Вторая онлайн-конференция ReignVox
«Защита персональных данных: Проверки регуляторов и тенденции в изменении Законодательства»
Благодарим Вас за активное участие во второй онлайн-конференции и проявленный интерес к проблемам защиты персональных данных.
В том случае, если Вы не успели получить ответ на свой вопрос в рамках работы онлайн-конференции, мы приглашаем Вас принять участие в обсуждении тем защиты персональных данных на форуме.
С архивом предыдущей конференции, проведенной 24 ноября 2009 года, можно ознакомиться в архиве конференций
На ваши вопросы отвечали:
 Химаныч Сергей Викторович
Ведущий специалист отдела информационной безопасности ОАО «МегаФон»
Окончил Механико-Математический факультет МГУ им. Ломоносова. Работал в банковской сфере, в IT-подразделениях и подразделениях безопасности, в том числе на руководящих постах; отвечал за информационную безопасность банков. В ОАО «МегаФон» - с момента формирования подразделения, ответственного за информационную безопасность Компании в 2006 году. Реализовал ряд успешных проектов федерального масштаба по защите информации в ОАО «МегаФон». В настоящее время принимает активное участие в разработке отраслевого стандарта для телекоммуникационных компаний по защите персональных данных. Руководитель Рабочей группы Инфокоммуникационного Союза «Инфобезопасность». |
 Черкас Юрий Владимирович
Руководитель отдела технической защиты информации компании ReignVox
Окончил институт криптографии, связи и информатики Академии ФСБ России с золотой медалью. Реализовал ряд успешных проектов по защите информации в различных крупных компаниях ведущих отраслей экономики. В настоящее время принимает активное участие в разработке отраслевого стандарта для телекоммуникационных компаний по защите персональных данных. |
| Организатор | Партнеры мероприятия |
|---|---|
 |
   
|
Архив вопросов:
Добрый день!
ИСПДн классифицированна по К1, в соответствии с РД для данного класа должны быть осуществлены мероприятия по защите инф-ии от утечки по каналу ПЭМИН. Подскажите, является ли то, что ценность информации намного меньше затрат на ее снятие по данному каналу и большое количество работающей ("фонящей") техники в пределах здания, основанием для отказа от СЗИ по каналу ПЭМИН, да и вообще от данного канала как от потенциально опасного (т.е. достаточно доказать это в можели и не рассматривать канал)?
Или придётся доказывать неактуальность этой угрозы сравнением значений R и размера КЗ?
Защита информации, представленной в виде информативных электрических сигналов и физических полей, осуществляется в случаях, когда при определении угроз безопасности персональных данных и формировании модели угроз применительно к информационной системе являются актуальными угрозы утечки информации по каналам побочных электромагнитных излучений и наводок.
что делать если вконтакте пишут Для борьбы со спамерами и аккаунтами - пустышками мы ввели новую систему защиты. Теперь каждый аккаунт подлежит обязательной смс активации. Данная процедура является одноразовой. Для активации вашего аккаунта пожалуйста отправьте смс c текстом 5551788 на номер 3858. В ответном смс вам придёт код, который необходимо ввести в поле и нажать кнопку Активировать аккаунт. ВКонтакте всегда заботится о Вашей безопасности!
* если смс на номер 3858 отправить неудается, используем номера 2858 и 9151
Ничего не делать. Общедоступные данные. Номер телефона может не принадлежать субъекту. Актуальность данных вы не проверяете.
Вопрос для ОАО "МегаФон". Приходиться ли Вам сталкиваться с трудностями в ходе проекта по защите ПДн? Если да, то какого характера трудности- правового, организационного или технического?
Несомненно, некоторые организационные трудности есть. Связано это с размерами компании, и с тем, что работы по приведению Компании в соответствие с 152-ФЗ затрагивают очень многие подразделения и бизнес-процессы.
В чём заключается защита моих персанальных данных. У нас в Санкт-Петербурге продаются диски со всеми адресами, а также можно раздобыть автобиографи на любого жителя.Каким способом Вы планируете защитить данные.Мне недавно пришло из банка Тинькофф предложение взять кредит. Откуда они узнали мои данные. Я позвонил в банк и мне сказали,что есть фирмы,которые прводят статистический отбор.
Примите решение, является ли для Вас это важным и можете ли Вы с этим справиться.
Здравствуйте, Сергей Викторович. Много освещалось об отраслевом проекте по защите ПДн операторов сотовой связи. Каковы его результаты и будете ли Вы ими пользоваться в собственном проекте?
Проект вышел на «финишную прямую». Получены замечания от Регуляторов, итоговые документы проекта скорректированы с учетом этих замечаний. Есть надежда, что одобрение результатов проекта Регуляторами будет получено к началу апреля. В собственном проекте мы несомненно используем результаты отраслевого проекта.
Здравствуйте. Хотелось бы узнать как будет проходить лицензирование ИСПДн, если эта система 1с 8 или 1с 7, к том же конфигурация значительно отличается от стандартной. Возможно я не правильно понимаю значение ИСПДн, в таком случае хотелось бы узнать как привести к соответствию обмен и обработку информации (ПДН) в своей организации к кому можно обратиться.
ИСПДн не лицензируется, лицензируется определённая деятельность. Может быть произведена оценка соответствия в виде аттестации или декларирования соответствия. Порядок аттестации для общего случая приведён в Положении об аттестации объектов информатизации.
Прошу вас разъяснить, кто подвходит к категории "оператор персональных данных". Законодатель толкует, что даже Положение о персональных данных носит рекомендательный характер.
Спасибо
Содержание категории "оператор персональных данных" определяется ст.3 п. ФЗ-152: 2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных. Вопрос подлежит уточнению по ситуации.
Добрый день, вопрос представителю компании-клиента. Проверяет ли Вас Роскомнадзор по вопросам защиты ПДн. Если да, то хотелось бы узнать, что и как проверяют?
Проверки Роскомнадзора проходят регулярно. Данные проверки касаются разных направлений деятельности Компании, включая обработку ПДн. Планы проверок Роскомнадзора доступны по адресу http://www.rsoc.ru/plan-and-reports/contolplan/
Здравствуйте!
Согласно п.5 постановления Правительства №781 от 17 ноября 2007 года «Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия».
Директором ФСТЭК приказом №58 от 05 февраля 2010 года во исполнение п.3 ПП-781 утверждено «Положение о методах и способах защиты информации в информационных системах персональных данных», данный приказ зарегистрирован в Минюсте 19 февраля 2010 года №16456. В п.п.2.1, 3.2 указанного положения к методам и способам защиты информации от НСД и от утечки по техническим каналам, отнесено использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия. Более никаких упоминаний об оценке соответствия и форме ее проведения по тексту документа не встречается.
ВОПРОС: какой порядок процедуры оценки соответствия установлен в настоящее время для средств защиты информации в информационных системах персональных данных для государственных учреждений и коммерческих организаций: обязательная сертификация, декларирование соответствия, добровольная сертификация, либо другая форма?
Несмотря на отсутствие упоминания об обязательности аттестации ИСПДн в текущих методических документах, мы рекомендуем проводить оценку соответствия ИСПДн требованиям безопасности информации. Что это даст оператору ПДн? На наш взгляд, аттестация (декларирование) соответствия будет являться неоспоримым аргументом того, что Ваша система защиты ПДн полностью соответствует заявленным требованиям, а понесенные Вами расходы воплотились в конкретный результат, который должным образом оценит не только руководство компании, но и проверяющие.
Как должен быть регламентирован порядок хранения персональных данных клиентов - физических лиц в электронной платежной системе?
Порядок хранения должен быть регламентирован правильно и соответствовать требованиям нормативной документации в части обеспечения защиты ПДн.
Какие методы и средства используются для обеспечения требования ФЗ 152 при построении хранилищ
данных или консолидации клиентской информации из разнородных систем.
Методы и средства применяются в соответствии с классом ИСПДн; необходимые методы и средства определены Приказом ФСТЭК от 5 февраля 2010 г. N 58
Наша компания - интернет-магазин. Для осуществления доставки товаров клиенту мы собираем о нем информацию: Имя, адрес, телефон. Должны ли мы получить от него письменное разрешение на использование и хранение его ПД? Если да, то каким образом? Общение с ним происходит по телефону.
Достаточно договора публичной оферты, оформленного через веб-страницу
1. Каким образом правильно подобрать сертифицированное СЗИ по классификации РД (Сборник РД по ЗИ от НСД 1998 г.) для ИСПДн?
2.Каким образом совместить классификацию ИСПДн с классификацией АС по РД в одном акте классификации?
1.Прямого соответствия нет, но в целом в части защиты от НСД требования к 1Г и К1 (многопользовательской) совпадают.
2.В качестве здесь лучше рассмотреть пример Акта классификации АС и ИСПДн.
Вопрос Мегафону. Что Вы можете сказать о новом приказе ФСТЭК №58? Этот приказ упростит Вам задачи по защите ПДн или нет?
Нет, существенного упрощения не произошло. Однако, тот факт, что ФСТЭК меняет свои документы, и меняет их в сторону смягчения требований, вызывает сдержанный оптимизм. Вот отмена 2-х частей «четверокнижия»- действительно упрощает жизнь.
В соответствии с п.1 ст.5 152-ФЗ обработка ПДн должна осуществляться на основе принципов:
.............
4.достоверности ПДн .....
Таким образом, с учетом приказа от 13.02.2008 г. №55/86/20 п.8 (определение специальной ИС), обработка ПДн должна осуществляться только на специальных ИС.
Класс типовой ИС определяется в соответствии с таблицей п.15 приказа от 13.02.2008 г. №55/86/20, а класс специальной ИС на основе модели угроз безопасности ПДн (п.16). К сожалению в указанных методических материалах классификации специальных ИСПДн, методов и способов защиты специальных ИСПДн нет.
Вопрос. Как правильно присваивать класс специальной ИСПДн? И где взять методы и способы защиты специальных ИСПДн?
В отношении "специальных" систем после определения их класса разрабатывается модель угроз и проводится оценка актуальности угроз. По результатам оценки требования по защите ИСПДн от различных угроз могут быть скорректированы по сравнению с типовыми. Решение об этом принимает оператор ИСПДн. В результате классификация может быть, как (например) "Специальная К2"
Какие методы, средства и/или класс систем желательно задействовать при проектировании и внедрении единых корпоративных хранилищ данных в банках РФ для соблюдения обязательных требований ФЗ-152?
Какие из обязательных (или наиболее жестких) требований ФЗ-152 применимы к хранилищам данных?
Вопрос именно про хранилища данных, которые (при правильной организации) содержат полную и непротиворечивую информацию по физическим лицам, полученную из всех информационных систем банка.
Дело в том, что бизнес-пользователи чаще всего не имеют доступа к атомарной информации хранящейся в ХД, а работают только с витринами данных и при том чаще всего только в режиме чтения.
1.В общем случае не_атомарная информация остаётся ПДн при рассмотрении темы ПДн.
2.В случае одновременной обработки на рабочем месте пользователя (в т.ч. Экране монитора) данных субъектов от единиц до сотен записей возможна классификация АРМ как ИСПДн К3.
3.Требования регуляторов в части защиты ПДН ниже требований ЦБ и (или) стандарта Банка России. Все необходимые меры и средства отражены в Приказе № 58 (без учёта СКЗИ).
1)В одном здании расположены несколько юридических лиц, при этом все связаны общими технологическими процессами с использованием персональных данных. Как в этом случае технически и организационно реализовать систему защиты персональных данных?
2)Существует сайт, в котором содержится коммерческая информация,включая ПДн(категория 2). К сайту имеют доступ определенные пользователи (юридические лица)с использованием продукта etoken pro32(Aladdin). С пользователем юр. лицо связывают договорные отношения.
Некоторые юр. лица находятся в иностранных государствах, т.е. есть факт трансграничной передачи ПДн. В таком случае, как осуществлять безопасный доступ иностранных пользователей к сайту, чтобы не противоречить законодательству?
1.Определить обработчика ПДн с заключением соответствующих договоров 2.Описать систему принятых мер по защите каналов связи и информационных ресурсов. Разработать регламент взаимодействия.
Уважаемые коллеги!
Об'ясните пожалуйста, до каких пор ФСТЭК (ГТК) будет заниматься этой Глобальной профанацией деятельности по ЗИ ПДн?
Ведь если в основании всех базовых устоев по защите ГТ - находятся "Модель", МВТР, а вместе с ними математика, физика, тер/вер, опыт, в конце концов... то теперь - ??????
На основании чего БД из 1000 человек надо защищать ТАК, а БД из 1001 - в разы(!!!) дороже?
"Модель угроз", которую втюхивают лицензиаты - вообще не выдерживает ни какой критики по своей сути!!!
И самое главное!!! Все, абсолютно все понимают, что для реальной ЗИ - этого всего совершенно не нужно!!! Но вся система, которую ГТК сформировала в начале 70-х - она ТАК и тащится дохлым призраком в 21 век!!!
Уж лучше бы, в 90-х годах вопросы ЗИ Президент доверил бы курировать спецам из ФАПСИ. У них и со знаниями, и с логикой, и с политикой было все как-то здраво!..
Желаю всем огромных успехов.
Очевидно, что при наличии предложения о замыкании проблемы на ФАПСИ (несуществующая ныне организация) - практически возможно лишь рекомендовать делать что должно.
Существуют различные мнения по вопросам ПДн, Ваше в том числе, но лучшего обсуждать их на форуме. Данный вопрос будет перемещен на форум сайта Рэйнвокс, где можно продолжить дискуссию.
Сколько должны храниться трудовые договора в письменной форме и электронном виде после увольнения работника? Как оформить журнал выдачи персональных данных и как сдавать налоговую отчетность по форме 2НДФЛ и ПФРФ в следствии закона о защите персональных данных.
Вопрос вне рамок настоящей конференции.
что может проверить прокурорская проверка в отделе кадров, а на что у них полномочий нет????
Вопрос вне рамок настоящей конференции.
Сергей Викторович, не секрет, что на "черном рынке" периодически появляются новые базы абонентов сотовой связи, в т.ч. Вашей компании. Как Вы с этим боретесь и как проект по защите ПДн поможет ликвидировать утечки ПДн клиентов?
Нам не известны случаи утечек ПДн абонентов из компаний ОпСоС. Продающиеся на «черном рынке» базы абонентов попадают на рынок другим путем. Если провести анализ информации, размещенной в этих базах, то выясняется, что самые «свежие» данные относятся к 2005-2006гг. Совместными усилиями операторов связи и действиями Регуляторов данный канал закрыт. Собственно, фактически вся деятельность подразделений информационной безопасности операторов (да и вообще всех подразделений безопасности, не только информационной, а так же IT-структур и т.д.) направлена на предотвращение утечек абонентских данных. Компании тратят огромные деньги на поддержание своих информационных инфраструктур в передовом состоянии, на внедрение аппаратно-программных и организационных мер защиты информации.
По моему мнению, исполнение 152-ФЗ в крупных компаниях, которые и так защищали информацию о клиентах, таких как сотовые операторы, банки, страховые компании – никак не скажется на реальном уровне защиты информации. Однако, 152-ФЗ- это закон, и его надо исполнять.
1. Правильно ли я понимаю, что на основани принятого ФСТЭКом приказа от 05.02.10 операторам ПДн при работе в том числе и с первой каегорией ПДн достаточно доказать отсутствие актуальности угроз утечки информации по каналу ПЭМиН, а как следствие данный канал нет необходимости защищать иными мерами, кроме организационных?
2. Исходя из того же приказа, все защитные меры разрабатываются только из модели угроз и класса ИСПДн - никаких заранее готовых перечней механизмов защиты не предусматривается. Класс определяется только исходя из "Приказа трех".
При этом типовых систем, о которых говорится в четверокнижии в природе не существует. Тем не менее перечень методов и способов защиты, привязан к классам типовых систем. На что в первую очередь ориентироваться?
3. Существует ли опыт операторов, которых уже проверяли Регуляторы? Особенно, что касается образовательных и медицинских учреждений? Где это возможно посмотреть?
1.Защита информации, представленной в виде информативных электрических сигналов и физических полей, осуществляется в случаях, когда при определении угроз безопасности персональных данных и формировании модели угроз применительно к информационной системе являются актуальными угрозы утечки информации по каналам побочных электромагнитных излучений и наводок. Приказ 58 описывает соответствующие меры и средства в п.3.2
2.Вопрос некорректен - "Четверокнижие" не является актуальным термином. 3.Материалы носят конфиденциальный характер - по решению соотв.Операторов
1.Вопрос о необходимости оценки соответствия (аттестации)ИСПДн по требованиям безопасности: она теперь не нужна?
2. И что заменит аттестат соответствия: заключение разработчика о готовности СЗИ ИСПДн или что-то другое?
3. Какие документы нужны конкретно для ИСПДн класса К1, К2, К3?
1.В текущих методических документах обязательность аттестации ИСПДн отсутсвует. 2.Мы рекомендуем проводить оценку соответствия ИСПДн требованиям безопасности информации (аттестация или декларирование), которая подтвердит соответствие СЗПДн заявленным требованиям.
Какие программные продукты вы посоветуете применять?
В целях минимизации затрат Заказчика на создание СЗПДн мы предлагаем использовать существующие средства защиты информации и рекомендуем внедрять те решения, которые оптимально подходят для ИТ-инфраструктуры конкретного оператора ПДн.
Что включает в себя работа по постановке на учет в регулирующем органе, получение лицензий? Что это за регулирующий орган и где он находится?
Регулирующим органом по ведению реестра операторов персональных данных является Роскомнадзор. Все операторы ПДн должны направить в Роскомнадзор "Уведомление об обработке ПДн" установленного образца. Закон о персональных данных устанавливает перечень исключений, которые позволяют обрабатывать ПДн без подачи уведомления. Получать лицензии при этом не нужно.
Подскажите, пожалуйста, в каком виде должен быть составлен перечень персональных данных, обрабатываемых в организации? Не нашел формы такого документа.
Утверждённой формы перечня ПДн в нормативных документах нет; перечень упоминается в уведомлении об обработке ПДн. Т.е. перечень составляется в произвольной форме по перечню пунктов, установленных Роскомнадзором.
Здравствуйте, неужели теперь придется получать согласие на обработку персональных данных у всех работников предприятия? А работников у нас очень много в многочисленных филиалах, спасибо.
Согласно п.2 ст. 6 ФЗ №152, согласия субъекта персональных данных не требуется в случае, если обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных. В данном случае речь идет о трудовом договоре, одной из сторон является работник.
Добрый день, хотелось бы узнать у Мегафона - Ваш проект по защите ПДн уже закончен или нет? Каковы результаты?
Нет, проект еще не закончен. Оптимистичные сроки окончания проекта- конец осени 2010 года. Но положительные результаты тем не менее есть. В 2-х регионах успешно пройдены проверки ФСТЭК
Наша компания имеет зарубежные филиалы и представительства, как должна быть организована трансграничная передача ПДн в соответствии с ФЗ-152?
В компании может применяться любая, в том числе уже сложившася, организация трансграничной передачи информации. Важно, чтобы при этом соблюдался режим защиты ПДн, предусмотренный законодательством. Для более точного ответа нужно изучить Вашу специфику передачи ПДн за границу: какие категории ПДн передаются; каналы передачи; используемые средства защиты и т.д.
Наша компания не получала никаких уведомлений о том, что и как нужно делать по закону "О персональных данных". А кто собственно, должен рассылать такие уведомления?
После вступления в силу ФЗ-152 его действие автоматически распространяется на всех операторов ПД, которые не ожидая никаких извещений, должны выполнить требования данного закона.
Добрый день, мы хотим проводить работы самостоятельно, как можно ознакомиться с методическими документами регуляторов?
В настоящее время все методические документы находятся в открытом доступе на портале ПДн Роскомнадзора - http://www.pd.rsoc.ru/low/.
В каких случаях необходимо шифровать передаваемые ПДн и можно ли избежать шифрования?
Шифрование передаваемых ПДн необходимо при передаче ПДн по незащищенным сетям (например, Интернет). Шифрования можно избежать, например, обезличивая ПДн. Т.к. обезличенные ПДн можно не шифровать при их передаче.
Модель угроз безопасности ПДн нужна для всех ИСПДн или есть исключения?
В соответствии с Приказом ФСТЭК, ФСБ, Мининформсвязи №55/86/20 "Модель угроз" разрабатывается для ИСПДн, отнесенных при классификации к "специальным". Для "Типовых" ИСПДн модель угроз не нужна.
Химанычу С.В. В Вашей компании информация наверняка защищались и ранее, насколько кардинально нужно перестраивать существующую систему ИБ, чтобы выполнить требования ФЗ-152?
Одна из задач проводимого нами проекта- минимизировать финансовые затраты и вмешательство в бизнес-процессы Компании. Окончательно «масштаб бедствия» будет понятен, когда по итогам первого этапа проекта у нас будет утвержденная «Модель угроз» с прочими необходимыми документами, и рекомендации по внедрению дополнительных технических средств защиты информации.
Какая ответственность предусмотрена за невыполнение требований закона?
Статья 24, ФЗ-152 гласит: Лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.
Добрый день, у нас используется бухгалтерская программа 1С, ее штатная защита соответствует требованиям закона или нет?
Защищаются не программы, а защищаются персональные данные, обрабатываемые в т.ч с помощью 1С. Как минимум необходима разработка организационно-распорядительной и эксплуатационной документации. Необходимо корректно настроить 1С.
Наша организация является небольшим оператором связи (местная связь, шпд в Интернет). Вопрос по классификации ИСПДн. Согласно порядка классификации, ИСПДн делятся на типовые и специальные. К каким ИСПДн всетаки отнести ИСПДн оператора связи? Если следовать логике определения то получается что всетаки - специальная. Тогда требуется ли проводить классификацию ИСПДн согласно объемов обработки ПД и категории ПД? И как классифицировать специальную ИСПДн? Хотелось бы избежать ошибок на старте.
Классификацию ИСПДн необходимо проводить в соответствии с установленным "Порядком классификации ..." вне зависимости от того какая система "специальная" или "типовая". Классификация проводится "на основе анализа исходных данных", среди которых есть и объем и категория ПДн. Это самые важные (основные) данные, которые должны быть учтены при проведении классификации. Если система специальная, нужно разработать модель угроз и на основе её (с учетом её и исходных данных) присвоить класс системе. При классификации учитывается ущерб как непосредственный так и опосредованный. ИСПДн операторов связи целесообразно отнести к специальным системам. Скорее всего, в Вашем случае, система не будет иметь класс выше К2.
Обязательно ли в Уведомлении об обрабоке ПДн указывать Класс ИСПДн?
1. В "РЕКОМЕНДАЦИЯХ
ПО ЗАПОЛНЕНИЮ ОБРАЗЦА ФОРМЫ УВЕДОМЛЕНИЯ..." (Приложение №2 к Приказу №08) об этом ничего не сказано, хотя электронная форма подачи, размещенная на портале pd.rsoc.ru предполагает наличие указания Класса ИСПДн в поле "Описание мер..."?
2. Если указание Класса ИСПДн необходимо, тогда какой указывать при наличии 2-х ИСПДн, имеющих различные классы?
3. Как быть вновь образованным Операторам, готовым Уведомить регулятора об обработке ПДн, но создаваемая ИСПДн классификацию еще не прошла?
Указвать класс системы обязательно. Сначала надо классифицировать ИСПДн, а затем подавать уведомление.
Когда вами будет закончена работа по проекту Тритон?
Будут ли эти документы доступны для любых операторов связи или они ориентированы ТОЛЬКО на сотовых операторов большой тройки?
Результаты работ являются собственностью Инфокоммуникационного Союза, поэтому порядок доступа к ним определяем не мы. Скорее всего доступ к ним будут иметь все желающие.
Слышал, что ваши документы, разработанные по проекту Тритон, находятся на согласовании с регуляторами. Однако, пока они согласовываются, вышел приказ ФСТЭК №58.
Ваши документы не учитывают произошедшие изменения в законодательстве (этот самый приказ №58 и последующая отмена двух книжек ФСТЭК)и таким образом не имеют практического смысла.
Каковы ваши дальнейшие действия по проекту с учетом того, что законодательство в области ПДн еще НЕ РАЗ поменяется?
Цель проекта - выработка единых требований на основе документов ФСТЭК. Требования формировались с учетом серии ГОСТ 15408, а они не изменились.
Здравствуйте, Сергей, а как Вы считаете, помимо выполнения требований ФЗ-152, проект по защите ПДн способствует повышению доверия к Вашей компании, увеличится поток клиентов, например?
Это вопрос скорее не ко мне, а к коммерческой функции или возможно к PR подразделению Компании. Мое мнение, что на увеличении количества клиентов это никак не скажется.
Собираемые ПДн классифицированы как К3. Для автоматизации работы секретаря и администрации используется БД Ms Access. Можно использовать встроенные в Windows средства шифрования или мы обязаны купить программу криптографической защиты, имеющую соответсвующие сертификаты ФСТЭК и ФСБ.
С уважением,
Татьяна Тулинова
Если какналы связи не выходят за пределы контролируемой зоны, то использовать криптосредства не обязательно. Достаточно использовать штатные средства ОС.
На фоне всех обсуждений качества закона и документов с ним связанных всегда хочется задать практический вопрос:
Как вы видите организацию защиты персональных данных в малых организациях численностью порядка 5-ти - 50-ти человек, имеющих (из систем содержащих персональные данные)бухгалтерскую систему систему учета кадров и все? По некотором оценкам стоимость организации защиты такой организации составляет что-то около 100 - 200 т.р. Что согласитесь превышает возможности предприятия из 5-ти человек.
Выполните все работы самостоятельно. Разработайте внутренние документы (шаблоны есть в интернете, за основу можно взять документы Минздравсоцразвития), настройте штатные средства ОС и приложений в соответствии с требованиями приказа № 58.
Требуется ли сертификация АРМ, на которых проводится обработка ПДн категории 2? Нужно ли при защите этих ПД руководствоваться требованиями для систем класса 1Г или достаточно соответствовать требованиям, приведённым в приложении к приказу №58 ФСТЭК?
Сертификация (аттестация) ИСПДн любого класса теперь не является обязательной.
Нет ли на Западе готовых моделей формирования политики в области защиты персональных данных? Наверняка есть. Тогда почему нельзя их использовать при разработке законодательства? А если они и используются, почему же столько обсуждений посвящено этой проблеме?
На самом деле подход к технической защите почти одинаков во всех странах, а вот правовое регулирование сильно отличается. Проблема в том, что до сих пор в нашем законодательстве много коллизий и белых пятен. Вот и обсуждаем совместно и вносим предложения в Госдуму.
Мои оппоненты хотели бы признать обработку ПДн в своей Информационной системе как осуществляемую без использования средств автоматизации на основании Положения Правительства РФ от 15.09.2008. № 687, а ИМЕННО:
1. Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при НЕПОСРЕДСТВЕННОМ участии человека.
2. Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.
Вопросы:
1.Что такое НЕПОСРЕДСТВЕННОЕ участие?
2.Если ПДн содержатся в БД и извлекаются только для обработки вручную, то это подпадает под действие Положения № 687?
В таком случае доказывание контролирующими органами что они обрабатывают ПДн с использованием средств ВТ попадает в плоскость ОРД?
======================
3. Не в связи с первыми.
Позволяет ли лицензия ФСТЭК на деятельность по технической защите информации осуществлять весь комплекс работ по защите ПДн?
В том числе создание Систем защиты ПДн и проведение планового и внепланового технического обслуживания СЗ (например “Континента”).
По нашему мнению лучше руководствоваться Евроконвенцией:
c) "автоматизированная обработка" включает следующие операции, осуществляемые полностью или частично с помощью автоматизированных средств: хранение данных, осуществление логических и/или арифметических операций с этими данными, их изменение, уничтожение, поиск или распространение;
Вряд ли Вы докажете проверяющим, что в Вашем случае обработка без средств автоматизации.
На основе разработанной для ИСПДН модели угроз принято решение использовать определенный перечень средств защиты информации (сертифицированные ФСТЭК). Может ли организация собственными силами устанавливать средства защиты информации без получения лицензии ФСТЭК?
Может.
Как быть с ПДн родственников, которые указываются при устройстве на работу. Потребность в проверки данных, указанных кандидатом, имеется, отказаться от обработки таких ПДн нельзя.
Если Вы устраиваетесь в МВД или ФСБ, то там действуют собственные инструкции.
А вообще, ТК запрещает требовать дополнительные сведения:
"Запрещается требовать от лица, поступающего на работу, документы помимо предусмотренных настоящим Кодексом, иными федеральными законами, указами Президента Российской Федерации и постановлениями Правительства Российской Федерации."
Обмениваемся с головной организацией данными по интернету - нужна ли защита?
Конечно нужна. Пересылка по электронной почте равносильна открытому опубликованию информации. Защищайте каналы.
Каков на ваш взгляд примерный минимальный объем финансирования работ по ИБ и защите ПДн при наличии до 10-ти нераспределенных ИС (К3) на год?
Ну если очень-очень предварительно, то 500 тыс в квартал. А вообще, конечно, надо понимать объем работ. Цена эта очень приблизительная.
Уважаемые господа!
Что еще ожидать от наших регуляторов? и насколько оправданно сейчас проведение работ по защите ПДн? Не получиться так как случилось с выходом 58 приказа?
По нашему мнению работы оправданы. Например, те кто разработал документацию в прошлом году ничего не потерял. Необходимость не отпала. Что касается требований по технической защите, то меняться они уже вряд ли будут.
В связи с отменой 2х документов из "четверокнижия", где прописывались аттестация, декларация соответствия и использование сертифицированных СЗИ, как теперь операторы должны защищать свои ИСПДн, надо ли их аттестовывать и применять сертифицированные СЗИ
Аттестация теперь не обязательна. Использование сертифицированных СЗИ обязательно для ИСПДн 1 класса.
В свете недавно изменившегося законодательства по защите ПДн остается ли обязательной сертификация применяемых средств защиты информации?
Для систем 1- го класса да.
В связи с изменениями, произошедшими в нормативной базе по ЗПД (опубликование документа «Положение о методах и способах защиты информации в информационных системах персональных данных», утвержденного Приказом ФСТЭК России № 58 от 05 февраля 2010 г., а также Распоряжения ФСТЭК России, отменившего применение документов «Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» и «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных», какой подход к классификации "специальных" систем применим в настоящий момент?
Трехглавый приказ "О порядке классификации …. " никто не отменял. Им и необходимо руководствоваться.
Добрый день.
Наша компания занимается выставочной деятельностью, и соответственно, собирает и обрабатывает данные об участниках выставок. Попадает ли данный вид деятельности под действие закона о защите персональных данных?
Спасибо.
Если Вы обрабатываете ПДн, то и действие 152-ФЗ на Вас распространяется. Другой вопрос, что данные могут относиться к 4-ой категории.
Необходима ли лицензия для реализации защиты ПД внутри учреждения? и есть ли какие-то дополнительные требования для ИСПДн класса к2, разработанных своими силами? Достаточно только декларировать соответствие?
Лицензия не нужна. Требования изложены в Приказе №58.
Мой отдел занимается расчетом и принимает оплату за коммунальные платежи. Программу по сбору и обработке всей информации писал я самостоятельно. Если можно конкретно какие действия мне нужно соблюсти, что бы не было нареканий от проверяющих органов. В прошлом году меня проверяла прокуратура, после проверки сделал: положение о защите ПД, приказы о размещении, хранении, копировании, о допуске к данным. На данном этапе их это удовлетворило, но выговор был объявлен. Не могу ни где найти точного определения - что конкретно нужно.
Разработайте полный пакет документов. Шаблоны есть в интернете.
Что касается технической защиты, то все требования есть в приказе ФСТЭК №58.
Уважаемые коллеги! Как вы считаете, и может, Вы знаете мнение регуляторов, если организация сама для себя, для внутреннего пользования, использует технические средства защиты информации - межсетевые экраны, антивирусы и т.д., должна ли она получать лицензию ФСТЭК на ТЗКИ? По-другому - является ли это "деятельностью по ТЗКИ" или все-таки деятельность - это когда для других и за деньги? Спасибо за ответ.
Лицензия нужна только в том случае, если Вы оказываете услуги по ТЗКИ, т.е. Вам не нужна.
Здравствуйте. Прошу уточнить ответ на вопрос об процедуре оценки соответствия для средств защиты информации применяемых в ИСПДн, а именно на соответствие чему СЗИ должны проходить процедуру оценки соответствия?
В России существует система сертификации СЗИ по требованиям безопасности информации http://www.fstec.ru/_razd/_serto.htm
Мы имеем лицензию ФСТЭК на ТЗКИ. Можем ли мы проводить аттестацию АС и АРМ по ПДн для третьих лиц?
Можете, если в лицензии нет никаких ограничений.
1.Имеет ли право руководитель назначить ответственным за защиту ПД человека без образования именно в этой области(защита ПД)?
2. Необходимо создание такого отдела по защите ПД при наличии 100 ПК и 40 ИСПДн, которые необходимо защитить?
3. КАкие минимальные требования к защите ИСПДн 4 класса? И надо ли их защищать?
4. ИСПДн, в которой обрабатывается информация о прививках: ФИО, д.р., адрес, м.работы, поставленная прививка к какому классу отнести?
5. ИСПДн с мед.оборудованием, где указаны диагнозы и описание снимков (ФЛГ, рентгенаппараты) тоже требуют защиты?
1. Можете.
2. На Ваше усмотрение.
3. Требований нет. Защищайте на свое усмотрение.
4. Для определения класса не хватает объема.
5. Требуют, только вот достаточным может оказаться применение организационных мер.
в нашем коммерческом медучреждении ведётся обработка ПД обратившихся к нам клиентов без указания диагноза (т.е. без указания состояния здоровья пациента), но с указанием ФИО, возраста (даты рождения) и места регистрации пациента. Для обработки выше названных данных нужна ли нам особая система защиты ПД? И к какому классу будет отнесено наше учреждение в соответствии с требованиями ФСТЭК?
Класс скорее всего 3-ий. Особых требований по защите нет.
День добрый!
Интересует вопрос необходимости сбора согласий об обработке ПДн с пациентов лечебных учреждений и страховых компаний при выдаче полисов ОМС.
Как быть если пациент или застрахованный не дает согласия на обработку его ПДн?
Пролечить его мы обязаны, но в случае его отказа лечебное учреждение не получит оплаты за его лечение по системе ОМС.
Или в случае со страховой компанией - они не смогут выдать ему полис ОМС?
Разъяснить ему последствия отказа и в случае отказа не выдавать полис.
Что такое "четверокнижие"?
Его уже нет. А вообще - это 4 нормативно-методических документа ФСТЭК по защите персональных данных.
Зарегистрирован ли Reign Fox в реестре операторов ПДн РКН?
ReignVox обрабатывает ПДн только своих сотрудников и уведомление в Роскомнадзор не направлял.