» Вы уже обеспечили защиту персональных данных на предприятии?

Забил пока на это дело.

Открыл шапку темы для редактирования, ибо исходный пост писался очень давно и с тех пор произошла целая куча изменений. Надеюсь на ответственные правки по теме и добавление полезных ссылок

В части своей личной точки зрения,
ПД за последние годы настолько достали всех и вся, что сегодня произносить "ИСПДн" в приличном обществе становится моветоном. Особенно, если собеседники вспомнят сколько денег они потратили на неведомую и по сути бессмысленную и бесполезную фигню, вместо того чтобы пустить их на решение действительно важных для бизнеса задач.

К счастью, традиция необязательности исполнения законов в нашей стране не потеряла своей актуальности и сегодня. Надзорные органы не обладают ресурсами на то, чтобы сколь-нибудь заметно "кошмарить" бизнес (с гос. органами насколько слышал все заметно хуже), а потому моя рекомендация сейчас - учитывать этот аспект и просчитывать риски, но не более.

Идиотизм полный. У нас в конторе скоро запретят операторам, работающим с ПД, смотреть в монитор )) Безопасники роют бюджеты, строят планы, проектируют что-то.. На выхлопе будет ноль, как всегда.

1- отмазался перед руководством, мотивируя тем, что согласно постановления № 79 (кажися) от февраля 2012г защитой должна заниматься контора или человек. имеющий сотв. лицензии на деятельность.
2- Обзвонил тех кто могут и имеют, получил коммерческие предложения на предмет первого этапа- насочинять кучу бумаги с соотв. исследованием нашего все... (вышло 300к рублями)
3- главному была подана бамажка за подписью курирующего зама с прошением выделить денежку... Денег пока нет
4- памятуя о не сильно большом первичном штрафе как должностному лицу- сплю спокойно (вторичного тут дожидаться не буду)

Цитата:

Кроме того, предприятие должно использовать сертифицированные (да, разумеется с потайным ключиком у ФСБ) криптографические решения на серверах,

не уверен что это актуально, если оператор не оказывает услуг криптографического характера. имхо, достаточно TrueCrypt и/или DiskCryptor.


Цитата:

Но при проверке вам могут вынести предприсание

так проверяющий коли он пришел, по определению ДОЛЖЕН выявить нарушения. иначе зачем он приходил))
пожарники приходят и уходят, сэс и участковые.. никто ведь еще не разорился? )) не забыли же еще на руси, как встречать и провожать проверяющих?

а диски с базами данных, тем не менее, на рынке не перестают появляться (((..

а если на колокейшнах забугрных работать?

Efufgen тогда вообще трансграничная передача будет

Добрый день! Подскажите, если соединить два здания с помощью экранированной витой пары типа STP, будет ли это соответствовать закону? Спасибо.

KDoS Если будете по кабелю гнать шифрованный трафик, то думаю да.

Цитата:

KDoS Если будете по кабелю гнать шифрованный трафик, то думаю да.  

А с помощью чего можно шифровать трафик? Я так понимая только аппаратно (Континент), или можно с помощью прокси-сервера? Подскажите пожалуйста.

KDoS У вас какой класс ПДн выкатывает согласно приказу трех (38 Приказ ФСТЭК, ФСБ, МИС №55-86-20 от 13.02.2008 Классификация ИСПДн) ? Может и заморачиваться не стоит? Вам что, весь периметр нужно защищать?
Вообще, если используете средства криптозащиты, то они должны быть сертифицированы ФСТЭК или ФСБ. Кроме того, если вы сами внедряете криптозащиту, то вы еще должны иметь лицензию на такую деятельность. Тот же Континент, вы сами не должны настраивать, а приглашать спецов от лицензиатов. По-крайней мере раньше так было, хотя сейчас уже возможно что-то и поменялось. Я уже отстал по актуальности. Тот же ФЗ-152 уже меняли раз 5-6.
Задействуйте хотя бы какой-нить IPSEC на туннеле средствами винды/линукса или на аппаратных маршрутизаторах. Если при проверке ФСБ/ФСТЭК докопаются, будете устранять. Роскомнадзор на это не очень смотрит, им главное пакет бумажных РД чтобы был (порядка 20-25 штук). Я думаю вы знаете какие.

KDoS


Цитата:

А с помощью чего можно шифровать трафик? Я так понимая только аппаратно (Континент), или можно с помощью прокси-сервера? Подскажите пожалуйста.

есть отличное решение openvpn

Ребята, а уже есть окончательный вариант 152-ФЗ ? или пока все в "beta" версиях?

contrafack Считай, что он всегда в окончательном варианте, с 2006 года.

в частности в своей теме я собирался как раз помочь с бумажками которые надо ввести, но есть вопрос который до сих пор открыт: какие журналы являются обязательными и какой закон их регулирует?

LOTerr

Цитата:

какие документы надо оформить

http://72.rsoc.ru/directions/pp/p8532/

Цитата:

какие программные средства подойдут к вашей системе

Нужны будут и аппаратные средства, всё зависит от класса ваших систем. Для класса К1, к которому относятся мед.учреждения, всё нужно делать на полную катушку со всеми вытекающими и стоит всё очень дорого.
P.S.
Хоть вы и имеете опыт, но лучше заплатить деньги и обратиться к лицензиатам для оформления документов и построения защиты. Самим долго и муторно делать, да и времени на это нет (текущая работа отнимает много времени) и всё равно будут косяки, которые придется устранять, причем довольно оперативно.

вот как раз проблема в том что ни одна компания работу которых я видел, а именно 4, не могут в полной мере все качественно сделать, а насчет самостоятельности вся защита уложилась в недельную работу

Добавлено:
кстати после выхода постановление 1119 защита от класса системы зависеть стала значительно меньше, теперь основная защита строиться по модели угроз, и не забудьте ввести дополнительные акты классификации по этому же постановлению

LOTerr Главное, чтобы были сделаны бумажные документы, именно их проверяет Роскомнадзор. Сама защита дело второе, и в железо они не лезут. В железо может полезТь ФСБ или ФСТЭК.

Цитата:

вся защита уложилась в недельную работу

Вы используете средства криптозащиты, аппаратные? Если да, то вы должны иметь лицензию на техническую деятельность по их внедрению и установке. Как правило такой лицензии никто не имеет и придется обращаться к тем, кто имеет, а это опять же лицензиаты.

17. Контроль за выполнением настоящих требований организуется и проводится оператором (уполномоченным лицом) самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации.
так поставить все можно самостоятельно, ну а купить конечно у лицензированных товарищей

Цитата:

постановление 1119 защита от класса системы зависеть стала значительно меньше

Я б так не сказал, скорее наоборот. По НДВ например Оракл и Линукс RED HAT не сертифицированы, а значит нужно считать угрозой. И тд и тп.



Добавлено:
Сделаете всё самостоятельно и без нареканий при проверке - я только порадуюсь за вас, и попрошу совета

ну по мне так проще защитить систему именно по своим угрозам, чем полностью выполнять 58 приказ, насчет проверки: любая проверка сможет найти нарушение если захочет я сам буду рад если все будет гладко)) а вот еще раз скажу по поводу сторонних компаний, взбесил сегодняшний семинар в котором такая компания привела человека с росскомнадзора который почитал 152, рассказал о штрафах, дальше влез сотрудник и давай привлекать образование (пожалуй единственных с кого еще денег не выгребли) лично мне пришлось самостоятельно переделывать каждый документ который нам они предоставили:
1. зачем постоянно указывать ФИО сотрудников, не проще сослаться на их должности и трудовые договора
2. перечень требуется только 1 и это перечень ИСПДН а не того какие программные средства туда входят и т.д и т.п. (для себя конечно можно но зачем утверждать приказом)
3. ну и самое интересное это согласие на обработку которое теперь берется на каждом шагу, о нем вообще можно забыть в половине случаев

58 приказ ФСТЭКА отменен - ПРИКАЗ ФСТЭК от 18 февраля 2013 г. N 21
http://fstec.ru/component/content/article/110-deyatelnost/tekushchaya/tekhnicheskaya-zashchita-informatsii/normativnye-pravovye-akty/prikazy/692-prikaz-fstek-rossii-ot-18-fevralya-2013-g-n-21
Теперь нужно руководствоваться 21 приказом
"СОСТАВ И СОДЕРЖАНИЕ ОРГАНИЗАЦИОННЫХ И ТЕХНИЧЕСКИХ МЕР ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ"
каменты к приказу
http://www.securitylab.ru/blog/personal/shaurojen/30429.php

а вот за то отдельное СПАСИБО.

Тема вызвала ироническую улыбку, которая появляется у человека, который на деле понимает разницу, между "хочу" сверху и обстоятельствами на месте. Особенно когда речь заходит о российском малом бизнесе.

Diabolik
Теме уже совсем скоро "стукнет" 4 года, а вы только сейчас решили опубликовать ваше мнение. Почему?

Русский "авось" для успокоения себя любимого и пароль на вход в компьютер - для успокоения совести несведущих потребителей. Вот и всё что нужно малому бизнесу по этой теме.

urodliv
Наткнулся только что. Время мало что меняет в данном контексте. А про "авось" не совсем верно, это скорее повальная тупость и пох...зм, то есть даже до "авося" частенько дело вообще не доходит.

Отсканировал документашку от системы Инфоклиника. Старовато (2009 год), но дает некоторые разъяснения по сабжу:

Цитата:

Данный документ призван дать общие дополнительные разъяснения по вопросам обеспечения безопасности персональных данных и порядку обращения с ними, а так же возможностям МИС SDS по обеспечению безопасности персональных данных.

http://zalil.ru/34679162

После выхода законодательного пакета, инспекции поняли, что не знают как на этом срубить бабла. 1С чего вроде как даже разработало, но вскоре об этом забыли.
Сейчас тема не актуальна.

Ресторан, два компа. Сделаны приказы что все согласны с обработкой их персональных данных и приказ о коммерческой тайне (целых два рецепта) Как их защитить в компьютерном смысле - вообще не представляю... (если имеется ввиду что-то вроде криптошифрования файлов)

OLEGxUSSR
эта паника!!
придлагаю скрвца в бомбаубежзе.
если нет, можна проста спрятатса пад прилавак.
пиздецома ниизбежна!!