Закон о персональных данных

вопросы лицензионой чистоты, должностные инструкции, всякие служебки/мужебки
princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Закон о персональных данных

Непрочитанное сообщение princeps » 2009-10-08 8:13:59

В догонку к:
http://forum.lissyara.su/viewtopic.php?p=182236#p182236

Собственно, интересно, кто как его победил.
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Закон о персональных данных

Непрочитанное сообщение princeps » 2009-10-08 9:17:52

Господа, есть такая инфа.
Фря не сертифицирована в ФСБ и ФСТЭК, поэтому использование её для обработки ПД не допускается. А между тем - глобальные каталоги и общие адресные книги попадают под 3 и 4 категории, (привет Raven2000 с той статьёй) :( Т.е. с 1.1.10 тем, кто уже успел съехать с АД - дадут пизды и посадят в тюрьму.
Надо что-то делать. Предлагаю подумать над открытым письмом медведу, ибо такая ситуация прямо противоречит его же собственным заявлениям о внедрении свободного ПО в РФ.
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

ev
ст. лейтенант
Сообщения: 1325
Зарегистрирован: 2008-07-27 17:11:30
Откуда: Москва

Re: Закон о персональных данных

Непрочитанное сообщение ev » 2009-10-08 9:30:09

Предлагаю подумать над открытым письмом медведу, ибо такая ситуация прямо противоречит его же собственным заявлениям о внедрении свободного ПО в РФ.
не противоречит, т.к. есть разные линуксы с сертификатами
кто бы взялся фрю сертифицировать

Аватара пользователя
serge
майор
Сообщения: 2133
Зарегистрирован: 2006-07-30 15:34:14
Откуда: Саратов
Контактная информация:

Re: Закон о персональных данных

Непрочитанное сообщение serge » 2009-10-08 9:34:20

Да уж. Есть над чем задуматься.

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Закон о персональных данных

Непрочитанное сообщение princeps » 2009-10-08 9:58:42

ev писал(а): не противоречит, т.к. есть разные линуксы с сертификатами
Противоречит, так как по сложившейся практике сертифицироваться могут только те системы, за которыми стоит какая-то контора, которая придёт во ФСТЭК и ФСБ и попросит сертифицировать их систему и заплатить за это денег. А президент призвал поддерживать свободных разработчиков.
Давайте письмо писать. Если подпишется некоторое количество людей, то может иметь успех.
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

ev
ст. лейтенант
Сообщения: 1325
Зарегистрирован: 2008-07-27 17:11:30
Откуда: Москва

Re: Закон о персональных данных

Непрочитанное сообщение ev » 2009-10-08 10:18:26

по сложившейся практике сертифицироваться могут только те системы, за которыми стоит какая-то контора, которая придёт во ФСТЭК и ФСБ и попросит сертифицировать их систему и заплатить за это денег. А президент призвал поддерживать свободных разработчиков.
и в чем противоречие?
Давайте письмо писать. Если подпишется некоторое количество людей, то может иметь успех.
есть текста письма? ;)

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Закон о персональных данных

Непрочитанное сообщение princeps » 2009-10-08 10:23:19

ev писал(а): и в чем противоречие?
В том, что если ты работаешь не на контору, а для собственного удовольствия, то сертификацию пройти сложнее. А медведев как-то призывал как раз таких парней поддерживать и развивать.
ev писал(а): есть текста письма? ;)
Ещё нету, но это не проблема, я думаю. Если народ ворвётся, я за полдня напишу.
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35454
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Закон о персональных данных

Непрочитанное сообщение Alex Keda » 2009-10-08 10:24:08

пиши.
нужное дело.
Убей их всех! Бог потом рассортирует...

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Закон о персональных данных

Непрочитанное сообщение princeps » 2009-10-08 10:26:55

надо решить кое-какие вопросы. Например, где его размещать. Можно прямо ему в приёмную послать, но надо ещё где-то повесить, раз уж оно открытое. И желательно, чтоб в аналоговом виде его тоже напечатали в газете какой-нибудь или журнале. Если будут мысли по этому поводу - пишите тут. Пока изучаю вопрос, как открытые письма пишутся.
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

ev
ст. лейтенант
Сообщения: 1325
Зарегистрирован: 2008-07-27 17:11:30
Откуда: Москва

Re: Закон о персональных данных

Непрочитанное сообщение ev » 2009-10-08 10:35:17

В том, что если ты работаешь не на контору, а для собственного удовольствия, то сертификацию пройти сложнее. А медведев как-то призывал как раз таких парней поддерживать и развивать.
каких таких? было сказано про "свободных разработчиках", т.е. тех кто разрабатывает свободный софт
но не о тех, кто работает для собственного удовольствия
это разные понятие ;)

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Закон о персональных данных

Непрочитанное сообщение princeps » 2009-10-08 10:38:52

ну хз, уточняю сейчас этот вопрос.
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Закон о персональных данных

Непрочитанное сообщение princeps » 2009-10-08 10:47:08

кстати, кроме ОС надо отдельно сертифицировать и весь прикладной софт. Т.е. openldap, vpn-сервер, если он у вас используется для передачи ПД, веб-сервер, муся и пхп, если через них обрабатываются ПД (например, профили юзеров на хостинге, там обычно ФИО, паспорт, дата рождения) и т.п. Т.е. если даже поставить сертифицированный альт линукс, всё равно огребаешь миллион проблем :(
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Закон о персональных данных

Непрочитанное сообщение princeps » 2009-10-08 12:25:47

2 ev:
по предварительным данным по нашим ГОСТам сертифицироваться у чекистов не могут продукты со свободной лицензией. Так что нарушает вся эта система заявление президента, похоже.
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35454
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Закон о персональных данных

Непрочитанное сообщение Alex Keda » 2009-10-08 12:27:31

т.е. - кроме винды/аиксов/соляры - все в пролёте?
Убей их всех! Бог потом рассортирует...

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Закон о персональных данных

Непрочитанное сообщение princeps » 2009-10-08 12:54:49

Альт Линукс сертифицировался, причём и связку АльтЛинукс-ОпенЛДАП-ТЛС. Но для этого они коммерциализировали лицензию, что, возможно, нарушает как минимум GPL. Не знаю, правда, насколько вся эта инфа конфиденциальна - мне её в аське один чел рассказал.
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Закон о персональных данных

Непрочитанное сообщение princeps » 2009-10-08 12:56:20

Узнал тут, что народ вагонами пишет медведу открытые письма и ему, похоже, на них глубоко насрать :( Так что даже не знаю, что и делать. Переводить все серверы на альт линукс? В первый раз захотелось уехать из этой страны непуганых идиотов куда-нибудь нах. :(
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35454
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Закон о персональных данных

Непрочитанное сообщение Alex Keda » 2009-10-08 13:38:02

писать
Убей их всех! Бог потом рассортирует...

Аватара пользователя
serge
майор
Сообщения: 2133
Зарегистрирован: 2006-07-30 15:34:14
Откуда: Саратов
Контактная информация:

Re: Закон о персональных данных

Непрочитанное сообщение serge » 2009-10-08 16:33:54

Меня еще удивляет что форум хостобзора этой проблемой не озадачился. Получается все дружно на это забили?? :cz2:

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Закон о персональных данных

Непрочитанное сообщение princeps » 2009-10-08 19:08:31

да. Все напрягутся, когда будут первые проверки и первых людей посадят.
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

vlad.vrublevsky
проходил мимо
Сообщения: 8
Зарегистрирован: 2009-08-29 16:08:24

Re: Закон о персональных данных

Непрочитанное сообщение vlad.vrublevsky » 2009-10-08 20:31:04

Был недавно на конференции по защите персональных данных. Это закон 152 который, и вступит с 1 января 2010 года. Выступал министр РосСвязьНадзора по нашей республике, сказал что надо уведомление отправить для начала к ним, и при этом говорил что не бойтесь мол, всё нормально. При этом говорил про передачу дела в суд, про отдел К и всё такое. Видимо серъёзно всё так. У самого стоит фряха на которой крутится биллинг.
P.S я бы хотел у автора темы чтоб он продублировал этот закон в своём посте (начало)
Я думаю тут для начала нужно хорошего юриста, который бы толком растолкавал нюансы этого закона.

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: Закон о персональных данных

Непрочитанное сообщение paradox » 2009-10-08 20:34:37

меня вообще удивляет такая бюрократия где нужно такие вещи сертифицировать
скоро
уже очень скоро
будем дышать токо сертифицированым воздухом
а кто будет продолжать дышать обычным
станут отбросами общества

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Закон о персональных данных

Непрочитанное сообщение princeps » 2009-10-09 8:04:37

vlad.vrublevsky писал(а):Я думаю тут для начала нужно хорошего юриста, который бы толком растолкавал нюансы этого закона.
Я уже с кучей юристов обсудил эту проблему. Они разное говорят :) Главный косяк в том, что пока не было прецедентов ебли по этому закону, поэтому юристы не смогут никакой конкретики дать. В целом получается так - если у тебя где-то хранится ФИО и этот компьютер имеет доступ в интернет, то это третья распределённая категория ПД и должна быть аттестована в спец.конторе и ПО должно быть сертифицировано в ФСБ и ФСТЭК.
Господа, если кто-то знает, как обстоят дела в европах и других забуграх, то вы сэкономите мне массу времени, если поделитесь. Сам-то закон нужен, конечно, и скорее всего в нормальных странах есть аналоги. Но вот этот дебилизм с сертификацией, как правильно заметил paradox, должен быть как-то побеждён.
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35454
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Закон о персональных данных

Непрочитанное сообщение Alex Keda » 2009-10-09 10:33:18

надо поставить на хостинг в куему икспи хом эдишен, лицензионную и сертифицированную. а под ней запустить мусю, в которой хранить данные биллинга...
Убей их всех! Бог потом рассортирует...

vlad.vrublevsky
проходил мимо
Сообщения: 8
Зарегистрирован: 2009-08-29 16:08:24

Re: Закон о персональных данных

Непрочитанное сообщение vlad.vrublevsky » 2009-10-09 10:37:59

Немного из доклада по этому закону взял:
Кто и как вас контролирует?
Роскомнадзор - является основным
исполнительным и надзорным органом по защите
прав физических лиц, чьи персональные данные
обрабатываются (проверяет сведения
содержащиеся в уведомлении с привлечением
ФСТЭК и ФСБ)
ФСТЭК России - осуществляет контроль
деятельности по защите информации с
использованием технических средств
ФСБ России - курирует вопросы защиты
информации (надзор за деятельностью и
соблюдение правил) с использованием средств
шифрования (криптографии)
Роскомнадзор:
примерный список документов

• учредительные документы Оператора
• копия уведомления об обработке персональных данных
• положение о порядке обработки персональных данных
• положение о подразделении, осуществляющем функции по организации защиты персональных данных
• должностные регламенты лиц, имеющих доступ к персональным данным;
план мероприятий по защите персональных данных
• план внутренних проверок состояния защиты персональных данных
• приказ о назначении ответственных лиц по работе с персональными данными
• типовые формы документов, предполагающие или допускающие содержание персональных данных
• журналы, реестры, книги, содержащие персональные данные, необходимые для однократного пропуска
субъекта персональных данных на территорию, на которой находится Оператор, или в иных аналогичных целях
• договоры с субъектами персональных данных, лицензии на виды деятельности, в рамках которых
осуществляется обработка персональных данных
• выписки из ЕГРЮЛ, содержащие актуальные данные на момент проведения мероприятия по контролю
(надзору)
• приказы об утверждении мест хранения материальных носителей персональных данных
• письменное согласие субъектов персональных данных на обработку их персональных данных (типовая форма)
• распечатки электронных шаблонов полей, содержащие персональные данные
• справки о постановке на балансовый учет ПЭВМ, на которых осуществляется обработка персональных данных
• заключения экспертизы ФСБ России, ФСТЭК России об оценке соответствия средств защиты информации,
предназначенных для обеспечения безопасности персональных данных при их обработке (проверяется только
наличие данных документов)
• приказ о создании комиссии и акты проведения классификации информационных систем персональных данных
(проверяется только наличие данных документов)
• журналы (книги) учета обращений граждан (субъектов персональных данных);
акт об уничтожении персональных данных субъекта(ов) персональных данных (в случае достижения цели
обработки)
• иные документы, отражающие исполнение Оператором требований законодательства Российской Федерации в
области персональных данных
Общим числом около 30 документов...
Что будет, если ...
• Статья 24 152-ФЗ:
«Лица, виновные в нарушении требований настоящего
федерального закона несут
гражданскую
уголовную
административную
дисциплинарную
и иную
предусмотренную законодательством Российской
Федерации ответственность»
Что будет, подробнее ...
• наложение административных штрафов от 500руб. до
500000руб. или в размере дохода за период до 3 лет
• административное приостановление деятельности на
срок до 90 суток
• конфискацию несертифицированных средств защиты
• обязательные работы на срок до 180 часов
• исправительные работы на срок до одного года
• лишение свободы на срок до 5 лет
• лишение права занимать определенные должности или
заниматься определенной деятельностью на срок до 5
лет
Административные санкции – сразу. Уголовные – через суд
Всего 4 шага...
• Уведомить уполномоченный орган по защите прав субъектов
персональных данных о своем намерении осуществлять обработку
персональных данных
• Разработать комплект документов, регламентирующих обработку
персональных данных в организации (положение по обработке
персональных данных, регламенты, положения по защите
персональных данных)
• Создать систему защиты персональных данных, в т.ч. выполнить
требования по инженерно-технической защите помещений
• Аттестовать или декларировать соответствие информационных
систем персональных данных требованиям безопасности
информации
(c) доклад Антивирусного центра

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Закон о персональных данных

Непрочитанное сообщение princeps » 2009-10-09 10:49:12

полезная инфа. Мне вчера один товарищ скинул pdf'ки с одной из конференций по ПД.
2 lissyara:
У хр количество подключений ограничено 10. Так что не прокатит, я полагаю :)
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru