14 ноября, среда 22:56
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

ФЗ-152. Защита персональных данных

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • ФЗ-152. Защита персональных данных

    Добрый день !

    Господа, не поделитесь впечатлением о решении данной проблемы (кто конечно уже решил) ? Очень интересует стоимость данной услуги под "ключ" у нормальной консалтинговой фирмы. Может и своими силами попробую обойтись, но смущает прохождение лицензирования и аттестации. Кстати, лицензии на использования средств шифрования и т.д. , полученные в свое время для клиент-банка помогут ?

  • #2
    Добрый день!
    Есть ли компании разработчики АБС уже получившие необходимые сертификации на соответствие их АБС 152-ФЗ?
    Планируют ли компании разработчики проходить сертификацию их АБС на соответствие 152-ФЗ?

    Комментарий


    • #3
      Информбезопасность целый том на эту тему написала. Не меньше чем у нас про Рабис.
      Если по существу - не слышал о подобного рода сертификатах. Невозможно это, ни один разработчик не пойдет сознательно на выпуск любых изменений в системе раз в 3 месяца. А если система еще и содержит места для вставки напильника - то разработчик вообще не при делах. Кроме того, АБС является системой обработки персональных данных,а требования о сертификации предъявляются к система защиты.
      А если слегка разогнуть пальцы ЦБ РФ с их страусиной политикой, озвученной на форуме разработчиков, то выясняется, что никаких сертификатов и не нужно. В банке нет типовых систем, а значит нет и требований о сертификации средств защиты. Разрабатывайте модель угроз и требования по защите и сертифицируйте их.
      Serg Voronov

      Комментарий


      • #4
        А материалы форума нигде не появлялись? К сожалению не смог присутствовать.

        Комментарий


        • #5
          Eldar Eldarych
          Если только у Константина Маркелова выпросить. По интересующей теме никаких материалов в раздатках не было.
          Serg Voronov

          Комментарий


          • #6
            Правильно ли я понял, что большинство участников реализовало\будет реализовывать требования 152-ФЗ вне АБС, т.е. путем прикручивания сверху защитных механизмов? Несмотря на то, что Serg_FSB очень уважаемый мною человек, хотелось бы увидеть мнение других профессионалов.

            Комментарий


            • #7
              Да пока трудно сказать, что и куда прикручивать. Если с АБС, ритейлом и К-Б более-менее ясно как быть, то неужели надо прикручивать сертифицированную систему защиты на свои мелкие программы из трех десятков операторов, которые перегоняют данные из одного формата в другой? Таких в каждом банке найдется немало.
              Думаю, что нужно следовать советам уважаемых докладчиков из ЦБ и АРБ. То, что показываем объявляем специальной системой и сами сертифицируем по своей модели угроз. А всякую мелочь просто нигде не упоминаем. Что касается АБС и т.п., то наши разработчики собираются получить что-то вроде сертификата соответствия требованиям безопасности.
              Jeca

              Комментарий


              • #8
                А ваши разработчики, это кто, если не секрет? Можно просто их обозначить парой-тройкой букв, дабы не рекламировать...

                Комментарий


                • #9
                  Eldar Eldarych, простое название фирмы уж точно не есть реклама Я ответил Вам в б-мыло (для тренировки себя)
                  Jeca

                  Комментарий


                  • #10
                    Коллеги, а что вы скажете по поводу отвоза цисок на сертификацию в ФСТЭК? Меня тут убеждают, что без этого никак нельзя. Чтобы я купил дополнительного оборудования, переливал туда конфигурацию, менял на время боевое и возил его на какую-то сертификацию. И так по кругу.
                    Я считаю, что это бред. Ни у кого еще подобного не проскакивало?
                    Jeca

                    Комментарий


                    • #11
                      А кто-нибудь знает приличную фирму, оказывающую услуги по прохождению сертификации ФСТЭК, но не за астрономические деньги ? У нас маленький Банк, без филиалов и отделений.

                      Комментарий


                      • #12
                        Jeca
                        Если пошли по пути типовой системы - то нужно отвозить. А потом отвозить каждый раз при смене прошивки. Если спецсистема - не нужно.
                        Serg Voronov

                        Комментарий


                        • #13
                          Ввели б уж сразу какие-нибудь отчисления фиксированные на чиновничьи нужды, чтоб до полного маразма не доводить полезную, в принципе, идею.
                          Антивирус еще сертифицировать можно пытаться после каждого обновления вирусной базы.
                          А Cisco, как производитель свое оборудование в ФСТЭКе не сертифицирует? Этих сертификатов не достаточно?

                          Комментарий


                          • #14
                            Народ на самом деле тема очень широкая и интересная и как мне кажется она заслуживает большой дискуссии т.к. данный закон вступит в силу уже через каких-то 2 месяца... если вступит конечно))) хочу поделится своими соображениями: 1. хоть закон и был принят достаточно давно, многие приступили к решению данной проблемы только сейчас, а чем меньше срок тем дороже обойдется возможное решение.... 2. видел смету одного банка из TOP-200, первый этап (анализ системы, написание политик, выдача рекомендаций) обойдется в 1,5 млн. руб. (интегратор из ТОР-5), срок выполнения 3 месяца... вот и думайте сколько обойдется комплексное, законченное решение... 3. большинство банков в настоящее время не готовы полностью удовлетворить требования ФЗ152 из чего следует, что каждой из проверок придется отстегивать 4. сертифицированы ФСТЭК должны быть все системы участвующие в обработке информации (как железо, так и софт), следовательно придется за свой счет производить такую сертификацию в большинстве случаев 5. АБС - мы сидим на RS`е пообщавшись с людьми из р-стайла уяснил для себя одну вещь - они пока не собираются сертифицироваться. а следовательно это опять ложится на наши плечи.... в общем все не просто.... хотел бы услышать и ваше мнение)))
                            Последний раз редактировалось ph4r4on_14; 20.10.2009, 09:57.

                            Комментарий


                            • #15
                              Так сходу вам стоимость услуги под «ключ» никто не скажет, потому что как правило исполнительная организация разбивает проект на 2 этапа:
                              1. Обследование, модель угроз, нормативные документы, ТЗ.
                              2. Реализация согласно ТЗ, аттестация.
                              Стоимость второго этапа существенно зависит от стоимости первого, а первый в свою очередь складывается из кол-ва ИСПДн, пользователей, удаленных офисов и прочего.

                              Кто нибудь знает какая ответственность предусмотрена за ненадлежащее исполнение закона?

                              Комментарий


                              • #16
                                Сообщение от IPonosov Посмотреть сообщение
                                Кто нибудь знает какая ответственность предусмотрена за ненадлежащее исполнение закона?
                                Ответственность за нарушение требований ФЗ-152 предусмотрена в том числе кодексом об административных правонарушениях. Правом проведения плановых и внеплановых проверок, а также направления материалов по возбуждению административной ответственности за нарушение требований законодательства обладает Федеральная служба по надзору в сфере связи и массовых коммуникаций (Роскомнадзор). Наиболее распространенными нарушениями являются нарушение правил защиты информации и использование несертифицированных средств защиты.

                                В частности следующие статьи Кодекса об административных правонарушениях устанавливают ответственность за нарушение требований ФЗ-152:
                                Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)
                                Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) - влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей.

                                Статья 13.14. Разглашение информации с ограниченным доступом
                                Разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, за исключением случаев, предусмотренных частью 1 статьи 14.33 настоящего Кодекса, - влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей; на должностных лиц - от четырех тысяч до пяти тысяч рублей.

                                Статья 13.12. Нарушение правил защиты информации
                                1. Нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну), - влечет наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей.

                                2. Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну), - влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей с конфискацией несертифицированных средств защиты информации или без таковой; на должностных лиц - от одной тысячи до двух тысяч рублей; на юридических лиц - от десяти тысяч до двадцати тысяч рублей с конфискацией несертифицированных средств защиты информации или без таковой.

                                5. Грубое нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну), - влечет наложение административного штрафа на лиц, осуществляющих предпринимательскую деятельность без образования юридического лица, в размере от одной тысячи до одной тысячи пятисот рублей или административное приостановление деятельности на срок до девяноста суток; на должностных лиц - от одной тысячи до одной тысячи пятисот рублей; на юридических лиц - от десяти тысяч до пятнадцати тысяч рублей или административное приостановление деятельности на срок до девяноста суток.


                                Статья 13.13. Незаконная деятельность в области защиты информации
                                1. Занятие видами деятельности в области защиты информации (за исключением информации, составляющей государственную тайну) без получения в установленном порядке специального разрешения (лицензии), если такое разрешение (такая лицензия) в соответствии с федеральным законом обязательно (обязательна), -
                                влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей с конфискацией средств защиты информации или без таковой; на должностных лиц - от двух тысяч до трех тысяч рублей с конфискацией средств защиты информации или без таковой; на юридических лиц - от десяти тысяч до двадцати тысяч рублей с конфискацией средств защиты информации или без таковой.
                                2. Занятие видами деятельности, связанной с использованием и защитой информации, составляющей государственную тайну, созданием средств, предназначенных для защиты информации, составляющей государственную тайну, осуществлением мероприятий и (или) оказанием услуг по защите информации, составляющей государственную тайну, без лицензии, - влечет наложение административного штрафа на должностных лиц в размере от четырех тысяч до пяти тысяч рублей; на юридических лиц - от тридцати тысяч до сорока тысяч рублей с конфискацией созданных без лицензии средств защиты информации, составляющей государственную тайну, или без таковой.


                                Статья 19.4. Неповиновение законному распоряжению должностного лица органа, осуществляющего государственный надзор (контроль)
                                1. Неповиновение законному распоряжению или требованию должностного лица органа, осуществляющего государственный надзор (контроль), а равно воспрепятствование осуществлению этим должностным лицом служебных обязанностей - влечет предупреждение или наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей; на должностных лиц - от одной тысячи до двух тысяч рублей.

                                4. Невыполнение законных требований должностного лица органа, уполномоченного в области экспортного контроля, а равно воспрепятствование осуществлению этим должностным лицом служебных обязанностей -
                                влечет наложение административного штрафа на граждан в размере от одной тысячи до двух тысяч рублей; на должностных лиц - от пяти тысяч до десяти тысяч рублей.


                                Статья 19.5. Невыполнение в срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль)
                                1. Невыполнение в установленный срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), об устранении нарушений законодательства - влечет наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от одной тысячи до двух тысяч рублей или дисквалификацию на срок до трех лет; на юридических лиц - от десяти тысяч до двадцати тысяч рублей.


                                Статья 19.7. Непредставление сведений (информации)
                                Непредставление или несвоевременное представление в государственный орган (должностному лицу) сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности, а равно представление в государственный орган (должностному лицу) таких сведений (информации) в неполном объеме или в искаженном виде, за исключением случаев, предусмотренных статьями 19.7.1, 19.7.2, 19.7.3, 19.8, 19.19 настоящего Кодекса, - влечет наложение административного штрафа на граждан в размере от ста до трехсот рублей; на должностных лиц - от трехсот до пятисот рублей; на юридических лиц - от трех тысяч до пяти тысяч рублей.

                                Статья 19.20. Осуществление деятельности, не связанной с извлечением прибыли, без специального разрешения (лицензии)
                                1. Осуществление деятельности, не связанной с извлечением прибыли, без специального разрешения (лицензии), если такое разрешение (такая лицензия) обязательно (обязательна), - влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей; на должностных лиц - от одной тысячи до двух тысяч рублей; на юридических лиц - от десяти тысяч до двадцати тысяч рублей.
                                2. Осуществление деятельности, не связанной с извлечением прибыли, с нарушением требований или условий специального разрешения (лицензии), если такое разрешение (такая лицензия) обязательно (обязательна), -
                                влечет наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей.
                                3. Осуществление деятельности, не связанной с извлечением прибыли, с грубым нарушением требований или условий специального разрешения (лицензии), если такое разрешение (такая лицензия) обязательно (обязательна), -
                                влечет наложение административного штрафа на лиц, осуществляющих предпринимательскую деятельность без образования юридического лица, в размере от одной тысячи до одной тысячи пятисот рублей или административное приостановление деятельности на срок до девяноста суток; на должностных лиц - от одной тысячи до одной тысячи пятисот рублей; на юридических лиц - от десяти тысяч до пятнадцати тысяч рублей или административное приостановление деятельности на срок до девяноста суток.
                                Примечание. Понятие грубого нарушения устанавливается Правительством Российской Федерации в отношении конкретного лицензируемого вида деятельности.

                                Комментарий


                                • #17
                                  А теперь все дружно обратим наше внимание на ст.13.12 пункт 5 - для банка это конец... я думаю все проверяющие будут под нее копать дабы подрубить побольше бабосов

                                  Комментарий


                                  • #18
                                    ph4r4on_14, спасибо

                                    Комментарий


                                    • #19
                                      У Роскомнадзора можно найти плановую дату проверки своей организации: http://www.rsoc.ru/plan-and-reports/contolplan/
                                      Конечно, если вы отправляли уведомление о включении в реестр.

                                      Комментарий


                                      • #20
                                        Сообщение от IPonosov Посмотреть сообщение
                                        У Роскомнадзора можно найти плановую дату проверки своей организации: http://www.rsoc.ru/plan-and-reports/contolplan/
                                        Конечно, если вы отправляли уведомление о включении в реестр.
                                        Ну это один из регуляторов, также могут прийти ФСБ и ФСТЭК, причем проверки могут быть как плановые так и внеплановые... вообщем еще один способ попортить здоровье ИТ и ИБ...

                                        Комментарий


                                        • #21
                                          Народ плз отпишите как у вас с этим дела обстоят, что делаете. что думаете делать и т.п. как реагирует руководство...

                                          Комментарий


                                          • #22
                                            Все упорно чего-то ждут.
                                            Решений никто не принимает. Вбухивать такие бабки которые хотят интеграторы никто не хочет. В июне или июле месяце на встрече ФСТЭК, Роскомнадзора и АРБ было сказано, что аттестацию ФСТЭК прошли более 100 банков. Сколько не искал нашел упоминание только об одном - МКБ.
                                            Всем остальным руководство говорит, что денег нет, разбирайтесь сами.

                                            Комментарий


                                            • #23
                                              Сообщение от Jeca Посмотреть сообщение
                                              Да пока трудно сказать, что и куда прикручивать. Если с АБС, ритейлом и К-Б более-менее ясно как быть, то неужели надо прикручивать сертифицированную систему защиты на свои мелкие программы из трех десятков операторов, которые перегоняют данные из одного формата в другой? Таких в каждом банке найдется немало.
                                              Думаю, что нужно следовать советам уважаемых докладчиков из ЦБ и АРБ. То, что показываем объявляем специальной системой и сами сертифицируем по своей модели угроз. А всякую мелочь просто нигде не упоминаем. Что касается АБС и т.п., то наши разработчики собираются получить что-то вроде сертификата соответствия требованиям безопасности.
                                              На сколько я понял Инверсия вообще открестилась от всего. Единственные кто хоть что-то дает своим пользователям это ЦФТ. Остальные забили на это.
                                              На сколько я понимаю, ФСТЭКу будет начхать на нашу модель угроз, они просто посчитают количество ПД-объектов и объявати нам как минимум 2-класс и начнут иметь и в хвост и в гриву. Тем более , что наверняка ходить они будут триединым союзом, потому что у однихз нет прав, у других законодательно не могут ну а ФСБ везде у нас открыта дорога.

                                              Комментарий


                                              • #24
                                                rezident-d, не, Инверсия все же собирается получить что-то на систему защиты АБС (или что-то в этом роде). 26 октября будет практический семинар "Федеральный закон РФ № 152 «О защите персональных данных». Комментарии и разъяснения."
                                                Место проведения: г. Москва, Государственная Дума РФ, Зал Заседаний Комитета по Бюджету.
                                                Время проведения: с 10.00 до 17.15
                                                Семинар проводят: Емельянников Михаил Юрьевич – заместитель коммерческого директора НИП «Информзащита».
                                                Забудько Юлия Сергеевна – начальник отдела правового обеспечения в сфере защиты прав субъектов персональных данных Роскомнадзора.
                                                Харламов Валерий Павлович – начальник отдела Главного Управления безопасности и защиты информации Банка России.

                                                Вот там мы им и зададим конкретные вопросы, особенно представителю Роскомнадзора.
                                                Jeca

                                                Комментарий


                                                • #25
                                                  а как попасть на сие мероприятие?
                                                  Рад бы в Рай, да... реаниматоры не пускают!

                                                  Комментарий


                                                  • #26
                                                    Сообщение от Dr.Little Посмотреть сообщение
                                                    а как попасть на сие мероприятие?
                                                    http://sbconsultant.ru/open08.htm

                                                    да, тяжело с этим фз, что не говори... денег не выделяют, а своими силами за такие сроки поднять практически не реально... кстати имеют такие данные - сама лицензия фстэк (оформление и пр.) стоит 250 т.р.! а чтоб до нее добраться нужно затратить порядка 4-6 млн.р., для небольшого банка....

                                                    Комментарий


                                                    • #27
                                                      Jeca, летом этого года подобная встреча уже была, даже в более расширенном составе! Ничего нового они там не скажут. Государство дает возможность заработать Роскомнадзору, ФСТЭКу ну и конечно ФСБ!Это как с лицензиями на Криптозащиту. Все тянули, тянули, а в итоге даже самые мелкие вынуждены были получать их. Все конкретные вопросы уже не раз задавались. Ответ один!

                                                      Комментарий


                                                      • #28
                                                        ph4r4on_14, Что вы больно много закладываете. Цены падают, это реально если еще пару месяцев назад сертифицировать компьютер стоилов районе 80-100 тыс то сейчас можно найти меньше чем за 50! Небольшой банк реально думаю аттестовать где-то за 1 млн. , но это все равно дорого! А ведь кроме банков есть другие конторы которые и за 50 тыс, не пойдут на это.Вообще лучше всего банку организовать контору, получить лицензию ФСТЭК и окучивать своих клиентов.

                                                        Комментарий


                                                        • #29
                                                          Сообщение от rezident-d Посмотреть сообщение
                                                          ph4r4on_14, Что вы больно много закладываете. Цены падают, это реально если еще пару месяцев назад сертифицировать компьютер стоилов районе 80-100 тыс то сейчас можно найти меньше чем за 50! Небольшой банк реально думаю аттестовать где-то за 1 млн. , но это все равно дорого! А ведь кроме банков есть другие конторы которые и за 50 тыс, не пойдут на это.Вообще лучше всего банку организовать контору, получить лицензию ФСТЭК и окучивать своих клиентов.
                                                          1. да собстна ничего я не закладываю, это реальные цены на сегодняшний момент, и ничего особо большого я в них не вижу.... просто мы привыкли отделываться всегда сначала малой кровью, а вот когда припирает деньги моментально находятся.... я со многими интергаторами говорил, цены у всех примерно одинаковые, 1 -1,5 млн. - стоит этап аттестации + 250к сертификат, но вы поймите, что этап аттестации следует только после обследования, написания куче бумажек, внедрение СКЗИ, сертификации программ и оборудования и.т.п - а это тоже стоит денег...(((
                                                          2. кстати кто чего думает вот по какому вопросу: есть рабочее место операциониста/кассира/буха (вообщем пофигу) на котором стоит куча программ, а главное стоит клиентская часть АБС (БД содержащая ПД естестно крутится на серваке), соответственно встает вопрос: следует ли стратифицировать комп, программы стоящии не нем и все прочее? или сертификации подвергается только сервак в данном случае?

                                                          Комментарий


                                                          • #30
                                                            Сообщение от rezident-d Посмотреть сообщение
                                                            На сколько я понял Инверсия вообще открестилась от всего.
                                                            Простите, из профиля не понял, какую организацию Вы представляете. И, соответственно, уж совсем не понимаю, из каких источников Вы получили информацию, на основе которой сделали вывод, что Инверсия от всего открестилась. На форуме Инверсии для подписчиков и в рассылке по своим клиентам Инверсия ясно сказала, что сертификацию своих продуктов начала.
                                                            С уважением.

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X