» Вы уже обеспечили защиту персональных данных на предприятии?

Возникла спорная ситуация..

Поясните, пожалуйста.

Закон о ПДн, безусловно, касается данных физлиц.

А если у нас хранятся данные о руководителях организаций ( ФИО и паспорт) ?

Разговаривали с представителями различных фирм, специализирующихся на ПДн и их защите.
Одни говорят - надо защищать. Другие - что раз организация, то не надо.

В закон смотрю - в упор не вижу про физлиц и организации.. Ткните носом, плиз.

Xnul
Цитата:

В закон смотрю - в упор не вижу про физлиц и организации..

. Если вы храните паспортные данные в ИСПДн таких лиц как ИЧП и ПБОЮЛ, то подпадаете под ФЗ 152. Если это юрлица обычные организации, и само собой там нет никаких паспортов, то нет.
Для начала скажите, зачем вам хранить паспорта руководителей организаций в ИСПДн? На бумаге не устроит? И каких организаций? Ваших филиалов или сторонних? Если сторонних, то вам еще придется брать с них письменное согласие на обработку в ИСПДн, в которой вы еще должны указать цели этой обработки.

Это религиозные организации.
Паспортные данные учредителя там хранить обязательно.
ИСПДн является федеральной гос информационной системой и есть в реестре Роскомнадзора.

Xnul
Цитата:

ИСПДн является федеральной гос информационной системой

Значит ИСПДн находится не у вас и беспокоиться вам не о чем, защита самой ИСПДн лежит не на вас. Вам надлежит принять меры к ограничению доступа к этой ИСПДн, утвердить перечень лиц, кто имеет к ней доступ и взять с них письменное Обязательство о неразглашении конфиденциальной информации(персональных данных), не содержащих сведений, составляющих государственную тайну.
Вы бы озвучили полное название этой ФГИС? Данные этой ФГИС являются общедоступными?

День бодрый!
У нас К1 (Медицина), хотя есть малая вероятность уйти на К3. Но это ладно. Кто-нить подскажет контору, котороя нормально учит на администратора по защите ПДн? Интересует, Москва/Питер.

В Москве Ланит вроде начал преподвать персональную защиту данных. Как там преподают именно этот курс не знаю, но вообще-то очень хорошим заведением считается, по крайней мере учился там по другим вопросам, нареканий нет.

Приветствую.
Подскажите плиз, нашли контору, которая проведет комплекс мероприятий по выполнению закона, сказали что на бухгалтерские компы, где хранятся персональные данные нужно ставить приблуду, которая не позволит загрузить windows без внешнего ключа и этот ключ будет хранится только у бухгалтера который сидит за этим компом. У админа будет ключ ко всем компам. Все компы включены в домен и у каждого пользователя свой пароль, на локального админа тоже пароль. Поидее без пароля в винду не войдешь, нужно ли ставить что-то еще или паролем можно обойтись?

interst71
по всей вероятности вам хотят поставить eToken с eToken TMS.

Похоже, но необходимо ли это с точки зрения соблюдения закона?

interst71
читай шапку. статья 19, п.1.

interst71 ФЗ 152 это одно, а требования ФСТЭКа это другое, почитайте приказ фстэка №58 для К3 ( а у вас КЗ если это данные только ваших сотрудников предприятия), там нет таких требований. Лично мое мнение вам не нужно применять эту всякую хрень с ключами етокенами. Могу сказать больше, если к вам придет проверка из Роскомнадзора, их это не будет особенно волновать и копаться в компах и серверах они не будут, да и спецов у них таких нет. Они попросят от вас пакет документов (порядка 20 штук), которые у вас должны быть. Перечень требуемых локально распорядительных документов от Роскомнадзора можете поглядеть тут http://72.rsoc.ru/directions/pp/p8532/
Если это всё у вас будет - можете спать спокойно.

Del

ipmanyak
не, у нас данные как на наших сотрудников, так и на сотрудников подчиненных организаций, также есть на детей и их родителей, и уже может не К3

interst71 если не только ваших сотрудников, то нужно классифицировать согласно приказа трех - Приказ ФСТЭК, ФСБ, МИС №55-86-20 от 13.02.2008 ОБ УТВЕРЖДЕНИИ ПОРЯДКА ПРОВЕДЕНИЯ КЛАССИФИКАЦИИ ИСПДн. Если у вас К2 или К1, тогда да, нужно принимать ряд технических мер по защите.

тут созрел такой вопрос:
Базу данных ПДн(Класс К2) я как бы защитил, регистрация, учет, firewall, Антивирус, пользователи работают со своих рабочих мест в терминальном режиме.
в документах я не нашел по поводу рабочих мест пользователей, если они работают удаленно. есть ли какие-нибудь условия что ПК пользоватей надо(не надо) включать в СЗПДн? где можно это прочитать?

У них есть понятие "защищенного периметра". Это охраняемая территория предприятия. Удаленная работа по незащищенным каналам - необходимость шифрования.

Новая фитча. Нас коллеги будут проверять не роскомнадзор а 8-ой отдел ФСБ.
прочтите документы вот здесь:
http://www.fsb.ru/fsb/science.htm

Что касаемо защиты рабочих станций на них должны быть установлены минимум сетевой экран прошедший сертификацию ФСТЭК и ФСБ, максимум полный комплекс сетевой экран+антивирусная система+контроль подключаемых устройств+шифрование данных.

Всё это можно обеспечить установкой корпоративного решения от касперского для защиты рабочих станций(самая дешёвая корпоративная комплектация)+крипто стораж корпоратив.

Сумарная стоимость эьтих продуктов получается каспер 1100 за комп и шифрование данных 675 руб.
получается чтоб защитить 7 рабочих станций/серверов потребуется 12 425 руб.

И для защиты просто при помощи сетевого экрана жёстко ограничиваешь сетевой трафик т.е. даёшь доступ к сетевым интерфейсам только тем приложениям которым это надо.
в виде приложение-порт(используемый протокол, направление трафика). из всех приложений я говорю о системных, нужно разрешить только исходящие UDP на 53 порт всё остальное надо резать полностью.
и разрешать только тем исполняющим файлам приложениям которым необходим доступ в сеть или интерфейс( клиент банк, браузер, почтовый клиент).

Я отправил им запрос чтоб в новой линейке продуктов от касперского эти приложения объединили мне сказали что скорей всего оно так и будет в ближайшее время а модуль шифрования будет как отдельно подключаемое дополнение а не как встроенный модуль что снизит стоимость если например шифрование не нужно.

Граждане, не журите!
Статья : 15.06.2011 Ответы на актуальные вопросы защиты персональных данных. с сайта 1С: http://www.buh.ru/document-1844
Все статьи теме "Защита персональных данных" на ЭТОМ сайте : http://www.buh.ru/documents-parent-1728
Может не вся информация и дюже актуальна, но может помочь научить правильно мыслить в этом направлении и прояснить для себя некоторые вопросы.
п.с. исправил ссылку темы("забыл" 8-ку). Извините.

oaf56 Решили нанять лицензиата, хотели сделать хотя бы декларацию соответствия, перцы сразу сказали, мы выдвинем требования, которые вы даже, если реализуете, то ваша сеть, субд, будет тормозить, остановилсись на том, что сделают обследование, сделают техническое задание на защиту ПДН, а реализуем мы это или нет - на наше усмотрение, ну и само собой подготовят пакет требуемых документов ( порядка 20 штук), в том числе модель угроз. Ценнег примерно 1500-2000 тыр за рабочее место, ака компы.


Добавлено:
oaf56 http://www.buh.ru/documents-parent-172
по этой ссылке пишет раздел пуст
первая ссылка полезна,
интересно ценнег на «1С:Предприятие, 8.2z» насколько отличатся от обычного?

Очередное послабление. Новости. Июнь 2011 г. :: Теперь не требуется получение согласия субъекта персональных данных в случае обработки персональных данных управляющими компаниями http://www.buh.ru/newsDescr-7615

Цитата:

ipmanyak: по этой ссылке пишет раздел пуст

ссылку поправил.

Цитата:

ipmanyak:  интересно ценнег на «1С:Предприятие, 8.2z» насколько отличатся от обычного?

Смотри Инф. письмо: "О выпуске защищенного программного комплекса "1С:Предприятие, версия 8.2z" http://www.1c.ru/news/info.jsp?id=12891
У тебя уже должны быть куплены платфрма, конфигурации и имЕться ключи защиты. Это только просто особый вариант самой платформы -- "сертифицированный". Он не содержит ключей сервера или клиентских. обновление отдЕльное, свое. и за отдЕльную плату. по деньгам не так уж и дорого для конторы.
Добавлено:

Цитата:

oaf56 Решили нанять лицензиата, хотели сделать хотя бы декларацию соответствия, перцы сразу сказали, мы выдвинем требования, которые вы даже, если реализуете, то ваша сеть, субд, будет тормозить, остановилсись на том, что сделают обследование, сделают техническое задание на защиту ПДН, а реализуем мы это или нет - на наше усмотрение, ну и само собой подготовят пакет требуемых документов ( порядка 20 штук), в том числе модель угроз.  Ценнег примерно 1500-2000 тыр за рабочее место, ака компы.

Если ты - админ ИБ, то тебе лучше не доверяться и надеяться, как на мать родную лицензиатам. .... Работа у них такая... Ж). Потом везде есть спецы, а есть и просто - работники. А отвечать за то, что они напишут Вам за Ваши деньги будете Вы контора, руководитель, АдминИБ . Решаете то Вы, чтО и кАк защищать И реалИзовывать защиту. Они должны Вас консультировать как ЭКСПЕРТы-консультанты. Почитай тему сначала. внимательнее... и поймешь к чему может привести СЛЕПОЕ доверие. С одной стороны - Если вы напишите больше и не выполните мероприятия, Вам могут запретить обработку ПД. Ж) С другой - чтоТО нАДо же сделать? и пусть разделят ответственность с тобой руководство, начальники отделов и их работники. Только ЭТО ИХ приведет в чувство. А иначе - тебя ИМ ни сколько НЕ жаль. Для этого грамотно оформляй бумаги. приказы, служебные регламенты, инструкции. Думай головой и будь пессимистом.

Модель угроз - это ТОЖЕ на Ваше усмотрение. Вы можете СОЗНАТЕЛЬНО, сами создать условия, при которых некоторые угрозы будут полностью или большей частью НЕЙТРАЛИз
ОВАНЫ. тогда Ваша контора сможет не тратиться на технические средства защиты от этих угроз или существенно понизить класс защиты. Сегодня оплачивал квитанцию в РегионГазе. Так они поставили раньше барьер между посетителями и специалистами в зале, чтобы не было видно мониторы, а теперь и закрепили на этом барьере перегородки, которые разделяют посетителей.

oaf56 это имхо мелочь, основная угроза это инсайдер, от него не так просто защититься.

от них защищаться себе дороже. в отличии от требований, гос-во не дает возможности и механизма полноценных проверок и контроля персонала.
любой вася пупкин со специальностью ит инженера может быть натыкан за месяц любой например экономической туфтой и отправлен на внедрение в компанию.
учитывая то, что у нас не считается странным работать не по основному образованию, то информации он сможет вынести тонны.

В итоге закон то вступил в силу сегодня или как?

Цитата:

ipmanyak:это имхо мелочь,

Эта мелочь -оформление бумажек - может дать формальный повод для назначения "козлом отпущения" с последующим увольнением по статье...

Ребята, интересует вопрос: У нас частная поликлиника, две стомклиники, три лабаратории в которых делают анализы и мед. центр, находятся в разных концах города. Обмена между ними нет, точнее есть только между лабораториями и поликлиникой, (но так как между ними 300 метров, наверное дешевле будет заслать гонца с анализами...) Вобщем поставили задачу привести все к 152 ФЗ. Вопросы:

1. МИС с базами пациентов везде самописные, это проканает или нато сертифицированные ФСТЭК?

2. В поликлинике 30 тонких клиентов на thinstation, подключенных к серверу терминалов (Win2003 Server), там же крутится простенькая база с медкарточками и анализами. Это наверное самое проблемное место, тонкие клиенты вообще нужно как-то сертифицировать? thinstation не прокатит?

3. При самостоятельном приведении этого хозяйства к 152 ФЗ, обязательны-ли в штате обученные люди с сертификатами? И если да, то где можно пройти обучение?

4. Базы во всех клиниках обязательно проводить как разные? Писанины-то больше в 4 раза...

5. Получается К1, реально как-то защиту снизить до кс3?

SerCos
У вас сведения о здоровье Xпд=1, согласно Приказа ФСТЭК, ФСБ, МИС №55-86-20 от 13.02.2008 Классификация ИСПДн, попадаете под К1 со всеми вытекающими, снизить класс не сможете, потому что он уже не зависит от Хнпд (число записей в субд). Ну если уберете сведения о здоровье, то да. Сможете убрать?

Цитата:

1. МИС с базами пациентов везде самописные, это проканает или нато сертифицированные ФСТЭК?

Не проканает, поскольку К1, Программное обеспечение средств защиты информации, применяемых в информационных системах 1 класса, проходит контроль отсутствия недекларированных возможностей, и используемый софт ака ваша прога тоже. "
Это осуществляют организации, имеющие соответствующие лицензии на такой вид деятельности.

Цитата:

2. В поликлинике 30 тонких клиентов на thinstation, подключенных к серверу терминалов (Win2003 Server), там же крутится простенькая база с медкарточками и анализами. Это наверное самое проблемное место, тонкие клиенты вообще нужно как-то сертифицировать? thinstation не прокатит?

Операционка и софт должны бить сертифицированными.

Цитата:

3. При самостоятельном приведении этого хозяйства к 152 ФЗ, обязательны-ли в штате обученные люди с сертификатами? И если да, то где можно пройти обучение?

Самостоятельно вам будет очень - очень затруднительно это сделать. А обученные специалисты нужны всегда, не только в этом случае. Курсов в инете много, найдете сами.

Цитата:

4. Базы во всех клиниках обязательно проводить как разные? Писанины-то больше в 4 раза...

Если базы разные, не взаимосвязаны, то сколбко баз - столько ИСПДн.

Цитата:

5. Получается К1, реально как-то защиту снизить до кс3?

Если не будет сведений о здоровье, то может быть снизите до К2. До К3 это вряд ли, у вас же в базе явно больше 1000 персон, хотя если сумеете обезличить их и убрать сведения о здоровье, то возможно снизите до К3 и даже К4.
Совет 1 - обратитесь к лицензиату, он попросит вас заполнить анкету, после чего скажет примерную стоимость работ для аттестации, а она для вас обязательна на текущий момент, поскольку пока у вас класс К1.
Совет 2 - когда узнаете у лицензиата сколько это будет стоить (только их работа, не включая сертифицированный софт и спец железки, которые вам придется приобрести), то вам очень захочется уйти от автоматизированной обработки, то есть вернутся к бумажкам-картотекам, для вас это будет имхо самое дешевое решение. Если Минздрав еще что-то сможет забашлять госполиклиникам и больницам (что тоже очень сомнительно, нет у них пока таких денег), то частники вряд ли захотят вбухивать в это огромные деньги.

ipmanyak

Цитата:

У вас сведения о здоровье Xпд=1, согласно Приказа ФСТЭК, ФСБ, МИС №55-86-20 от 13.02.2008 Классификация ИСПДн, попадаете под К1 со всеми вытекающими, снизить класс не сможете, потому что он уже не зависит от Хнпд (число записей в субд). Ну если уберете сведения о здоровье, то да. Сможете убрать?

Можно в базе оставить только запись на прием к врачу, Это относится к сведениям о здоровье? а медкнижки вести в бумажном виде.


Цитата:

Операционка и софт должны бить сертифицированными.

Оппа, тогда с тонкими вообще пролет, есть-ли вообще в природе что-то типа thinstation с сертификатом ФСТЭК, можно даже от мелкософта?


Цитата:

Самостоятельно вам будет очень - очень затруднительно это сделать. А обученные специалисты нужны всегда, не только в этом случае. Курсов в инете много, найдете сами.

Сегодня начальство сказало что будем делать только сами, на любые курсы готово отправить, будем пробовать... По окончании обучения как я понял должны выдать сертификат ФСТЭК, ФСБ или чего-то еще? То-есть курсы должны быть тоже сертифицированные?

Вообще начальство хочет чтобы мы сами стали лицензиатом, может есть ссылки как это сделать? Понимаю что гемор недетский и все это малореально, но обосновать перед начальством бесперспективность подобного занятия тоже надо.

SerCos

Цитата:

Можно в базе оставить только запись на прием к врачу, Это относится к сведениям о здоровье? а медкнижки вести в бумажном виде.

Это будет правильное решение.


Цитата:

Оппа, тогда с тонкими вообще пролет, есть-ли вообще в природе что-то типа thinstation с сертификатом ФСТЭК, можно даже от мелкософта?

вы можете купить ПО от Микрософт сертифицированное Фстэком, ценнег не знаю, уточните у дилеров. Информация по теме
http://www.microsoft.com/Rus/Security/Certificate/what_is_sertified_product.aspx
Для обновлений по WSUS вам будет дан доступ на спецсайт с логином и паролем.
Некоторые ОС Линукс имеют сертификаты ФСТЭК, например Альт линукс, Мандрива. Антивирусы - Drweb и Касперский.
Есть и железки-компы, имеющие сертификаты Фстэка, они идут со смарт-ключами или еще с какой-то встроенной фичей.


Цитата:

Вообще начальство хочет чтобы мы сами стали лицензиатом,

Оно вам надо? Именно геммор и бабло нехилое потребуется.

ipmanyak

Цитата:

Оно вам надо? Именно геммор и бабло нехилое потребуется.

Еще-бы убедить начальство... Оно у нас такое, специфическое.
Получается если становится лицензиатом нужно:

1. Спецкомната сертифицированная.
2. Обязательное сертифицированное спецоборудование.
3. Сосоящие в штате люди с сертификатами.
4. Куча бумажной писанины.

Еще что-то?

За сертификацию каждого пункта я так понимаю платить нехилые бабки придется? Прикинуть-бы примерный масштаб затрат... Хотя-бы какой порядок цен, сотни тысяч или лимоны?

Сертифицировать будет лицензиат, я так понимаю, или непосредственно ФСТЭК?