» Вы уже обеспечили защиту персональных данных на предприятии?

стало интересно
Личный кабинет налогоплательщика


Цитата:

Внимание! Приложение требует ввода персональных данных, которые будут переданы на сервер ФНС России. Эти данные будут использованы только для формирования платежных документов и не сохраняются на сервере.

То есть набрав Иванов Иван Иванович и ИНН мы фактически получаем персональные данные этого человека. Вернее удостоверяемся что такое сочетание данных существует в природе.

получили такое письмо от "надзорника"
они его отпечатали в типографии тиражом 6000 экз


на вопросы - "Это точно к нам относится, у нас ведь только трудовые и договорные отношения?" они прояснили позицию так
- вы юрлицо!
- вы храните перс данные уволенных!
- вы оператор с уведомлением!!

наши родили такой ответ


мнения? суждения?

МЫслите вы правильно.
НО Как и везде - есть лазейки и не в Вашу пользу:
- не уже ли ИЧП не оказывают Вам услуги(не путать со срочным трудовым договором)? Если да, то вы - оператор.

- наличие письменного согласия субъекта ПД. Правда для уволеных это будет затруднительно, но в принципе, возможно.

Статья на тему:
http://itsec.ru/articles2/Inf_security/kak-vypolnit-zakon-152-fz

Цитата:

andrage
мнения? суждения?

Последний абзац: наверно следует "наша", а не "Ваша"

Можно добавить п.2 ч.2 ст.22
Трудовой договор - это тоже договор. А ПДн получались "в связи с заключением договора, стороной которого является субъект персональных данных"

Так же можете добавить еще НК, по которому 5 лет храняться данные по уплате налогов на ЗП работников

Цитата:

oaf56
- наличие письменного согласия субъекта ПД. Правда для уволеных это будет затруднительно, но в принципе, возможно.

Согласие не требуется по п.2 ч.2 ст.6 - обработка на основании закона

Toparenko, вы тоже правы. НО, там есть норма: 1. что доказание правомочности обработки данных лежит на операторе.
2. субъект ПД, может сказать что не давал своего разрешения, не согласен, против и т.д., а оператор упорствует.(:. А так будет ... бумажка.
Так что лучше прикрыть свою голову.

наша контора - маленькое предприятие.
"спама" не рассылает. просто так ПД не собирает.
третьим лицам не передаются-продаются..

есть закон_Трудовой кодекс_ чтим и выполняем..
все ПДн собираются по требованиям тех или иных законов..

вот и есть подозрение, что закон о ПД должен нас касаться как бы в меньшей степени.

Да мы - оператор! но уведомлять "не хотим", "лицензиатов" звать тоже "не хотим".

защиту имеющихся данных обеспечиваем в меру сил
- 3 компа (кадры-бух) в отдельной сети
-интернета нет
-флэшки запрещены
-кабинет - не проходной двор
-охрана на этаже

не достает только "10" документов описывающих обработку ПДн на предприятии.
если их все-таки "родить", чтоб показать в случае проверки, что еще может не понравиться "надзорнику"?

andrage Сам закон то читали?
Федеральный закон О персональных данных от 27 июля 2006 года № 152-ФЗ
Статья 22 пункт 2
2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
То есть, то что касается отдела кадров - уведомлять Роскомнадзор не нужно.
Но защищать нужно, у вас должно быть Положение о защите ПдН и еще ряд документов по их хранению, обработке, уничтожению и так далее.
Вот тут полный ответ на ваш вопрос. http://www.pd.rsoc.ru/faq/faq15.htm
Прочтите весь FAQ Роскомнадзора, полезно будет http://www.pd.rsoc.ru/faq/

Цитата:

oaf56
Так что лучше прикрыть свою голову.

Если брать согласие по каждой цели определенной законодательством то у Вас получится "портянка" листов на 40-50 (во всяком случае у нас такой был перечень, до того как начали из него отфильтровывать то, что подпадает под часть 2 ст.6 152-ФЗ)

[q][/q]
[b]ipmanyak[b]
конечно читали.

решили для себя, что не обязаны уведомлять.
но госпожа из "надзорного органа", исполнитель по цитируемому письму, отчего-то считает что должны уведомлять..
в 5 пятом абзаце так и написано.. "так как Ваша организация - оператор, вам необходимо предоставить УВЕДОМЛЕНИЕ ..."
как высчитаете, ИЧП -субъекты ПДн или нет

выше написали "неужели ИЧП не оказывают Вам услуги..."
полагаю имея ввиду, что данные ИЧП (ФИО, ИНН, адрес...) = ПДн ...

имеется такая вырезка из закона:
Какие отношения, связанные с персональными данными не подпадают под действие Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных»?

В соответствии с п.2 ст. 1 Федерального закона – это отношения, возникающие при:
...
2) организации хранения, комплектования, учета и использования, содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;
3) обработке подлежащих включению в единый государственный реестр индивидуальных предпринимателей сведений о физических лицах, если такая обработка осуществляется в соответствии с законодательством Российской Федерации в связи с деятельностью физического лица в качестве индивидуального предпринимателя;
...
можно ли сделать вывод, что данные ИЧП (ФИО, ИНН, адрес), те что требуются для заполнения бухгалтерских документов, вроде уже и не ПДн?

andrage данные ИЧП (ФИО, ИНН, адрес...) да - это ПДн . Но:
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных.
Если заключен договор с ИЧП значит декларировать обработку ПДН не нужно. Я так считаю и имхо Роскомнадзор тоже, ссылку на полный ответ от Роскомнадзора я вам давал выше. И об этом прямо сказано в статье 22. Можно смело наезжать на госпожу из "надзорного органа" ссылкой на эту статью. И не следует бояться или стесняться. То, что вы процитировали это то, что вообще не попадает под действие закона.
1 - вы обрабатываете не для личных и семейных нужд
2 - вы не архивный фонд РФ
3 - единый государственный реестр индивидуальных предпринимателей - это имхо относится к налоговой инспекции, а не к вам
4 - у вас не Гостайна
Поэтому эти 4 пункта к вам никак не относятся! В вашем случае закон действует и данные об ИЧП это ПДн, но декларировать эту обработку не требуется.

Уважаемые!
Подскажите, пожалуйста.
Предположим на предприятии установлена система гарант или консультант. Соответственно еженедельно приходят их обновлять.
А предприятие попадает под 3 (2) категорию. Следовательно, должны быть обеспечены средства защиты от утечки персональных данных, а если учесть тот факт, что как правило системы консультант и гарант установлены на тех компьютерах где есть персональные данные (Допустим юристы, у которых есть договора. Или бухгалтера которые имеют доступ к бухгалтерии.), то получается полный п.....п.
Как быть в таком случае и какие средства кто применяет?
З.Ы. http://rapidshare.com/files/357789315/PDn.rar.html
Презентация семинара проходившего в городе Н. Про безопасность и перс. данные.
Просьба кто сольет, перезалейте. т.к. у меня на рапиде не премиум.

Nomolos
В первую очередь необходимо заключить Соглашение о конфиденциальности с организацией, которая вам обновляет Гарант/Консультант.
С технической точки зрения: совсем не обязательно руками приходящих обновлять ПО на компьютерах бухгалтеров/юристов. Пусть приходящие сливают обновление куда-нибудь на файловый сервер, ну а дальше ваш IT-отдел уже сам обновляет то, что необходимо.

Nomolos
ТОже актуально...


Цитата:

Пусть приходящие сливают обновление куда-нибудь на файловый сервер, ну а дальше ваш IT-отдел уже сам обновляет то, что необходимо.

не очень-то они горят желанием дистрибутивы, ключи, коды отдавать-)))

Цитата:

не очень-то они горят желанием дистрибутивы, ключи, коды отдавать-)))

оссобенно гарант со своими ответами.
Что касается консультанта, выяснил вот что:
Они могут расшарить доступ к фтп, от куда можно слить обновление, НО после того как обновление будет сделано, очень сильно просят отправить им файл отчет об обновлении.
Хотя последнее, как мне кажется, вообще не проблема организации(МОЕ МНЕНИЕ: Вам нужно, пропишите это в договоре, и сделайте нормальную обновлялку. Иначе это ваши проблемы что вам нужен отчет.) где установлен консультант.
З.Ы. мое мнение, это мое мнение. и прошу не разводить флуд на эту тему. Кому надо отвечу в личку и обосную свое мнение.

Добавлено:

Цитата:

В первую очередь необходимо заключить Соглашение о конфиденциальности с организацией

Как оператор перс. данных, я, в первую очередь несу ответственность, а не менеджер по обновлению, который вообще может не знать что он с другой организации принес вирус, который слил данные.
И никакие бумаги здесь не помогут.

Добавлено:
З.Ы. обновлять гарант из инета вообще накладно, 16 гиг стандартное обновление.
Как опять таки удалось выяснить, организации которые так обновляются, ставят обновление вечером перед уходом с работы, утром готово будет.

Цитата:

Как оператор перс. данных, я, в первую очередь несу ответственность, а не менеджер по обновлению, который вообще может не знать что он с другой организации принес вирус, который слил данные.
И никакие бумаги здесь не помогут.

И вирусы приносили, и права доступа к системе им пошире надо...
Придется таким распространителям принцип распространения менять...
К машине с ПД я никаких менеджеров не пущу-))

Orion_76

Цитата:

не очень-то они горят желанием дистрибутивы, ключи, коды отдавать-)))

Не понял, какое отношение имеют дистрибутивы с ключами к обновлениям баз данных?
У нас приходит дядечка из консультанта, сливает обновления в выделенный ему каталог, а вечером эти обновления заливаются туда, где им самое место.

Цитата:

У нас приходит дядечка из консультанта

У Вас видимо гаранта нет.
Потому как для обновления гаранта нужен ответ от их центра.

Минюст зарегистрировал приказ от 5.02.2010 № 58 “Об утверждении положения о методах и средствах защиты информации в ИСПДн”. Документ "Положение о методах и способах защиты информации в информационных системах персональных данных" вступил в силу. Документ можно скачать тут http://webfile.ru/4291589 Теперь вместо 4-книжья имеем 5-книжье. Есть небольшие послабления.
Блог Царёва по этому поводу
http://www.tsarev.biz/?p=1255
http://www.tsarev.biz/?tag=ispdn

Коллеги, что используете из Firewall из фстековского списка? Циски серии PIX и ASA аццки дороги.

Цитата:

Nomolos:У Вас видимо гаранта нет.
Потому как для обновления гаранта нужен ответ от их центра.

Гарант могут обновлять тоже с USB HDD. Серверный вариант точно.

Цитата:

BAARK:Коллеги, что используете из Firewall из фстековского списка? Циски серии PIX и ASA аццки дороги.

Обрати внимание В списке указано не только изделие с конкретной торговой маркой, моделью, ЗАЧАСТУЮ КОНКРЕТНЫЕ экземпляры изделий(серийный номера или расположение на объекте с маркировкой). еСТЬ ЖЕ ПО. Посмотри в их сторону. Только надо знать требования по защите и нужно ли для достижения их "сертифицированое" железо(в том числе и по требованиям ПО).

Цитата:

oaf56Обрати внимание В списке указано не только изделие с конкретной торговой маркой, моделью, ЗАЧАСТУЮ КОНКРЕТНЫЕ экземпляры изделий(серийный номера или расположение на объекте с маркировкой). еСТЬ ЖЕ ПО. Посмотри в их сторону. Только надо знать требования по защите и нужно ли для достижения их "сертифицированое" железо(в том числе и по требованиям ПО).

Обратили уже. Циски все аццки дорогие, это раз. Интересует опыт практического использования, это два. Если не жалко, поделитесь, чем закрывали свой защищенный сегмент. Требования простые ИСПДН 2 класса.

Кстати, если поискать по реестру фстека МЭ, то там одни аппаратно-программные комплексы.

У нас принимали решение и платили "сверху". И Выбрали АПК ДИОНИС( есть в списке СпецПО(набор встроеных служб и сервисов) на сертифицированной платформе- промышленный ПК Intel/PC в стойку 4U*19" ). Особенность ЛЮБОГО АПК - штучное/массовое изделие. Должно быть заточено под функции и ПО. Стабильность, надежность определяется кроме реализации ПО еще и факторами: кол-во задействованных служб/сервисов; степени нагрузки на них. Т.е. кондиционостью железа, его рабочими температурами, ресурсом на отказ компонентов. Чем более задействовано функционала, тем меньше должны быть запроектированы рабочие нагрузки, и ПИКОВЫЕ. Т.е. работа почтового сервера способна подавить канал инет и службы сети. и аналогично - интенсивный трафик(50-100 мб) и его логирование на диск. В принципе, если понимать сильные и слабые места, владеть напильником и иметь голову на плечах, то в принципе ВСЕ решаемо.(теперешние админы уже года 4 не подходят к нему) Недостатки есть практически у любых решений. А преимущество в определенных условиях - станет недостатком.

Добавлено:
Вообще любая защита - это как замок от честного человека. 100% защиты нет и не будет.
Посмотри чисто програмный комплекс, например: http://www.infotecs.ru/Soft/office_f.htm Поищи инфу. Контактный телефон там есть, надеюсь с выбором помогут. Интересуйся есть ли сертификат, на что и на какой срок. Будут ли продлять.

Добавлено:
Подборка продуктов разных: http://www.infotrust.ru/content/view/48/26/

Nomolos

Цитата:

З.Ы. обновлять гарант из инета вообще накладно, 16 гиг стандартное обновление.

вы путаете, 16 гиг - это может быть размером базы, но никак не обновления. Из интернета с их сервера тянуть максимум 100 Мб в неделю.

oaf56

Цитата:

Цитата:Nomolos:У Вас видимо гаранта нет.
Потому как для обновления гаранта нужен ответ от их центра.
Гарант могут обновлять тоже с USB HDD. Серверный вариант точно.

так в том то и дело что носитель пофик какой хоть hdd хоть dvd-r болванка а всё равно при обновлении требуется звонок в головной центр с начиткой кода и вводом ответа, другое дело если обновление качаются через инет по договору

lovec123,Смотри на жизнь проще. Есть договор на ПО и обслуживание. НУ и Читайте договор и просите ТО ЧТО ВАМ НАДО. Гарант - плодит свои виртуальные филиалы/представительства - дилерскую сеть. Как правило их представители есть на местах. Система строится как пирамида из офисов/представителей. У нас для клиентов приобретающих сетевой(файл-серверный) вариант приходит "манагер" с диском и заливает обновления. При этом дело поставлено так, что клиент заплатил и ЕГО обслуживают(дают номера(только по указанию гл. манагера в случае краха/переустановки/обновления сервера) и обновления ПРИНОСЯТ). это Когда я занимался этим. В принципе это осталось и сейчас. Код выдаваемый Гарантом привязывает конкретный экземпляр установки к конкретному ПК(конфигурация Железа+ ПО). При первой установке ставится дистриб., генерится укальный коддля ЭТОГО сервера. Гл.Манагер получает ответный код, и доводят до Вас. Вы же, надеюсь не ставите сервер на гнилой, падающий или эксперементальный сервер. В остальных случаях код активации не меняется(При обновлении самой БД).

П.С. Кстати, менеджмент нашего Гаранта - люди вполне умные, адекватные и заинтересованы в клиентах. А рядовые сотрудники везде могут быть разные.

oaf56

Цитата:

При первой установке ставится дистриб., генерится укальный коддля ЭТОГО сервера. Гл.Манагер получает ответный код, и доводят до Вас. Вы же, надеюсь не ставите сервер на гнилой, падающий или эксперементальный сервер. В остальных случаях код активации не меняется(При обновлении самой БД).

сервер не гнилой и каждую неделю при обновлении БД чел звонит в головной офис говорит цифры и вбивает ответ, возможно с тех пор как вы занимались гарантом прошло не мало лет либо нас тупа разводят, в след раз точно посмотрю откель он берёт цифры и куда вбивает ответ

lovec123
Просто у Вас может партнер Гаранта, который имеет всего 10 договоров на продукт, а запрашивает коды по 100 и каждый день? Я бы такому тоже особо не доверял и контролировал его жадность.
Хотя смену конфигурации и клонирование можно обойти.

oaf56
в списке чувачка мы 12 из 25 организаций, кроме него у них в канторе ещё 3 человечка одновременно с ним ходят по другим организациям

lovec123 Работники бывают разные. Они может может за их зарплату и не ХОТЯТ включать мозги и напрягаться, а может их зАшУгали. Обоснуй свой пожелание и задай ? что МЫ(ОНИ и ВЫ ВМЕСТЕ) можем сделать для решения. Если тебе нужно, но ты не можешь этого добиться у него - обратись к манагеру/старшему. В любой конторе есть ХОТЬ ОДИН человек, способный прИнимать решения и зАставлять их реализовывать. Найди его. С "дворниками" обсуждать твои проблемы бесполезно. Одна из существенных причин помогать тебе - будет мысль, что это возможно нужно и другим, но они пока это не высказали и скоро потребуют.