» Вы уже обеспечили защиту персональных данных на предприятии?

Цитата:

то есть получается что уже как-бы и не все попадают

обратите внимание на наименование главы:
Статья 22. Уведомление об обработке персональных данных

больше там ни о чем не говориться........

kermit
Человек прочитал, понял и разместил в шапке в логической последовательности и все правильно.

Цитата:

Но если почитать 152 ФЗ, то увидим что статья 22 гласит:

Цитата:
2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;

Т.е. она говорит что оператор имеет право не уведомлять субъекта ПД об обработке его ПД данных, если с он его сотрудник илди работает по трудовому договору. там есть еще аналогичный подпункт 2)по поводу договорных отношений.
Беда в том, что от обязаности защищать ПД даже своих сотрудников это право не освобождает.:D

Вот может кому пригодиться
http://спам

А не у кого не возникало идей попытаться вывести данные из под действия данного закона.
Например, везде ставить сноску что данные собираются в целях создания и поддержания источника общедоступных данных, вы таком случае нет необходимости обеспечивания конфиденциальности данных.
Или хранить данные в разных местах, таким образом, что-бы они были обезличены.

Yuri456745

Цитата:

А не у кого не возникало идей попытаться вывести данные из под действия данного закона. Например, везде ставить сноску что данные собираются в целях создания и поддержания источника общедоступных данных

ООО "Общедоступность". Деятельность: сбор и выкладывание в открытый доступ персональных данных всех, кого мы знаем. Начнём со своих сотрудников. Сотрудник Пупкин Василий Петрович, пасспорт серия ..., проживает ..., имеет 2 детей, ...

Цитата:

Или хранить данные в разных местах, таким образом, что-бы они были обезличены

Это как?
По этому закону Практически все обрабатываемые персональные данные(общем понимании) имеют смысл и привязаны к конкретному субъекту ПД (физлицу, сотруднику, ИЧП). Если данные Обезличены == это означает, что по имеющимся в данной информационнной системе данным нельзя четко и однозначно идентифицировать такого субъекта. Т.е. вместо Пупкина Василия Петровича в программе "зарплата и кадры" бухгалтер заведет субъекта "000001", следующего -"000002" будет начислять им зарплату, а Вася Пупкин будет расписываться, что "000001" получил свои 5 рублей.
Все бы хорошо, но налоговая, фонды не примут во внимание такие шаманства. А если Вам выпишут такой билет, поставят дианноз и т.д.?
Если обзывать субъекта "000001" в результатах обработки будет неприемлемо, то прийдется иметь другую информационую систему, в которой будут вместе и данные субъекта и коды. Трудности, в разрознености информации, требуемым осуществлением взаимодествия, синхронизации 2-х систем. И все рано имеем систему, которую надо будет защать + ошибки при доработке Програмного обеспечения + ошибки синхронизации+ ошибки персонала. + требуется отчетность, печать требуемых форм(квитанция, счет, ведомость и т.д.). И даже при асинхронном обмене/запросе данных можно всегда сказать, что это удаленный доступ к защищеноой системе и потребуется защищать систему, канал доступа и клиента. Проще будет не выеживаться.

Сегодня на утреннем заседании ГД рассмотрены и приняты в третьем чтении следующие законы:

Цитата:

...
- "О внесении изменений в статьи 19 и 25 Федерального закона "О персональных данных" (в части исключения требования об использовании криптографических средств защиты персональных данных и продления срока, в течение которого ранее созданные информационные системы персональных данных подлежат приведению в соответствие с Федеральным законом "О персональных данных"), "за" – 311.

Законопроект представил первый заместитель председателя Комитета по конституционному законодательству и государственному строительству Александр Москалец.

По мотивам голосования высказался Владимир Кашин.
...

По ст.25 п.3 отсрочка до 1 января 2011 года.

Получается, что ИСПДн, которые были созданы после вступления ФЗ уже должны соответствовать его требованиям...

особой разницы это не принесло.

А я рад-))) Еще год на свободе!!!

Слышал было предложено около 16 изменений... А с ними что?

Вопрос немного не по теме.

Кто VipNet уже купил, можете дать документацию по продукту этому. В открытом виде её нигде нет, а я хочу начать обучение на администратора VipNet.

Если у кого есть какая либо документация, напиши в приват

Snekaaa
У них на сайте можно зарегистрироваться для получения пробной версии, на почту пришлют ссылки на всякое. Среди прочего есть и документация.
Впрочем, для ленивых залил, что было: http://www.uploadjockey.com/download/2469685/ViPNet_Docs.7z

Ребята, хороший новость:


Цитата:

Госдума приняла в третьем чтении поправки к статьям 19 и 25 закона «О персональных данных» (152-ФЗ). Срок приведения информационных систем персональных данных в соответствие с данным законом перенесли на год — с 1 января 2010 г. до 1 января 2011 г.

Кроме того, из закона исключена норма, обязывающая оператора при обработке персональных данных использовать шифровальные (криптографические) средства для защиты данных.

Основная причина переноса, в пользу которого активно выступили российские банки, связана с непрозрачностью требований регуляторов и невозможностью их выполнить за отведенное время.

источник - www.securitylab.ru

P.S. По ходу БАЯН )) но не грех о хорошем писать еще раз !

Цитата:

kzi
Получается, что ИСПДн, которые были созданы после вступления ФЗ уже должны соответствовать его требованиям...

особой разницы это не принесло.

Ошибаетесь
Ко второму чтению (см. под спойлером второго чтения ссылку на текст) там появилось интересное изменение:

Цитата:

2) часть 3 статьи 25 изложить в следующей редакции:
«3. Информационные системы персональных данных, созданные до 1 января 2010 года, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2011 года.».

Цитата:

Orion_76
Слышал было предложено около 16 изменений...

На сайте Минкомсвязи более 160 предложений по изменениям (doc)


Цитата:

Orion_76А с ними что?

См. ЭРК на сайте Думы законопроект № 282499-5

в стране тыщщи однотипных предприятий, неужели нет стандартных рецептов, подходящих для большинства?

Цитата:

kermit
в стране тыщщи однотипных предприятий, неужели нет стандартных рецептов, подходящих для большинства?

Есть.
Но в том то и дело, что в этих однотипных предприятиях не однотипные информационные системы...
К сожалению издержки того, что 20 лет вопрос вообще не регулировался. Соответственно ИС создавались "кому как на душу положит". И стоимость приведения ИС к одному знаменателю будет равна стоимости создания в большей части этих предприятиях новых ИС.

Кто пользовался средствами защиты от НСД такими как Secret Net или что-нибудь подобное. Интересуют те, что имеют сертификат ФСТЭК и работают под Win2k или Win2003, класс защищенности АС 1в. Какой геморой с ними при работе и настройке, с какими лучше не связываться.

Цитата:

funkyru
Кто пользовался средствами защиты от НСД такими как Secret Net или что-нибудь подобное. Интересуют те, что имеют сертификат ФСТЭК и работают под Win2k или Win2003, класс защищенности АС 1в.

Secret Net или Панцирь-С

А нафига 1В? ИСПДн К1?
Можно попробовать спецИСПДн - тогда есть варианты снижения через модель угроз с мандатного на ролевой доступ и применения СЗИ, сертифицированных на 1Г.
Но это уже надо смотреть по конкретному объекту.

Цитата:

funkyru
Какой геморой с ними при работе и настройке, с какими лучше не связываться.

Гемор, как с любой навеской на систему, неизбежен.
Запросите версии с ключами на 1-3 месяца у вендоров (обычно они спокойно дают это бесплатно) и смотрите где не будет конфликтов с имеющейся системой и что больше понравится.

в неправильном направлении идет обсуждение :
эту всю хрень нужно отменять под корень, а не думать как ее испольовать

это удел государственных учереждений собирающих и аккумулирующих такого рода данные и закрытых предприятий

ко всем остальным производственным и непроизводственным фирмам любой формы собственности и деятельности, в части сбора информации непосредственно связанной с дейтельностью и собственными работниками, клиентами и партнерами, это все не должно иметь ни малейшего отношения

ну разве что собственно сбор информации и есть вид деятельности этой фирмы, тогда согласен что нужно меры принимать, и вообще лицензировать

в штатах магазинчик или фирма спокойно ведет базу клиентов, где даже данные кредитных карт, и всем от этого только удобнее

там понимают что вся эта мура не поможет решить главную задачу для которой ее якобы придумали - защитить данный от утечки

а если не сможет, то нафига вообще огород городить ?

anpsoft

Цитата:

там понимают что вся эта мура не поможет решить главную задачу для которой ее якобы придумали - защитить данный от утечки
а если не сможет, то нафига вообще огород городить ?

не один из представителей фстека и иже сними на этот вопрос неотвечают понятно что проплаченный дебильно недаработанный закон, бабло то на кону не хилое, а програм для галочки втюхать можно немерянно, и перед призидентом отчитаться работы выполнены теперь повысилась защищённость ПД до небес и если он далёк от этого то скажет от ништяк молодцы в период кризиса столько бабала и откатов нарубили, посрали на целесообразность и просто не подсчитали экономические потери для самих предприятий, и если гос учереждения ещё могут надеятся на бабло из центра под данные нужды, то что делать малому среднему и большому бизнесу пускать деньги в фиалковые газы в мозгах чиновников которые этот закон продвигают

Ну хорошо, у меня есть база с сотрудниками предприятия. Я трачу полчаса времени, пишу программку, которая заменяет ФИО сотрудников на обозначения "Сотрудник 1", "Сотрудник 2" и т.д. Приходит проверка. Программа запускается. Проверяющему объясняем, что данных, позволяющих идентифицировать физ. лицо у нас не хранится, в чем он лично может убедиться. Проверяющий уходит, выполняется обратное преобразование, работа продолжается. Покритикуйте.

panda3

Цитата:

Покритикуйте.

А как вы тогда у себя на предприятии идентифицируете сотрудников? Как у вас начисляется зарплата, пенсия? Как принимаете на работу? ... Имхо, не серьёзно всё это.

не серьезно такие дебильные законы принимать

Цитата:

Имхо, не серьёзно всё это.

Ну, т.е. так проверяющий напишет в акте проверки? И на основании этого привлечет к административной ответственности? Моя цель - не показаться серьезным, затрачивая тысячи долларов и сыпя криптографическими терминами, а решить проблему отмазки от обсужаемого закона максимально простым способом.

Цитата:

А как вы тогда у себя на предприятии идентифицируете сотрудников? Как у вас начисляется зарплата, пенсия? Как принимаете на работу?

Это проверяющий будет спрашивать? Ответ (суть, а может и форма): не твое собачье дело. Его полномочия - проверить защищенность персональных данных. А мы идентифицируем по номерам. Помним их все и всё. Это такой вариант итальянской забастовки (в простонародии - дурка), самый между прочим эффективный способ борьбы с идиотами их же методами.

panda3

Цитата:

Это проверяющий будет спрашивать? Ответ (суть, а может и форма): не твое собачье дело. Его полномочия - проверить защищенность персональных данных. А мы идентифицируем по номерам. Помним их все и всё. Это такой вариант итальянской забастовки (в простонародии - дурка), самый между прочим эффективный способ борьбы с идиотами их же методами.

проверяющий будет не спрашивать а проверять, причём все данные, у него достаточно полномочий для этого, и даже дураку понятно что если есть Сотрудник1 то и должно буть гдето соответствие Сотрудник1=Пупкин Ираклий Васильевичь и проч


Цитата:

Моя цель - не показаться серьезным, затрачивая тысячи долларов и сыпя криптографическими терминами, а решить проблему отмазки от обсужаемого закона максимально простым способом.

цель хорошая только этот способ не прокатит

для мелкой фирмочки может и прокатит
а список соответсвий на 10 человек можно написать от руки или на печ машинке и повесить над каждым компом

со временем все наизусть запомнят

а как быть если как у меня 2-3 тысячи ?

Цитата:

у него достаточно полномочий для этого, и даже дураку понятно что если есть Сотрудник1 то и должно буть гдето соответствие Сотрудник1=Пупкин Ираклий Васильевичь и проч

Соответствие хранится на флешке у меня в кармане. В запароленном архиве в моей личной почте на яндексе, не важно где, на предприятии этих данных нет, реально нет. Так он и напишет, т.е. "любому дураку ясно.... поэтому считаю, что они где-то хранят персональные данные, причем любому дураку ясно, что не в соответствии с законом, и на основании этого предлагаю... привлечь к административной ответственности...".? Даже если в порядке бреда предположить фабрикацию дела на основании свидетельских показаний, ну заплатим штраф, но предписать то что они могут? "Привести в соответствие..."? Так и так уже в соответствии, данных то нет.

а если хранить базу соответствий за пределами предприятия и страны вообще ?
в инете на сервере где либо на островах
если фирма крупная то можно и вообще всё туда перенести на арендуемый сервер

надо поработать - вошел через удаленный доступ и работай на здоровье
и всем сотрудникам легко можно работать как и прежде почти

охрану только на вход хорошую чтоб тревогу поднимать если братья пришли

anpsoft
Не надо ничего нигде хранить, это нужно на время проверки. И не надо никакой тревоги: они по вашему с ОМОНом что ли придут? "Всем встать, отойти от компьютеров!" Да и если с ОМОНом, он тут ничем не поможет. Уж проверки лицензионности, я думаю всех натренировали.

еще вариант
таблица связей в личном ноутбуке в шкафчике личных вещей

или вообще что то что по wi fi может принимать запросы и отдавать данные



а проверить просто
они пойдут в ментовку или исполком
те отправят запрос на выборку в электронном виде
а мои сами им отправят на себя улики

а не отправить тоже нельзя - менты достанут

да и кроме ментов полно таких органов

тот же пенсионный фонд к примеру

выход по хорошему - отменять закон

Да, с пенсионным фондом это засада.