Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Вы уже обеспечили защиту персональных данных на предприятии?

Автор: Others
Дата сообщения: 13.11.2009 13:51
хотелось бы посмотреть на какой-нибудь проект внутриконторского Положения об обработке и защите ПД....
Автор: N0n4me
Дата сообщения: 17.11.2009 02:01
Правильно ли я понимаю, что пока не назначен админстратор ИБ, ответственность за невыполнение закона целиком ложится на руководство компании?
И такой вопросик. Попадает ли под действие закона база данных Active Directory или это зависит от информации содержащейся в ней?
Автор: oaf56
Дата сообщения: 17.11.2009 11:16

Цитата:
Правильно ли я понимаю, что пока не назначен админстратор ИБ, ответственность за невыполнение закона целиком ложится на руководство компании?
Да. Это его проблема.
Цитата:
И такой вопросик. Попадает ли под действие закона база данных Active Directory или это зависит от информации содержащейся в ней?
По идее - это компонент технологиизащиты, препятсятвующий НеСанкционированомуДоступу(НСД) к информации. В этом случае должен быть сертификат. Если не афишировать это как НСД, то не нужен. Но будет нужно что то другое? Что именно? и как примерно решать подобную проблему?

Автор: kzi
Дата сообщения: 18.11.2009 12:52
N0n4meответственность всегда на руководителе, в не зависимости защитили (выполнили все требования закона) или нет. Попадает все, где встречаются персональные данные!
oaf56 Не получиться защитить ИСПДн без средств защиты информации (СрЗИ), об этом ниже.

Согласно Федеральному закону "О персональных данных" (№152-ФЗ от 27.07.2006г.) информационные системы персональных данных, созданные до дня вступления в силу Федерального закона, должны быть приведены в соответствие с требованиями Федерального закона не позднее 1 января 2010 года, все вновь создаваемые информационные системы персональных данных также должны соответствовать требованиям Федерального закона.

Информационные системы персональных данных (ИСПДн) есть на каждом предприятии, в любой организации. Такой системой может быть, например, система автоматизации бухгалтерского учета ("1С Бухгалтерия"), или система автоматизации расчета зарплаты и кадрового учета ("1С Зарплата"), или система персонифицированного учета для ПФР, или базы данных клиентов, сотрудников организации, анкеты в электронном виде и т.п.

Чтобы не попасть под установленную законом ответственность, необходимо провести комплекс мероприятий для обеспечения безопасности ПДн и соответствия требованиям ФЗ 152 и Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных (утв. постановлением Правительства РФ от 17 ноября 2007 г. №781) и Положения особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (утв. постановлением Правительства РФ от 15 сентября 2008 г. N 687.

Помимо ПП 781 и ПП 687, требования по созданию системы защиты информации и применению СрЗИ устанавливаются в документах ФСТЭК и ФСБ России:
- Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных от 15 февраля 2008 г. (ДСП)
- Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных от 15 февраля 2008 г. (ДСП)
- Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК, 2008 г. (Пометка «для служебного пользования» снята Решением ФСТЭК России от 11 ноября 2009 г.)
http://www.fstec.ru/_spravs/recomend.doc
- Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных. ФСТЭК, 2008 г. (Пометка «для служебного пользования» снята Решением ФСТЭК России от 11 ноября 2009 г.)
http://www.fstec.ru/_spravs/meropriaytiay.doc,
- Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации от 21 февраля 2008 г.
- Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных от 21 февраля 2008 г. (на сайте ФСБ).

Ваше предприятие может выполнить самостоятельно, без привлечения сторонних специалистов, мероприятия, кроме создания системы защиты информации (разработка ТЗ, проекта, установка и настройка средств защиты информации (СрЗИ)) и аттестации. На проведение этих (создание системы защиты информации и аттестация) работ необходима лицензия на деятельность по технической защите конфиденциальной информации.

Расскажу об этом подробней:
Помимо ФЗ-152 «О персональных данных» действуют:
 ФЗ «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 г. № 149 (статья 1 п.6).
 ФЗ «О лицензировании отдельных видов деятельности» от 8 августа 2001 г. № 128 (статья 17 п.1, пп. 11);
 Постановление Правительства РФ «О лицензировании деятельности по технической защите конфиденциальной информации» от 16 августа 2006 г. № 504;
 Указ Президента «Об утверждении Перечня сведений конфиденциального характера» от 6 марта 1997мг. № 188;
 СТР-К.
Согласно которым: персональные данные относятся к конфиденциальной информации, для защиты которой необходимо получить лицензию на деятельность по технической защите конфиденциальной информации.
Кроме того: п.3.14 «Основных мероприятий…»:
В соответствии с положениями Федерального закона от 8 августа 2001 г. № 128 «О лицензировании отдельных видов деятельности» и требованиями постановления Правительства Российской Федерации от 16 августа 2006 г. № 504 «О лицензировании деятельности по технической защите конфиденциальной информации» операторы ИСПДн при проведении мероприятий по обеспечению безопасности ПДн (конфиденциальной информации) при их обработке в ИСПДн 1,2 и 3 (распределенные системы) классов должны получить лицензию на осуществление деятельности по технической защите конфиденциальной информации в установленном порядке.

Поэтому, необходимо нанимать в штат специалистов по ЗИ и выполнять все требования для получения лицензии на ТЗКИ, либо заключать договор с организацией, имеющей лицензию (лицензиата), на проведение работ по защите ПДн.
В конечном счете (после проведения всех мероприятий по защите и аттестации), Вашему предприятию нужно получить Аттестат соответствия на Вашу систему (ИСПДн). Этот документ будет означать, что все требования по защите ПДн выполнены, и Ваша ИСПДн защищена по закону в соответствии с установленным классом. Аттестат Вы и будете показывать проверяющим органам. Как только Вы его получите, все вопросы о несоответствии системы защиты требованиям (если такие возникнут) будут адресованы лицензиату, выдавшему аттестат на Вашу ИСПДн (при условии, что Вы не меняли условия обработки ПДн и состав средств защиты и ИСПДн).

Необходимо применять сертифицированные средства защиты информации (СрЗИ) ФСТЭК России, а также, при необходимости шифрования информации, использовать сертифицированные ФСБ средства криптографической защиты информации (СКЗИ). Как писал Выше, данные мероприятия имеют право проводить организации, имеющие лицензии ФСТЭК (ФСБ при наличие СКЗИ).
Автор: niichavo
Дата сообщения: 18.11.2009 13:16
Влияние Закона о защите персональных данных (ФЗ-152) на ИТ-индустрию
Автор: Orion_76
Дата сообщения: 19.11.2009 19:07

Цитата:
(Пометка «для служебного пользования» снята Решением ФСТЭК России от 11 ноября 2009 г.)


Спасибо за ссылки...
Обыскался адрес ФСТЭК по региону, для запроса данных документов...
Или я что-то не так делаю...или.....короче выяснил только что в Нижнем Новгороде находиться...а где и как.....Не нашел.

А еще есть документы для "Служебного пользования " по защите ПД с не снятой пометкой?
Автор: kzi
Дата сообщения: 19.11.2009 19:41
Я же выше дал ссылку на открытые документы! Зачем Вам их заказывать? Заказывать нужно через Воронеж, звоните во ФСТЭК дежурному и спрашивайте как получить/заказать документы.

ДСП:
- Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных от 15 февраля 2008 г. (ДСП)
- Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных от 15 февраля 2008 г. (ДСП)
Автор: Orion_76
Дата сообщения: 19.11.2009 21:07

Цитата:
Я же выше дал ссылку на открытые документы! Зачем Вам их заказывать? Заказывать нужно через Воронеж, звоните во ФСТЭК дежурному и спрашивайте как получить/заказать документы.

Спасибо за ссылки...про открытые документы я понял... про неоткрытые тоже...
Нашел телефон дежурного...никогда бы не догадался, что так документы добиваться надо....Привык просто...что необходимую инфу(контакты) для всеобщего доступа сразу выкладывают....инерция.... Еще раз спасибо Вам...
Автор: Toparenko
Дата сообщения: 23.11.2009 15:42

Цитата:
kzi

ДСП:
- Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных от 15 февраля 2008 г. (ДСП)
- Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных от 15 февраля 2008 г. (ДСП)

Осталась одна Базовая модель и из той уже есть открытая выписка см.

Цитата:
Others
хотелось бы посмотреть на какой-нибудь проект внутриконторского Положения об обработке и защите ПД....

См. по ссылкам в теме или можно посмотреть на SecurityPolicy.ru
Автор: anpsoft
Дата сообщения: 01.12.2009 01:09
я с Украины
но та же хрень начинается
весной на головной офис наехало СБУ
притом что закон парламентом только летом утвердили

если не оправдается надежда на то что будут выполнять его по совковому, то есть никак, то подобные законы будут главной угрозой национальной безопасности в области IT

назад в пещеры другими словами



Автор: Vorandr
Дата сообщения: 03.12.2009 19:31
Закон дебильный, мое мнение, что это просто развод на бабло, но закон - есть закон, и ничего с этим не поделаешь.
Прикол, с этим законом конкретный.
Как мне объяснил один человек, теперь для того, чтобы соединить два офиса компании VPN каналом с шифрованием, я должен пригласить специального лицензиата ФСБ, чтобы он это сделал и настроил на спец оборудовании (типа континет, cisco не подходит), а сам я не имею права это делать. (даже ipsec поднять нельзя, хотя настраивал на cisco эти каналы за час максимум, нет теперь только они). Кто с этим сталкивался и как думаете решать проблему, или может я что-то не так понял?
У меня 30 офисов, и все соединены через l2tp+IpSec. Что делать, кто может посоветовать?
Автор: Toparenko
Дата сообщения: 04.12.2009 10:52

Цитата:
Vorandr
каналом с шифрованием, я должен пригласить специального лицензиата ФСБ

Есть другие варианты

Получаете лицензию на ТО СКЗИ (в том числе обязательно наличие обученного в соответствии с требованиями ФСБ персонала и аттестации объектов, на которых будут использоваться сертифицированные СКЗИ) и производите все сами - соответственно Вы сами становитесь тем самым лицензиатом ФСБ. Тем более, что для использования СКЗИ (по словам одних представителей ФСБ обязательно, по словам других - не обязательно, если в целях собственных нужд) требуется та самая лицензия на ТО СКЗИ

Для того, чтоб проводить аттестацию самим себе своих объектов (не обрабатывающих ГТ) - получаете лицензию ФСТЭК на ТЗКИ (соответственно, в том числе, опять наличие обученного в соответствии с требованиями ФСТЭК персонала и аттесованного объекта). Тем более, что для распределенной К3 и всех К2/К1 эта самая лицензия на ТЗКИ требуется по четырехкнижию ФСТЭК

Cisco действительно как СКЗИ (регулятор ФСБ) пока не проходит, но давно проходит как МЭ/СЗИ (регулятор ФСТЭК). Естественно речь идет про сертифицированные комплекты.

Кстати: все это не Закон, а подзаконные акты...
Автор: The Bug
Дата сообщения: 04.12.2009 10:56
Vorandr
А причем тут закон о персональных данных, если ты их по VPN не передаешь и хранишь вообще в отдельной сети?
Автор: kzi
Дата сообщения: 04.12.2009 11:52
Vorandr, Toparenko правильно написал!Вам имеет смысл получить лицензию ФСТЭК по ТКЗИ не только для аттестации своих ОИ, но и для проведение мероприятий по защите информации. И не факт, что Вам понадобиться применять СКЗИ ФСБ!

The Bug почему нельзя передавить Пдн? Если такая необходимость есть, то нужно защищать ПДн при передачи. Как вариант использовать VPN, Континенты и др.
Автор: oaf56
Дата сообщения: 04.12.2009 12:47
Vorandr как ответил тебе Toparenko + почитай тему: Вам надо иметь СВОЕГО администратора Информационной Безобасности. Именно он может делать такие вещи. Правда все равно надо делать проект и потом по нему работать. Т.е. проект должен соответствовать тому, что у Вас есть в действительности. В филиалах должны быть если не админы ИБ, то ответственные лица, подчиняющиеся админу ИБ(в части дел по безопасности).

The Bug хотел тебе сказать, что защать надо не только сами ПД, но и информационнную систему в которой они обрабатываются. Т.к. "объять необъятное невозможно"(защить), то целесообразно выделить ИС с ПД в отдельную систему, отсекая все "лишнее". Это позволит уменьшить затраты на защиту. если у тебя филиалы и ты работают в одной единой системе с онлайн передачей ПД, тогда следует защищать каналы связи криптографией. Если нет, но надо всеравно передавать ПД, то можно рассмотреть вариант обмена по обычному инету через FTP, email, и т.д. но подписаных и ЗАШИФРОВАНЫХ файлов.

Сертификации подлежат обязательно средства защиты. Если ты не будешь использовать(точнее показывать что это используем для защиты ) то твои циски и каналы на филиалы могут остаться. Основание: Разрабатывать самостоятельно криптографию без соответствующей лицензии тебе запрещается. Но есть разрешение использования тиражных(массовых) решений по криптографии росийских и зарубежных производителей с/без сертификата ФСБ. Такое было в нормативных документах. Но такие тиражные продукты без сертификата НЕ МОГУТ быть признаны официально как средство защиты. НО И Нельзя ЗАПРЕТИТЬ эксплуатацию таких тиражных решений с криптографией, пусть и западных, пусть и без сертификатов ФСТЭКа и/или ФСБ.

Если защита канала все же требуется, то надо использовать сертифицированые средства. Континент один из них. При этом можно наложить защищенную сеть ПОВЕРХ уже имеющейся твоей. Получаем: твоя сеть - канальный уровень. Типа корпоративная распределенная VPN сеть, предлагаемая многими операторами связи. И такие сети и твоя сеть с точки зрения обработки ПД - НЕЗАЩИЩЕНА. т.к. базируеся на несертифицированом оборудовании.

надеюсь поможет. чем-то

Добавлено:
Если обмен ПД/работа в одной ИС с ПД филиалами не ведется, то и защать каналы нет необходимости. Можно оставить как есть.
Если VPN/internet нужны просто для доступа в инет(почта, электронная бух. отчетность), то тогда кроме защиты систем с ПД прийдется поставить сертифицированый файервол.
Чтобы не тратиться на файервол, можно просто обрезать ИС от всего внешнего мира, а к инету подключить 1 ПК и таскать к нему/от него файлы на дискете/флешке.
Автор: anpsoft
Дата сообщения: 04.12.2009 22:06
вся эта хрень похожа на то как к примеру огородить флажками с ленточкой участок земли км на км, поставить в одном месте солидные ворота с солидным дорогущим замком и рядом поставить сертифицированного органами охранника

и назвать это суперовским складом
а то что бери не хочу, стоит только отойти от забора немного, никому дела нет

закон абсолютно тупой потому что он не решает главной задачи - охраны данных
их можно спокойно записать на ту же флешку и унести куда угодно

зато создает на пустом месте огромные проблемы для нормальной работы предприятия



Автор: lovec123
Дата сообщения: 07.12.2009 08:22
anpsoft

Цитата:
вся эта хрень похожа на то как к примеру огородить флажками с ленточкой участок земли км на км, поставить в одном месте солидные ворота с солидным дорогущим замком и рядом поставить сертифицированного органами охранника


Цитата:
закон абсолютно тупой потому что он не решает главной задачи - охраны данных

дык верно
только

Цитата:
их можно спокойно записать на ту же флешку и унести куда угодно

обычно при сертификации места требуется доп софт который либо запрещает все внешние носители либо логирует всё что записанно и тд, хотя вариант тупо переписать с экрана или сфотать на телефон ПД всё равно остаётся
Цитата:
зато создает на пустом месте огромные проблемы для нормальной работы предприятия

есть вариант что закон не вступит в силу
Автор: clerozin
Дата сообщения: 07.12.2009 12:48
2 lovec123


Цитата:
есть вариант что закон не вступит в силу


Думаю, что закон вступит в силу в любом случае. Россия просто нуждается в нём. Правда в не таком виде, в котором он находится сейчас. Есть мнение, что применение данного закона будет ужесточено для открывающихся организаций. А к организациям, которые уже работают с ПД, будет выписано предписание о необходимости привести внутренние дела в порядок, скажем сроком на год.


Цитата:
хотя вариант тупо переписать с экрана или сфотать на телефон ПД всё равно остаётся


Аха, это есть проблема
Автор: Orion_76
Дата сообщения: 07.12.2009 13:24

Цитата:
есть вариант что закон не вступит в силу

Во многих, даже можно сказать, практически во всех известных мне государственных и т.п. конторах предпочитают думать именно так, или возможно считают что вышестоящая контора (региональное министерство и т.п.) их прикроют.
Но в действительности, практически в любой конторе (даже в которой вроде бы защита данных должна быть на первом месте) достаточно обаятельного мальчика с шоколадкой, что бы вытащить любые данные или внедрить трояна (типа попросил листок текста с флешки распечатать, и готово).
Бедным хакерам уже интересных задачек не осталось, все до ужаса примитивно.

Сам уже 5 год мечтаю для своей конторы преобрести межсетевой экран (хотябы какой-нибудь старый комп под Альтлинукс-сервер), да систему хранения-выдачи дверных ключей организовать(а то как обычно - в темном уголке на гвоздике-)))...Но начальство глухо к моим мольбам, мебель поменять раз в 2 года важнее.

Автор: lovec123
Дата сообщения: 07.12.2009 13:55
clerozin

Цитата:
Думаю, что закон вступит в силу в любом случае. Россия просто нуждается в нём.

в таком виде он ненужен России, это явно комерческий закон имеющий суть не защитить ПД а загрести неплохие денюжки, хотя по мне так такие дела должны быть абсолютно не комерческие и исполняемые гос организациями тем же фстеком, причём специалистами, а не кто обычно ходит, к нам три года назад приходил представитель фстека с флешкой которой не мог пользоваться, чему он может научить? разве что тому как дверь опечатывать пластилином
Автор: anpsoft
Дата сообщения: 07.12.2009 18:06
лично я на моем предприятии не вижу проблемм с безопасностью
не думаю что кто то куда то что то сливает

но зато регулярно само же вышестоящее руководство требует на бумаге и в электронном виде списки с самыми разными атрибутам подпадающими под подобные законы как российский так и наш

и попробуй не дай

да полетит мой дирекор с должности, не говоря обо мне

попробуй не дай наиподробный список кто на каком изб участке из наших живет сейчас
да это расценят как измену родины

постоянно берут для нужд жеков и исполкома, должников вычислять где кто работает

менты, прокуратура и прочие силовые тоже, но те хоть какую бумажку дают на выемку данных

поэтому я не понимаю как закон и любое супер пупер оборудование поможет если наш генеральный директор холдинга даст команду моему директору предприятия чтоб тот дал какой то конторе список

меня выгонят если я не дам, за неисполнение приказа

более того, если даже и выгорит этот закон, то мне вменят в обязанность паралельно законному методу для отмазки, вести реальную рабочую черную базу, с которой так же и будут выдавать данные по требованию

а я буду вынужден ее шифровать уже не от утечки а наоборот - от органов

маразм

Автор: Toparenko
Дата сообщения: 08.12.2009 15:22

Цитата:
anpsoft
а я буду вынужден ее шифровать уже не от утечки а наоборот - от органов

В настоящее время выполнение техтребований под 152-ФЗ в РФ идет не как защита ПДн, а как "защита от регуляторов"

Хотя если "органы" "вплотную займутся" - то шифрование не поможет. У Власти есть достаточно много способов эффективно получить всю эту информацию...
Автор: anpsoft
Дата сообщения: 08.12.2009 18:32
знаю конкретный пример когlg после наезда было оффициально разосланы письма что все данный попадающие под закон уничтожаются и в дальнейшем не ведутся

а на словах было сказано что ведите черный учет на зашифрованных pgp дисках
потому что внутренню отчестность и то что я перечислил выше не отменить никак

печатать тольку нужно стилизованно под пишущую машинку
и поставить парочку в отделе каком

на ней же можно вручную вести учет как я понимаю

так всем и говорить откуда список - кадры просмотрели карточки бумажные и секретарь напечатала на машинке

да идиотские законы - столь же идиотские и решения должны быть
и это 21 век .......


Автор: ipmanyak
Дата сообщения: 08.12.2009 20:44
Может уже ближе к реалиям перейдем? Например ПДН - Фио и серия и номер паспорта ( авиа и жд билеты). Последствия утечки этих данных как классифицировать? Это
- незначительные негативные
- негативные
- значительные негативные
? и к какой катеории их отнести - K2 или K3?
Я склонен считать, что это незначительные негативные и категория K3, но лицензиаты это относят к негативным, а не к незначительным негативным . У кого какие мнения? И можно ли это аргументировано оспорить у лицензиата? Есть урла в онлайн Классификатор ИСПДн - http://www.reignvox.ru/classifier.php
Данные оператора ПДн там можно не заполнять. Поскольку билетов более 100 тыщ обрабатывается и система распределенная с выходом в инет, мне выдали класс K2, что оченно мне не катит, но видать так и есть.
Автор: oaf56
Дата сообщения: 09.12.2009 06:33

Цитата:
ipmanyak:Последствия утечки этих данных как классифицировать? Это
- незначительные негативные
- негативные
- значительные негативные
В результате поиска инфы находил следующее:
1. Последствия утечки приведены, но нет их определения.
2. Субъект ПД(конкретный человек) имеет право написать жалобу в органы для принятия ими мер или в судебном порядке. Претензии предъявит ЭТОТ субъект и свои оценки ущерба соответственно.
3. При этом оценка степени последствий будет ОЧЕНЬ субъективной: если утечет, например, дата рождения, то Вам это будет "незначительные негативные", а для дамы в бальзаковском возрасте - "значительные негативные". и НИЧЕМ ИНЫМ это не объяснить и не понять.

Так что надо принимать максимально пессимистические оценки. Ваш класс однозначно: К2+распределенная+инет.

anpsoft
Может стоит предложить как вариант расположить "полный" вариант базы на одном ПК, и защищать только его. Цель - все рано либо вычислят, либо сдадут болтливые/обиженые работники. Только последствия могут быть другие...
Автор: Fill747
Дата сообщения: 09.12.2009 08:33
Доброго времени суток.
Возник у нас в подразделении небольшой диспут. Согласно 152 ФЗ:

Цитата:
персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация

Значит ли, что просто Фамилия - это ПДн? Или для определения ПДн нужна совокупность каких либо данных из этого "списка"?
Автор: kzi
Дата сообщения: 09.12.2009 10:12
ipmanyak Ваша система действительно м.б. К2, т.к. большое кол-во пользователей. Сообщаю Вам как лицензиат, что можно получить и специальную К3 при определенных условиях и правильно это описать.

Fill747 Все перечисленное является ПДн. Более подробно смотрите категории ПДн (п.6) ПОРЯДОК проведения классификации информационных систем персональных данных.
Автор: oaf56
Дата сообщения: 09.12.2009 10:26
Fill747
Данные данным могут иметь рознь. ФИО, например Иванов Сидор Петрович по закону - элемент ПД, но любой проверяющий пусть докажет что это конкретно ЭТОТ человек, а не проживающий в г. Магадан или г. Абакан. Зато собраные вместе даные позволят боле конкретно отнести ее к ....."определенному или определяемому на основании такой информации физическому лицу..."
но есть определенные данные, по которым можно сразу и однозначно идентифицировать человека : ИНН(предприниматель, госслужащий), № паспорта, № военбилета, № свидельства о рождении, № свидельства о браке, № свидельства о смерти и возможно много чего другого..... хотя сами номера - это наверное общедоступная информация?
Автор: Toparenko
Дата сообщения: 09.12.2009 14:55

Цитата:
ipmanyak
Может уже ближе к реалиям перейдем? Например ПДН - Фио и серия и номер паспорта ( авиа и жд билеты).


Цитата:
ipmanyak
? и к какой катеории их отнести - K2 или K3?

ФИО+серия и номер паспорта относятся к ПДн идентифицирующим субъекта => Хпд=3

Но кроме этого у Вас есть класс авиабилета или тип вагона. А так же есть маршрут поездки.
Есть риски, что общая совокупность будет Хпд=2

Цитата:
ipmanyak
билетов более 100 тыщ обрабатывается

Хнпд=1

Кроме конфиденциальности Вам следует обеспечивать, минимум, целостность данных. Т.ч. уводите на спецИСПДн.


Цитата:
Fill747
Значит ли, что просто Фамилия - это ПДн? Или для определения ПДн нужна совокупность каких либо данных из этого "списка"?

Здесь пока нет определенности: по 152-ФЗ нет понятия обезличенных ПДн - это понятие появляется только в приказе трех.

Если исходить из приказа трех: просто фамилия - это обезличенные ПДн, по которым нельзя идентифицировать субъекта (Хпд=4).

К сожалению для идентификации субъекта в разных случаях требуется разная информация: в одном случае для этого может быть достаточно ФИО (или подчас фамилия+имя или фамилия+отчество), в другом случае может быть недостаточно ФИО+год и месяц рождения... И именно здесь уже начинаются проблемы классификации систем...


Цитата:
kzi
ipmanyak Ваша система действительно м.б. К2, т.к. большое кол-во пользователей. Сообщаю Вам как лицензиат, что можно получить и специальную К3 при определенных условиях и правильно это описать.

На счет К2 написал выше
На счет того, что можно получить спецК3 - действительно об этом говорят представители ФСТЭК. В принципе, при грамотно составленной модели угроз, для некоторых ИСПДн при отнесении к типовой К1 по параметрам Хпд/Хнпд можно получить и спецК4.
С другой стороны второй подпункт п.19 приказа трех оставляет "ну очень большой (с)" простор для регуляторов...


Цитата:
oaf56
хотя сами номера - это наверное общедоступная информация?

Весьма спорно, но пока не отрегулировано
Автор: kermit
Дата сообщения: 09.12.2009 20:49

Цитата:
В любой компании есть те или иные системы кадрового учета (HR-контур), который содержит подробную информацию о сотруднике (ФИО, дата рождения, ИНН, № Страхового свидетельства Пенсионного фонда, №№ страховых свидетельств ОМС/ДМС, сведения о постановке на воинский учет, №№ банковских счетов, сведения о заработной плате и так далее).
(с) шапка

Прочитал всю тему, много паники по поводу того что ЛЮБАЯ организация попадает под раздачу. Но если почитать 152 ФЗ, то увидим что статья 22 гласит:


Цитата:

2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;


то есть получается что уже как-бы и не все попадают

кста, ссылка на п.2 статьи 22 уже приводилась в этой теме, но осталась проигнорированной.
может стоит шапку подправить?

Страницы: 12345678910111213141516171819202122232425

Предыдущая тема: "Не удалось подключиться к контроллеру домена..."


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.