Перейти к содержимому


Защита персональных данных


  • Эта тема закрыта Тема закрыта
4 ответов в этой теме

#1 ispdn

ispdn
  • Guests

Опубликовано 10 January 2012 - 16:41

Как помнят все интересующиеся ФЗ-152 «О персональных данных» был принят в далеком 2006 году. Введение Закона в полную силу нудно откладывалось, однако когда-то он вынужден был заработать. 1 июля 2011 это случилось.
Для нас (госконтора, приблизительно в 20000 лиц в то трудное время) проблема поднялась в 2008 году.
На начальном этапе не слишком здорово, только потом как в сказке: «Чем дальше, тем страшнее».

Для начала первый этап — начальные Оргмеры.

— В каждой бумажке типа Заявления появилась надпись маленькими буковками (воеже оставить прежний размер бланка) — «Выражаю разрешение на необходимое использование моих персональных данных, в том числе в информационных системах».
— В Заявлениях на детские пособия было внесено приложение про несовершеннолетних детей.
— Также были взяты отдельные Заявления с согласием предоставления и передачи данных из других учреждений (Пенсионный Фонд, НПФ т.п.).

Неимоверно обилие бумаг и совсем маловато техники
Другой этап — разработка правильной документации.
Наступал 2009 год и было известно, что Закон еще отложат. Финансирования нет. Никто особо не торопится. Можно разрабатывать документацию. Вышестоящая контора дала образцы следующих документов:

Предначертание о назначении должностных лиц, ответственных за защиту информации ограниченного доступа, не содержащей государственной тайны;
Приказ об определении контролируемой зоны, в которой расположены узлы автоматизированной системы предназначенной чтобы обработки информации ограниченного доступа, не содержащей государственно тайны;
Повеление о запрещении обработки информации ограниченного доступа для не аттестованных объектах информатизации
Инструкцию по эксплуатации средств защиты информации объекта вычислительной техники;
Инструкцию по установке нового и модификации используемого программного обеспечения на автоматизированной системе обрабатывающей информацию ограниченного доступа;
Инструкцию по организации антивирусной защиты для автоматизированной системе обрабатывающей информацию ограниченного доступа;
Инструкцию администратору информационной безопасности автоматизированной системы, обрабатывающей информацию ограниченного доступа;
Инструкцию по внесению изменений в списки пользователей и наделению их полномочиями доступа к ресурсам автоматизированной системы обрабатывающей информацию ограниченного доступа;
Инструкцию по организации парольной защиты автоматизированной системы;
Инструкцию по организации резервного копирования данных автоматизированной системы обрабатывающей информацию ограниченного доступа;
Инструкцию пользователя автоматизированной системы.
Матрицу доступа к защищаемым ресурсам автоматизированной системы;
Технический паспорт на АС;
Книга учета допуска к работе в автоматизированной системе обрабатывающей информацию ограниченного доступа;
Журнал учета и выдачи машинных носителей информации предназначенных ради хранения информации ограниченного доступа, не содержащей государственной тайны;
Книга учета средств защиты информации;
Форму Заявки для внесение пользователей АС;
Форму Акта проведения технических работ для объектах информатизации АС;
Перечень сведений конфиденциального характера;
Список защищаемых информационных ресурсов;
Изображение технологического процесса обработки информации в выделенной локальной вычислительной козни;
Схему коммутации выделенной локально вычислительной сети;
Перечень лиц, допущенных к самостоятельной работе в АС.

Третий этап — закупка технических средств защиты информации.
Правильнее сказать, который закупала головная контора, мы после единственно забирали. В результате получились:
— Далласы на рабочие станции
— Випнет координатор ради защищенного доступа сообразно IP-MPLS каналу к вышестоящей конторе.
— Глушилки
— Проведена сертификация Windows Server (здесь подобное обсуждается)

Четвертый остановка — умственно-физические работы.
Защищаемая автоматизированная система должна непременно защищена и физически. Тут непомерно удачно подвернулся переезд отдела, работающего с персональными данными для другой этаж. Известный отдел оказался в ограниченном помещении, взаперти из кабинетов отобрали перед серверную. В результате с этажа на маршрутизатор выходят два кабеля (главный и резервный). Компьютера форматнули, установили чистую обновленную винду, офис, антивирь, рабочую прогу. В октябре 2009 приехали ребята с Питера. Установили Далласы, глушилки, настроили випнет, сделали все замеры, откорректировали документацию.

Пятый остановка — завершение.
В конце октября 2009 собралась внутренняя забота сообразно защите персональных данных. Были назначены ответственные лица, которые должны были после неделю подготовить документы и провести работы сообразно защите персональных данных (те самые, что перечислены со второго этапа). За неделю ответственные все сделали. И комиссия с радостью приняла защищенную систему в эксплуатацию. Оживленно был получен билет для три возраст, на чем всетаки и кончилось.

Понятно, что для самом деле кончилось еще не все.
К примеру защищенная учение является единым программно-техническим комплексом. Мышь не поменяешь. Зато однажды в год дозволено вызвать аттестатора ради проверки соблюдения всех показателей защиты. А аттестатор имеет власть изменять имеющиеся документы. Так сколько мышь поменять реально.
Ну и современная понятие электронного межведомственного взаимодействия. Идея хорошая. Вот только, не предусмотренная предыдущей концепцией защиты персональных данных. Так который когда реализуем — будем кропать аттестацию снова.

Пропорционально изменениям, внесённым законом № 363-ФЗ через 27 декабря 2009 возраст, операторы персональных данных должны привести магнит системы обработки персональных данных, запущенные древле 1 января 2010 возраст, в единогласие с законом загодя 1 января 2011 года. Федеральным законом через 23 декабря 2010 возраст № 359-ФЗ «О внесении изменения в статью 25 федерального закона „О персональных данных“» срок приведения информационных систем персональных данных, созданных заранее 1 января 2011 возраст, в аналогичность с требованиями закона № 152-ФЗ – не позднее 1 июля 2011 года. Последние изменения были внесены федеральным законом № 261-ФЗ сквозь 25.07.2011. Этим законом была уточнена мир действия Федерального закона «О персональных данных», используемые в нём основные понятия, принципы и условия обработки персональных данных. Существенно переработаны действующие законодательные нормы, касающиеся трансграничной передачи персональных данных, мер пропорционально обеспечению безопасности персональных данных подле их обработке, прав и обязанностей оператора, взаимоотношений оператора и субъекта персональных данных.

Вступил в силу федеральный вера О персональных данных 152-ФЗ
<a href="http://.ru">личные данные</a>
  • 0

#2 123asdqwerty

123asdqwerty

    Super True Member

  • Moderators
  • PipPipPipPipPip
  • 12588 сообщений
0
Обычный
  • Пол:Мужчина
  • Город:spb

Опубликовано 10 January 2012 - 16:46

Ну все всё поняли, да?
  • 1
строю сети за еду

#3 Илюша

Илюша

    На у метро..

  • Moderators
  • PipPipPipPipPip
  • 8957 сообщений
1115
Очень хороший
  • Пол:Мужчина
  • Город:ЮЗ-Просвет

Опубликовано 10 January 2012 - 16:50

Ну все всё поняли, да?

А ты всё прочитал? Может это тоже поэт !
  • 0

#4 123asdqwerty

123asdqwerty

    Super True Member

  • Moderators
  • PipPipPipPipPip
  • 12588 сообщений
0
Обычный
  • Пол:Мужчина
  • Город:spb

Опубликовано 10 January 2012 - 17:01

А ты всё прочитал? Может это тоже поэт !

Не, какое там!
Где тут искусство, если он никого не обложил хуями? ))))
  • 0
строю сети за еду

#5 GeX

GeX

    Super True Member

  • Moderators
  • PipPipPipPipPip
  • 11350 сообщений
111
Очень хороший
  • Пол:Мужчина
  • Город:Ленинский 110/2

Опубликовано 10 January 2012 - 23:37

А ты всё прочитал? Может это тоже поэт !


Расколол на 2ой строчке =)
  • 0
Я в контакте Ты должен быть сильным, иначе, зачем тебе быть
Размещенное изображениеРазмещенное изображение
Размещенное изображениеРазмещенное изображение


Посетителей, читающих эту тему: 1

0 пользователей, 1 гостей, 0 анонимных пользователей