» Вы уже обеспечили защиту персональных данных на предприятии?

nikost98 конкретно по защите ПДн я не встречал указявок пунктов -обязывающий (или предполагающий), но знаю, что ФСТЭК в госструктурах требует иметь не менее двух человек, прошедших обучение по защите ПДн. На основании чего он требует - не знаю, но впрочем это логично с точки зрения здравого смысла. Один обученный чел точно нужен, а вдруг уволится, заболеет, умрет, ушел в отпуск - потому нужен второй.
Если речь идет в целом об отделе ИТ, то зависит от числа компов и структуры сети, советы уже дали выше.

ipmanyak

Цитата:

но знаю, что ФСТЭК в госструктурах требует иметь не менее двух человек, прошедших обучение по защите ПДн.

до мартовского приказа - для сертификации необходим был человек, с образованием в области ЗИ или доп обучением в этой области.

Цитата:

При заказе у сторонней организации вполне можно и обойтись без отдела ИТ

а какие сертификаты должны быть у такой компании-аутсорсера?

kermit Например вот такие - http://www.altx-soft.ru/license.htm

ipmanyak прям все?!

kermit главная лицензия (не сертификат) ФСТЭК России на осуществление деятельности по технической защите конфиденциальной информации;
Если у Вас есть СКЗИ или планируете использовать для защиты ПДн, то нужны еще:
- ФСБ России на осуществление работ по распространению шифровальных (криптографических) средств;
- ФСБ России на осуществление работ по техническому обслуживанию шифровальных (криптографических) средств.

Можно и ФСБ России на осуществление работ по предоставлению услуг в области шифрования информации, не составляющей государственную тайну и те, что ipmanyak ссылку дал, только в них нет необходимости. И чем, больше лицензий у компании, тем больше денежек она с Вас возьмет, и при этом качество предоставленных услуг не обязательно будет соответствующий.

Довольно таки продолжительное время занимался этим вопрросом и пришол к такому вводу:
Работаю в муниципальнов учреждении под министерством здравоохранениия сисадмином. Специального финансироввания на обеспечение защиты ПД нет, следовательно единственное, что я могу сделать, это обеспечить защиту ПД доступными мне средствами.. Единственное доступное мне средство - свободное ПО и не доконца освоенные имеющиеся ресурсы.
Штрафы за "неправильную" защиту ПД намного меньше, чем реальные затраты на ту же защиту по всем правилам, предписать устранить несоответствие с законом о ПД я очень сомневаюсь, что смогут, мы не комерческая контора, все деньги нам дает гос-во.

Короче...сделаю "красиво" и по своему...и пошли они все нафик со своими законами.

Сколько читал про зПД, так нигде и не смог найти информацию в законе об обязательной сертификации оборудования и ПО от ФСТЭК. Кто-нибудь подскажет, где это прописано? И конкретно применимо к Федеральному закону от 27 июля 2006 г. N 152-ФЗ "О персональных данных", а не каким-либо смежным или якобы похожим?
Ещё натолкнулся на такое:
http://www.minzdravsoc.ru/docs/others/15
Т.е. лицензию на ТЗКИ необходимо получать только юридическим лицам, осуществляющим предпринимательскую деятельность, связанную с технической защитой конфиденциальной информации.

А че молчим?
Ждем перемен?
Или все забились в бункера,с автономной системой жизнеобеспечения и сторожат свои ПД?
Не молчите...мне страшно!!!
-)))

Orion_76
МУЗы работают на основании федерального закона и я так понимаю не совсем подподают под этот закон или это не так?

Закон один для всех...в идеале...
Не понял что такое МУЗ,но подозреваю, что-то про здравооохранение...
.......почти.... социальная защита (но тож под министерством здравоохранения)
кстати...сведения о состоянии здоровья - наивысший класс ПД, а конеретнее класс №1.


Цитата:

МУЗы работают на основании федерального закона

что за закон? Но если честно..неважно...см.строка №1

Главная проблема у меня была в финансировании... Недавно был семинар в министерстве...
Выяснилось, что в нашей области Гос.учреждениия финансируются на 100%, муниципальные на 50% (доверие , что так случиться - 80%)... Мы с 2011 г. станем ГУ... наверное я не буду больше париться...
Но почемуто мне хочется ориентироваться в этом вопросе... так что из обсуждения меня не исключайте... с удовольствием приму в нем участие...

Интересно кто будет проверять соответствие критериям? Девушки из налоговой? Тогда не страшно.

Rouslan
РосКомНадзор. При чем тут налоговая?

vertex4
Ну да, он что во всех городишках есть? Рутину возложат на налоговиков наверняка.

Ребят тут возник вопрос если оператор работает на mac os x неужто переходить на Windows ?

Хорошая новость - получены сертификаты ФСТЭК на Windows 7 и Windows Server 2008 R2.

Сертификат №2180 от 30.09.2010 удостоверяет, что Windows 7 в редакциях "Профессиональная", "Корпоративная" и "Максимальная" может использоваться при создании автоматизированных систем до класса защищенности 1Г включительно и при создании информационных систем персональных данных до 2 класса включительно.

Сертификат №2181 от 30.09.2010 удостоверяет, что Windows Server 2008 R2 в редакциях "Standard", "Enterprise" и "Datacenter" может использоваться при создании автоматизированных систем до класса защищенности 1Г включительно и при создании информационных систем персональных данных до 2 класса включительно.

http://blogs.technet.com/b/mamykin/archive/2010/10/06/windows-7-windows-server-2008-r2.aspx
там же можно скачать сертификаты для ознакомления.

ipmanyak да, только нет проверки на НДВ. А посему чуть лучше не сертифиц. ОС.

а не кому не попадался под руки такой документ???
В нем грится, что мол в ЛПУ можно уйти на 3-й класс. Печать ФСТЭКа имеется. Можно ли им руководствоваться???

champa Имхо гон. ЛПУ - значит будет фиксироваться состояние здоровья, а значит сразу по Xпд - Категория 1! И теперь по таблице классификации , согласно приказу трех, независимо от Xнпд, будет Класс 1.
По-большому счету, в том документе ФСТЭК не имеет претензий к модели угроз, про классификацию ИСПДН ФСТЭК там ничего не говорит. А классификация там имхо указана неверно, и вообще, сама классификация ИСПДН мало имеет отношения к модели угроз, непонятно зачем там вообще ее упоминали. Тока ввели вас в заблуждение имхо.

Rouslan
Они во всех областных центрах есть, в данный момент за операторами связи приглядывают, давно уже.

ipmanyak
на сколько я понял специальная ИСПДн классифицируется как раз таки на модели угроз.

champa Что такое специальная ИС довольно четко описывается в том же приказе трех от 13 февраля 2008 г. N 55/86/20
Специальные информационные системы - информационные системы, в которых вне зави-симости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).
К специальным информационным системам должны быть отнесены:
информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных;
информационные системы, в которых предусмотрено принятие на основании исключи-тельно автоматизированной обработки персональных данных решений, порождающих юридиче-ские последствия в отношении субъекта персональных данных или иным образом затрагиваю-щих его права и законные интересы.
Как видим, по состоянию здоровья, и без модели угроз вашу систему уже можно отнести к специальной.

я имел ввиду немного другое: класс специальной ИСПДн за счет модели (правильно, грамотной???) можно понизить, неее?

Добавлено:
Я поинмаю прекрасно, что у меня К1, но подогнав подобную модель угроз, смогу ли показать, что защита нужна по 3-му классу?

champa Мое мнение - нет! При классификации нужно руководствоваться приказом трех, а не моделей угроз! Не верите, да может я и не прав - задайте вопрос лицензиатам! Например в фирму Reignvox.ru? В отличие от других фирм отвечают на вопросы и довольно быстро и адекватно.

ipmanyak
пошел задавать вопрос - ответ напишу здесь.

Добавлено:
Цитирую:
Если Ваша конфигурация полностью совпадает с описанной в модели угроз (например, Рассматриваемая МИС не имеет подключения к сетям общего
пользования и (или) международного обмена и другим информационным системам. Все компоненты МИС находятся внутри контролируемой зоны.)
тогда Вы можете принимать во внимание указанный документ.

Добавлено:
Хотя в догонку было пущено следующие:
На самом деле наши специалисты с большим сомнением относятся к указанной модели угроз и стараются пользоваться текущими методическими документами. Так как еще не было претендентов проверок Регуляторами и как они отнесутся к такой классификации ИСПДн – неизвестно. Возможно, они будут руководствоваться только общими требованиями – тогда 3-й класс для медсистем не подходит

Кому интересно можете качнуть и поглядеть материалы в пойнте: Первая международная конференция «ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ»
http://www.pd-forum.ru/mt.php

ipmanyak
спс, пшел качать ...

Сидя на семинаре по защите ПДн.
Алгоритм следующий:
0. Пакет докумнтов ОРД - минимум Положение о защите ПДн, инструкции пользователя
1. Классифицируете свою систему как типовую - Акт классификации
2. Исходя из класса выбираете типовую модель угроз
3. Формируете - рассчитываете частную модель угрзо для своей системы
4. Классифицируете свою систему как специальную - Акт класификации
5. Уведомление регулятора http://rsoc.ru/personal-data/forms/notification/

Ежели попали на класс 1 - обязательная аттестация системы (>300-500 тыс. руб.)
Возможна добровольная декларация соответствия.
Требуемые исходные документы - списо более 20
Минимум - наличие сертификатов на ПО (и лицензии), проекта ИС, в т.ч. ТЗ

Класс системы можно понизить, если разделить систему на части, части изолировать межсетевыми экранами (д.б сертификат соотв класса), данные в системах обезличить - т.е. блок с информацией 1 категории - с идентификатором, часть с ФИО и паспортными данными без критичной информации.

Исходные документы:
http://rsoc.ru/
http://www.ispdn.ru/

Добавлено:
Материалы конференции изучил, в принципе недостаточно даже для начала понимания, страшно далеки они от народа ...
В журнале управление персоналом есть статьи и формы документов для начала работы
http://www.top-personal.ru/

Добавлено:
Техническая защита информации и сведения о наличии сертификатов
на сайте Федеральная служба по техническому и экспортному контролю
(ФСТЭК России)

http://www.fstec.ru/

Здравствуйте! Кто может подсказать нужно ли сертифицировать разработанную программу предназначенную для обработки персональных данных? И нужна ли лицензия на разработки таких программ?

сертифицировать нужно если для продажи и для обработки ПДн по 3 и выше классу - для последующей сертификации АС.
Сертифицировать можно 1 экземпляр или серию.
Стоимость 1 тыс. руб. + несколько месяцев активной работы с регулятором

Добавлено:
Если система будет автоматически обезличивать ПДн - разность по разным БД ФИО и собственно данные, а БД изолировать сетевым экраном, а за основу взять что-нибудб популярное (MS SQL, 1C) то м.б. целесообразно.

Данные 1-2 класса. Если не продавать, тогда обязательна сертификация?