forum.lissyara.su

В догонку к:
http://forum.lissyara.su/viewtopic.php?p=182236#p182236

Собственно, интересно, кто как его победил.

Господа, есть такая инфа.
Фря не сертифицирована в ФСБ и ФСТЭК, поэтому использование её для обработки ПД не допускается. А между тем - глобальные каталоги и общие адресные книги попадают под 3 и 4 категории, (привет Raven2000 с той статьёй) Т.е. с 1.1.10 тем, кто уже успел съехать с АД - дадут пизды и посадят в тюрьму.
Надо что-то делать. Предлагаю подумать над открытым письмом медведу, ибо такая ситуация прямо противоречит его же собственным заявлениям о внедрении свободного ПО в РФ.

Предлагаю подумать над открытым письмом медведу, ибо такая ситуация прямо противоречит его же собственным заявлениям о внедрении свободного ПО в РФ.

не противоречит, т.к. есть разные линуксы с сертификатами
кто бы взялся фрю сертифицировать

Да уж. Есть над чем задуматься.

ev писал(а): не противоречит, т.к. есть разные линуксы с сертификатами

Противоречит, так как по сложившейся практике сертифицироваться могут только те системы, за которыми стоит какая-то контора, которая придёт во ФСТЭК и ФСБ и попросит сертифицировать их систему и заплатить за это денег. А президент призвал поддерживать свободных разработчиков.
Давайте письмо писать. Если подпишется некоторое количество людей, то может иметь успех.

по сложившейся практике сертифицироваться могут только те системы, за которыми стоит какая-то контора, которая придёт во ФСТЭК и ФСБ и попросит сертифицировать их систему и заплатить за это денег. А президент призвал поддерживать свободных разработчиков.

и в чем противоречие?

Давайте письмо писать. Если подпишется некоторое количество людей, то может иметь успех.

есть текста письма?

ev писал(а): и в чем противоречие?

В том, что если ты работаешь не на контору, а для собственного удовольствия, то сертификацию пройти сложнее. А медведев как-то призывал как раз таких парней поддерживать и развивать.

ev писал(а): есть текста письма?

Ещё нету, но это не проблема, я думаю. Если народ ворвётся, я за полдня напишу.

пиши.
нужное дело.

надо решить кое-какие вопросы. Например, где его размещать. Можно прямо ему в приёмную послать, но надо ещё где-то повесить, раз уж оно открытое. И желательно, чтоб в аналоговом виде его тоже напечатали в газете какой-нибудь или журнале. Если будут мысли по этому поводу - пишите тут. Пока изучаю вопрос, как открытые письма пишутся.

В том, что если ты работаешь не на контору, а для собственного удовольствия, то сертификацию пройти сложнее. А медведев как-то призывал как раз таких парней поддерживать и развивать.

каких таких? было сказано про "свободных разработчиках", т.е. тех кто разрабатывает свободный софт
но не о тех, кто работает для собственного удовольствия
это разные понятие

ну хз, уточняю сейчас этот вопрос.

кстати, кроме ОС надо отдельно сертифицировать и весь прикладной софт. Т.е. openldap, vpn-сервер, если он у вас используется для передачи ПД, веб-сервер, муся и пхп, если через них обрабатываются ПД (например, профили юзеров на хостинге, там обычно ФИО, паспорт, дата рождения) и т.п. Т.е. если даже поставить сертифицированный альт линукс, всё равно огребаешь миллион проблем

2 ev:
по предварительным данным по нашим ГОСТам сертифицироваться у чекистов не могут продукты со свободной лицензией. Так что нарушает вся эта система заявление президента, похоже.

т.е. - кроме винды/аиксов/соляры - все в пролёте?

Альт Линукс сертифицировался, причём и связку АльтЛинукс-ОпенЛДАП-ТЛС. Но для этого они коммерциализировали лицензию, что, возможно, нарушает как минимум GPL. Не знаю, правда, насколько вся эта инфа конфиденциальна - мне её в аське один чел рассказал.

Узнал тут, что народ вагонами пишет медведу открытые письма и ему, похоже, на них глубоко насрать Так что даже не знаю, что и делать. Переводить все серверы на альт линукс? В первый раз захотелось уехать из этой страны непуганых идиотов куда-нибудь нах.

писать

Меня еще удивляет что форум хостобзора этой проблемой не озадачился. Получается все дружно на это забили??

да. Все напрягутся, когда будут первые проверки и первых людей посадят.

Был недавно на конференции по защите персональных данных. Это закон 152 который, и вступит с 1 января 2010 года. Выступал министр РосСвязьНадзора по нашей республике, сказал что надо уведомление отправить для начала к ним, и при этом говорил что не бойтесь мол, всё нормально. При этом говорил про передачу дела в суд, про отдел К и всё такое. Видимо серъёзно всё так. У самого стоит фряха на которой крутится биллинг.
P.S я бы хотел у автора темы чтоб он продублировал этот закон в своём посте (начало)
Я думаю тут для начала нужно хорошего юриста, который бы толком растолкавал нюансы этого закона.

меня вообще удивляет такая бюрократия где нужно такие вещи сертифицировать
скоро
уже очень скоро
будем дышать токо сертифицированым воздухом
а кто будет продолжать дышать обычным
станут отбросами общества

vlad.vrublevsky писал(а):Я думаю тут для начала нужно хорошего юриста, который бы толком растолкавал нюансы этого закона.

Я уже с кучей юристов обсудил эту проблему. Они разное говорят Главный косяк в том, что пока не было прецедентов ебли по этому закону, поэтому юристы не смогут никакой конкретики дать. В целом получается так - если у тебя где-то хранится ФИО и этот компьютер имеет доступ в интернет, то это третья распределённая категория ПД и должна быть аттестована в спец.конторе и ПО должно быть сертифицировано в ФСБ и ФСТЭК.
Господа, если кто-то знает, как обстоят дела в европах и других забуграх, то вы сэкономите мне массу времени, если поделитесь. Сам-то закон нужен, конечно, и скорее всего в нормальных странах есть аналоги. Но вот этот дебилизм с сертификацией, как правильно заметил paradox, должен быть как-то побеждён.

надо поставить на хостинг в куему икспи хом эдишен, лицензионную и сертифицированную. а под ней запустить мусю, в которой хранить данные биллинга...

Немного из доклада по этому закону взял:
Кто и как вас контролирует?
• Роскомнадзор - является основным
исполнительным и надзорным органом по защите
прав физических лиц, чьи персональные данные
обрабатываются (проверяет сведения
содержащиеся в уведомлении с привлечением
ФСТЭК и ФСБ)
• ФСТЭК России - осуществляет контроль
деятельности по защите информации с
использованием технических средств
• ФСБ России - курирует вопросы защиты
информации (надзор за деятельностью и
соблюдение правил) с использованием средств
шифрования (криптографии)
Роскомнадзор:
примерный список документов
• учредительные документы Оператора
• копия уведомления об обработке персональных данных
• положение о порядке обработки персональных данных
• положение о подразделении, осуществляющем функции по организации защиты персональных данных
• должностные регламенты лиц, имеющих доступ к персональным данным;
план мероприятий по защите персональных данных
• план внутренних проверок состояния защиты персональных данных
• приказ о назначении ответственных лиц по работе с персональными данными
• типовые формы документов, предполагающие или допускающие содержание персональных данных
• журналы, реестры, книги, содержащие персональные данные, необходимые для однократного пропуска
субъекта персональных данных на территорию, на которой находится Оператор, или в иных аналогичных целях
• договоры с субъектами персональных данных, лицензии на виды деятельности, в рамках которых
осуществляется обработка персональных данных
• выписки из ЕГРЮЛ, содержащие актуальные данные на момент проведения мероприятия по контролю
(надзору)
• приказы об утверждении мест хранения материальных носителей персональных данных
• письменное согласие субъектов персональных данных на обработку их персональных данных (типовая форма)
• распечатки электронных шаблонов полей, содержащие персональные данные
• справки о постановке на балансовый учет ПЭВМ, на которых осуществляется обработка персональных данных
• заключения экспертизы ФСБ России, ФСТЭК России об оценке соответствия средств защиты информации,
предназначенных для обеспечения безопасности персональных данных при их обработке (проверяется только
наличие данных документов)
• приказ о создании комиссии и акты проведения классификации информационных систем персональных данных
(проверяется только наличие данных документов)
• журналы (книги) учета обращений граждан (субъектов персональных данных);
акт об уничтожении персональных данных субъекта(ов) персональных данных (в случае достижения цели
обработки)
• иные документы, отражающие исполнение Оператором требований законодательства Российской Федерации в
области персональных данных
Общим числом около 30 документов...
Что будет, если ...
• Статья 24 152-ФЗ:
«Лица, виновные в нарушении требований настоящего
федерального закона несут
гражданскую
уголовную
административную
дисциплинарную
и иную
предусмотренную законодательством Российской
Федерации ответственность»
Что будет, подробнее ...
• наложение административных штрафов от 500руб. до
500000руб. или в размере дохода за период до 3 лет
• административное приостановление деятельности на
срок до 90 суток
• конфискацию несертифицированных средств защиты
• обязательные работы на срок до 180 часов
• исправительные работы на срок до одного года
• лишение свободы на срок до 5 лет
• лишение права занимать определенные должности или
заниматься определенной деятельностью на срок до 5
лет
Административные санкции – сразу. Уголовные – через суд
Всего 4 шага...
• Уведомить уполномоченный орган по защите прав субъектов
персональных данных о своем намерении осуществлять обработку
персональных данных
• Разработать комплект документов, регламентирующих обработку
персональных данных в организации (положение по обработке
персональных данных, регламенты, положения по защите
персональных данных)
• Создать систему защиты персональных данных, в т.ч. выполнить
требования по инженерно-технической защите помещений
• Аттестовать или декларировать соответствие информационных
систем персональных данных требованиям безопасности
информации
(c) доклад Антивирусного центра

полезная инфа. Мне вчера один товарищ скинул pdf'ки с одной из конференций по ПД.
2 lissyara:
У хр количество подключений ограничено 10. Так что не прокатит, я полагаю