Закон о персональных данных

вопросы лицензионой чистоты, должностные инструкции, всякие служебки/мужебки
paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: Закон о персональных данных

Непрочитанное сообщение paradox » 2009-10-09 10:52:14

мне вот инетересно
а если взломают одно из сертифицированых средств на предприятии
кто будет виноват?
служба которая сертифицировала тот продукт или предприятие которое вынужденно было следовать перечням

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35454
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Закон о персональных данных

Непрочитанное сообщение Alex Keda » 2009-10-09 11:04:26

princeps писал(а):2 lissyara:
У хр количество подключений ограничено 10. Так что не прокатит, я полагаю :)
а к базе сильно больше и не надо, обычно...
Убей их всех! Бог потом рассортирует...

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Закон о персональных данных

Непрочитанное сообщение princeps » 2009-10-09 11:06:22

paradox писал(а):мне вот инетересно
а если взломают одно из сертифицированых средств на предприятии
кто будет виноват?
служба которая сертифицировала тот продукт или предприятие которое вынужденно было следовать перечням
Об этом я обязательно напишу в письме. Когда зимой на всех напал conficker, то в в знакомых конторах, где на шлюзе стояла сертифицированная винда с сертифицированной исой, был большой бада-бум. А в моих сетях с несертифицированной фрёй на шлюзах даже никто и не заметил ничего. В жопу такую сертифицированную безопасность.
lissyara писал(а):а к базе сильно больше и не надо, обычно...
Там всю систему надо лицензировать, и мусю тоже, и кему.
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Закон о персональных данных

Непрочитанное сообщение princeps » 2009-10-09 12:02:12

vlad.vrublevsky писал(а):P.S я бы хотел у автора темы чтоб он продублировал этот закон в своём посте (начало)
По ссылке, которая в моём первом посте, если пройти, то там будет ссылка на этот закон в .odt
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

vlad.vrublevsky
проходил мимо
Сообщения: 8
Зарегистрирован: 2009-08-29 16:08:24

Re: Закон о персональных данных

Непрочитанное сообщение vlad.vrublevsky » 2009-10-09 12:11:30

я видел, назад <--> вперёд ходить приходится =)

Gloft
лейтенант
Сообщения: 645
Зарегистрирован: 2008-03-09 11:32:12
Откуда: Москва

Re: Закон о персональных данных

Непрочитанное сообщение Gloft » 2009-10-09 15:33:17

princeps писал(а):Господа, есть такая инфа.
Фря не сертифицирована в ФСБ и ФСТЭК, поэтому использование её для обработки ПД не допускается. А между тем - глобальные каталоги и общие адресные книги попадают под 3 и 4 категории, (привет Raven2000 с той статьёй) :( Т.е. с 1.1.10 тем, кто уже успел съехать с АД - дадут пизды и посадят в тюрьму.
Т.к. данное утверждении имеет отношение к закону о персональных данных, то надо четко понимать что надо защищать и какими средствами.
Закон распространяется только на ту информацию которую можно назвать персональными данными.
То есть если данных не хватает для однозначной идентификации человека то это не персональные данные.
Думаю редко кто в АД записывает полное ФИО, да еще и домашний адрес.

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Закон о персональных данных

Непрочитанное сообщение princeps » 2009-10-09 15:37:13

домашний адрес не обязательно, достаточно ФИО. У меня в АД они вбиты, потому что она используется как адресная книга. Кроме того, я думаю, что любая CRM\ERP\СЭД система обрабатывает массу персональных данных.
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

Gloft
лейтенант
Сообщения: 645
Зарегистрирован: 2008-03-09 11:32:12
Откуда: Москва

Re: Закон о персональных данных

Непрочитанное сообщение Gloft » 2009-10-09 15:40:48

Только ФИО не является персональными данными.
А про CRM\ERP\СЭД тут разговора не было, это отдельные системы и в них может храниться совсем другая информации.
Опять же подходить к защите надо точно зная, что нужно защищать (если вообще нужно).

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Закон о персональных данных

Непрочитанное сообщение princeps » 2009-10-09 15:52:12

Gloft писал(а):Только ФИО не является персональными данными.
согласно букве закона является, т.к. по ним можно однозначно идентифицировать человека. К тому же в AD обычно хранится ещё масса инфы - как минимум почта.
Gloft писал(а):А про CRM\ERP\СЭД тут разговора не было, это отдельные системы и в них может храниться совсем другая информации.
Тут был разговор вообще про ФЗ-152. Получается, что любая автоматизация упирается в этот закон. Т.е. если у тебя не просто соединённые проводами в одноранговую сеть компьютеры, а более или менее развитая IT-инфраструктура, то будь добр выложить денег за аттестацию и за проприетарный софт. Всякие alfresco, sugarcrm и прочие вещи, которые позволяли раньше недорого, но эффективно автоматизировать небольшую конторку, теперь не катят. Вот это и плохо.
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

Gloft
лейтенант
Сообщения: 645
Зарегистрирован: 2008-03-09 11:32:12
Откуда: Москва

Re: Закон о персональных данных

Непрочитанное сообщение Gloft » 2009-10-09 18:03:30

princeps писал(а):согласно букве закона является, т.к. по ним можно однозначно идентифицировать человека. К тому же в AD обычно хранится ещё масса инфы - как минимум почта.
Ты не прав. Пупкиных, Ивановых и Сидоровых очень много. Совокупность данных например ФИО, дата и место рождения или ФИО и место работы - это и есть персональные данные. Неверишь мне, задай вопрос на форуме банкир.ру, там специалистов много они пояснят.
princeps писал(а):Тут был разговор вообще про ФЗ-152. Получается, что любая автоматизация упирается в этот закон. Т.е. если у тебя не просто соединённые проводами в одноранговую сеть компьютеры, а более или менее развитая IT-инфраструктура, то будь добр выложить денег за аттестацию и за проприетарный софт. Всякие alfresco, sugarcrm и прочие вещи, которые позволяли раньше недорого, но эффективно автоматизировать небольшую конторку, теперь не катят. Вот это и плохо.
ФЗ-152 применяется к АС с автоматизированной обработкой персональных данных, кроме этого закона есть еще и постановление правительства об АС с обработкой персональных данных с использованием средст автоматизации. Это разные вещи. Опять же информации по этой теме сейчас очень много. Рекомендую почитать поподробне, на томже форуме банкир.ру.

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Закон о персональных данных

Непрочитанное сообщение princeps » 2009-10-09 18:28:34

я уже почитал и поговорил с разными людьми. Сложность сейчас в том, что прецедентов нет, соответственно, юристы не могут толком сказать, что к чему. Одни говорят, что достаточно ФИО, другие говорят, что ФИО+ещё хотя бы что-нибудь. Я ориентируюсь на худший вариант :). Самый прикол в том, что потенциальные проверяющие пока сами не в курсе, что проверять. Во ФСТЭК, например, меня послали на йух.
Gloft писал(а):ФЗ-152 применяется к АС с автоматизированной обработкой персональных данных, кроме этого закона есть еще и постановление правительства об АС с обработкой персональных данных с использованием средст автоматизации. Это разные вещи. Опять же информации по этой теме сейчас очень много. Рекомендую почитать поподробне, на томже форуме банкир.ру.
Т.е. ты хочешь сказать, что, например, erp, где контрагенты со всей их инфой вбиты, не попадают под этот закон?
Вообще много странного. Например, на шлюзе может стоять любая ОС, но средства защиты, например, фаервол - только сертифицированные. Ну вот стоял в разных моих знакомых конторах фаер зимой, и всё равно их conficker поимел через уязвимость ОС.
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

Gloft
лейтенант
Сообщения: 645
Зарегистрирован: 2008-03-09 11:32:12
Откуда: Москва

Re: Закон о персональных данных

Непрочитанное сообщение Gloft » 2009-10-09 18:59:16

princeps писал(а): Т.е. ты хочешь сказать, что, например, erp, где контрагенты со всей их инфой вбиты, не попадают под этот закон?
Вообще много странного. Например, на шлюзе может стоять любая ОС, но средства защиты, например, фаервол - только сертифицированные. Ну вот стоял в разных моих знакомых конторах фаер зимой, и всё равно их conficker поимел через уязвимость ОС.
Вот например дам я тебе список только ФИО, ты сможешь идентифицировать людей по ним?
Конечно это тонкий вопрос, но загонять себя в угол не нужно. Сам подумай.

То что ты написал о шлюзе, я не совсем понял что ты хотел сказать. Сертификация - это одно, а безопасность это другое.
Например есть сертификация об отсутствии в ПО закладок(черных ходов), но это не значит что оно безопасно.
Или например что ключи сертификатов генерятся в соответствии с ГОСТОМ, но при этом сама ОС может выпадает периодически в осадок.

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Закон о персональных данных

Непрочитанное сообщение princeps » 2009-10-09 19:22:30

Gloft писал(а):Вот например дам я тебе список только ФИО, ты сможешь идентифицировать людей по ним?
Да. Хотя и не со 100% уверенностью, потому что надо ещё что-то. Собственно, это не мой вопрос, а юристов. А они говорят то, что я описал выше.
Gloft писал(а): То что ты написал о шлюзе, я не совсем понял что ты хотел сказать. Сертификация - это одно, а безопасность это другое.
Например есть сертификация об отсутствии в ПО закладок(черных ходов), но это не значит что оно безопасно.
Или например что ключи сертификатов генерятся в соответствии с ГОСТОМ, но при этом сама ОС может выпадает периодически в осадок.
Вот именно, исходя из здравого смысла так и должно быть. А в свете закона 152 всё как раз по-другому. Я не могу использовать не сертифицированный софт для обработки ПД.
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Закон о персональных данных

Непрочитанное сообщение princeps » 2009-10-09 19:37:03

Вообще, кстати, имея желание, и по нику можно идентифицировать человека так, что дальше некуда :)
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35454
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Закон о персональных данных

Непрочитанное сообщение Alex Keda » 2009-10-10 15:53:44

неа...
по нику - далеко не всегда. например, меня - можно. по причине что ещё год-два назад он был абсолютно уникальным.
но уже сейчас - есть масса людей (пяток =)))) юзающих этот ник.
Убей их всех! Бог потом рассортирует...

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Закон о персональных данных

Непрочитанное сообщение princeps » 2009-10-10 16:16:24

lissyara писал(а):неа...
по нику - далеко не всегда. например, меня - можно. по причине что ещё год-два назад он был абсолютно уникальным.
но уже сейчас - есть масса людей (пяток =)))) юзающих этот ник.
Ну естественно, я ж и не говорю, что ник это тоже персональные данные.
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

Аватара пользователя
Dorlas
сержант
Сообщения: 257
Зарегистрирован: 2008-07-18 22:17:49

Re: Закон о персональных данных

Непрочитанное сообщение Dorlas » 2009-10-10 17:49:56

Насколько я в курсе, существует несколько уловок, которые позволят снизить класс ИСПДН-а - а значит облегчить и удешевить процесс ее "легализации".

1) Отключить от общей ЛВС и Интернет - в идеале - это вообще один защищенный АРМ - если так не приемлемо - тогда отдельная сеть.
2) Разбивать ИСПДН на более мелкие составляющие (чтобы количество записей было менее 1000
3) Удалять данные о здоровье, национальности, вероисповедании (все, что к первому классу относится)

В итоге можно так все подточить - что у Вас вроде как выходит 4-й класс ИСПДН (по формальным признакам) - для нее вроде все просто и дешево.

ev
ст. лейтенант
Сообщения: 1325
Зарегистрирован: 2008-07-27 17:11:30
Откуда: Москва

Re: Закон о персональных данных

Непрочитанное сообщение ev » 2009-10-14 14:27:29

http://pro-id.ru/conference/progr
есть немного презентащек с конференции

Аватара пользователя
baton4eg
сержант
Сообщения: 274
Зарегистрирован: 2009-10-11 14:36:35
Контактная информация:

Re: Закон о персональных данных

Непрочитанное сообщение baton4eg » 2009-10-15 14:33:05

Какие новости по этому закону?
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих файлов вообще нет!" (c)
"Я ем руками, она вилкой и ножом, я бью вилкой и ножом, она руками" (с)

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Закон о персональных данных

Непрочитанное сообщение princeps » 2009-10-15 14:50:29

хороших - никаких. Изучаю пока разную доку по теме.
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

Аватара пользователя
baton4eg
сержант
Сообщения: 274
Зарегистрирован: 2009-10-11 14:36:35
Контактная информация:

Re: Закон о персональных данных

Непрочитанное сообщение baton4eg » 2009-10-15 14:52:58

Какие доки по этой теме? есть закон сам, презентации, есть ещё что нибудь интересное?
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих файлов вообще нет!" (c)
"Я ем руками, она вилкой и ножом, я бью вилкой и ножом, она руками" (с)

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Закон о персональных данных

Непрочитанное сообщение princeps » 2009-10-16 12:54:59

закон сам в моём первом посте по ссылке. Доку с конференций тоже тут выкладывали. У меня постепенно набирается материал, как-нибудь брошу его одним шматком. В принципе, везде всё примерно одинаково - надо лицензироваться, сертифицироваться, а как и что - хз.
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Закон о персональных данных

Непрочитанное сообщение princeps » 2009-10-16 12:57:37

Кстати, документы ФСТЭК по тому, как конкретно надо защищать персональные данные - полная лажа. Во-первых, мне их не дали даже отксерить, сказали - конспектируй. Хорошо хоть руками разрешили трогать. Так вот там рекомендации в стиле: "если персональные данные обрабатываются в ИС, она должна быть защищена. Если персональные данные передаются по сетям передачи данных, они должны быть зашифрованы". А как, чем - хз, ничего не уточняется.
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

Gloft
лейтенант
Сообщения: 645
Зарегистрирован: 2008-03-09 11:32:12
Откуда: Москва

Re: Закон о персональных данных

Непрочитанное сообщение Gloft » 2009-10-16 13:28:47

princeps писал(а):Кстати, документы ФСТЭК по тому, как конкретно надо защищать персональные данные - полная лажа. Во-первых, мне их не дали даже отксерить, сказали - конспектируй. Хорошо хоть руками разрешили трогать. Так вот там рекомендации в стиле: "если персональные данные обрабатываются в ИС, она должна быть защищена. Если персональные данные передаются по сетям передачи данных, они должны быть зашифрованы". А как, чем - хз, ничего не уточняется.
Во первых потому что методические рекомендации по защите ПД имеют гриф ДСП.
То есть их необходимо официально запрашивать у ФСТЭК.
Во вторых ты плохо читали, или неправильно понял.
Допускается для защиты персональных данных использовать средства шифрования, но это не обязательное требование.

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Закон о персональных данных

Непрочитанное сообщение princeps » 2009-10-16 13:58:12

Gloft писал(а):Во первых потому что методические рекомендации по защите ПД имеют гриф ДСП.
Да, вот именно, потому что они не прошли минюст. Я официально запрашивал.
Gloft писал(а):Допускается для защиты персональных данных использовать средства шифрования, но это не обязательное требование.
Я хотел сказать, что не упоминается, что конкретно, как и где надо делать. Например, то что их надо шифровать - это, допустим, понятно, они у меня итак лежат на шифрованных разделах и по сети передаются зашифрованными. Но вот хватит ли этого проверяющим?
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru