» Вы уже обеспечили защиту персональных данных на предприятии?
Мдя, 1С как всегда занимается спекуляцией
В покупке Z билда есть смысл или это покупать если проведены все остальные организационные мероприятия?
Просто для успокоения души скинуть им денег чтоль предлагают?
В покупке Z билда есть смысл или это покупать если проведены все остальные организационные мероприятия?
Просто для успокоения души скинуть им денег чтоль предлагают?
vladlenchik Просвятите плыз насчет Z-билда в 1С. Я не в теме насчет 1с. Что это Z-билд?. Лично я 1с классифицирую как класс К3 (работники конторы) и всё. В лучшем случае поставлю им персонал фаер типа Vipnet или вообще ничего не буду ставить, типа виндовым брандмауэром обойдутся.
ipmanyak
Цитата:
Цитата:
Vipnetэта убогая поделка, отдельный разговор...
Alukardd твое предложение вместо vipnet ?
ipmanyak
штука в том что я не занимался исследованием рынка СЕРТИФИЦИРОВАННЫХ продуктов, а так у меня ситуация такова, что локалка считается закрытым сегментом и шлюзуется через linux сервер, с разумеется ни кем не сертифицированным netfilter/iptables. И того на сколько я понял закон, в такой ситуации не обязательно устанавливать фаерволы на сервера БД или на клиентские машины. Тут дупло только в том, что стоит на шлюзе, а там СПО...
штука в том что я не занимался исследованием рынка СЕРТИФИЦИРОВАННЫХ продуктов, а так у меня ситуация такова, что локалка считается закрытым сегментом и шлюзуется через linux сервер, с разумеется ни кем не сертифицированным netfilter/iptables. И того на сколько я понял закон, в такой ситуации не обязательно устанавливать фаерволы на сервера БД или на клиентские машины. Тут дупло только в том, что стоит на шлюзе, а там СПО...
Вот инфо по защите персональных данных. http://persondata.ru
А из ФСТЭК всего лишь 8 проверок по персональным данным на 2011 год - не слишком-то они себя утруждают
geofrost2010 Фстэк может и 8, но основную массу проверок делает Роскомнадзор.
А как у вас организована работа со сменными носителями. Например, с флешками. Когда между зданиями сети нет и передать данные нужно, используя флешку или другой носитель. Ведете ли вы учет таких флешек и их перемещений, шифруете и информацию? И т.п.
BAARK USB порты зарублены политикой домена ибо нефиг. Разлочены на 2-3 компах, у админов На флэшке ПДн? Если да, то ведите журнал передачи, нужно шифровать, сам знаешь почему, например на случай утери/кражи флэхи, или хотя бы кладите файлы в архив winrar с приличным паролем. А что, в том здании нет Инета?
Хотелось бы со знающими сисадминами посоветоваться. Почитал про антивирус Авира в разделе где не за бесплатно (http://forum.avirus.ru/viewforum.php?f=3), подумываю вместо касперского на предприятии у нас поставить ибо несколько дешевле получается чем каспер... Как думает стоит? Как он по защите и по использованию вообще?
Ralfire Мое мнение Каспер лучше.
ipmanyak
Цитата:
+1
как человек, замученный "доморощенными IT-шниками", поддержу.
но вроде как это надо в другой теме обсуждать.
+ к этому ещё и наличие вот этого фактора, что сыграло определённую роль в своё время.
Цитата:
Мое мнение Каспер лучше
+1
как человек, замученный "доморощенными IT-шниками", поддержу.
но вроде как это надо в другой теме обсуждать.
+ к этому ещё и наличие вот этого фактора, что сыграло определённую роль в своё время.
Недавно сменил баню (ходим с друзьями париться регулярно).
В новой бане девочка администратор потребовала от меня заполнить анкету постоянного клиента: ФИО, дом. адрес, тел., email, дата рождения и фото на веб-камеру у неё на рецепшине! ))
Распечатаю шапку топика, попрошу передать распечатку руководству.
Парилка у них отличная, жалко будет, если "пересажают" всё руководство и закроют баню
В новой бане девочка администратор потребовала от меня заполнить анкету постоянного клиента: ФИО, дом. адрес, тел., email, дата рождения и фото на веб-камеру у неё на рецепшине! ))
Распечатаю шапку топика, попрошу передать распечатку руководству.
Парилка у них отличная, жалко будет, если "пересажают" всё руководство и закроют баню
Начали потихоньку готовить пакет документов. Работаю в крупной больнице операторов более 1000, как они представляют это? Причем текучка медсестер, работающих в регистратуре и на постах, довольно существенна.
CSplinter У вас категория ПДн сведения о здоровье, класс К1, что подразумевает обязательную аттестацию лицензиатом. Он всё равно возьмет кучу денег, стоит ли самому париться, пусть лицензиат и пишет за вас все документы и отрабатывает свои деньги. То что текучка это мелочи, просто заведите журнал лиц, имеющих доступ к ПДн в ИСПДн и ведите его. Такой журнал по-любасу нужен всем.
Почитал я и подумал.
где прямые требования для сертификации операционок и поидее она то и ненужна т.к. на систему достаточно паставить дополн ПО имеющее сертификат на отсутствие НДВ и всё.
Под системой я имею ввиду сервак (шлюз) через который будут выходить все и/или те которым нужно в интернет.
На этот шлюз ставится ПО (например каспер кристал) с убойным сетевым экраном его можно настроить так что только нужные проги будут иметь право конекта к сети интернет ( это системная служба отвечающая за поиск DNS адресов и их IP) и непосредственно отдавать данные внутрь сети например через какой нить шлюзовой обработчик(релей) который наружу бедет висеть только на одном порте а остальное будет происходить уже внутри самой системы и соответственно будет закрыто.
А если к этому ещё и дубль шлюз(релей)добавить в виде ещё одного сервера чтоб сеть выглядела примерно так:
внутренняя сеть>>>шлюз(релей)№2>>>шлюз(релей)№1>>>Интернет
На шлюзах настроить сетевые экраны: одна лицензия касперский кристал на два компа 2200руб грубо и дёшево+ какой нить релей но впринципе можно и без него обойтись.
На клиентах внутри сети прописываешь жёстко назначенные IP локальные из диапазона 192.168.0.0 ставишь при желании тоже сетевые экраны и фильтрацию посещаемых сайтов дабы ограничить использование ресурсов и исключить утечку инфы.
на шлюз(релей)№2 ставишь почтовый сервер для переписки персонала между собой+выдаёшь каждому работнику персональный SSL сертификат для подписывания и защиты пересылаемых почтовых сообщений внутри предприятия(на шлюзе(релей)№2) и для организации безопасной переписки с внешними почтовыми серверами(казначейство, налоговая, ПФР, и др.), т.к. в некоторых почтовых серверах пересылка сообщений производиться только по открытому 25 порту и без авторизации канала SMTP то это очередная дыра которая закрывается использованием SSL подписываемых писем и возможностью шифрования отправителем писем на основе открытого ключа сертификата SSL. Это условие надо обговаривать в договоре и/или иным образом с казначейством, налоговай, ПФР, и др. и требовать от них этого если не исполняют и присылают в открытом виде ответы то писать начальству чтоб обучили элементарному работников в почтовой проге ставить галку зашифровать письпо и подписать его SSL сертификатом.
Дыра 25 порта и отсутствие авторизации SMTP от внешних адресов решается запуском на шлюзе(релей)№1 внешнего почтового сервака задачей которого будет изоляция почтового сервера на шлюзе(релей)№2 используемого для внутренней переписки от внешней среды интернет переназначением порта SMTP на другой и использование авторизации и SSL шифрования между шлюзом(релей)№1 и шлюзом(релей)№2 при передаче почты.
если применить это к компании имеющей филиальную сеть то подымается ещё один почтовый сервак с функциями аналогичными шлюзу(релей)№2 но с использованием авторизации и SSL шифрования SMTP при обмене между серверами висящими на ружу т.е. в интернет.
Это что касаемо почты порты ка вы понимаете можете назначать вообще любые кто как захочет и перенаправление релеев тоже индивидуальность рулит.
Теперь дальше при наличии веб сервера(сайта+форум) задачка немного усложняется но решается сам сервер это отдельный системный блок приконекченный отдельной локальной сетью (сетевая плата+сетевая плата) к шлюз(релей)№2 желательно. в настойках веб сервера(сайта+форум) ставиться порт и адрес расположенный на шлюз(релей)№1 смотрящий в интернет.
php скрипты при этом исполняются на веб сервере(сайта+форум) на котором расположен сам сайт и его ПО
база данных расположенна к примеру на нём же (веб сервере)
Самая главная проблема которую я не могу решить заключается в том как изолировать базу данных MySQL от внешнего IP адреса включая и тот который из внутреннего диапазона 192.168.0.0 и повесить её на заглушку 127.0.0.1.
Так как в конфиге MySQL можно указать только порт при использовании программы конфигурации сервера базы данных по умолчанию.
Как жёстко прилипить MySQL к жёсткому IP адресу?????????????????????
И ещё одна проблема:
Надо определить какие именно программы входящие в состав виндоуса т.е.
таблицу вида: программа+порт (или списки портов)
без которых не возможен выход пользователя в интернет.
А то получается слишком много доверенных по умолчанию служб винды которые имеют беспрепятственный доступ в интернет только команду дай.
А эту команду не обязательно самому пользователю давать где то в начале темы было написано что на майкрософт подали в суд что те скрытно собирали ифу по пользователям вот это стало возможным именно по этому.
Исходя из выше сказанного для нас как сисадминов да и не только это является одной большой проблемой и одной огромнейшей первоначальной угрозой и дыркой в наших компьютерах и системах.
Просьба не писать что это типо не по теме т.к.это тесно связанно с персональными данными напрямую и модераторы я надеюсь поймут!!!
Вот что я выяснил:
на постоянку в
мониторе сетевой активности висят следующие службы:
WININIT.EXE Windows Start-UP Application
SVCHOST.EXE Host Process for Windows Services
LSASS.EXE Local Security Authority Process
SERVICES.EXE Services and Controller app
и помимо этого 4 строки с именем "System" принадлежность к какому файлу я определить не смог. и поэтому им доступ запрещён а разрешить не знаю как.
при включении сетевого экрана локальный сервер виден и открывается в браузере а всё что внешние имена и адреса не открываются в браузере!
где прямые требования для сертификации операционок и поидее она то и ненужна т.к. на систему достаточно паставить дополн ПО имеющее сертификат на отсутствие НДВ и всё.
Под системой я имею ввиду сервак (шлюз) через который будут выходить все и/или те которым нужно в интернет.
На этот шлюз ставится ПО (например каспер кристал) с убойным сетевым экраном его можно настроить так что только нужные проги будут иметь право конекта к сети интернет ( это системная служба отвечающая за поиск DNS адресов и их IP) и непосредственно отдавать данные внутрь сети например через какой нить шлюзовой обработчик(релей) который наружу бедет висеть только на одном порте а остальное будет происходить уже внутри самой системы и соответственно будет закрыто.
А если к этому ещё и дубль шлюз(релей)добавить в виде ещё одного сервера чтоб сеть выглядела примерно так:
внутренняя сеть>>>шлюз(релей)№2>>>шлюз(релей)№1>>>Интернет
На шлюзах настроить сетевые экраны: одна лицензия касперский кристал на два компа 2200руб грубо и дёшево+ какой нить релей но впринципе можно и без него обойтись.
На клиентах внутри сети прописываешь жёстко назначенные IP локальные из диапазона 192.168.0.0 ставишь при желании тоже сетевые экраны и фильтрацию посещаемых сайтов дабы ограничить использование ресурсов и исключить утечку инфы.
на шлюз(релей)№2 ставишь почтовый сервер для переписки персонала между собой+выдаёшь каждому работнику персональный SSL сертификат для подписывания и защиты пересылаемых почтовых сообщений внутри предприятия(на шлюзе(релей)№2) и для организации безопасной переписки с внешними почтовыми серверами(казначейство, налоговая, ПФР, и др.), т.к. в некоторых почтовых серверах пересылка сообщений производиться только по открытому 25 порту и без авторизации канала SMTP то это очередная дыра которая закрывается использованием SSL подписываемых писем и возможностью шифрования отправителем писем на основе открытого ключа сертификата SSL. Это условие надо обговаривать в договоре и/или иным образом с казначейством, налоговай, ПФР, и др. и требовать от них этого если не исполняют и присылают в открытом виде ответы то писать начальству чтоб обучили элементарному работников в почтовой проге ставить галку зашифровать письпо и подписать его SSL сертификатом.
Дыра 25 порта и отсутствие авторизации SMTP от внешних адресов решается запуском на шлюзе(релей)№1 внешнего почтового сервака задачей которого будет изоляция почтового сервера на шлюзе(релей)№2 используемого для внутренней переписки от внешней среды интернет переназначением порта SMTP на другой и использование авторизации и SSL шифрования между шлюзом(релей)№1 и шлюзом(релей)№2 при передаче почты.
если применить это к компании имеющей филиальную сеть то подымается ещё один почтовый сервак с функциями аналогичными шлюзу(релей)№2 но с использованием авторизации и SSL шифрования SMTP при обмене между серверами висящими на ружу т.е. в интернет.
Это что касаемо почты порты ка вы понимаете можете назначать вообще любые кто как захочет и перенаправление релеев тоже индивидуальность рулит.
Теперь дальше при наличии веб сервера(сайта+форум) задачка немного усложняется но решается сам сервер это отдельный системный блок приконекченный отдельной локальной сетью (сетевая плата+сетевая плата) к шлюз(релей)№2 желательно. в настойках веб сервера(сайта+форум) ставиться порт и адрес расположенный на шлюз(релей)№1 смотрящий в интернет.
php скрипты при этом исполняются на веб сервере(сайта+форум) на котором расположен сам сайт и его ПО
база данных расположенна к примеру на нём же (веб сервере)
Самая главная проблема которую я не могу решить заключается в том как изолировать базу данных MySQL от внешнего IP адреса включая и тот который из внутреннего диапазона 192.168.0.0 и повесить её на заглушку 127.0.0.1.
Так как в конфиге MySQL можно указать только порт при использовании программы конфигурации сервера базы данных по умолчанию.
Как жёстко прилипить MySQL к жёсткому IP адресу?????????????????????
И ещё одна проблема:
Надо определить какие именно программы входящие в состав виндоуса т.е.
таблицу вида: программа+порт (или списки портов)
без которых не возможен выход пользователя в интернет.
А то получается слишком много доверенных по умолчанию служб винды которые имеют беспрепятственный доступ в интернет только команду дай.
А эту команду не обязательно самому пользователю давать где то в начале темы было написано что на майкрософт подали в суд что те скрытно собирали ифу по пользователям вот это стало возможным именно по этому.
Исходя из выше сказанного для нас как сисадминов да и не только это является одной большой проблемой и одной огромнейшей первоначальной угрозой и дыркой в наших компьютерах и системах.
Просьба не писать что это типо не по теме т.к.это тесно связанно с персональными данными напрямую и модераторы я надеюсь поймут!!!
Вот что я выяснил:
на постоянку в
мониторе сетевой активности висят следующие службы:
WININIT.EXE Windows Start-UP Application
SVCHOST.EXE Host Process for Windows Services
LSASS.EXE Local Security Authority Process
SERVICES.EXE Services and Controller app
и помимо этого 4 строки с именем "System" принадлежность к какому файлу я определить не смог. и поэтому им доступ запрещён а разрешить не знаю как.
при включении сетевого экрана локальный сервер виден и открывается в браузере а всё что внешние имена и адреса не открываются в браузере!
Вся эта ботва (ФЗ оПД) точно коснётся КАЖДОГО юр лица? Дело в том, что наш зам вместе с аудиторами посидели-подумали, да решили, что нам вообще ничего предпринимать не надо, так как у нас только договорные отношения с клиентами. И всё, говорят, не парься, не надо никаких СКЗИ и прочего...
Цитата:
Вся эта ботва (ФЗ оПД) точно коснётся КАЖДОГО юр лица?
Да именно каждого и юр. лица и даже некоторых физических лиц и гос учреждений.
Цитата:
да решили, что нам вообще ничего предпринимать не надо, так как у нас только договорные отношения с клиентами.
но это не освобождает от обязанности защищать персональные данные, это снимает необходимость брать письменное согласие с каждого субъекта персональных данных.
Пропишите в обязанности:разгласишь данные заплотиш штраф это к работникам.
Я узнал у роскомнадзора по телефону что если даже один комп в предприятии на котором есть персональные данные любого из лиц даже работников то нужно принять организационно штатные мероприятия по защите инфы, это же требование и к бумажкам в отделе кадров.
Я написал письмо им по поводу форумов и сайтов, интернет магазинов и подобного вот жду ответа.
Надеюсь не придётся сис админам сайтов и форумов получать письменные разрешение на сбор инфы о пользователях.
Думаю будет достаточно соглашения при регистрации и в правила прописать.
Буду надеяться. А в противном случае полная "жжжж".
вот кстати полученое мной предыдущее письмо: [more]
МИНИСТЕРСТВО СВЯЗИ
И МАССОВЫХ КОММУНИКАiЩЙ
РОССИЙСКОЙ ФЕДЕРАЦИИ
ФЕДЕРАЛЬНАЯ СЛУЖБА
ПО НАДЗОРУ В СФЕРЕ СВЯЗИ,
ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ
И МАССОВЫХ КОММУНИКАЦИЙ
(РОСКОМНАДЗОР)
ЗАМЕСТИТЕЛЬ РУКОВОДИТЕЛЯ
Китайгородский проезд, д. 7 стр. 2, Москва, 109074
тел/факс: (495) 987-67-80; ‚ЧУчгаос.о.1
‚2. 02Ч Щ /i9 0Г
На!___________ от__________
О результатах рассмотрения обращения
Уважаемый !
Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций по существу Вашего обращения сообщает следующее.
Кадровое агентство при обработке персональных данных соискателей (лиц, поступающих на работу) обязано получать согласие субъектов на обработку их персональных данных и передачу третьим лицам.
Согласно ст. ст. 9, 14 Федерального закона от 27 июля 2006 г. 1Г 152-ФЗ «О персональных данных» субъект персональных данных принимает решение об отзыве согласия на обработку своих персональных данных и вправе требовать от оператора уничтожения своих персональных данных.
Таким образом, Вы вправе направить в адрес кадрового агентства требование в письменной форме об уничтожении своих персональных данных, а также принимать иные, предусмотренные законом меры по защите своих прав.
Требование об указании персональных данных лица, производящего доставку товара при оформлении товарной накладной предусмотрено формой Х ТОРГ-12, утвержденной постановлением Госкомстата от 25 декабря 1998 г. Х 132 «Унифицированные формы первичной учетной документации по учету торговых операций».
Согласно ст. 185 Гражданского кодекса Российской Федерации доверенностью признается письменное уполномочие, выдаваемое одним лицом другому лицу для представительства перед третьими лицами.
Унифицированная форма доверенности на получение товарно-материальных ценностей утверждена постановлением Госкомстата Российской Федерации от 30.10.1997 3( 71а «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты, основных средств и нематериальных активов, материалов, малоценных и быстроизнашивающихся предметов, работ в
2
капитальном строительстве» и предусматривает указание фамилии, имени, отчества, должности работника, а также данных основного документа, удостоверяющего личность.
Р.В. Шередин
ВА. Передня
987-68-52
[/more]
пока всё
sergeyrusxxx
Цитата:
какие обязанности? б.г с тобой!...
при приеме на работу с работником, если в его обязанности будет входить работа с конфиденциальной информацией, подписывается Договор о конфиденциальности. и в нем, как правило, конкретно сказано, что "Работник в случае разглашения и незаконного использования информации, составляющей коммерческую тайну, и сведений конфиденциального характера <Органиации> и контрагентов несет ответственность в соответствии с законодательством Российской Федерации." а ПДн практически во всех организациях относятся к конфиденциальной информации. так что штафом можно и не отделаться...
Цитата:
Пропишите в обязанности:разгласишь данные заплотиш штраф это к работникам.
какие обязанности? б.г с тобой!...
при приеме на работу с работником, если в его обязанности будет входить работа с конфиденциальной информацией, подписывается Договор о конфиденциальности. и в нем, как правило, конкретно сказано, что "Работник в случае разглашения и незаконного использования информации, составляющей коммерческую тайну, и сведений конфиденциального характера <Органиации> и контрагентов несет ответственность в соответствии с законодательством Российской Федерации." а ПДн практически во всех организациях относятся к конфиденциальной информации. так что штафом можно и не отделаться...
sergeyrusxxx
Цитата:
Если следовать букве закона, а именно ФЗ № 152, то только письменное согласие является док-вом согласия. Вот разъяснение Роскомнадзора по этому поводу.
http://www.pd.rsoc.ru/faq/faq21.htm
Второй абзац, вроде как допускает в вебформе прописать согласие, но следующим пунктом пишет - нужно провести мероприятия по достоверности данных, тем самым практически перечеркивает своё допущение, поскольку достверно проверить это очень проблематично:
Возможно ли получение согласия на обработку персональных данных по телефону? Что является доказательством получения согласия на обработку персональных данных при покупке товаров в интернет-магазинах?
При заполнении вэб-формы заявки на покупку товара на сайте интернет-магазина в информационно-телекоммуникационной сети «Интернет» критерием, свидетельствующим о получении оператором согласия субъекта персональных данных на обработку его персональных данных является файл электронной цифровой подписи.
Кроме того, оператор вправе ввести в вэб – форму заявки обязательные для заполнения дополнительные поля, устанавливающие условие согласия субъекта персональных данных на обработку его персональных данных, при условии последующего проведения мероприятий по проверке достоверности представленных персональных данных.
В остальных случаях согласие на обработку персональных данных, равно как и его отзыв, может оформляться только в письменной форме.
Получение согласия на обработку персональных данных по телефону, посредством СМС-сообщений действующим законодательством Российской Федерации не установлено.
Цитата:
Надеюсь не придётся сис админам сайтов и форумов получать письменные разрешение на сбор инфы о пользователях.
Думаю будет достаточно соглашения при регистрации и в правила прописать.
Если следовать букве закона, а именно ФЗ № 152, то только письменное согласие является док-вом согласия. Вот разъяснение Роскомнадзора по этому поводу.
http://www.pd.rsoc.ru/faq/faq21.htm
Второй абзац, вроде как допускает в вебформе прописать согласие, но следующим пунктом пишет - нужно провести мероприятия по достоверности данных, тем самым практически перечеркивает своё допущение, поскольку достверно проверить это очень проблематично:
Возможно ли получение согласия на обработку персональных данных по телефону? Что является доказательством получения согласия на обработку персональных данных при покупке товаров в интернет-магазинах?
При заполнении вэб-формы заявки на покупку товара на сайте интернет-магазина в информационно-телекоммуникационной сети «Интернет» критерием, свидетельствующим о получении оператором согласия субъекта персональных данных на обработку его персональных данных является файл электронной цифровой подписи.
Кроме того, оператор вправе ввести в вэб – форму заявки обязательные для заполнения дополнительные поля, устанавливающие условие согласия субъекта персональных данных на обработку его персональных данных, при условии последующего проведения мероприятий по проверке достоверности представленных персональных данных.
В остальных случаях согласие на обработку персональных данных, равно как и его отзыв, может оформляться только в письменной форме.
Получение согласия на обработку персональных данных по телефону, посредством СМС-сообщений действующим законодательством Российской Федерации не установлено.
Цитата:
BAARK USB порты зарублены политикой домена ибо нефиг. Разлочены на 2-3 компах, у админов На флэшке ПДн? Если да, то ведите журнал передачи, нужно шифровать, сам знаешь почему, например на случай утери/кражи флэхи, или хотя бы кладите файлы в архив winrar с приличным паролем. А что, в том здании нет Инета?
Так вот интересует формат такого журнала. Свободная форма или все-таки есть нечто утвержденное ФСТЭК или ФСБ. Из той кипы документов, что была просмотрена, форму такого журнала обнаружить не удалось. И видимо, они идут парой - журнал и порядок пользования.
BAARK Форма журнала на твое усмотрение. Поля - кто передал, кому, дата, подписи.
Прошу помощи по данному вопросу.
Вводные данные: обычная ООО, далеко за пределами МКАД. Зарегестрирована по одному адресу, фактически арендует офисы в другом месте. Есть сервер 1С физически не доступный для простого смертного (проще говоря - спрятан), подключенный к сети и интернет. Есть несколько бухов, которые с ним работают. Из лиц софта только 1ска, и та взломана на самом серере для упращения работы. Кроме 1Ски других программ для персональных данных нет.
Вопрос по теме:
- насколько важно провести аттестацию фирмы
- можно ли просто сделать машину, не подключенную к сети - для того что бы показывать что типа там хранятся и обрабатываются данные?
- нужно ли на такую машину полностью лицензионный софт ставить?
- нужно ли остальные помещения отдавать в субаренду, что бы показать типа не мы в них находимся?
Вводные данные: обычная ООО, далеко за пределами МКАД. Зарегестрирована по одному адресу, фактически арендует офисы в другом месте. Есть сервер 1С физически не доступный для простого смертного (проще говоря - спрятан), подключенный к сети и интернет. Есть несколько бухов, которые с ним работают. Из лиц софта только 1ска, и та взломана на самом серере для упращения работы. Кроме 1Ски других программ для персональных данных нет.
Вопрос по теме:
- насколько важно провести аттестацию фирмы
- можно ли просто сделать машину, не подключенную к сети - для того что бы показывать что типа там хранятся и обрабатываются данные?
- нужно ли на такую машину полностью лицензионный софт ставить?
- нужно ли остальные помещения отдавать в субаренду, что бы показать типа не мы в них находимся?
DJ Tommy Если у вас в 1с только данные ваших работников, то вам ничего не нужно аттестовывать и даже не нужно подавать уведомление в Роскмонадзор, согласно ФЗ 152 ст 22 ч.2 - вас связывают трудовые отношения, но защищать данные нужно. Если есть чужие ПДн, то это другой вопрос, вы должны брать с них согласие на обработку и тд и тп со всеми вытекающими.
Если вы будете аттестовывать или хотя бы заказывать декларацию соответствия у лицензиата, то лицензионность софта будет одним из требований лицензиата, поскольку пиратки не могут гарантировать полную безопасность и отсутствие НДВ.
Если к вам придет проверка от Роскомнадзора, в чем я сомневаюсь, если вы не подали уведомление им, то никакие ваши сервера и станции они смотреть не будут, они потребуют пакет локально распорядительных документов, который у вас должен быть. ФСБ или ФСТЭК те еще могут поглядеть на ваши серверы и станции, но это вообще мизерный шанс, что они придут в мелкую контору, они в основном гос. структуры посещают.
Перечень локально распорядительных документов, которые у вас должны быть, можете узнать здесь http://72.rsoc.ru/directions/pp/p8532/
Если у вас данные только ваших работников, то сделайте эти документы и постарайтесь максимально защитить данные от утечки , кражи и др. насчет помещений в этом случае можете на заморачиваться.
Если вы будете аттестовывать или хотя бы заказывать декларацию соответствия у лицензиата, то лицензионность софта будет одним из требований лицензиата, поскольку пиратки не могут гарантировать полную безопасность и отсутствие НДВ.
Если к вам придет проверка от Роскомнадзора, в чем я сомневаюсь, если вы не подали уведомление им, то никакие ваши сервера и станции они смотреть не будут, они потребуют пакет локально распорядительных документов, который у вас должен быть. ФСБ или ФСТЭК те еще могут поглядеть на ваши серверы и станции, но это вообще мизерный шанс, что они придут в мелкую контору, они в основном гос. структуры посещают.
Перечень локально распорядительных документов, которые у вас должны быть, можете узнать здесь http://72.rsoc.ru/directions/pp/p8532/
Если у вас данные только ваших работников, то сделайте эти документы и постарайтесь максимально защитить данные от утечки , кражи и др. насчет помещений в этом случае можете на заморачиваться.
1) Какой класс?
2) в теории да, но выгоднее и правильнее сделать как положено
3) это положено в принципе =)
4) тут не помогу к сожалению
2) в теории да, но выгоднее и правильнее сделать как положено
3) это положено в принципе =)
4) тут не помогу к сожалению
У нас обычная коммерческая фирма с нулевым бюджетом для IT.
Помимо данных на сотрудников еще контрагенты с которыми работаем.
Денег никто не выделит даже на аудит, весь софт пиратский.
Помещения где мы находимся арендуем.
Физически сервер с 1с спрятан
Мероприятия по защите данных де факто проведены в момент моего устройства на работу.
Вот и возник вопрос - рано или поздно руководству придет мысль узнать что от нас требуется и что мы сможем сделать что бы снизить к минимуму финансовые расходы. Да и для себя то же стоит этот вопрос выяснить.
Я предпочитаю такие вопросы заранее узнавать что бы быть готовым к возможным встряскам. Хотя скорее всего как и всегда будут все вопросы решены в известной материальной форме.
Помимо данных на сотрудников еще контрагенты с которыми работаем.
Денег никто не выделит даже на аудит, весь софт пиратский.
Помещения где мы находимся арендуем.
Физически сервер с 1с спрятан
Мероприятия по защите данных де факто проведены в момент моего устройства на работу.
Вот и возник вопрос - рано или поздно руководству придет мысль узнать что от нас требуется и что мы сможем сделать что бы снизить к минимуму финансовые расходы. Да и для себя то же стоит этот вопрос выяснить.
Я предпочитаю такие вопросы заранее узнавать что бы быть готовым к возможным встряскам. Хотя скорее всего как и всегда будут все вопросы решены в известной материальной форме.
DJ Tommy если контрагенты это физические лица, и вы их данные храните в базе 1С, то вы должны брать с них письменное согласие на обработку их ПДн. Перечень локально распорядительных документов, которые у вас должны быть, я уже вам огласил. Ну и данные нужно защищать. Как защищать, это уже зависит от категории и класса ПДн. Читайте приказ трех - 38 Приказ ФСТЭК, ФСБ, МИС №55-86-20 от 13.02.2008 Классификация ИСПДн.doc. классифицируйте свою ИСПДН, после классификации определяйте, чем и как защищать.Хотя бы прочтите 58 приказ ФСТЭка. 58 приказ от 5.02.2010 № 58 Об утверждении положения о методах и средствах защиты информации в ИСПДн.doc
DJ Tommy, у вас по любому можно свести к КС3, который аттестации не требует.
Страницы: 12345678910111213141516171819202122232425
Предыдущая тема: "Не удалось подключиться к контроллеру домена..."
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.