безопасность персональных данных (инвентаризация информационных систем)

[HAW]

http://mediazenter.ru/home/1/1/

[watashiwa_daredeska]

А пояснить? К чему это? К тому, что все документы предоставлены в сверхстандартном DOC? Или к тому, что безопасность персональных данных до сих пор не обеспечивалась? Дык, и то, и другое — очевидно, судя по наличию на прилавках всевозможных БД с персональной информацией на оптических носителях. Или это к тому, что гос. органы якобы озаботились обеспечением таковой безопасности? Начинание похвальное, думаю, лет через 10 обеспечат на уровне, хотя бы сравнимом со странами золотого миллиарда.

[akdengi]

Тут большое пушное животное. Так как по идее например из связок ОС + ПО существуют (надеюсь пока) только сертифицированные ФСТЭК (а окромя нее "контролирующей" организации нет) решения от АЛЬТ, Мандрива и MS, которые удовлетворяют закону. Но вот остальное... У нас по идее счас почти вся страна незаконно работает по этому закону.

[HAW]

А пояснить? К чему это?

а что тут непонятного? воткнут своё, известно на какой платформе деланное и скажут "пользоваться всем ибо по закону!".

edumandriva &"школьный линукс" + ружель сертификата ФСТЭК не имеют.

[akdengi]

А пояснить? К чему это?

а что тут непонятного? воткнут своё, известно на какой платформе деланное и скажут "пользоваться всем ибо по закону!".

edumandriva &"школьный линукс" + ружель сертификата ФСТЭК не имеют.

не а. Это а) хлопотно б) невозможно (точнее о-о-о-чень геморойно) в обновлении (все патчи по идее тоже надо сертифицировать, а у нас не умеют работать за пару дней) в) дорого...

[HAW]

Взаимодействуют ли компьютеры, обрабатывающие персональные данные, между собой?
Если да, представить общую структуру информационной системы с указанием взаимодействия компьютеров (компанент) между собой (какими персональными данными обмениваются).

рыдаю....

не а.

это по идее "не а", на практике можно читать: "за это мы вас будем иметь, а вот за это нет."

[akdengi]

это по идее "не а", на практике можно читать: "за это мы вас будем иметь, а вот за это нет."

Тут прикол в другом - сертифицированные решения по определению != свободные и бесплатные. И издают их не сами "авторы" + чтобы их купить нужно "региться" в ФСТЭК и т.п. Вопрос понятно больной, но я пока выхода из этого тупика не вижу.

P.S. Надо все таки спросить у специалистов по этому поводу, может не все так плохо, чтобы потом не обвинили в нагнетании истерии.

[HAW]

лучше перебдеть.
тут некоторые год говорили, что "Всё схвачено" в результате Минсвязи "Рекомендации..."(бывшая "Концепция...") так и не приняло и ФАО объявление конкурса до безобразия задержало. Причём никаких распоряжений по СПО у школах так и нет.

[watashiwa_daredeska]

Это а) хлопотно б) невозможно (точнее о-о-о-чень геморойно) в обновлении (все патчи по идее тоже надо сертифицировать, а у нас не умеют работать за пару дней) в) дорого...

Это всё относится ко всем. К нелюбимому майкрософту в том числе. Только не говорите мне, что они каждый хотфикс сертифицируют.

[LostDragon]

Я работаю в госоргане. Вот пришла бумага, нужно классифицировать системы персональных данных. Далее с 1 января 2010 года если системы не будут безопасными, то будут вплоть до тюрьмы все наказаны.

Что включает в себя система безопасности (по мнению нашего (в нашей области) правительства):
1. Антивирус
2. Контроль входа в систему с разграничением прав
3. протоколирование входа в систему и запуска систем учета ПД
4. Защита информации

После долгого изучения данного вопроса выяснилось, что необходимо на компьютер получить сертификат в одной из контор (контора сынка одного из власть имущих (получение сертификата в других конторах оказывается не правомерно, ибо тока эта контора самая правильная) ) и установить доп оборудование (электронные ключи доступа и т.д.)
Оборудование устанавливается только совместно с MS Windows, под другие операционки оно работать не желает.
Плюсы: шифрование на аппаратном уровне данных на хардах, полный контроль каждого чиха в сторону компьютера.
Минусы: Винда, цена всего щастья помимо лицензий на ПО ~ 150 тысяч на 1 машину. Далее каждый год ~ 30 тысяч подтверждение.

Вот к примеру как это выглядит у нас, есть систепа учета персональных данных (АИС САО), используют её в сельских советах для ведения похозяйственных книг. Учитывается много различной информации.
В теории да, надо этот компьютер обезопасить и все такое.
На практике - в некоторых сельсоветах годовой бюджет меньше суммы запрошенной за сертификацию рабочего места.

В итоге получаем - нахрен весь учет в электронном виде, все что наработано стирается и начинаем вести все по новой на бумаге, как было и раньше.

Вот както так..

[AlexYeCu]

Я вам сейчас дам совет, лучше которого не даст никто.
Либо забейте нахрен (деньги вы искать не обязаны), либо увольняйтесь. Сделать что-либо по уму, или хотя бы по закону вам скорее всего не дадут. И первым препятствием станет ваше непосредственное начальство. То, что творят Главный Вор вашей области и Сын Главного Вора вашей области естественно незаконно. Требовать с вас получения каких-либо сертификатов они не имеют права. Установить операционную систему, сертифицированную для работы с персональными данными — это с вас требовать могут, но в число таких систем входят и некоторые дистрибутивы GNU/Linux. Уголовное преследование за необращение к Сыну Главного Вора вам может угрожать с той же долей вероятности, что и физическая расправа. Т.е. вероятность не нулевая, но по закону не провернуть.

[yaleks]

http://mediazenter.ru/home/1/1/

и что по ссылке? у меня ничего не видно.

[Хелита]

защита ПД? в образовании? это было бы смешно, кабы не было так грустно
главный враг любого закона это дурак наверху

[akdengi]

защита ПД? в образовании? это было бы смешно, кабы не было так грустно
главный враг любого закона это дурак наверху

поднял вопрос вот тут: Юридические проблемы конкретно
Нужно уже конкретно разобраться с темой...

[begin2009]

Я работаю в госоргане. Вот пришла бумага, нужно классифицировать системы персональных данных. Далее с 1 января 2010 года если системы не будут безопасными, то будут вплоть до тюрьмы все наказаны.

Что включает в себя система безопасности (по мнению нашего (в нашей области) правительства):
1. Антивирус
2. Контроль входа в систему с разграничением прав
3. протоколирование входа в систему и запуска систем учета ПД
4. Защита информации

После долгого изучения данного вопроса выяснилось, что необходимо на компьютер получить сертификат в одной из контор (контора сынка одного из власть имущих (получение сертификата в других конторах оказывается не правомерно, ибо тока эта контора самая правильная) ) и установить доп оборудование (электронные ключи доступа и т.д.)
Оборудование устанавливается только совместно с MS Windows, под другие операционки оно работать не желает.
Плюсы: шифрование на аппаратном уровне данных на хардах, полный контроль каждого чиха в сторону компьютера.
Минусы: Винда, цена всего щастья помимо лицензий на ПО ~ 150 тысяч на 1 машину. Далее каждый год ~ 30 тысяч подтверждение.

Вот к примеру как это выглядит у нас, есть систепа учета персональных данных (АИС САО), используют её в сельских советах для ведения похозяйственных книг. Учитывается много различной информации.
В теории да, надо этот компьютер обезопасить и все такое.
На практике - в некоторых сельсоветах годовой бюджет меньше суммы запрошенной за сертификацию рабочего места.

В итоге получаем - нахрен весь учет в электронном виде, все что наработано стирается и начинаем вести все по новой на бумаге, как было и раньше.

Вот както так..

Я Вас прекрасно понимаю. Сам, руководитель органа местного самоуправства. Была попытка втюхать нам электронную версию похозяйственной книги. Естественно, от 1С. Естественно, под винду. Естественно, такой неповоротливый монстр. Ни один глава волости (у Вас наверно председатель сельсовета) не купил. У всех причина простая. Бюджет у каждого ~ 1,4 млн. руб. Я лично, еще и стал в позу, и чего-то почирикал про ФАС, так как в нашей администрации уже 3 года (вплоть с начала реализации 131-ФЗ) на всех компах стоит мандрива. Однако, если сильно зажмут - никуда не денешся, отдашь все деньги и будещь прикручивать этого мастодонта на вайн. Для учета персональных данных (похозяйственная книга) у нас под линукс есть нечто самопально-наколеночное. Сейчас нас это устраивает. Однако, если возьмутся серьезно, то требованиям сего закона наша прога совсем не удовлетворяет. Нет шифрования, нет (а нахрен он нужен при одном-то специалисте) пароля.

PS Успокаивает одно. Варезный офтопик из волостей не искоренили, так и с нашей доморощенной базой: накося-выкуси!

[LostDragon]

Я Вас прекрасно понимаю. Сам, руководитель органа местного самоуправства. Была попытка втюхать нам электронную версию похозяйственной книги. Естественно, от 1С. Естественно, под винду. Естественно, такой неповоротливый монстр. Ни один глава волости (у Вас наверно председатель сельсовета) не купил. У всех причина простая. Бюджет у каждого ~ 1,4 млн. руб. Я лично, еще и стал в позу, и чего-то почирикал про ФАС, так как в нашей администрации уже 3 года (вплоть с начала реализации 131-ФЗ) на всех компах стоит мандрива. Однако, если сильно зажмут - никуда не денешся, отдашь все деньги и будещь прикручивать этого мастодонта на вайн. Для учета персональных данных (похозяйственная книга) у нас под линукс есть нечто самопально-наколеночное. Сейчас нас это устраивает. Однако, если возьмутся серьезно, то требованиям сего закона наша прога совсем не удовлетворяет. Нет шифрования, нет (а нахрен он нужен при одном-то специалисте) пароля.

PS Успокаивает одно. Варезный офтопик из волостей не искоренили, так и с нашей доморощенной базой: накося-выкуси!

Проблема немного больше. В нашей вечно эксперементальной области хотят электронное правительство и единую базу населения для всех организаций. Поэтому (на халяву!) всем натыкали АИС САО (от инсофт, под вайном работает, с опенофисом дружит), в ней учитывается слишком много различной конфеденциальной информации (ФИО, адрес, место рождения, родственные связи, образование, имущество) а в связи с такими данными СПДн будет 2 класса - обязательного к сертификации. Теперь согласно положения ФСТЭК № 55\ФСБ № 86\Минсвязи № 20 от 13 февраля 2008 года нужно провести классификацию ПДн, аттестацию и сертификацию рабочих мест. Отмазаться не возможно. Банальное очередное выбивание денег.
У нас тоже была доморощенная база, нам даже обещали все наши данные сконвертировать в нужный формат. В итоге корячились сами писали конверторы. Россия, мать её...

[HAW]

два варианта...
или под шумок рабочие места на линукс сертифицируют
или его не будет на рабочих местах.

Зато ещё подозрительней задержка "рекомедаций" от Минсвязи.

[begin2009]

учитывается слишком много различной конфеденциальной информации (ФИО, адрес, место рождения, родственные связи, образование, имущество) а в связи с такими данными СПДн будет 2 класса - обязательного к сертификации.

= похозяйственная книга;
паспортные данные+место рождения+место жительства=домовая книга.

Именно волости по смыслу закона, просто кладезь информации. Итак всяческие ночные и дневные надзоры достали, а теперь и с этим.

Россия, мать её...

[LostDragon]

= похозяйственная книга;
паспортные данные+место рождения+место жительства=домовая книга.
Именно волости по смыслу закона, просто кладезь информации. Итак всяческие ночные и дневные надзоры достали, а теперь и с этим.

совершенно согласен. Но есть еще и другие держатели ПДн - больницы, учебные заведения а также огромное колличество ЧП (базы клиентов).

Но проще всех в данный момент выдрать (нужное) из муниципалитетов...

[begin2009]

Но проще всех в данный момент выдрать (нужное) из муниципалитетов...

А из бюджетников всегда проще. Сейчас, когда ограничили проверки малых предприятий, все это воронье залетало. Как признался один пожинспектор, начальство давит. В прошлом году было 56 предписаний юрлицам, а в этом только физическим. Не работаешь!

Глубокое ИМХО, по смыслу безопасность нужна там где чтото может произойти плохое для человека (первый пример - банковская информация), но проверять ринутся именно бюджетников. Картиночка - деректоров школ под суд. Классные журналы в свободном доступе!!!