Закон о персональных данных

[princeps]

В догонку к:
http://forum.lissyara.su/viewtopic.php?p=182236#p182236

Собственно, интересно, кто как его победил.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[princeps]

Господа, есть такая инфа.
Фря не сертифицирована в ФСБ и ФСТЭК, поэтому использование её для обработки ПД не допускается. А между тем - глобальные каталоги и общие адресные книги попадают под 3 и 4 категории, (привет Raven2000 с той статьёй) Т.е. с 1.1.10 тем, кто уже успел съехать с АД - дадут пизды и посадят в тюрьму.
Надо что-то делать. Предлагаю подумать над открытым письмом медведу, ибо такая ситуация прямо противоречит его же собственным заявлениям о внедрении свободного ПО в РФ.

[ev]

Предлагаю подумать над открытым письмом медведу, ибо такая ситуация прямо противоречит его же собственным заявлениям о внедрении свободного ПО в РФ.

не противоречит, т.к. есть разные линуксы с сертификатами
кто бы взялся фрю сертифицировать

[serge]

Да уж. Есть над чем задуматься.

[princeps]

не противоречит, т.к. есть разные линуксы с сертификатами

Противоречит, так как по сложившейся практике сертифицироваться могут только те системы, за которыми стоит какая-то контора, которая придёт во ФСТЭК и ФСБ и попросит сертифицировать их систему и заплатить за это денег. А президент призвал поддерживать свободных разработчиков.
Давайте письмо писать. Если подпишется некоторое количество людей, то может иметь успех.

[ev]

по сложившейся практике сертифицироваться могут только те системы, за которыми стоит какая-то контора, которая придёт во ФСТЭК и ФСБ и попросит сертифицировать их систему и заплатить за это денег. А президент призвал поддерживать свободных разработчиков.

и в чем противоречие?

Давайте письмо писать. Если подпишется некоторое количество людей, то может иметь успех.

есть текста письма?

[princeps]

и в чем противоречие?

В том, что если ты работаешь не на контору, а для собственного удовольствия, то сертификацию пройти сложнее. А медведев как-то призывал как раз таких парней поддерживать и развивать.

есть текста письма?

Ещё нету, но это не проблема, я думаю. Если народ ворвётся, я за полдня напишу.

[Alex Keda]

пиши.
нужное дело.

[princeps]

надо решить кое-какие вопросы. Например, где его размещать. Можно прямо ему в приёмную послать, но надо ещё где-то повесить, раз уж оно открытое. И желательно, чтоб в аналоговом виде его тоже напечатали в газете какой-нибудь или журнале. Если будут мысли по этому поводу - пишите тут. Пока изучаю вопрос, как открытые письма пишутся.

[ev]

В том, что если ты работаешь не на контору, а для собственного удовольствия, то сертификацию пройти сложнее. А медведев как-то призывал как раз таких парней поддерживать и развивать.

каких таких? было сказано про "свободных разработчиках", т.е. тех кто разрабатывает свободный софт
но не о тех, кто работает для собственного удовольствия
это разные понятие

[princeps]

ну хз, уточняю сейчас этот вопрос.

[princeps]

кстати, кроме ОС надо отдельно сертифицировать и весь прикладной софт. Т.е. openldap, vpn-сервер, если он у вас используется для передачи ПД, веб-сервер, муся и пхп, если через них обрабатываются ПД (например, профили юзеров на хостинге, там обычно ФИО, паспорт, дата рождения) и т.п. Т.е. если даже поставить сертифицированный альт линукс, всё равно огребаешь миллион проблем

[princeps]

2 ev:
по предварительным данным по нашим ГОСТам сертифицироваться у чекистов не могут продукты со свободной лицензией. Так что нарушает вся эта система заявление президента, похоже.

[Alex Keda]

т.е. - кроме винды/аиксов/соляры - все в пролёте?

[princeps]

Альт Линукс сертифицировался, причём и связку АльтЛинукс-ОпенЛДАП-ТЛС. Но для этого они коммерциализировали лицензию, что, возможно, нарушает как минимум GPL. Не знаю, правда, насколько вся эта инфа конфиденциальна - мне её в аське один чел рассказал.

[princeps]

Узнал тут, что народ вагонами пишет медведу открытые письма и ему, похоже, на них глубоко насрать Так что даже не знаю, что и делать. Переводить все серверы на альт линукс? В первый раз захотелось уехать из этой страны непуганых идиотов куда-нибудь нах.

[Alex Keda]

писать

[serge]

Меня еще удивляет что форум хостобзора этой проблемой не озадачился. Получается все дружно на это забили??

[princeps]

да. Все напрягутся, когда будут первые проверки и первых людей посадят.

[vlad.vrublevsky]

Был недавно на конференции по защите персональных данных. Это закон 152 который, и вступит с 1 января 2010 года. Выступал министр РосСвязьНадзора по нашей республике, сказал что надо уведомление отправить для начала к ним, и при этом говорил что не бойтесь мол, всё нормально. При этом говорил про передачу дела в суд, про отдел К и всё такое. Видимо серъёзно всё так. У самого стоит фряха на которой крутится биллинг.
P.S я бы хотел у автора темы чтоб он продублировал этот закон в своём посте (начало)
Я думаю тут для начала нужно хорошего юриста, который бы толком растолкавал нюансы этого закона.

[paradox]

меня вообще удивляет такая бюрократия где нужно такие вещи сертифицировать
скоро
уже очень скоро
будем дышать токо сертифицированым воздухом
а кто будет продолжать дышать обычным
станут отбросами общества

[princeps]

Я думаю тут для начала нужно хорошего юриста, который бы толком растолкавал нюансы этого закона.

Я уже с кучей юристов обсудил эту проблему. Они разное говорят Главный косяк в том, что пока не было прецедентов ебли по этому закону, поэтому юристы не смогут никакой конкретики дать. В целом получается так - если у тебя где-то хранится ФИО и этот компьютер имеет доступ в интернет, то это третья распределённая категория ПД и должна быть аттестована в спец.конторе и ПО должно быть сертифицировано в ФСБ и ФСТЭК.
Господа, если кто-то знает, как обстоят дела в европах и других забуграх, то вы сэкономите мне массу времени, если поделитесь. Сам-то закон нужен, конечно, и скорее всего в нормальных странах есть аналоги. Но вот этот дебилизм с сертификацией, как правильно заметил paradox, должен быть как-то побеждён.

[Alex Keda]

надо поставить на хостинг в куему икспи хом эдишен, лицензионную и сертифицированную. а под ней запустить мусю, в которой хранить данные биллинга...

[vlad.vrublevsky]

Немного из доклада по этому закону взял:
Кто и как вас контролирует?
• Роскомнадзор - является основным
исполнительным и надзорным органом по защите
прав физических лиц, чьи персональные данные
обрабатываются (проверяет сведения
содержащиеся в уведомлении с привлечением
ФСТЭК и ФСБ)
• ФСТЭК России - осуществляет контроль
деятельности по защите информации с
использованием технических средств
• ФСБ России - курирует вопросы защиты
информации (надзор за деятельностью и
соблюдение правил) с использованием средств
шифрования (криптографии)
Роскомнадзор:
примерный список документов
• учредительные документы Оператора
• копия уведомления об обработке персональных данных
• положение о порядке обработки персональных данных
• положение о подразделении, осуществляющем функции по организации защиты персональных данных
• должностные регламенты лиц, имеющих доступ к персональным данным;
план мероприятий по защите персональных данных
• план внутренних проверок состояния защиты персональных данных
• приказ о назначении ответственных лиц по работе с персональными данными
• типовые формы документов, предполагающие или допускающие содержание персональных данных
• журналы, реестры, книги, содержащие персональные данные, необходимые для однократного пропуска
субъекта персональных данных на территорию, на которой находится Оператор, или в иных аналогичных целях
• договоры с субъектами персональных данных, лицензии на виды деятельности, в рамках которых
осуществляется обработка персональных данных
• выписки из ЕГРЮЛ, содержащие актуальные данные на момент проведения мероприятия по контролю
(надзору)
• приказы об утверждении мест хранения материальных носителей персональных данных
• письменное согласие субъектов персональных данных на обработку их персональных данных (типовая форма)
• распечатки электронных шаблонов полей, содержащие персональные данные
• справки о постановке на балансовый учет ПЭВМ, на которых осуществляется обработка персональных данных
• заключения экспертизы ФСБ России, ФСТЭК России об оценке соответствия средств защиты информации,
предназначенных для обеспечения безопасности персональных данных при их обработке (проверяется только
наличие данных документов)
• приказ о создании комиссии и акты проведения классификации информационных систем персональных данных
(проверяется только наличие данных документов)
• журналы (книги) учета обращений граждан (субъектов персональных данных);
акт об уничтожении персональных данных субъекта(ов) персональных данных (в случае достижения цели
обработки)
• иные документы, отражающие исполнение Оператором требований законодательства Российской Федерации в
области персональных данных
Общим числом около 30 документов...
Что будет, если ...
• Статья 24 152-ФЗ:
«Лица, виновные в нарушении требований настоящего
федерального закона несут
гражданскую
уголовную
административную
дисциплинарную
и иную
предусмотренную законодательством Российской
Федерации ответственность»
Что будет, подробнее ...
• наложение административных штрафов от 500руб. до
500000руб. или в размере дохода за период до 3 лет
• административное приостановление деятельности на
срок до 90 суток
• конфискацию несертифицированных средств защиты
• обязательные работы на срок до 180 часов
• исправительные работы на срок до одного года
• лишение свободы на срок до 5 лет
• лишение права занимать определенные должности или
заниматься определенной деятельностью на срок до 5
лет
Административные санкции – сразу. Уголовные – через суд
Всего 4 шага...
• Уведомить уполномоченный орган по защите прав субъектов
персональных данных о своем намерении осуществлять обработку
персональных данных
• Разработать комплект документов, регламентирующих обработку
персональных данных в организации (положение по обработке
персональных данных, регламенты, положения по защите
персональных данных)
• Создать систему защиты персональных данных, в т.ч. выполнить
требования по инженерно-технической защите помещений
• Аттестовать или декларировать соответствие информационных
систем персональных данных требованиям безопасности
информации
(c) доклад Антивирусного центра

[princeps]

полезная инфа. Мне вчера один товарищ скинул pdf'ки с одной из конференций по ПД.
2 lissyara:
У хр количество подключений ограничено 10. Так что не прокатит, я полагаю