Andrey Ford
Активный участник
- Регистрация
- 05.11.2007
- Сообщения
- 32 854
- Реакции
- 328
- Баллы
- 83
Кто что делает по нему, осталось ждать до 01.01.2010?
DAE
Moderator
- Регистрация
- 11.07.2007
- Сообщения
- 27 197
- Реакции
- 71
- Баллы
- 48
поясни о чем идет речь
OP
Andrey Ford
Активный участник
- Регистрация
- 05.11.2007
- Сообщения
- 32 854
- Реакции
- 328
- Баллы
- 83
- Thread Starter
- #3
закон почитай, я тебе все пункты не изложу
в кратце: сертификация, шифрация,криптография итд
потом проверки и наложения штрафов, на юрлица до 20т
A
Alex 777
Guest,
- Регистрация
- 24.11.2005
- Сообщения
- 110 109
- Реакции
- 360
- Баллы
- 0
Ну так круг субъектов по этому закону весьма ограничен, не?
Mazzay
Super Moderator
- Регистрация
- 21.02.2007
- Сообщения
- 77 157
- Реакции
- 3 994
- Баллы
- 113
Персональные данные обрабатываются на любом предприятий. Кадровый учёт, например.
OP
Andrey Ford
Активный участник
- Регистрация
- 05.11.2007
- Сообщения
- 32 854
- Реакции
- 328
- Баллы
- 83
- Thread Starter
- #6
A
Anthrax
лорд Канцлер
- Регистрация
- 06.11.2004
- Сообщения
- 24 702
- Реакции
- 100
- Баллы
- 0
1. Написать кучу документов (перечень конфиденциальной информации, инструкции и положения по ограничению доступа к информации, о порядке работы с ПД, о режиме предприятия, и так далее;
2. Выделить компы, на которых производится обработка ПД из сети и обрубить их от инета, вызвать лицензированную ФСТЭК лабораторию для проверки выделенных компов.
3. Установить на компы СЗИ от несанкционированного доступа, аттестованные ФСТЭК. В принципе достаточно установить WinXp, имеющую такой сертификат.
4. Оборудовать помещение сигнализацией, решетками на окнах, трудовые книжки спрятать в сейф, параноики могут поставить защиту от утечек по побочным электромагнитным полям, посадить пограничника с собакой, подходы к серверной заминировать.
Вроде все. Много муторной бумажной и в общем то никчемной работы.
2. Выделить компы, на которых производится обработка ПД из сети и обрубить их от инета, вызвать лицензированную ФСТЭК лабораторию для проверки выделенных компов.
3. Установить на компы СЗИ от несанкционированного доступа, аттестованные ФСТЭК. В принципе достаточно установить WinXp, имеющую такой сертификат.
4. Оборудовать помещение сигнализацией, решетками на окнах, трудовые книжки спрятать в сейф, параноики могут поставить защиту от утечек по побочным электромагнитным полям, посадить пограничника с собакой, подходы к серверной заминировать.
Вроде все. Много муторной бумажной и в общем то никчемной работы.
Бармалей
LPD: Закат
- Регистрация
- 11.07.2007
- Сообщения
- 4 919
- Реакции
- 6
- Баллы
- 38
К тому же все системы обработки персональных данных должны регистрироваться в связьнадзоре, вроде...
Гемор ещё тот. Представители управления ФСТЭК по округу говорили, что вопрос о переносе сроков введения сейчас обсуждается, и возможно в середине декабря будет какое-то решение. Однако ФСТЭК против переноса.
Гемор ещё тот. Представители управления ФСТЭК по округу говорили, что вопрос о переносе сроков введения сейчас обсуждается, и возможно в середине декабря будет какое-то решение. Однако ФСТЭК против переноса.
Nivur
Участник
- Регистрация
- 11.01.2007
- Сообщения
- 1 419
- Реакции
- 0
- Баллы
- 38
Куча документов делал ... забодался ... даже уведомление в ростехнадзор ужо ушло, типо мы готовы на работе))))
OP
Andrey Ford
Активный участник
- Регистрация
- 05.11.2007
- Сообщения
- 32 854
- Реакции
- 328
- Баллы
- 83
- Thread Starter
- #10
было бы интересно,чтобы в рамках этой темы можно было поделится готовыми документами и инструкциями, не изобретать велосипед
кто то уже готов, кто то начал только готовится
документы как правило типовые и похожие,убрал название организации и можно пользоваться, ну чуть по тексту поменять
какое ПО и средства защиты используют
как то так
кто то уже готов, кто то начал только готовится
документы как правило типовые и похожие,убрал название организации и можно пользоваться, ну чуть по тексту поменять
какое ПО и средства защиты используют
как то так
Куц
Новичок
- Регистрация
- 19.09.2008
- Сообщения
- 1 114
- Реакции
- 0
- Баллы
- 0
http://www.samag.ru/forum/index.php/topic,1043.0.html
вот это почитайте...чел под ником axel все правильно излагает! Сам сейчас как раз глубоко изучаю этот вопрос (по долгу учебы приходиться). Сразу кину подсказку по этому вопросу: если есть возможность обезличить базу данных с ПД, т.е. если ее даже кто-то и сопрет, то нельзя будет понять какие данные к кому относяться - действуйте так, класс ПД будет самым низким и соответственно меры на их защиту тоже будут минимальными.
вот это почитайте...чел под ником axel все правильно излагает! Сам сейчас как раз глубоко изучаю этот вопрос (по долгу учебы приходиться). Сразу кину подсказку по этому вопросу: если есть возможность обезличить базу данных с ПД, т.е. если ее даже кто-то и сопрет, то нельзя будет понять какие данные к кому относяться - действуйте так, класс ПД будет самым низким и соответственно меры на их защиту тоже будут минимальными.
OP
Andrey Ford
Активный участник
- Регистрация
- 05.11.2007
- Сообщения
- 32 854
- Реакции
- 328
- Баллы
- 83
- Thread Starter
- #12
не все базы можно обезличить
!Chip
Активный участник
- Регистрация
- 27.02.2008
- Сообщения
- 42 382
- Реакции
- 2 255
- Баллы
- 113
А есть требования к хранению данных? (ПО, алгоритмы шифрования, надёжность хранения и тд и тп)
эрмак
Участник
- Регистрация
- 11.10.2009
- Сообщения
- 5 239
- Реакции
- 1
- Баллы
- 38
Собственно насколько я понимаю ситуация такая:
1) ФСТЭК должен проверять операторов обрабатывающих персональные данные на предмет соблюдения закона.
2) Для того чтоб ФСТЭК знал о том кого проверять, оператор должен уведомить его о том что он обрабатывает такие данные:
3) Собственно во второй часте статьи есть вот что:
Исходя из этого возникает вопрос: всетаки если нет у организации никаких сборов персонально информации кроме обычной информации у кадрового отдела и в бухгалтерии по кадрам (b2b например), то под дейстие этого закона она по этому же закону не попадает. Или попадает?
OP
Andrey Ford
Активный участник
- Регистрация
- 05.11.2007
- Сообщения
- 32 854
- Реакции
- 328
- Баллы
- 83
- Thread Starter
- #15
попадает,просто ФСТЭК можешь не уведомлять
если у тебя вообще везде ручная обработка,то тогда тебе положение об архиве, допуск лиц и живи спокойно
эрмак
Участник
- Регистрация
- 11.10.2009
- Сообщения
- 5 239
- Реакции
- 1
- Баллы
- 38
Обработка в 1С как обычно. Полностью руками кадры по моему никто не обрабатывает.
OP
Andrey Ford
Активный участник
- Регистрация
- 05.11.2007
- Сообщения
- 32 854
- Реакции
- 328
- Баллы
- 83
- Thread Starter
- #17
тогда попадаешь и у 1С должен быть сертификат ФСТЭК
R
Romario
Новичок
- Регистрация
- 01.03.2007
- Сообщения
- 1 900
- Реакции
- 1
- Баллы
- 0
все дело в классификации, можно не сертифицировать только системы ПД 4 класа, для третьево класса ну декларация. Так что почти все попадают под сертификацию.
OP
Andrey Ford
Активный участник
- Регистрация
- 05.11.2007
- Сообщения
- 32 854
- Реакции
- 328
- Баллы
- 83
- Thread Starter
- #19
эрмак
Участник
- Регистрация
- 11.10.2009
- Сообщения
- 5 239
- Реакции
- 1
- Баллы
- 38
Тоесть надо сертифицировать 1С? Это шутка такая или серьезно? Думаю этим вопросом всетаки должны в самом 1С заниматься а не каждый ее пользователь (фирма ее использующая).