» Вы уже обеспечили защиту персональных данных на предприятии?

Valery12
Наиболее оптимально Cisco ASA 5505, но серия не сертифицирована ФСТЭКом, только отдельными экземплярами.

Orion_76
Цитата:

Cisco ASA 5505, но серия не сертифицирована ФСТЭКом,

Ошибаетесь!
http://www.npo-echelon.ru/production/69/6729
Сертификат соответствия:
ФСТЭК России №1976 от 11 декабря 2009 г. на соответствие требованиям технических условий ТУ и руководящего документа "Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" (Гостехкомиссия России, 1997) - по 3 классу защищенности.
Почитай мой пост чуток выше про Vipnet.



Добавлено:
тут можешь еще поглядеть аппаратные и программные решения
http://www.npo-echelon.ru/production/69/
http://www.npo-echelon.ru/production/

ipmanyak
Цитата:

ФСТЭК России №1976 от 11 декабря 2009 г. на соответствие требованиям технических условий ТУ и руководящего документа "Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" (Гостехкомиссия России, 1997) - по 3 классу защищенности.

Спасибо, что поправили... Наверное это для нас будет самое оптимальное решение...

ipmanyak

Цитата:

ФСТЭК России №1976 от 11 декабря 2009 г. на соответствие требованиям технических условий ТУ и

Выдержка из переписки с продавцом:


Код: ----------------------------------------------------------------------
Коммуникационное (12:34:09 21/05/2010)
Добрый день.


Orion (12:37:50 21/05/2010)
Нам необходимо приобрести межсетевой экран Cisco ASA-5505 из серии сертифицированной ФСТЭКом.
У Вас есть в наличии?

Коммуникационное (12:38:50 21/05/2010)
ФСТЭКовские сертификаты очень проблематично получить и денег много стоит. (в районе 250 000.00 рубл.) Все кто сначала хотел ФСЭКовский сертификат, узнавая какой ценой придется его добывать - отказывались от его получения и заказывали оборудование без него.
Да и само оборудование в настоящем времени не получило разрешение ФСБ на провоз через границу РФ.
В настоящее время, мы можем заказать оборудование, заказ около 15 недель.


Коммуникационное (12:39:39 21/05/2010)
срок из расчета того что ФСБ получит все лдокументы от производителя (нотификация) и даст разрешение на его поставку


Orion (12:46:39 21/05/2010)
Выдержка из реестра сертифицированых СЗИ Фстэк:
------------------------------------------------------------------------------------------------------
№ сертификата: 1976
Начало действия сертификата: 11.12.2009
Срок действия сертификата: 11.12.2012
Cisco ASA-5505
Межсетевой экран Cisco ASA-5505 - по 3 классу для МЭ и на соответствие ТУ
Схема сертификации: Серия
Испытательная лаборатория:
ЗАО "Документальные системы", ОС-Лабоораторя ППШ
Заявители:
ЗАО "АМТ-Груп" 115162
Москва, ул. Шаболовка, д. 31, к. Б
(495) 725-7660
ЗАО "Алтэкс-строй-2002" 125047
Москва, пл. Тверская застава, д 3
(495) 504-1614
-----------------------------------------------------------------------------------------------------

Вроде вся серия сертифицирована?

Коммуникационное (12:49:52 21/05/2010)
ок. попробуйте взять сертификат там. Но не теряйте время. его не дадут. Мы пробовали много раз. Там сидят люди, которые хотят денег и с их слов - привозите железку и мы будем делать все заново для вашей конкретной позиции

Цитата:

Orion_76
Весело?-))

Попробуйте после выходных поспрошать Лукацкого. Учитывая, что он в Cisco, мож. он подскажет у кого взять сертифицированный

Коллеги!

Один вопрос, ответа на который не могу пока найти: один аспект использования CRM-систем.

Предположим, у нас есть CRM-база с набором "потенциальных" клиентов, работа с которыми еще ведется и договора с ними не заклчено.

По 152ФЗ, если мы заносим человека в нашу базу CRM, мы должны заручиться его письменным согласием.
То же самое касается и "партнерской" сети.

Таким образом, от каждого человека, упомянутого у нас в базе CRM у нас должно быть письменное согласие на помещение его данных в базу.

Кто-нибудь уже озаботился проблемой сбора сотен подписей от людей со всей России?

Спасибо за внимание.

Цитата:

kernhohol
Кто-нибудь уже озаботился проблемой сбора сотен подписей от людей со всей России?

Озаботились и давно

Уже в Резниковском проекте попровок в ЗоПД объединяются договорная и преддоговорная деятельность:


Цитата:

Статья 6. Случаи обработки персональных данных
1. Обработка персональных данных может осуществляться оператором в следующих случаях:
1) установления или реализации договорных отношений, предполагающих обработку персональных данных;

Да, каким-то образом пропустил этот момент при чтении поправок.

Статья 6. Случаи обработки персональных данных
"1. Обработка персональных данных может осуществляться оператором в следующих случаях:
1) установления или реализации договорных отношений, предполагающих обработку персональных данных; "

При этом:
статья 6, часть 2

"Обработка ПД при установлении и реализации договорных отношений должна осуществляться на основе согласия субьекта ПД на обработку его ПД и регулироваться соглашением..."

статья 6, часть 6
"... Соглашение может быть заключено в устной форме..."

Вуаля =) С колой и попкорном следим за процессом принятия поправок к закону, учим менеджеров говорить "вы согласны на обработку Ваших ПД?", записываем телефонные разговоры с клиентами и проводим работы по установлению режима безопасности.

Приглашаем всех, кто заинтересован в решении проблемы 152-ФЗ,принять участие в Общественных слушаниях.

Цитата:

Невыполнение в срок законного предписания

Повод содрать штраф, это любимое их занятие. А было и без повода.

Вышли по правки о том что для в ряде случаев сертифицировать систему не нужно ...

Всем привет!
Прочитал всё это, и такой вопрос:
И что, теперь надо, в обязательном поряде шифровать данные, а перед этим у клиентов спрашивать разрешение???
Ещё и штрафы предусмотрены.......
По моему, это уже надо не НАМ беспокоиться, а впервую очередь директорам, потому что мы только исполнители.
И вина будет на плечах директорских, т.к он не позаботился полистать закон, или юрист ему не объяснил.
Так что, коллеги, не партесь сильно, НО можно намекнуть директору, что есть такая опа.

Вышли поправки которые смягчили требования особенно по криптографии. Но сертифицировать систему все равно надо. Да есть там моменты когда можно обойтить без сертификации, но вместо этого требуют другой документ который выглядит неизвестно как и кто его подписывает тоже.

Уважаемые специалисты!
Скажите, пожалуйста, какой нормативно-правовой акт запрещает пользователям бухгалтерии иметь Интернет?

patsev anton
вряд ли такой есть
разве что приказ по организации

Так персональные данные в бухгалтерии только у расчетчика зарплаты,
а остальным бухам можно спокойно пользоваться интернетом

Vital283
у остальных вполне может быть другая коммерческая и/или конфиденциальная информация типа номеров счетов и проводок по ним...
а вообще "иметь" или "не иметь" интернет на рабочем месте в организациях должно определяться внутренними нормативными документами по ИБ.

Grekk007

Цитата:

Так что, коллеги, не партесь сильно, НО можно намекнуть директору, что есть такая опа.

Гыгы Сюрприссс будет,када ты узнаещь,что твоя опа по приказу тож участвует в этой оргии-как самая что нинаесть ответственная...удачи!

Очень неохота читать 22 страницы, но видел что-то тут про разделение на гос и комерческие фирмы, подскажите надо ли всё это выполнять в частных конторах?

KOLDUN1986
На данный момент - надо.

Vital283

Цитата:

Так персональные данные в бухгалтерии только у расчетчика зарплаты

А отчетность по зп в ПФР и ИФНС(страховые взносы и 2-ндфл) сейчас в основном тож через инет шлют, а т.к. в бухгалтерии у нас комп один, то на нем и бухгалтерию ведут и платежки и отчеты в казначейство и министерство шлют почти каждый день... Без инета никак-)))

Уважаемые коллеги!

Помогите с разъяснением - есть ИСПДн установленная во множестве филиалов, в работу взяли рекомендации МинСоцЗравРазвития, там есть такой документ, "Отчёт о результатах проведения внутренней проверки обеспечения защиты ПДн в информационных системах".... различие между филиалами только в рис2. "территориальное расположение ИСПДн относительно контролируемой зоны" и список пользователей АРМа., Как правильнее с точки зрения ФСТЭк готовить данный документ - один на всех или на каждый филиал??

а я прочитал 22 страницы но так и не понял что именно нужно делать в частных организациях с учетом всех принятых поправок
Если, к примеру, в 1с хранится инфа о сотрудниках и контрагентах, с которыми связывают договорные отношения (с последними поправками даже и без оной связи, т.е. "для установления договорных отношений"), то можно никого не уведомлять, но меры принимать все равно нужно?
Вопрос - какие и в каком объеме?

kermit
как минимум , перекрыть каналы возможной утечки ПД.

villimilli, смотря как они между собой связаны. Можно по разному определить границы объектов информатизации и соответственно, либо один документ на всю систему или, как вариант, один документ - на одну ИСПДн в центре и один документ на энное количество типовых объектов по филиалам. Как-то так.

Столкнулся с сертификацией при подготовки документов, не понимаю что, в каком объеме надо сертифицировать и надо ли вообще?

Есть какой-нибудь пункт, обязывающий (или предполагающий) создать отдел ит и инф.безопасности в организации (больница)?

nikost98
нет. но без такого отдела непонятно, кто будет делать всю документацию. При заказе у сторонней организации вполне можно и обойтись без отдела ИТ

А как можно "уболтать" руководство о создании такого отдела?

nikost98
экономическими расчетами. сравнить стоимость аутсорса и собственного отдела.