Выполнение закона о персональных данных. В каком виде на...
17 мая 2009 в 11:15

Выполнение закона о персональных данных. В каком виде на практике?

Наверняка все слышали про закон — от 27 июля 2006 г N 152-ФЗ «О персональных данных». Недавно у нас проводилась видеоконференция. Очень много чего-то рассказывали, презентации. Канторы по «аттестации» (я так понял они авторы метод материала). Судя по всему, в течении ближайшего года могут начать «давить» и «проверять».
После услышанного вырисовалась параноидальная картина.

  1. Если на ПК ведется я обработка персональных данных, то:
  2. отключить все флешки/CDRW – чтоб нельзя было ничего унести из компьютера;
  3. в компьютере хранить всё в шифрованных разделах, с использованием СКЗИ, персональных ключей, сертификатов;
  4. к интернету доступа быть не должно;
  5. обмен данными с кем-то бы небыло только по защищённым каналам связи;
  6. Чтобы привести ПК в соответствие с законом надо:
  7. проанализировать какими как нам надо защитить персональную информацию надо обратиться только в те канторы которые имеют лицензию на это (которые про это всё рассказывали), они проанализируют данные с какими мы работаем, классифицируют их, подберут софт, и потом аттестуют рабочие места;
  8. использовать только сертифицированный нашим ФСБ софт;
  9. стоимость анализа+софта составит порядка 50тыс.р на одно рабочее место.
    Почти каждый сотрудник, в той или иной мере занимается обработкой персональных данных, будь то похозяйственные книги, выдача справок, работа с предпринимателями, да даже бухгалтерские данные также попадают под это определение. Перечисленное, мало того что «мегадорого» на данный момент, но и по сути парализует работу сотрудника. В некоторых ситуациях, надо будет сотруднику ещё один ПК ставить, так как некоторый софт не уживается друг с другом, и требования его эксплуатации противоречат требованиям 152ФЗ.
    Всё действительно будет так, как я это понял? Или не всё так страшно?
    Где-нибудь в гос.структурах уже «выполняется» в полной мере требования данного закона? Как это выглядет на практике?
193
Комментарии (9)
  • 28 мая 2009 в 10:22 • #
    Анастасия Александрова

    Я занимаюсь надзорной деятельностью как раз за обработкой персональных данных и хочу сказать, что в этом направлении есть как минусы, такие как неотработанная нормативная база, не желание частных лиц и организаций содействовать и идти на контакт при проведении некоторых мероприятий, так и плюсы, например, перспективность напрвления, эффективное взаимодействие с другими госструктурами и т.д. Вообщем, я думаю, что судить надо по результатам и к счастью они уже есть.

  • 28 мая 2009 в 20:41 • #
    Дмитpий Мaльцeв

    Анастасия, расскажите пожалуйста о результатах? приведите обезличенный пример приведения "рабочего места" в "соответствие".

  • 29 мая 2009 в 09:33 • #
    Анастасия Александрова

    Ну например, стандартная организация защиты хранения и обработки персональных данных в предприятии: во первых это безопасность при хранении данных на бумажных носителях, т.е. они должны содержаться в сейфах, запираемых шкафа, помещение должно находиться по охраной и доступ к нему должны иметь строго ограниченный круг людей, данные, содержащиеся на компьютерах, тоже должны быть в безопасности, вход в систему запоролирован, доступ ограниченного круга людей. Например в одном крупном банке создана специальная программа по обработке и хранении персональных данных.

  • 5 июня 2009 в 13:59 • #
    Александр Руденко

    Интересуюсь, почему нельзя было ввести ответственность за разглашение (распространение, утечку и т.п.) персональных данных и отдать решение проблемы на места? Очень неприятный ответ напрашивается.

  • 3 июня 2009 в 09:05 • #
    Валерий Молчанов

    Анастасия, может быть и не 100% в тему, но именно Вам вопрос как профессионалу: Почему, как законно и что делать?Ситуация - открываю вклад в банке.Оператор заносит меня в базу данных, делает, ксерокопию моего паспорта.Тоже самое и с данными доверенного лица.Очень возможно -при очередных выборах в борьбе наших "родных" партий, мне не надо даже идти голосовать, у них есть и моя подпись.И интересно за кого я "проголосую", хотя догадаться не сложно.Как этого избежать?

  • 15 июня 2009 в 08:02 • #
    Сергей Барановский

    Вопрос не совсем корректен, так как нет необходимых для ответа деталей. Например, о системах какого класса Вы говорите? От этой информации в частности и зависит "- в компьютере хранить всё в шифрованных разделах, с использованием СКЗИ, персональных ключей, сертификатов;"

  • 15 июня 2009 в 19:58 • #
    Дмитpий Мaльцeв

    Ух, Сергей, спасибо вам )... запустил поиск по этому закону и "класс системы", и нашёл для себя ответ )
    http://www.interface.ru/home.asp?artId=20822
    "...Кроме того, технические средства, которые будут использованы для защиты ПДн, необходимо сертифицировать в ФСТЭК. Именно методики ФСТЭК должны быть положены в основу "Модели угроз" для каждой информационной системы, обрабатывающей ПДн. Этот документ предстоит разработать каждому оператору..."
    "...специалисты ФСБ в первую очередь уделят внимание наличию необходимых лицензий и использованию средств криптографической защиты, перечисленных в реестре ФСБ..."
    там ещё много всего интересного... в конце статьи два хороших файла
    Всё мрачно и дорого как я и предпологал (
    халявный шифратор разделов TrueCrypt и iptables(как файрвол и маршрутизатор) судя по всему не прокатят.
    На днях "проанализирую" обрабатываемую у нас информацию, и обрадую шефа :-D

  • 16 июня 2009 в 12:25 • #
    Сергей Барановский

    Так все-таки, какой класс у Вашей системы? Если 1 или распределенный 3, то действительно потребуются значительные усилия для защиты ПД.

    Вообще-то, Вам должны были рассылаться методические указания по организации защиты ПД.

  • 16 июня 2009 в 16:37 • #
    Дмитpий Мaльцeв

    Да, высылали, 3 презентации.
    Методических указаний к сожалению не попадалось. Хотя надо ещё внимательно просмотреть. Возможно где-то ссылки не заметил.
    Отнести свою систему к определённому классу затрудняюсь, я пока в процессе поиска ответа на вопрос "как классифицировать?". Если у Вас есть ссылки на какую-то метод литературу по этому вопросу - буду очень признателен.
    На данный момент ПД хранятся в основном в виде таблиц excel/word (различные списки граждан, предприятий, их налоговых задолжностей, земельные реестры), также есть ряд программ (сетевые СУБД), в том числе и бухгалтерских, часть содержимого которых также можно определить как "ПД".