» Вы уже обеспечили защиту персональных данных на предприятии?

Да, забыл скзать класс==3 или в крайнем случае 2.

Цитата:

Цитата oaf56: если я расчленю рабочие места по функционалу с группировкой их в свои независимые

Как расчленишь?

Соберу в одной части одного помещения и на одном свиче рабочие места(ПК) для одной задачи. Либо полностью автономный ПК(отдельно стоящий и никуда не подключеный).

Цитата:

Цитата oaf56: Для потому для диагностики вторжений используем журнал безопасности виновс.

Это не то

а)Почему не то? Есть антивирус, рабочие места изолированы:
1. Нет доступа к посторонним сисиемамм;
2. нет подключений к другим системам;
3. нет подключений к интернету;
4. работникам запрещена установка ПО, удаление/копирование/загрузка данных.
Потому вторжений как таковых ===0,00000
Возможнен не авторизированый доступ. Для регистрации таких событий настраиваем журнал безопасности на регистрацию событий как успешных, так и отказаных. Потом смотрим были ли отказы, откуда они. И в чем причина. Среди успехов тоже стоит посмотреть кто имел доступ.


Добавлено:
1. А вооще что рекомендуется для использования средств мониторинга вторжений?
2. и вообще какое отношение будет к системам типа:
а)мониторинг работы подсистем Нагиос(здесь в DMZ выносить бесполезно, всеравно она будет лезть в локалку сама);
б)Help/ServiceDesk? Может проще будет разместить не в локальной сети, а в DMZ?
в)

И виртуальным машинам. На базе VMWARE ESX3i либо MS Virtual PC 2007

Я думаю, что вопрос из айтишного станет юридическим. Всем проверяющим глубоко до фени, что, где и как у Вас настроено. Проверять, если и будут, то наличие приказа по организации, кучу всяких других бумажек, в т.ч. бумажку из "специально обученного органа", что все у Вас ОК, след. проверка тогда-то и тогда-то...

Я бы даже сказал вопрос будет " юридическим с коммерческой заинтересованностью"...

Коммерческая заинтересованность только если "специально обученной организации". Нужно просто понять, какие точно документы нужны, чтобы проверяющие (не дай бог!) не докопались...

anolina1
я насколько понял атестация и переатестация как раз проводится
Цитата:

"специально обученной организации".

к тому же коммерческой и полюбому за это платятся деньги

Цитата:

Я бы даже сказал вопрос будет " юридическим с коммерческой заинтересованностью"...

Полностью согласен.

Хотя есть одно возражения, в этой отрасли много людей работают поколениями (как я например) если я увижу, что заказчик действительно хочет обевспечить безопасность и знает зачем ему это нада (не для галочки) то подход будет очень индивидуальным.

Были такие примеры по комерческой тайне, когда люди точно знаи чего хотят и какие убытки терпят

Поправьте меня, если я ошибаюсь, но любое шифрование необходимо регистрировать в ФАПСИ...

anolina1

Цитата:

Поправьте меня, если я ошибаюсь, но любое шифрование необходимо регистрировать в ФАПСИ...

в смысле?

Цитата:

lovec123
я насколько понял атестация и переатестация как раз проводится
Цитата:"специально обученной организации".
к тому же коммерческой и полюбому за это платятся деньги

Вы видимо забыли, что кроме аттестации Вам требуется еще и получение лицензии на ТЗКИ
Т.ч. после получения лицензии Вы сами становитесь "специально обученной организацией" и можете уже сами себя переаттестовывать.


Цитата:

anolina1
Поправьте меня, если я ошибаюсь, но любое шифрование необходимо регистрировать в ФАПСИ...

Поправлю
ФАПСИ уже давно нет (чать передали в ФСО, часть вернули в ФСБ).

Вопрос лицензирования по СЗКИ (средствам криптографической защиты информации) теперь в ФСБ.

Для использования сертифицированных СКЗИ, в настоящий момент, есть требование о наличии соответствующих лицензий ФСБ.
В Думу направлены предложения, по исключению из списков лицензируемой деятельности ТЗКИ и ТО СКЗИ, если данная деятельность производится для собственных нужд, а не для извленчения коммерческой прибыли (см. материалы Парламентских слушаний 20.10.09).

То есть, если Дума не расшевелиться по этому предложению, мне, чтобы удовлетворить закону нужно будет за бумажкой в ФСБ идти? Опять же, собственные нужды в коммерческой организации - что сюда входит? Там вся деятельность на извлечение прибыли направлена.

Пипец. Срочно уволняюсь. Не хочется быть козлом отпущения - пытаются навесить на меня админа ИБ. Нафиг такое счастье эникейщику?

Toparenko

Цитата:

Вы видимо забыли, что кроме аттестации Вам требуется еще и получение лицензии на ТЗКИ
Т.ч. после получения лицензии Вы сами становитесь "специально обученной организацией" и можете уже сами себя переаттестовывать.

вы это на основании каких данных глаголите ?
нам насчёт того что мы сами себя переатестовывать ничего не говорили

Сори, не туда написал...

Цитата:

lovec123
вы это на основании каких данных глаголите ?

На основании того, что ФСТЭК прислало в ответ АРБ

Цитата:

lovec123
нам насчёт того что мы сами себя переатестовывать ничего не говорили

Кроме этого ФСТЭК уже неоднократно заявляла, что аттестовать может лицензиат ФСТЭК по ТЗКИ, а не только аккредитованный центр (аттестация, через аккредитованный центр обязательна только на ГТ).

А по ФСТЭК-овским документам по ПДн для операторов распределенной К3 и всех К2/К1 обязательно получение лицензии на ТЗКИ.

Т.ч. сведение этих двух моментов не противоречит их ответу.


Цитата:

anolina1
То есть, если Дума не расшевелиться по этому предложению

Дума "шевелится" не так быстро - процедура однако...
Да и в самой Думе есть много представителей лоббирующих самые разные интересы...
Да и регуляторы уже пускают встречную информационную волну - см.

А после Думы еще Совет Федерации и Президент....

Toparenko

Цитата:

На основании того, что ФСТЭК прислало в ответ АРБ

можно ссылку на то где это можно посмотреть? сегодня обратился к атестующей фирме они сделали большие глаза и сказали не дай бог

Цитата:

lovec123
сегодня обратился к атестующей фирме они сделали большие глаза и сказали не дай бог

Аккредитованных организаций на всю РФ всего 315 шт (а операторов порядка 7 млн.) - см. на сайте ФСТЭК "Перечень органов по аттестации Системы сертификации средств защиты информации по требованиям безопасности информации № РОСС RU.0001.01БИ00"

Проверьте там Вашего аттестатора

Toparenko
а можно ссылку на нормативный документ?

Что все так уцепились за это шифрование.
Где написано что оно обязательно.
Шифрование, как один из способов. Если вы можете защитить данные без шифрования, то оно и не нужно, и никто не принуждает вас его использовать.
Другой случай когда вы переносите такие данные на флешке или на ноутбуке, который можно потерять или спереть.

vchikarin

Цитата:

Шифрование, как один из способов. Если вы можете защитить данные без шифрования, то оно и не нужно, и никто не принуждает вас его использовать.

если можно поподробнее, если я использую ПД на компьтере то не зашифрвав эти данные что мне с ними делать? сразу ссылку на нормативные документы

Цитата:

lovec123
а можно ссылку на нормативный документ?

Такого нормативного документа нет. Как и нет подлежащего применению документа обязывающего владельца АСЗИ (в том числе ИСПДн), не обрабатывающего ГТ, проводить аттестацию. См. Положение по аттестации объектов информатизации по требованиям безопасности информации:

Цитата:

1.5. Обязательной аттестации подлежат объекты информатизации, пpедназначенные для обpаботки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров. В остальных случаях аттестация носит добровольный характер (добровольная аттестация) и может осуществляться по инициативе заказчика или владельца объекта информатизации.

Цитата:

lovec123
если можно поподробнее, если я использую ПД на компьтере то не зашифрвав эти данные что мне с ними делать? сразу ссылку на нормативные документы

Это есть даже в документах ФСБ по ПДн (не прошедших Минюст). См. Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации:

Цитата:

Методическими рекомендациями необходимо руководствоваться в случае определения оператором необходимости обеспечения безопасности персональных данных с использованием криптосредств (за исключением случая, когда оператором является физическое лицо, использующее персональные данные исключительно для личных и семейных нужд)

Варианты Решения для размышления
Письмо Рособразования от 22.10.2009 N 17-187 "Об обеспечении защиты персональных данных"
http://www.ed.gov.ru/news/newdocs/11620/

тут трут тему
http://community.livejournal.com/personal_data/

Добавлено:
subj
http://base.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=61801;dst=0

Toparenko

Цитата:

1.5. Обязательной аттестации подлежат объекты информатизации, пpедназначенные для обpаботки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров. В остальных случаях аттестация носит добровольный характер (добровольная аттестация) и может осуществляться по инициативе заказчика или владельца объекта информатизации.

а как это соотносится с персональными данными которые к гос тайне неотносятся вообще
и не конфликтеет ли это с

Цитата:

Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)
Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) -
влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей.

и где в этом документе написанно что после аттестации мы можем самостоятельно переаттестовывать рабочии места без уплаты денюжек в стороннии организации?

Цитата:

lovec123
а как это соотносится с персональными данными которые к гос тайне неотносятся вообще

ПДн, относящиеся к ГТ вообще под 152-ФЗ не подпадают.

Четырехкнижие ФСТЭК (единственные документы, где определена обязательность аттестации не для ГТ) не прошли Минюст и не утверждены первыми лицами ведомства - соответственно по ПП1009-1997 года не подлежат применению как не вступившие в силу (на тех же Парламентских слушаниях был поднят вопрос, что данные документы имеют неопределенный правоприменительный статус).

Вот именно по этому я говорю, что на настоящий момент нет подлежащих применению документов, определящих обязательную аттестацию для АСЗИ(в том числе ИСПДн) и получение лицензии на ТЗКИ операторов.
К сожалению все риски идут на оператора:
- если не аттестует, но документы пройдут Минюст - невыполнение требований и предъявление санкций
- если аттестует, но документы так и не пройдут Минюст (или будут отменены/изменены) - зря потраченные деньги на добровольную аттестацию


Цитата:

lovec123
и не конфликтеет ли это с

На настоящий момент не конфликтует.


Цитата:

lovec123
и где в этом документе написанно что после аттестации мы можем самостоятельно переаттестовывать рабочии места без уплаты денюжек в стороннии организации?

Нигде. Только устные заявления ФСТЭК.


Цитата:

ptitza_in_da_ruboard
Письмо Рособразования от 22.10.2009 N 17-187 "Об обеспечении защиты персональных данных"
http://www.ed.gov.ru/news/newdocs/11620/

Вот здесь по этому поводу мнение сообщества ПСПО - http://community.livejournal.com/ru_foss/13535.html


Цитата:

ptitza_in_da_ruboard
тут трут тему
http://community.livejournal.com/personal_data/

Не-а
Это новостная лента по теме
Тема мониторится на razved.info, в том числе там есть ветка со ссылками Где пишут и "ломают копья"


Цитата:

ptitza_in_da_ruboard
Добавлено:
subj

Тогда лучше на "Персональные данные - вход в тему"

Toparenko
Спасибо в принцепе если закон не пройдёт то будет веселло, если пройдёт будет грустно, если будет не значительно - значительно изменён будет кому грустно а кому вессело

Не совсем в тему - реальное письмо от вышестоящей организации как реагировать?

Форма письменного добровольного согласия работника на обработку персональных данных

В соответствии с Трудовым кодексом Российской Федерации и Федеральным законом «О персональных данных», своей волей и в своем интересе выражаю ОАО «ХХХХХ», зарегистрированному по адресу: Российская Федерация, ……… персональных данных, получение у третьей стороны (от третьих лиц, путем направления запросов в органы государственной власти, органы местного самоуправления, из иных общедоступных информационных ресурсов, из архивов, из информационных ресурсов ФСБ России, МВД России) или сообщение моих персональных данных третьей стороне (Ф.И.О., даты и места рождения, гражданства, места жительства, домашнего телефона, паспортных данных, семейного положения; сведений о ближайших родственниках и членах семьи, сведений об образовании, о занимаемой должности, об оценке моих деловых и личных качеств, данных о предыдущих местах работы, доходов, идентификационного номера налогоплательщика, номера страхового свидетельства государственного пенсионного страхования, сведений о воинском учете, данных о допуске к сведениям, составляющим государственную тайну, сведений о наградах, сведений о социальных льготах, которые предоставляются в соответствии с законодательством Российской Федерации; социальном положении и другой информации, относящейся к моим персональным данным) с использованием средств автоматизации или без использования таких средств в целях обеспечения соблюдения законов и иных нормативных правовых актов, Трудового договора между работником и ОАО «ХХХХХ», локальных нормативных актов ОАО «ХХХХХ», содействия в моем трудоустройстве, обучении и продвижении по службе, обеспечения моей личной безопасности, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
Также выражаю согласие на использование моих персональных данных в целях размещения на внутренних информационно-справочных ресурсах ОАО «Газмяс», ОАО «ХХХХХ», а также для информационного обеспечения деятельности уполномоченных государственных органов и иных организаций без ограничения доступа к ним внутри данных организаций в следующем объеме: фамилия, имя, отчество, месяц и дата рождения, место работы, занимаемая должность, рабочие телефон и адрес электронной почты.
В случае изменения перечисленных выше персональных данных обязуюсь, в кратчайшие сроки информировать об этом Отдел кадров ОАО «ХХХХХ» и представлять документы, подтверждающие соответствующие изменения.
Согласие вступает в силу со дня его подписания и действует до момента прекращения трудового договора.
После прекращения трудового договора, выражаю согласие ОАО «ХХХХХ» на хранение кадровых документов, содержащих мои персональные данные в соответствии с требованием Федерального закона «Об архивном деле в Российской Федерации».
Настоящее заявление может быть отозвано мной путем информирования Отдела кадров ОАО «ХХХХХ» об отзыве в письменной форме.

(личная подпись, расшифровка подписи)

MARSIANIN
А что смущает? Это до сих пор происходит без твоего согласия. В свете того, что с 01/01/2009 г. вступает в действие 152-ФЗ "О персональных данных" в части наказаний. Конторы пытаютя прикрыться. В принципе, ничего крамольного здесь нет. Твое Письменое Заявление - выступает в качестве свительства, что ты не возражаещь. При поступлении на работу ты обязан лично предоставить свои данные. По 152-фз контора не имеет права использовать даные о тебе, полученые от третьей строны. Но по жизни на этапе проверки верности сообщенных тобой данных нужно подтвердить их. Проверить это можно только отправив запрос в соотв. орган. Например, потвердить твой диполом. Точнее, что ты обучался, а не купил его в переходе.
Данные в налоговую, пенсионный, соцстрах полюбому будут предоставлены.
Личное дело сотрудника и информация по его Зарплате должна хранитьтся 75 лет. Это необходимо будет и тебе для начисления(оформлении)пенсии и восстановлении трудовой, стажа и т.д.
Вообще по 152-ФЗ операторПерсональныхДанных (т.е. твоя контора) должен предупредить субъекта об :
- о том какие ПД и для чего нужны и на какой срок предполагается их использовать- это ты привел текст такого заявления;
- о возможных последствиях при отказе от обработки.
В случае отказа работодатель не сможет даже начислить тебе Зарплату и перечислить налоги и платежи в фонды. Т.Е. ОН НЕ СМОЖЕТ ИСПОЛНЯТЬ ТВОЙ трудовой договор. - считай ты написал заявление на увольнение.

Добавлено:

Цитата:

Письмо Рособразования от 22.10.2009 N 17-187 "Об обеспечении защиты персональных данных"
ht_tp://www.ed.gov.ru/news/newdocs/11620

В принципе, разумно, дешево и сердито. Для бедных бюджетников самое то.

Цитата:

А что смущает? Это до сих пор происходит без твоего согласия.

т.е. нарушали закон . Смущает

Цитата:

сообщение моих персональных данных третьей стороне

т.е. любой третьей стороне.

И зачем этой стороне нах.... знать мои данные о
домашнем телефоне
паспортных данных
сведений о ближайших родственниках и членах семьи!!!!
и т.д. Может им копии ключей от квартиры сдать ?

Цитата:

В принципе, разумно, дешево и сердито. Для бедных бюджетников самое то.

В том и дело что подобное для фирмы акционерами которой стала крупная гос.
корпорация

Цитата:

выражаю согласие на использование моих персональных данных в целях размещения на внутренних информационно-справочных ресурсах ОАО «Газмяс»,

При том что ЗАО «Газмяс» лишь акционеры ОАО «ХХХХХ» и люди в ОАО юридически не имеют отношений и каких-либо подписанных документов к данному ЗАО.

Цитата:

т.е. нарушали закон . Смущает

Здесь Нарушений нет.

Господа кто настроился на софт Securiti Studio то он почил в бозе, вот так вот