек не отдалённый к таким организаций сообщаю, что единственный смысл это уйти от ответственности и срубить бабла.

                                      Т.е. Ни КТО не отвечает за данные. Если ваши данные украдут, то фирма скажет мол у нас всё сертифицировано, пройдены все шаги проверок. Идите в полицию. В полиции пожмут плечами и ни кто морально вам выплачивать не чего не будет.

                                      К примеру у зубного врача и небольших клиник я считал, выгодней убрать персональные данные с ПК. И перенести их на карты бумажного варианта, а те в сейф. Выгода до 90%. Знаю тормозит прогресс, но таковы законы. Для людей же.
                                        +1
                                        Читаю и волосы дыбом встают.
                                        Неужели я должен менять MySQL интернет-магазина с ПД на что-то еще (я его годами оттачивал под высокую нагрузку). Вместо ipfw и iptables ставить непонятно что, а FreeBSD, CentOS, Ubuntu Server на серверах поменять на винды?
                                        Они это серьезно?
                                          +1
                                          Да. Потому что чиновники тоже годами оттачивали mad skillz по контролированию, администрированию и управлению. Теперь ваши mad skillz по mysql против их mad skillz по выстраиванию юридических препон. Кто победит?
                                            0
                                            А в какой-нибудь стране мира подобное вообще есть?

                                            Я просто не представляю бизнес с использованием непонятно чего вместо БД и фаервола.
                                          0
                                          Кстати а если например у меня есть сайт (на хостинге российском), который хранит например ФИО, email, адрес. Я зарегистрирован как ИП, чтобы добропорядочно платить налоги, но в РКН ничего не отправлял.

                                          Как они могут на меня повлиять? Написать хостеру чтобы мой сайт закрыли? Домой то они не придут ко мне, это частная собственность.
                                            0
                                            Возникает вопрос — если человек является разработчиком приложения в какой-нибудь соц. сети например и у него есть список зарегистрированных в данном приложении пользователей с какими-нибудь сопутствующими данными на сервере — это является обработкой ПД?

                                            P.S. Законов не читал, но вряд ли там составлен четкий перечень, что ПД, а что нет
                                              +1
                                              Можете кидать в меня камни, но я знаю примеры (в русле, отличном от хранения персональных данных), когда для проверки делалась липовая, поверхностная, нерабочая инфраструктура, а для работы нормальная, проверенная годами (но, разумеется, несертифицированная). Проверщики увидят ровно то, что вы им покажете.

                                              Так что те, у кого годами выдрессированная конфигурация MySQL, можно особо не переживать конкретно по поводу этого не переживать. Другой вопрос, что денег придется все равно потратить. :(
                                                0
                                                У нас в Дагестане, была проверка нотариуса РосКомНадзором, нарушений не нашли :)… На данном этапе главное бумажки правильно заполнить и на 90% ты выполнил положения закона

                                                Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                Самое читаемое