» Вы уже обеспечили защиту персональных данных на предприятии?

OLEGxUSSR Поставь себя на место хакера/инсайдера и подумай как ты можешь украсть из компа эти два рецепта, вот эти способы и методы предотврати.
На вскидку, откючить:
- USB для всего, кроме клавы и мыши, политиками или правкой реестра
- DVD-привод, если пишущий
- флопарь, если таковой есть
- выход в интернет

Короче устроился сис. админом первый раз, в полу гос .учреждение, от админа требовали подготовить все документы по этой теме "обеспечили защиту персональных данных на предприятии" и следовать их, нальству на это был насрать т.к. на админа это отписали, консультировался у компании, которые услуги в сфере ИТ предоставляет и там четко сказали, нечего сочинять самому, разбираться в моделях угроз и т.д. (сам читал эту шнягу на примере, написано через жопу там нет конкретики) сказали заплати "Контуру" 15к рублей и они все тебе подготовят. И сказали что проверять (Роскомнадзор) будут только бумаги, а то что стоит на компе или не стоит не проверяют. ФСБ может прийти и компы проверить на защиту персональных данных. Короче на деле делаешь себя сам ответсвенным и сам же себе отвечаешь.

kuza84 Лучше нанять лицензиата ФСТЭК.

Цитата:

значит К3. Защищать нужно. Но уведомлять Роскомнадзор не нужно, аттестовать и декларировать не требуется. Методы и способы защиты для систем 3 класса можно почитать в 58 приказе ФСТЭК от 5.02.2010  и в  ПП РФ №781 от 17.11.2007 Положение о ПД в ИСПДн.doc

Прочитал всю тему, хотелось бы увидеть "уведомлять Роскомнадзор не нужно, аттестовать и декларировать не требуется." На основании чего можно так сделать, у меня я так понимаю К3.

ща на этом законе торгашня хорошо продуктами "под ключ" наварится )))

Red Snapper А сам ФЗ 152 читали? Видимо нет.
Статья 22. Уведомление об обработке персональных данных
http://base.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=149747

ipmanyak
Каюсь, не читал, только вчера закончил читать форум )
Спасибо за ответ.

У нас, на заводе, поставили Интернет Контроль Сервер (ФСТЭК версию). Нормальное решение и админы довольны и бухгалтеры (приемлемое сочетание цена-качество).

Имеется меж сетевой экран dlink dfl 860e , нас сайте ФСТЭК имеется сертификат этого оборудования..
http://www.dlink.ru/up/sert/DFL-860E.pdf
Что необходимо сделать для получения этого сертификата? Пройти процедуру сертификации и заплатить за нее?

zaqwerty17
Цитата:

Что необходимо сделать для получения этого сертификата?

Просто скачать его. Процедуру сертификации уже прошел и заплатить за нее dlink.

Хотел спросить про ФЗ от 27.07.2006 N 152-ФЗ (ред. от 23.07.2013) "О персональных данных"
там есть такой пункт:

Цитата:

Ст. 3: 1) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

Так, получается даже имя в системе - это уже персональные данные?

Если нет, то какой набор считается ПД ?

contrafack
Цитата:

Если нет, то какой набор считается ПД ?

А это как Басманный суд решит
Вообще-то в мире подразумевается, что ПД – это данные, которые позволяют
прямо или косвенно идентифицировать субъекта ПД.
Что подразумеваются у нас - х.з.
Наше законодательство вообще отличается нечеткостью формулировок
и обилием подзаконных актов. Закон N 152-ФЗ ни сам не определяет четко понятия ПД,
ни ссылается на другой закон, однозначно это определяющий.
Если есть желание посмотреть, как это определяют "у них", то см. это: Ссылка

Добрый день!

Подскажите пожалуйста, если бесплатно создать для приюта брошенных животных базу данных (1С), содержащую в том числе информацию о новых хозяевах питомцев (ФИО, телефон, адрес проживания питомца), будет ли такая система относиться к К4 или уйдет в К3 и окажется медвежьей услугой для приюта?

Большое спасибо!
__________________________
С уважением, Владимир.

Djarf99 Kатегория 4 (Xпд), согласно приказа трех - это обезличенные данные. У вас этого нет, поскольку есть ФИО и адрес. У вас категория 3 минимум. Если сумеете написать прогу с двумя разнесенными базами (например две разные базы на ACCESS), типа база 1. ФИО и идентификатор и база 2. идентификатор и адрес, тогда будет Категория 4. Есть и другие методы обезличивания - найдете в инете.

Спасибо за информацию.

Я правильно понимаю, факт, что адрес не субъекта, а питомца ничего не меняет потому, что в некоторых случаях он будет совпадать с адресом субъекта или на этом можно что-нибудь наварить? Я думал, основная загвоздка будет в ФИО и телефон, потому, что тут можно однозначно идентифицировать субъекта, наверное.

Djarf99 У тебя ФИО, его адрес, и телефон. Как правильно заметил, по ним можно идентифицировать субъекта, а это значит категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных;

Приказ ФСТЭК, ФСБ, МИС №55-86-20 от 13.02.2008 Классификация ИСПДн

Большое спасибо за терпение!

ipmanyak, а собственно есть ли расписанное определение, какие меры защиты необходимы и достаточны при категории К3? В приказе трех не нашел.

ZlydenGL ФЗ-152 регулярно обновлялся и ФСТЭК регулярно делал послабления. Ранее руководствовались 58 приказом фстэка. 58 приказ отменен, теперь вместо него 21 приказ. Хотя и его могли уже поменять. + к 21 приказу ПП-1119 -
Постановление Правительства Российской Федерации от 1 ноября 2012 г. N 1119 г. Москва

http://fstec.ru/normativnye-pravovye-akty-tzi/110-deyatelnost/tekushchaya/tekhnicheskaya-zashchita-informatsii/normativnye-pravovye-akty/prikazy/692-prikaz-fstek-rossii-ot-18-fevralya-2013-g-n-21

http://www.rg.ru/2012/11/07/pers-dannye-dok.html
Меры защиты зависят от классификации вашей ИСПДН и модели угроз.
Почитайте каменты к 21 приказу
http://www.slideshare.net/risspa/new-fstec-order-for-pd?fb_action_ids=442984232444197&fb_action_types=slideshare%3Adownload&fb_source=other_multiline&action_object_map={%22442984232444197%22%3A425411867548038}&action_type_map={%22442984232444197%22%3A%22slideshare%3Adownload%22}
Многое прояснится.

Т.е. опять лом, плац, снег, только размеры лома и плаца, а также погодные условия триггера все время меняются?

Ребята, а подскажите такой вопрос:
Хочу установить сетевой экран Dlink DFL. В соответствии с законом нужно устанавливать ФСТЭК версию или достаточно обычной?

Всем привет! Подскажите как лучше осуществить контроль данных при следующем раскладе:
Нужно контролировать почту, печать документов, usb и траффик. Всего в компании около 70 машин и 15 принтеров.
В первую очередь интересуют продукты и цены, чтобы можно было представить начальству. Подскажите хотя бы наиболее приемлимые варианты, там уж я по сайтам сорентируюсь.

1 Контроль почты - имеется ввиду перлюстрация, ака копии всех писем хранить? - это делается средствами почтового сервера
2 Печать - поиск Учет печати на сетевых принтерах
http://forum.ru-board.com/topic.cgi?forum=8&bm=1&topic=1485#1
3 usb - политиками домена или локальными запретить USB кроме как для принтеров и сканеров
http://support.microsoft.com/kb/823732
http://support.microsoft.com/?kbid=555324
http://forum.ru-board.com/topic.cgi?forum=8&topic=4998#1

4 Трафик - всех не пускать напрямую в инет, только через прокси. На прокси анализировать логи и формировать отчеты - Прокси для Windows II http://forum.ru-board.com/topic.cgi?forum=8&bm=1&topic=2382#1
под линукс SQUID и анализатор логов SARG или Lightsquid
P.S.
А почему в этот топик вопрос задали? При чем тут защита Пдн ?

Полноценной защиты без отдельной службы безопасности всё-равно не достичь, да и в таком случае полностью обезопасить себя от утечек не получится - можно тупо сфоткать экран с нужным документом. Из менее замороченных вариантов можно предложить каки-нибудь DLP системы типа инфовотча. Погуглите - все основные продукты легко находятся. Почитайте и определитесь, какие вашей компании больше подходят.

Цитата:

Полноценной защиты без отдельной службы безопасности всё-равно не достичь

А кто будет сторожить сторожей. Из кого набирать? Если из ........ то IT квалификация
оставляет желать лучшего.

сторожей сторожит внешний аудит, он же корректирует планы ИБ на следующий год (что не охвачено - включается, выдаются рекомендации)

насчет набора и квалификации: существуют а) тесты б) конторы по подбору персонала

p.s. здесь вопрос в осознании необходимости ИБ руководством компании

Подскажите, на предприятии есть самописная БД (php, mysql) с персональными данными контрагентов (физ. лиц с которыми заключены договоры оказания услуг), там паспортные данные, фио, прописка, фотография. Доступ к этой БД осуществляется с 20ПК через браузер. Как я понимаю все это сертифицировать и привести к выполнению законодательства очень-очень дорого, но как мне подсказали есть выход, обрабатывать данные обезличенно, например в электронном виде держать только ту информацию, которая на 100% не даст возможности идентифицировать человека, а оставшуюся часть хранить на бумажном носителе в сейфе...

Кто ни будь через такое проходил, как проше это реализовать? И вообще как проходят проверки?

P.S. Еще вариант купить сертифицированный ноутбук, поставить на него сертифицированное ПО, и предъявлять в случае проверки его (типа все персональные данные обрабатываются на нем), но ведь проверяющий может подойти к сотруднику и попросить показать, как он работает, а тот без злого умысла (или с умыслом) продемонстрирует сетевую БД...

gap5
Разделение и обезличивание ПДН

Информсистемы: как обезличиваются персональные данные?
Установлены требования и методы по обезличиванию персональных данных, обрабатываемых в соответствующих информационных системах, в т. ч. созданных и функционирующих в рамках реализации ФЦП.
Под обезличиванием понимаются действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту.
Обезличивание персональных данных должно обеспечивать не только защиту от несанкционированного использования, но и возможность их обработки.
Выделяют 4 наиболее перспективных и удобных для практического применения метода обезличивания.
Первый - метод введения идентификаторов. Он заключается в замене части сведений (значений персональных данных) идентификаторами с созданием таблицы (справочника) соответствия последних исходным данным.
Второй - метод изменения состава или семантики (путем замены результатами статистической обработки, обобщения или удаления части сведений).
Третий - метод декомпозиции (разбиение множества (массива) персональных данных на несколько подмножеств (частей) с последующим раздельным хранением подмножеств).
Четвертый - метод перемешивания (перестановка отдельных записей, а также групп записей в массиве персональных данных).


http://www.google.ru/url?sa=t&rct=j&q=&esrc=s&source=web&cd=10&cad=rja&uact=8&ved=0CF4QFjAJ&url=http%3A%2F%2Flibrary.croc.ru%2Fdownload%2F1058%2F4fe9df4a12b1167b57c6d432f4c68caf.pdf&ei=BqRgVJqDJYTDONDBgbAD&usg=AFQjCNGiyBtwceMLl_SdpxuRnBK4-gBHfg&bvm=bv.79189006,d.ZWU

На официальном интернет-портале Роскомнадзора размещены методические рекомендации по исполнению приказа Службы от 5 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных». http://rkn.gov.ru/news/rsoc/news23181.htm
http://rkn.gov.ru/docs/Xerox_Phaser_3200MFP_20131216122746.pdf

Обезличивание персональных данных
http://www.privacy-info.ru/events-pd/2013/10/04/de-personalization.html

http://adm-ussuriisk.ru/files/upfiles/infbez/Metod_rek_996.pdf
Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций утверждены методические рекомендации по применению приказа Роскомнадзора от 5 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»
Прямая ссылка
http://adm-ussuriisk.ru/files/upfiles/infbez/Metod_rek_996.pdf
P.S.
http://www.ispdn.ru/forum/forum1/topic694/?PAGEN_1=2

Самое простое делить базу на две , в одной применять уникальные идентификаторы, в другой данные.

Или как ты и хотел:
1) убираем из ИСПДн ФИО -> получаем К4 (152 ФЗ + приказ трех), что нам и нужно!
2) связку ФИО-id на бумаге усердно охраняем (687 ПП)
3) ИСПДн К4 можем вообще не защищать (п.1 Приложения к Положению о методах и способах защиты информации в ИСПДн 58-го П ФСТЭК)

спасибо за ответ!

"Самое простое делить базу на две , в одной применять уникальные идентификаторы, в другой данные. "

в этом случае базы все равно надо защищать, с невменяемыми требованиями к железу и софту?

вы такой путь уже прошли? самое простое и бюджетное решение какое было в итоге?

gap5 Нет, пока делали обследование то да се, контору ликвидировали. И обезличивать не собирались, так как софт используемый с субд не наши разработки, а разрабы переделывать не будут.