» Вы уже обеспечили защиту персональных данных на предприятии?

SerCos Чтобы стать лицензиатом вы должны иметь примерно такие лицензии:
Лицензия на деятельность по технической защите конфиденциальной информации
Лицензия на деятельность по разработке и (или) производству средств защиты конфиденциальной информации
Свидетельство о государственной аккредитации
Лицензия на осуществление работ, связанных с использованием сведений, составляющих государственную тайну
Лицензия на осуществление распространения шифровальных (криптографических) средств
Лицензия на осуществление технического обслуживания шифровальных (криптографических) средств.


Цитата:

За сертификацию каждого пункта я так понимаю платить нехилые бабки придется? Прикинуть-бы примерный масштаб затрат... Хотя-бы какой порядок цен, сотни тысяч или лимоны?

Этот вопрос вы можете задать специалистам ФСТЭК в вашем регионе по телефону, обычно отвечают нормально и адекватно. Структуру ФСТЭК с контактными телефонами и емайлами можете узнать здесь
http://www.fstec.ru/_razd/_osno.htm
дежурный по ФСТЭК России     (495) 696-94-20, (495) 696-49-04 (факс)
Пройдитесь по карте сайта http://www.fstec.ru/_razd/_karto.htm
там же найдете ссылку на страницу-форум, где можете задать свои вопросы
Впрочем вот ветка того форума по получению лицензий
http://www.itsec.ru/forum.php?sub=4865&from=0
http://www.itsec.ru/forum.php?sub=4865&from=10 пост от Елена - ответ на ваш вопрос, что нужно для получения самой первой лицензии в списке в вверху.
Если вы не собираетесь в дальнейшем предоставлять услуги по защите ПДн, то и лицензитатом не зачем быть.

С трудом верится, что произойдут адекватные изменения, но хочется в это верить, ибо эти ИСПД вот уже где сидят ((

Судя по тому, как внедряется Защита Персданных на просторах России (года 4 или 5 помоему закон пытается вступить в силу?-))) Уже давно пора делать это как-то по другому-)))

Понимаю, что поздно спохватился, но лучше поздно чем никогда.

Ситуация - есть интернет-магазин - база по заказчикам + собственное коммерческое клиент-серверное приложение с базой в несколько тысяч пользователей (ФИО, телефоны, даты регистраций, города проживания).

я правильно понимаю, что из-за большого количества клиентов-пользователей класс получается второй и с этим ничего уже не сделать?

RasConRas да, согласно Приказа ФСТЭК, ФСБ, МИС №55-86-20 от 13.02.2008 Классификация ИСПДн, как я понял вы уже видели таблицу в этом документе.

Объясните, пожалуйста, "по пунктам", какие необходимо совершить действия бюджетной организации, например, администрации сельского поселения, для выполнения требований 152-фз. Желательно еще и ссылку на нормативные акты с требованием выполнения подобных действий.

Организация из себя предстваляет небольшой штат сотрудников, лвс,набор бухгалтерсокго программного обеспечения по расчету зарплаты, учет кадров, системы электронного документооборота с казначейством, банком, налоговой, пфр, отсюда вытекает наличие выхода в интернет, антивирусный софт, офисный пакет.

Я так понимаю необходма матрица доступа, выполнение технических работ по разграничению доступа по лвс, создание приказов на наделения прав доступа к ресурсам, что еще? Или вообще я не правильно понимаю. Кто может выполнить данные работы? Обязательно нанимать кого-то?

Заранее спасибо!

ipmanyak
Спасибо, просто надеялся, что что-то недопонял.

foureleven
Поскольку вы не больница, думаю, никто вас никогда не тронет - бюджетников, да и денег на сертифицированное по никто не выделит, а потому я бы ограничился кучей бумажек и забыл про этот дурацкий закон


Интересно, хоть кто-нибудь уже соответствует? потому как у меня руководство 100% не захочет менять лицензионные виндоуз-сервера на сервера лицензионные же, но к тому еще и сертифицированные. Тупо растрата бюджета "вникуда".
кстати, вот еще момент. преположим купили сертифицированный фстэк дистриб и что? какой больной человек будет переустанавливать кучу по если итак лицензионное и работает? диск сертифицированный просто положат на полочку и будут говорить, что да, мы соответствуем...

Цитата:

кстати, вот еще момент. преположим купили сертифицированный фстэк дистриб и что? какой больной человек будет переустанавливать кучу по если итак лицензионное и работает? диск сертифицированный просто положат на полочку и будут говорить, что да, мы соответствуем...

я думаю тка просто не отделаетессь - пригласите лицензиата, заплатите ему денюжку и он напишет что установленная у вас операционка соответствует сертифицированной
Цитата:

Интересно, хоть кто-нибудь уже соответствует?

у нас потратили уже около лимона, но на все бюджета так и не хватило. Тут ведь в чем идиотизм, работают например с медицинскими данными больницы, страховые компании, фонд медицинского страхования, соцстрах и т.д. И вот эти данные уплывают в открытый доступ, учитывая что все мероприятия по этому закону утечку все равно не перекроют (потому что как правильно говорили это устаревшие методики двадцатилетней давности). Так вот вместо того что бы искать виновного, наши спецслужбы тупо проверят пакет документов и если кто "не соответствует" тот и верблюд!

Valery12
ну вот я и говорю, что ни разу не бюжетное это дело пытаться соответствовать...
если не секрет в каком процентном соотношении и на что ушли деньги?
у меня пока получается, что самым затратным будет ПО + скорее всего что-то вроде е-токенов - по деньгам и по времени.

хотя вру. если с к2 не получится соскочить самым затратным будет оплата "специалистов"

Цитата:

если не секрет в каком процентном соотношении и на что ушли деньги?

половина на
Цитата:

самым затратным будет оплата "специалистов"

половина на софт, соболь, dallas look а главное VipNet, причем VipNet у нас к этому времени уже был частично развернут, иначе затраты были бы намного выше.

Valery12
Серьезно вы подошли... спасибо за ответ

С 1 июля этого года в силу вступили новые требования относительно обработки и защиты персональных данных. То есть, в этом году может случиться так, что многие российские компании, которые не подготовились заранее, столкнутся с угрозой реальных санкций со стороны регулирующих органов.

О том, как не стать нарушителем закона рассказывает общедоступный проект «7 Уровней Защиты Персональных Данных»

Изучил материал
Цитата:

«7 Уровней Защиты Персональных Данных»

вопрос:

если нет обязательных требований по использованию сертифицированного ПО для K2 и K3 то почему ушли большие деньги на ПО? у Valery12 и RasConRas или же у вас K1?


гос организация или медицина - это отдельная тема

если говорим про самую обычную комерческую организацию -то достаточно грамотно подготовить пакет документов (если это K2 или K3) и можно не покупать ПО

в чем я не прав? что не учел?

100_let У нас К1
Цитата:

если говорим про самую обычную комерческую организацию -то достаточно грамотно подготовить пакет документов (если это K2 или K3) и можно не покупать ПО

Наверное да, я тут на софтлайне слушал доклад руководителя этого направления, речь шла о том что в одной из организаций клиенты получали услуги через сайт и вместо того что бы как у нас поднять Vipnet координатор и раздать Vipnet клиентов они с каждым заключили договор, в котором те написали что обязуются не распространять полученную информацию и этим ограничились.

Президент вчера подписал поправки в закон. Поправки вступают в силу со вчерашнего дня. Но нигде я из не могу найти, кроме бумажной версии Российской Газеты.

100_let
Пока не потратили, готовимся.

Если не сложно, ткните, где написано, что по К2 можно отделаться документами?

dr Tr0jan
Проект № 282499-5 (в третьем чтении)

152-ФЗ в обновленном виде.
найдено на хабре.

Цитата:

«7 Уровней Защиты Персональных Данных»

RasConRas

Цитата:

Намного проще дела обстоят с К3 и К2 – требования к защищенности ниже, сертифицированная защита не обязательна, от обязательной «помощи» со стороны лицензированных рыцарей можно почти всегда отказаться. Поэтому, если у нас и принято накапливать ПДн с критериями по К1, например, данные о медосмотрах сотрудников, лучше обратиться к нехитрым приемам и искусственно понизить класс обрабатываемых данных до К2 или К3.

100_let
спасибо , упустил этот момент буду читать по-новой

Проясните пожалуйста или носом ткните в пункт закона.
Имеется корпоративная программа для обработки ПД и еще некоторой специфичной информации. Состоит фактически только из клиентской части, вся серверная логика написана на SQL и хранится вместе с данными в Firebird. Вход по личному логину/паролю.
Что мы должны сделать что бы можно было выставить базу для подключения из вне и при этом всё было законно? Нужно это что бы сотрудники имели доступ из дома.

Alukardd В базе ПДн только ваших сотрудников или чужие? Если чужие, то у вас должно быть взято согласие на обработку, причем письменное или электронное, но с цифровой подписью, если только эта данные не подпадают под статьи ФЗ 152, когда согласие не требуется. Выставлять в инет базу с Пдн не есть гуд, если в этом нет большой необходимости. Лучше в инет не выставлять, а вашим сотрудникам сделать доступ по VPN на ваш сервер в локали.

ipmanyak
Ок. С согласиями всё ок, мы гос. обр. учреждение... Данные получается далеко не наших сотрудников, хотя и их тоже. Класс вроде К3 насчитали.
Про VPN думал - организовать не сложно - вопрос можно ли использовать что-то попало (OpenVPN, например) или только сертифицированные ФСБ криптографические средства?

Alukardd Задавал подобный вопрос лицензиату. Ответ был примерно такой. Если применять аппаратные средства защиты и шифрования нужна лицензия на эту деятельность или заключать договор с теми кто имеет такую лицензию, все изменения в настройках только через них. Можно применять стандартные виндовые средства VPN, но у вас должен быть сертифицированный ФСТЭК дистрибутив на сервер и на рабочие станции, такой у Микрософт есть. После покупки вам дадут логин и пароль на спецсайт Микрософт для WSUS, апдэйты будете качать с этого сайта. Раз в 3 года продлять эту байду. Ну или купить специализированный софт (с сертификатами ФСТЭК или ФСБ) с возможностью предоставления удаленного доступа.

ipmanyak
Эм... Дистр имеется Win2k8 самый обычный... VPN хотелось бы поднимать как уже сказал OpenVPN и на Debian/Linux. Разумеется ни та ни другая ОС и не имеет сертификатов... Ну допустим сертификатом на виндовый сервер можно разжиться, но как я понял из вашего сообщения, на VPN клиентах тоже должен стоять сертифицированный дистр? (Это точно не реально - это же домашние машины)
Т.е. только сертифицированный VPN можно применять? При этом что там с ОС не важно?

Цитата:

специализированный софт (с сертификатами ФСТЭК или ФСБ)

вроде криптографией занимается только ФСБ...

Цитата:

Эм... Дистр имеется Win2k8 самый обычный

превращение Win2k8 EE из обычного в сертифицированный у нас обошлось в 27 т.р. плюс десятка за MSSQL

Alukardd Если речь идет о линукс, то на сегодняшний день сертифицированы Altlinux, еще какой-то, не помню сейчас, и МСВСфера 5.2 Сервер, основанный на Red Hat Enterprise Linux. Сборка МСВСфера Сервер выполнена в России, имеет сертификат ФСТЭК (может использоваться при создании автоматизированных систем до класса защищенности 1Г включительно, а также для защиты персональных данных до 1 класса включительно) и официально признана и поддерживается со стороны Red Hat.
Насчет VPN и не только. Поскольку вы госструктура на вас распространяется дсп-шный документ СТР-К. В котором есть требование, что все средства защиты должны быть сертифицированы.

Код:
При обработке документированной конфиденциальной информации на объектах информатизации в органах государственной власти Российской Федерации и органах государственной власти субъектов Российской Федерации, других государственных органах, предприятиях и учреждениях средства защиты информационных систем подлежат обязательной сертификации/

ipmanyak
Видел я этот VipNet - убожество еще то... Правда я смотрел со стороны firewall...
Про средства защиты понял... Большое спасибо за объяснения - наиболее ценны ссылки на документы.

Так а ни чего что сама программа БД+клиент не сертифицированы ни как? И что если выставить их без доп защиты для доступа из вне? Меня, если честно, волнует не возможность утечки данных, а соблюдение формальностей... (И как следующий этап - последствия за утечку данных ПРИ соблюденных формальностях)

Цитата:

ни чего что сама программа БД+клиент не сертифицированы ни как?

ничего. Всё не засертифицируешь, особенно если напряг с деньгами. Мужик всё в твоих руках, если документально приказами вашей конторы вы не будете светить схему вашей сети и не покажете удаленный доступ, особенно в картинках, то регуляторы особо вникать не будут. Не знаю как ФСТЭК и ФСБ, Роскомнадзор точно не полезет на ваши компы и серверы. Они работают тока с бумагами, вот все бумаги нужно оформить. Перечень требуемых документов от Роскомнадзора есть, для 72 региона можешь глянуть здесь
http://72.rsoc.ru/directions/pp/p8532/
я думаю что для любого региона этот перечень такой же, поскольку контора одна.

Не совсем понял что там с "прикрытием жопы"?