Сообщений в теме: 60

[Савелий]

Друзья! Опять возник вопрос по персональным данным (ПД). Прочитал архив, но хотелось бы узнать, есть ли новости (прежде всего практика рынка и частные мнения). Постараюсь быть краток:

1. Уведомление органа: У меня есть подозрение, что подавляющее большинство российских компаний – возможно, процентов 90 – хранят и обрабатывают ПД людей, которые не подпадают под исключения закона. Типичный пример – данные о клиентах (контактных лицах клиентов-юриков) и маркетинговые базы (основанные на визитках и т.п.). Если толковать закон консервативно – уведомление требуется для всех таких организаций. У госорганов такое же мнение – что уведомлять должны подавляющее большинство российских компаний? Или есть какие-то иные интерпретации, сужающие данный круг (кроме прямого текста закона)?
2. Приведение информационных систем в сооветствие с законом до 1 января 2010 года. Учитывая всю запутанность и сложность данного регулирования, интересно знать, много ли компаний это уже сделали или близки к завершению? И насколько это вообще реально? И более конкретный вопрос – достаточно ли, чтобы были сертифицированы отдельные предметы программного и аппаратного обеспечения (программы и машины), или необходимо, чтобы сертификацию проходило уникальное сочетание этих программ и машин в каждой организации? Иными словами, достаточно ли купить сертифицированный сервер, или все равно нужно смотреть на всю информационную систему организации в целом?
3. Санкции. Если величайшая санкция за нарушение чего бы то ни было в сфере персональных данных – 10 тыс руб., то стоит ли вообще инвестировать время, деньги, силы, нервы и т.п. в эти все технические и организационные меры, или проще заплатить штраф, если что? Хотя понимаю, что вопрос риторический и каждый на него отвечает сам...

Всем заранее спасибо за мнения!

[Тракторист]

Тоже интересуюсь этим вопросом.
Мне кажется, что закон написан ваще жесть, действительно можно подвести под эту тему любое юр.лицо которое хранит у себя персональные данные.

Я думаю, что данный закон в большей степени относится к организациям которые в массовом порядке собирают информацию о гражданах (страховые, медицинские, социальные и т.д.) с помошью баз данных,а относить это к обычной торговой и типо такой организации, которая хранит у себя персональные данные о работниках и контрагентах, их (работниках и контрагентов) может быть ваще не более десятка нелепо. К тому же ответственность за разглашение информации никто не отменял.

[Somel]

Согласна, что закон должен применяться только к специализированным организациям, а не ко всем подряд. Но исходя из буквы закона - ко всем.
Удивляет, что так мало откликов..тема-то актуальная!!! что делать и как быть никто точно не знает...хотелось бы тут подискутировать, а никто ниче не пишет

[Крайнов Н.Н.]

Как начнут органы стучаться в дверь - так заверещат...

[Dsmol]

http://asozd2.duma.g...&RN=262191-5

законопроект № 262191-5

Вносится депутатом ГД ФС РФ
А.А.Морозовым

РОССИЙСКАЯ ФЕДЕРАЦИЯ
ФЕДЕРАЛЬНЫЙ ЗАКОН
О внесении изменения
в статью 25 Федерального закона
" О персональных данных"

Статья 1
Внести в часть третью статьи 25 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" (Собрание законодательства Российской Федерации, 2006, N 31 (1 ч.), ст.3451) следующие изменения, заменив слова "не позднее 1 января 2010 года" словами "не позднее 1 января 2012 года".

Статья 2
Настоящий Федеральный закон вступает в силу со дня его официального опубликования.

[KZI]

http://asozd2.duma.g...&RN=262191-5

законопроект № 262191-5

Вносится депутатом  ГД ФС РФ
А.А.Морозовым

РОССИЙСКАЯ ФЕДЕРАЦИЯ
ФЕДЕРАЛЬНЫЙ ЗАКОН
О внесении изменения
в статью 25 Федерального закона
" О персональных данных"

Статья 1
Внести в часть третью статьи 25 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" (Собрание законодательства Российской Федерации, 2006, N 31 (1 ч.), ст.3451) следующие изменения, заменив слова "не позднее 1 января 2010 года" словами "не позднее 1 января 2012 года".

Статья 2
Настоящий Федеральный закон вступает в силу со дня его официального опубликования.

насколько мне известно переноса срока не будет! Уже неоднократно банкиры пытались увеличить сроки.

Более подробно тут:
http://www.cio-world...irector/472173/
http://www.itsec.ru/...p?news_id=62526

Добавлено немного позже:
Somel Данный Закон обязателен для всех организаций обрабатывающих персональные данные.
Савелий в кратце:
В первую очередь проверяющие (РОСКОМНАДЗОР совместно с ФСТЭК и ФСБ) будут смотреть выполнение требований по обеспечению безопасности персональных данных.
Для обеспечения безопасности ПДн и соответствии требованиям ФЗ 152 и постановления правительства № 781 необходимо провести комплекс мероприятий для обеспечения безопасности ПДн: ИСПДн должна быть защищена (д.б. проведены все мероприятия: классификация, разработка системы защиты персональных данных (разработано ТЗ, Проект); поставка, установка, настройка сертифицированных ФСТЭК и ФСБ средств защиты информации; проведена аттестация (декларирование).
Аттестат соответствия – это тот документ, который подтверждает, что Ваша система защищена и соответствует требованиям, его Вы будете предъявлять РОСКОМНАДЗОРУ при проверке и сотрудникам (субъектам ПДн) по требованию.

Более подробно, что нужно сделать, чтобы соответствовать требованиям ФЗ 152, смотрите в брошюре.

Прикрепленные файлы

•  ZI_PDn.pdf   2.21МБ   474 скачиваний

Сообщение отредактировал KZI: 09 November 2009 - 15:12

[Dsmol]

насколько мне известно переноса срока не будет! Уже неоднократно банкиры пытались увеличить сроки.
....
Более подробно, что нужно сделать, чтобы соответствовать требованиям ФЗ 152, смотрите в брошюре.

Спасибо за брошюру
Не сочтите, за оскорбление, но Вы, так понимаю, лично заинтересованы в неувеличении сроков полного ввода в действие положений закона.

Советую почитать о персональных данных...

[Rickoshet]

Да уж, проблема то действительно на лицо. На мой взгляд те организации которые в своей деятельности используют программы 1С (1С Бухгалтерия, 1С Зарплата и т.д.), которых большинство, обязаны привести в свои информационные системы в соответствие с ФЗ № 152. Так, что необходимо готовиться!

Вопрос остается открытым в области принятия законопроекта № 262191-5! Остается только ждать...

[Тракторист]

KZI

Озвучьте примерные цифры проведения всех необходимых мероприятий, но мне кажется будет не дешего (что-то слышал в районе 60 000 р. за один копьютер на котором есть доступ к обрабатываемым персональным данным), а ответственность пока от 10 000р. до 20 000р. Так вот, приходить в каждую маленькую фирму из-за этого, никаких кадровых ресурсов у РОСКОМНАДЗОРА не хватит, думаю, что пока надо подождать, мож и продлят срок.

[Somel]

закон нуждается в совершенствовании! это неоднократино отмечалось!
Да, персональные данные нуждаются в защите, но зачем же утрировать ее до такой степени! Киоск, торгующий пирожками - оператор персональных данных (потому что у продавца есть имена представителей поставщиков, номера их личных мобилок и сведения о днях рождения)...ну не маразм?

[Rickoshet]

...а каков порядок действий? Кто-нибудь занимался?

Как представляю себе это я (звонил в ФСТЭК, много чего наговорили, всяких непонятных слов ):
1) необходимо направит запрос в ФСТЭК на получение необходимой документации для определения к какой из категорий относится обрабатываемые в информационной системе персональные данные (1-4);
2) на основанни этой документации определить вид и в зависимости от категории (1-4) определять для себя что получаем или аттестат соответсвия или декларацию соответсвия или же достаточно внутреннего распорядительного документа о доступе к ПД?

Перечень документации высылаемый ФСТЭКом:
1) Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
2) Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
3) Основные мероприятия по организации и техническому обеспечению безопасности персональных данных обрабатываемых в информационных системах персональных данных.
4) Рекомендации по обеспечению персональных данных при их обработке в информационных системах персональных данных
5) Порядок проведения классификации информационных систем персональных данных.

Или я не прав?

[Тракторист]

a-ilin

Что-то в этом роде.

А самое главное потом заплатить бабки не малые за атестацию и типо спать спокойно. Еще перед этим заставят там все в программах поменять, начнет что-нибудь глючить и так далее. Вообщем всеми правдами и неправдами надо от этого открешиваться

[Rickoshet]

a-ilin

Что-то в этом роде.

А самое главное потом заплатить бабки не малые за атестацию и типо спать спокойно. Еще перед этим заставят там все в программах поменять, начнет что-нибудь глючить и так далее. Вообщем всеми правдами и неправдами надо от этого открешиваться

КАААК??

[Сержант]

Насколько мне известно, требования об обязательной аттестации содержатся только в таком сомнительном документе: «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных», утвержден ФСТЭК от 15.02.2008 года. На сайте ФСТЭК можно найти выписку из него. Кстати, данный документ требует помимо аттестации получения лицензии на ТЗКИ (техническую защиту конфиденциальной информации). Из п. 3.14: "операторы ИСПДн при проведении мероприятий по обеспечению безопасности ПДн (конфиденциальной информации) при их обработке в ИСПДн 1,2 и 3 (распределенные системы) классов должны получить лицензию на осуществление деятельности по технической защите конфиденциальной информации в установленном порядке". (кстати в тот же день ФСТЭК утвердил еще 3 положения с похожими названиями, вместе их называют "четырехкнижие")).
Но! Данный документ имеет гриф "ДСП", никогда не был официально опубликован, не проходил регистрацию в минюсте и, соответственно, не является действующим НПА. Сам 152-ФЗ "О ПДн", ПП-781 "Об обеспечении безопасности ПДн...", приказ 55/86/20 не содержат требований о получении лицензии и каких-либо упоминаний об аттестации, можно встретить только "оценку соответствия средств защиты" и "оценку достаточности мер во время надзора и контроля".
Так что необходимость аттестации и получения лицензии вызывает большие сомнения.
О лицензировании почитать мнение ГД http://www.duma.gov..../public/022.doc
И опять же насколько я знаю на данный момент судебно практики по данному вопросу нет.

[Rickoshet]

Отлично! Вот это уже дело! Предлагаю развить данное направление, поскольку тема касается многих, а срок-то поджимает!!!!

[Тракторист]

[/quote]


КАААК??
[/quote]

А фиг знает. Вот в этой теме думаю надо писать и обсуждать как.
Мое предложение, что РОСКОМНАДЗОР будет в первую очередь ходить по фирмам которые действительно в основе своей деятельности "массово" и "в большых количествах" обрабатывают перс.данные и у них есть вероятность утечки.

Если говорить, про маленькие фирмы и не применяющие в принципе обработку данных, кроме своих сотрудников, то надо иметь лицензионное (сертифицированное) оборудование и програмное обеспечение, написанное положение о защите перс.данных, ответственное лицо допустим, какую-нибудь програмульку защитную, ну и если придут, то можно ссылаться на принятые защитные меры, сертифицированные программы и средства, небольшое количество обрабатываемых перс.данных (только работников) и так далее, мож и если накажут, то должны принять к сведению смягчающие обстоятельства.

[Rickoshet]

[quote name='Тракторист' date='11.11.2009 - 18:32']
[/quote]


КАААК??
[/quote]

А фиг знает. Вот в этой теме думаю надо писать и обсуждать как.
Мое предложение, что РОСКОМНАДЗОР будет в первую очередь ходить по фирмам которые действительно в основе своей деятельности "массово" и "в большых количествах" обрабатывают перс.данные и у них есть вероятность утечки.

Если говорить, про маленькие фирмы и не применяющие в принципе обработку данных, кроме своих сотрудников, то надо иметь лицензионное (сертифицированное) оборудование и програмное обеспечение, написанное положение о защите перс.данных, ответственное лицо допустим, какую-нибудь програмульку защитную, ну и если придут, то можно ссылаться на принятые защитные меры, сертифицированные программы и средства, небольшое количество обрабатываемых перс.данных (только работников) и так далее, мож и если накажут, то должны принять к сведению смягчающие обстоятельства.
[/quote]

т.е. пожурят по отцовски!? )))
Наша ООО использует только лицензионное обеспеченние (программы 1С), есть положение о персональных данных, каждый работник дал расписку о неразглашении ПД! НО: даже те лицензиооные программы, которыми мы владеем подлежат, лицензированию (или заключение договора с лицензиатом), т.к. являются информационными системами персональных данных. Видимо будет необходимо привести в соответсвие...

[Сержант]

Если придет ФСТЭК, то они много чего еще захотят, поскольку будут руководствоваться своими "Основными мероприятиями" от 14.02.08, где есть требования получить лицензию для систем 1,2 3 (распределенного) классов (п. 3.14), требования обеспечения защиты от утечки за счет побочных электромагнитных излучений и наводок (п. 4.5.) и т.д., сами посмотрите вот здесь http://www.fstec.ru/_razd/_ispo.htm последний документ, засунут почему-то в раздел "специальные нормативные документы". Но даже если не отталкиваться от этого крайне сомнительного документы ФСТЭК, даже если помечтать что этот документ суд уже не признал НПА, то согласно ПП-781, п. 12 нужно разрабатывать не какое-то положение, а модель угроз, проводить классификацию своей истемы, на основе модели угроз разрабатывать систему защиты, всевозможные акты о вводе в эксплуатацию системы защиты понадобятся и т.п., также предусмотрено "обучение лиц, использующих средства защиты информации...", осуществлять учет лиц, допущенных к работе и т.п., т.е. одним положением не отделаться. Как это все написать не прибегая к помощи специалистов из фирм, которым хотят много денег и навязывают одновременно комплекс своих услуг, оборудование и др. - я не знаю, тут нужно быть техническим специалистом-программистом, а я не он .
Но. Действительно штрафы сейчас не так высоки, операторами становятся практически все организации и это значительно превышает возможности проверяющих, план проверок уже утвержден. По слухам плохо придется только тем, кто попадет под проверку ФСБ и не имеет трех фсбешных лицензий на шифровальные средства, поскольку только эта структура реально может приостановить деятельность, возбудить уголовное дело и т.п. Но эти лицензии мало кому требуются, простых ооо не коснется. Им бы вообще подумать об уходе под пп-687.

Сообщение отредактировал Сержант: 12 November 2009 - 14:50

[lexv]

в продолжение. относительно от-ти. К сожалению, это не только 10 тыс.
от-ть в связи с неприведением инф систем перс данных в соотв в законодательством:
1. за нарушение закон-ва о труде и об охране труда (работодатель обязан гарантировать защиту пер данных работников)- для ЮЛ 30-50 тыс руб или адм приостановление деятельности на срок до 90 суток, для должностных лиц 1-5 тыс руб (ч. 1 ст. 5.27 КОАП);
2. за нарушения порядка сбора, хранения, исп-я или распространения инфо о гражданах (перс данных)- ЮЛ 5-10 тыс руб, долж лица 500-1000 руб (ст. 13.11 КОАП);
3. за нарушение правил защиты информации в виде исп-я несертифицированных инфо систем, несертифицированных ср-в защиты информации- ЮЛ 10-20 тыс к конфискацией несертифицированных ср-в или без таковой, для долж лиц 1-2 тыс (ч. 2 ст. 13.12);
4. невыполнение в срок законного предписания органа, осущ-го гос надзор (контроль)- ЮЛ 10-20 тыс, долж лица 1-2 тыс или дисквалификация на срок до 3 лет (ч. 1 ст. 19.5 КОАП) (за это в свое время формально привлекли Роберта Дадли);
5. за осущ-е деят-ти, не связанной с извлечением прибыли, без специального разрешения (лицензии), если это обязательно- ЮЛ 10-20 тыс, долж лица 1-2 тыс (ч. 1 ст. 19.20 КОАП).
Это основное, пожалуй. Но не все.

[Тракторист]

Хорошо.

Тогда получается что-то вроде три варианта у меня выресовывается, вариант заплатить одной из фирмешки по полной и спать спокойно как-то не катит, неитнересный он А кстати интересно, если все провести как надо, то единожды надо заплатить за это или ФСТЭК будет периодически что-то менять и вводить новое, за что опять надо будет платить.

Так три варианта:
1 вариант. Разработать по максимому что в силах и сидеть ждать когда придут, когда придут проверят попробовать "договорится" на сумму меньше чем затраты на обеспечение всем необходимым. Но конечно сохроняется опасность, что возьмут, а потом других подошлют или сами через некоторое время опять "случайно" забредут. Если вдруг попадутся честные, то их все штрафы опротестовывать в суде, попутно проводя все в соответтсвиие, но здесь тоже дофига рисков и за штрафы потом заплатишь, и за все остальное.

2 варинт. Сделать все самому по максимому, а за остальным пойти в фирму.

3 варинт. Все вести на бумаге и тем самым спрятатся за пп-687

Коллеги, ваши мнения? Мож какие еще варинты есть.

[Rickoshet]

3 варинт. Все вести на бумаге и тем самым спрятатся за пп-687

Думается мне, что этот вариант точно не вариант! )) Бухгалтерию вести как в 90-е "на коленке"? )) А базы данных поставщиков-на бумаге? Какие же площади нужны для хранения всей этой бумажной информации?

2 варинт. Сделать все самому по максимому, а за остальным пойти в фирму.

Кстати, эти "товарищи" будут "работать" над каждым компьютером? Известна ли цена за эти услуги?

[Тракторист]

Добавлено немного позже:

Кстати, эти "товарищи" будут "работать" над каждым компьютером? Известна ли цена за эти услуги?

Нет, не на каждом. Только на том, на котором есть доступ к персональным данным (бухгалтерия, кадры, делопроизводство (рассылка рекламные писеи и так далее).
Стоимость узнавали, примерно 60 000р. за один компьютер.
Представим что, бухгатерия + кадры + делопроизводство + кстати еще айтишники, они же везде могут зайти, получается, что если даже суммарно 10 компов, то сумма 600 тысяч немаленькая выходит.

Сообщение отредактировал Тракторист: 13 November 2009 - 13:04

[Rickoshet]

сумма 600 тысяч

так и хочется сматериться! ....!!! .............!!!.............!!!!

[malotavr]

...а каков порядок действий? Кто-нибудь занимался?

Как представляю себе это я (звонил в ФСТЭК, много чего наговорили, всяких непонятных слов ):
1) необходимо направит запрос в ФСТЭК на получение необходимой документации для определения к какой из категорий относится обрабатываемые в информационной системе персональные данные (1-4);
2) на основанни этой документации определить вид и в зависимости от категории (1-4) определять для себя что получаем или аттестат соответсвия или декларацию соответсвия или же достаточно внутреннего распорядительного документа о доступе к ПД?

Перечень документации высылаемый ФСТЭКом:
1) Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
2) Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
3) Основные мероприятия по организации и техническому обеспечению безопасности персональных данных обрабатываемых в информационных системах персональных данных.
4) Рекомендации по обеспечению персональных данных при их обработке в информационных системах персональных данных
5) Порядок проведения классификации информационных систем персональных данных.

Или я не прав?

Практически.
"Порядок проведения классификаци..." опубликован в Российской газете http://www.rg.ru/200...maciya-doc.html

Документы 3 и 4 опубликованы на сайте ФСТЭК http://www.fstec.ru/_spravs/_spec.htm

Звонить в ФСТЭК бессмысленно, помкольку они сами не представляют, как разгребать то, что они наворотили

[Dsmol]

На завтра 20-11-2009 в ГД предположительно назначено рассмотрение двух законопроектов об отсрочке ч.3 ст.25 ЗоЗПД до 01.01.2011 (или 01.01.2012)

http://asozd2.duma.g...&RN=262191-5

и

http://asozd2.duma.g...&RN=284213-5

бум посмотреть

Сообщение отредактировал Dsmol: 19 November 2009 - 19:30