Обсуждаем закон "О персональных данных"

[akdengi]

А может пообсуждаем закон "О персональных данных" http://www.fstec.ru/_docs/doc_1_2_005.htm?
Вопрос возникает очень простой - учебное заведение, как государственное. Где и как будет применим этот закон, и что делать в данном случае?
Персональные данные например идут на кафедрах, бухгалтерии, отделе кадров, приемных комиссиях.

Означает ли это необходимость ОБЯЗАТЕЛЬНОГО использования сертифицированных ФСТЭК решений?

[Voral]

Означает ли это необходимость ОБЯЗАТЕЛЬНОГО использования сертифицированных ФСТЭК решений?

Я разработчик некоего ПО. В котором персональных данных хоть отбавляй. Клиенты к нам обратились по поводу этого закона. Мы поидее вместе покумекали. (А их юристы сказали, что соблюдать данный закон надо). Что решать его на уровне конкретного ПО не целесообразно. И, кстати, этот закон в большей степени касается организационных данных. Т.е. разграничение прав доступа, разъяснение пользователям, что с этими данными надо быть повнимательнее. А главное, как я понял, надо уходить от логинов типа "Бухгалтерия" (под которым логинится человек 20). А каждому пользователю свой логин и пароль. Возможно необходимая мера протоколирование работы с персональными данными.

Ну, а касаемо файлов (всех БД, а так же документов с персональными данными) размещать на шифруемых разделах. Т.е. накрывать шифровальным колпаком всю кухню сразу.

Ну а конкретно по необходимости и степени работ по данному закону должна определить стороняя организация определяющая класс персональны данных (и имеющая лицензию на это)

[akdengi]

Просто смущает вот это:

Статья 19. Меры по обеспечению безопасности персональных данных при их обработке
1. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
2. Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.

и вот это:

3. Информационные системы персональных данных, созданные до дня вступления в силу настоящего Федерального закона, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2010 года.

Осталось уже меньше четырех месяцев, а ясности нет. Точнее нет внятного разъяснения требований и действий, как их соблюсти.

[Voral]

1. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

Персональный логин и пароль. Шифрование на уровне ФС. я както под виндой использовал комплект утилит PGP. Там можно зашифровать даже отдельную папку. Если интересно я поищу как эта байда называется.
+ Можно для пущей "крутости" оставить включенные ЮСБ, и пишушие DVD/CD ROMб дисководы только там где это действительно необходимо....

и вот это:

3. Информационные системы персональных данных, созданные до дня вступления в силу настоящего Федерального закона, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2010 года.

Осталось уже меньше четырех месяцев, а ясности нет. Точнее нет внятного разъяснения требований и действий, как их соблюсти.

Ну вот мои клиенты (достаточно серьезная организация) отим озабочены. Мы расстались на том, что они собирались вызвать эту самую "сторонюю организацию" для определения класса персональных данных.....

ИМХО лучше сделать, чем случайно оказаться паравозом

[colonel]

akdengi, Voral

Я не против попробовать внести ясность. Но учтём, что это тема для серьёзной статьи, вряд ли её можно решить путём форумного обсуждения.
От себя могу предложить следующее: я попытаюсь такую статью создать, где-то её выложить. А потом можно будет и пообсуждать (и зверски покритиковать). Сразу говорю, что срок -- не менее месяца.

P.S. Тема вообще-то не сюда, так что если будет желание, откроем новую.

[akdengi]

akdengi, Voral

Я не против попробовать внести ясность. Но учтём, что это тема для серьёзной статьи, вряд ли её можно решить путём форумного обсуждения.
От себя могу предложить следующее: я попытаюсь такую статью создать, где-то её выложить. А потом можно будет и пообсуждать (и зверски покритиковать). Сразу говорю, что срок -- не менее месяца.

P.S. Тема вообще-то не сюда, так что если будет желание, откроем новую.

Нужно тогда отрезать от моего первого поста про это и вынести в отдельную тему, так как проблема есть, а что делать непонятно. Ну и народ может высказаться. Статью подождем...

[begin2009]

А вообще-то я выскажу такую мысль (и это не офтоп): как-то мы не умеем пользоваться законами, а надо. Есть №294-ФЗ от 26.12.2008г. "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля". При грамотном его применении можно выходить сухим из воды. Вчера была проверка из одного ночного надзора, так по этому закону, я не дал некоторых бумаг, переругался с проверяющим (потом помирились), сам дошел до прединфарктного состояния и довел инспектора. Но результат того стоил. Ни предписаний, ни нарушений не записано!!!! Правда по неподанным документам будет дополнительный запрос. Но плановая проверка кончилась, теперь три года живем. А внеплановую уже открыть оснований нет!

Теперь по персональным данным. Я читал-читал и не понял. А если я организую нового, хорошо запароленного пользователя и файл с данными из своей базы помещу ему в папку. В результате наша база будет работать, но вот персональные данные, которые она использует, будут доступны только специалисту, который входит под этим пользователем. Достаточно ли этого для закона или нет?

[bormant]

Для затравки по теме: http://www.cnews.ru/reviews/index.shtml?2009/05/15/347317 и тематический ресурс http://ispdn.ru/
А корень проблемы скорее не в самом законе, а в подзаконном акте: Постановление Правительства РФ от 17.11.2007 N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных"
5. Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия.

[Ленивая Бестолочь]

5. Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия.

вот тоже хотел этот момент выделить.

я так понимаю - это называется примерно так:
- либо покупаем "рашен операйшн систем 3.0", либо винду (которая сертефецирована, и, кнечно дороже обычной), либо мандриву.
- или пытаемся добиться "проверки в установленном порядке" для родного дебиана/суси/слаки/... а также OO.o, firefox, thunderbird и всем остальным, чем вы имеете несчастье прикасаться к персональным данным.

[vinny]

либо винду (которая сертефецирована, и, кнечно дороже обычной), либо мандриву.

ещё red hat 5 под ibm и altlinux 4.0

пысы. и те и другие очень обижаются если их не упоминают при перечислении сертифицированных систем.

[Ленивая Бестолочь]

ещё red hat 5 под ibm и altlinux 4.0

хрен редьки не слаще.

а у нас ещё солярка.

[Ortis]

Я правильно понимаю, что практически любой компьютер в организации (меня интересуют вуз и школа) попадает под этот закон (ну, кроме тех, что работают с установками и в сеть не подключены)? Это и компы на кафедрах, и в дисплейных классах и др., там везде персональной информации хоть отбавляй. т.е. это закон о запрещении использования всех дистрибутивов линукса без сертификации во всех организациях?

[begin2009]

Сейчас персональные данные не собирает только ленивый. Ко мне в администрацию приходил участковый переписывать из похозяйственной книги в какие-то паспорта хозяйств. Отделение связи дало задание почтарям тоже составлять какие-то гроссбухи по существующим хозяйствам (я заглянул - там и люди, и техника, и скот и вообще чертовы стулья). Правда это на бумаге, но это все - персональные данные. Если подходить ко всему строго по закону, у прокурорских "ну-у-у о-о-очень много" работы будет. Когда я узнал про почтарей и ментов, то успокоился. До меня долго не доберутся.

[baranowski]

Проблема уже в самом названии темы: "Обсуждаем закон ... ". Может это кому-то покажется странным, но законы не обсуждают, их выполняют или не выполняют. В последнем случае предусмотрена система санкций.

Истерика по поводу персональных данных сильно преувеличена. Очень многое зависит от класса системы, которая обрабатывает персональные данные. Под каждый класс предусмотрены свои методы защиты. В самом жестком случае действительно требуются значительные ресурсы на проведение всех необходимых мероприятий. Однако этот закон принят уже достаточно давно (июль 2006 года) и ВСЕ знали, когда он вступает в действие, так что для "почесаться" на счет защиты ПД времени было предостаточно и некого тут обвинять. Да и разработчики СПО за это время (наверное) могли бы сделать большее количество сертифицированных продуктов.

Есть сертифицированные linux-продукты, вплоть до систем класса 1Г. Хотите - ставьте, хотите - нет. Есть программы, которые не работают с linux, тогда придется ставить сертифицированный windows. То есть ситуация представлется предельно ясной и, ИМХО, почва для обсуждения в стиле "хочу линукс, а продукт только на венде ... следовательно, закон - г..но" отсутсвует. Было бы полезно обсудить конкретные меры и методики по реализации мероприятий по защите ПД, особенно при использовании linux-систем.

[akdengi]

Проблема в следующем - есть закон. Есть машины, которые под этот закон попадают или не попадают и нет специалистов и простых решений им в помощь. Я почему поднял тему - меня спросили в родном вузе, я начал копаться и понимаю, что ничего не понимаю. Давайте тогда соберем здесь ссылки на необходимую информацию.

[baranowski]

Осталось уже меньше четырех месяцев, а ясности нет. Точнее нет внятного разъяснения требований и действий, как их соблюсти.

Пояснения и методики, причем очень подробные для госорганов есть. Требуйте их в первом отделе.

либо винду (которая сертефецирована, и, кнечно дороже обычной)

А Вы думаете, что сертифицированный, например, АльтЛинукс не дороже обычного?

- или пытаемся добиться "проверки в установленном порядке" для родного дебиана/суси/слаки/... а также OO.o, firefox, thunderbird и всем остальным, чем вы имеете несчастье прикасаться к персональным данным.

Да, это так. Как это сделать - спросите у Альтовцев, Мандривовцев, Рэдхатовцев.

Есть машины, которые под этот закон попадают или не попадают и нет специалистов и простых решений им в помощь

Хочу понять с чем именно нужна помощь. Может и помогу...

[akdengi]

Пояснения и методики, причем очень подробные для госорганов есть. Требуйте их в первом отделе.

На места не приходили. Так что значит нет. Были только попытки собрать информацию "что тут используется с "персональными данными".

Хочу понять с чем именно нужна помощь. Может и помогу.

..

Что-то типа мануала по конкретным примерам - например бухгалтерия предприятия. Где, что и как...

[baranowski]

На места не приходили. Так что значит нет. Были только попытки собрать информацию "что тут используется с "персональными данными".

Дык, и не придут. Вы должны их заказать.

[Ленивая Бестолочь]

А Вы думаете, что сертифицированный, например, АльтЛинукс не дороже обычного?

нет, просто к винде я отношусь предвзято плохо и хочу выставить её в невыгодном свете :)

baranowski, я попробую сформулировать ряд вопросов, было бы просто супер, если вы на них ответите. спасибо.

[baranowski]

я попробую ...

Давайте. Только сразу оговорюсь, что возможно ряд вопросов я буду обсуждать в личке.

[baranowski]

Самый быстрый срвет, который я могу дать - сходите в первый отдел, попросите документ СТР-К. Откроется много нового

[Ленивая Бестолочь]

нда. извиняюсь, что пропал - некоторое время тема не поднималась и я про нее совершенно забыл.
если ещё кому-нибудь интересно....

- как получить список сертифицируемых обязательных к сертефицированию вещей? только заказывать к себе экспертов?
- я правильно понял, что, когда заказываешь к себе экспертов те марочки, которые они дают не предоставляют никаких гарантий вообще. то бишь, если они, грубо говоря, "сказали неправду" виноват в итоге все равно ты?
- так и не понял до конца - что подразумевается под персональными данными и как будут определять какие програмы с ними работают. например - если есть компьютер с п.д. и на нем почтовая программа реально ли доказать, что через нее никто никуда ничего не шлет?

п.с.
в первый отдел я не ходил всё таки, т.к. у нас как бы есть "отдел защиты информации", который за это отвечает, но чешусь сам, т.к. знаю кто там сидит.

[landgraf]

ещё red hat 5 под ibm

не совсем, RHEL 4 под ibm, RHEL 5 на всех платформах (правда дистрибутив по другому называется)

[akdengi]

http://www.ed.gov.ru/news/newdocs/11620/

Вопрос в другом. Наша любимая "Информика" (которая обиделась, что их не взяли учить Линукс) сделала рекомендации, где из всех сертифицированных систем только Windows XP.

Также запущен портал: http://pd.rsoc.ru

[fian]

Предмет Вашей беседы мне показался безумно интересным

Думаю, обеспечение безопасности персональных данных - проблема в первую очередь организационная. И техническая сторона ее решения наименее трудная, хоть и стоит денег.

Организационную сторону оставим в стороне (извините за каламбур). Если кому интересно, можем в личке обсудить.

Что касается стороны технической, то тут стоит замахнуться на святое - структуру всей информационной системы компании.

Как сделано у конченых м...даков (и у большинства не особо богатых госструктур тоже)? У каждого (из порой немногочисленных) юзеров - свой комп, свой принтер (сэкономим на сети), свой городской телефон (порой - он же факс). Иногда есть местный телефон. Данные передаются (подобно вирусам) дискетно-флешечным путем. Помимо дискетной передачи данных передаются горы ненужных бумаг, типа служебки на отпрашивание на 2 часа. У каждого на столе - куча бумаг. У секретаря - помойки с факсами (для тех, у кого самих факсов не столах). Директору и замам подаются на подпись неподшитые фолианты, которые они с нескрываемым удовольствием листают часа по два в день.

В зависимости от продвинутости конторы, может присутствовать локалка. От тупой одноранговой для расшаривания друг другу папок и принтеров, до вполне приличной, с неприлично мощным (или неприлично маломощным) серваком. У некоторых есть набор необходимых сервисов на сервер, вплоть до SharePoint и им подобных.

Но главный косяк был и остается одним и тем же - у юзера есть возможности бесконтрольного вывода со своего компа и ввода ненужной информации в него. По причине того, что у юзера стоит полноценный комп. И все на случай "вдруг сеть перестанет работать".

Если я нигде не соврал, позволю себе продолжить.

Идея выдать каждому усеру по персоналки глупа и затратна, но может быть ооочень доходной для админов и снабженцев. Представьте, забрали у всех персоналки, поставили бездисковые терминалы. Какая тоска для админа. Ломаться нечему. Ничего не горит. Юзер напакостить не может. Не денег на ремонт компов, ни отважного "эникейста". Скажете не так?

Да, есть честные админы, которые могут устоять перед откатами (за неслабый сетевой проект) и сохранить компании кучу денег. Но я таких не знаю...

Когда меня лично коснулась проблем утечки "сенситивной", как говорят на Западе, информации (продажники тырили друг у друга клиентов и сделки самыми грязными методами вплоть до воровства документов) я предложил перевести ВСЮ информацию в фирме в цифровой вид. Идеи были примерно такие:

Идея 1. Компьютеры должны быть у каждого работника. Но они не должны быть привязаны к работнику. Любой работник должен комфортно работать с любого компа в фирме.
FAIL: Вопли начальства "Да вы знаете, сколько на это денег нужно?!?!?!" Я знал, но хотел выстроить работу по уму. В результате докупили для виду пару компов и на этом успокоились.

Идея 2. Компьютер должен быть минимально достаточен для его работы. Набор текста, таблицы, строго контролируемый интернет, IP-телефония, доступ к внутренним ресурсам и корпоративной инфосистеме.
FAIL: Юристам подавай 20-й монитор, у бухгалтерии какой бы комп не был, "он оооочень медленный", секретарям надо чуть ли не Силикон Графикс для рисования открыток. Умерили пыл в рамках отведенных сумм.

Идея 3. От простых телефонов полностью отказываемся и переходим на IP-телефонию. Плюс в том, что незалогинившийся юзер не сможет пользоваться телефон. А если кто-то пользуется чужим телефоном или дает кому-то другому свой телефон, то разбираться и пресекать. IP-телефонию легко контролировать, в отличие от обычного телефона. К тому же исчезает необходимость в телефонной инфраструктуре (разводка, станция, кросс, аппараты и т.п.).
FAIL: Все стали дружно визжать, что без обычного телефона работы не будет (обосрались, что начнут писать разговоры), да и нельзя будет родня в Нижнеуродск звонить с чужого телефона тайком. Админы лишались возможность подслушивать на кроссе. Да и на перманентном реанимировании древней Панасной АТС они имели небольшой, но стабильный гешефт.

Идея 4. Обмен внутренними документам сводится к обмену электронной почту и другими документами через Аутлук. Совместная работа над документами - через SharePoint.
FAIL: Поскольку полностью исключалась возможность подойти к начальству с нужной бумажонкой и, пустив слезу, подписать ее. А ШерПойнт неподекупно показывал вклад каждого в разработку документа. Даже если этот вклад был размером в долю процента.

Идея 5. Принтеры остаются только у секретарей. Самостоятельно забрать распечатанное нельзя - только через секретаря. Вообще была идея печатать только те документы, на которых требуется печать и подпись, а остальное использовать в электронном виде.
FAIL: Взъелось в основном бестолковое бабье нетоварного возраста, которое интернет и принтеры использовали для поиска и распечатывания схем шестисоточных поместий да новых практик уринотерапии. К тому же документы на печать они выводили методом последовательных приближений, достигая нужного результата примерно с пятой попытки. Все сразу стали доказывать как много они документов печатают, вынув тухлые и покрытые пылью служебки из самых нижних ящиков.
Секретари посмотрели с укором, но промолчали, поскольку были умнее. Хотя им тоже не особо хотелось получать лишний мешок на спину. В виде раздачи распечатанного.

Идея 6. Каждому юзеру выделяется корпоративный мыл. В зависимости от задач работника, он может быть только для входящих, только для внутренней почты или вообщей для любой почты.
FAIL: Корпоративных мылов быстро наплодили, но юзеры (из тех, кто умел, конечно) продолжали пользоваться Мэйл.ру через браузер. Кто, что и куда отправлял установить было невозможно, поскольку за этим никто не следил.


Идея 7. Факсы принимаются и передаются через факс-гейт. Входящие факсы автоматом приходят на мыл юзера. Исходящие факсы предварительно сортируются секретарем и отправляются им же. Документы для отправки факсом сканируются секретарями.
FAIL: Тут возбухли секретари, поскольку лишались важного источника информации и поводов зайти к начальству.

На этом остановлюсь. Идей еще была куча, но ни одна не прижилась. Все свелось к тому, что народу раздали корпоративные мобилы с нищенским лимитом, да установили репитер в офисе.

Причем тут персональные данные? На любом столе можно было найти договоры с реквизитами физ лиц, факсы с резюме, ксерокопии паспортов и т.п. Бороться со всем этим только организационными мерами было просто невозможно.

Сорри за многобукаф. Тема злободневная и давно интересная лично мне.

Буду рад, если найду единомышленников.

[Ленивая Бестолочь]

fian, вы понимаете - то, что вы описали - это борьба с вводом/выводом информации, которая может быть интересно руководству, службе информационной безопастности (если она есть) или особо "правильным" админам.
а мы тут все опасаемся того, что 1го января к нас зайдет гос. инспекция и попросит сертификат на notepad.exe по тому, что в нем можно открыть документ, содержащий персональную информацию (фио, номер счета, размер ботинок и т.п.), мотивируя это вступлением в силу нового(2006 года, ЕМНИП) закона.
как-то так.

[baranowski]

- как получить список сертифицируемых обязательных к сертефицированию вещей? только заказывать к себе экспертов?

Давайте с самого начала. Защита персональных данных должна состоять из двух частей:
1) организационно-методоческие мероприятия;
2) техническое мероприятия по защите информации.
Рискуя огорчить технически-ориентированных системных администраторов и отвественных за информационную безопасность, скажу, что без первого пункта ко второму переходить бессмысленно.
По первому пункту необходимы следующие документы:
1) Акт классификации информационных систем персональных данных;
2) Модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
3) Положение об обработки персональных данных в информационных системах персональных данных;
4) Распоряжение (по организации) о назначении ответственных за защиту персональных данных в информационной системе персональных данных;
5) Перечень программного обеспечения, разрешенного к использованию на ПЭВМ, входящих в состав информационной системы персональных данных;
6) Перечень защищаемых информационных ресурсов на ПЭВМ, входящих в состав информационной системы персональных данных;
7) Список постоянных пользователей, допущенных к работе на ПЭВМ, входящих в состав информационной системы персональных данных;
8) Разрешительная система доступа к информационным (программным) ресурсам и портам ввода-вывода ПЭВМ, входящих в состав информационной системы персональных данных;
9) Описание технологического процесса обработки информации на объектах информатизации;
10) Технический паспорт на информационную систему персональных данных;
11) Руководство по защите информации, включая приглашающиеся должностные инструкции.
Далее на основании приведенных выше документов, выбираются и реализуются технические методы защиты.

[Kisle_gliste]

http://www.iemag.ru/analitics/detail.php?ID=19964
Предупреждаю, многа букаф. Однако в ВУЗ только данные бухгалтерии тянут на более-менее высокий уровень, и то не все. Сертефицировать надо только то, где крутятся данные о здоровье и прочем, что на К4.

[Kisle_gliste]

Еще вышел 58 приказ ФСТЭК. Есть на их сайте. Многое делать теперь просто не надо. Особенно если не касается третьих лиц.