24 июня, понедельник 18:37
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Организуем Коллегию по соответствии требованиям ФЗ о защите ПД?

Свернуть
Это важная тема.
X
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Организуем Коллегию по соответствии требованиям ФЗ о защите ПД?

    В скором времени все придет к тому что каждая организация будет вынуждена соответствовать требованиям ФЗ, каждая организация будет создавать нормативную базу, обсуждать внедрение требований на форуме и т.д. Каждому и в отдельности придется выполнить титанический труд. Или подрядить на аутсорс сторонние компании, которые за 2-10 миллионов рублей сделают тоже самое.
    Я предлагаю, объединиться и совместными силами, экономя время друг-друга разработать все необходимое для соответствия требованиям ФЗ о защите ПД.

    Предлагаю собраться форумчанам, определить основные задачи, разбить на более мелкие, распределить среди участников Коллегии.
    Каждый внесет свой вклад в нормативную базу, вместе составим комплект документов, план внедрения и т.д.

    Как смотрите?

  • #2
    Очень положительно. Всеми руками ЗА!
    В конце концов, это маркетологи воюют, а мы общее дело делаем
    Кстати, ввиду надавнего выхода нового СТО БР ИББС-1.0-2008 есть смысл начать с самого верха, с политики ИБ. Если не внести соответствующие изменения в голову, то дальше всёравно толку не будет.

    Комментарий


    • #3
      Grandm уже разработал такие документы и прогнал их через Роскомнадзор. Если он готов поделиться, то вот вам и пол-дела сделана.

      Хотя здесь скорее помогут только консультации и советы, а не готовые документы. Их не может быть. Модель угроз разная, договора у всех разные с клиентами и контрагентами, продукты у всех разные, юристы у всех разные... Ну или общие формулировки.

      Комментарий


      • #4
        готов принять посильное участие!

        Комментарий


        • #5
          Я тоже только за, готов помочь всем что в моих силах.

          Комментарий


          • #6
            Присоединяюсь, готов помочь

            Комментарий


            • #7
              +1
              Я словно лист на ветру, посмотри как я лечу...

              Комментарий


              • #8
                Присоединяюсь

                Комментарий


                • #9
                  +1

                  Комментарий


                  • #10
                    Уважаемые господа!
                    Чтобы не быть голословными давайте начнем систематизацию, тех материалов и знаний которые есть у нас на данный момент.
                    Честно признаться тему "Постановление Правительства РФ по персональным данным" очень тяжело перелопачивать в поисках интересных обсуждений.
                    Вот - http://www.rsoc.ru/main/directions/874/916.shtml Законодательные и нормативно-правовые акты по ПД если у кого еще нет .
                    А конкретную проблемму связанную с ПД, хотелось бы обсудить следующую:
                    Не будем брать пока операторов связи, провайдеров и даже банки, а рассмотрим простую фирму имеющую реестр своих сотрудников и клиентов фирмы - юридических лиц.
                    Данные последних могут относится к ПД, только при указании конкретных физических лиц с паспортными данными.
                    Допустим реестр сотрудников обрабатывается в 1С бухгалтерии, а клиенты в 1С предприятии.
                    Что следует предпринять данной фирме чтобы соответствовать требованиям закона 152-ФЗ?

                    Только давайте не будем вдаваться в такие подробности как - являются ли данные AD персональными данными, потому как основываясь на 152-ФЗ:
                    Глава 1, статья 3, пункт 1:
                    персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;
                    Глава 1, статья 3, пункт 8:
                    обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;

                    Можно сделать следующий вывод - отдельно ФИО + год рождения - являются обезличенными ПД, т.к. не возможно определить принадлежность ПД КОНКРЕНОМУ субъекту ПД. По сути ПД в информационной системе являются обезличенными если в них не указаны паспортные данные и адрес субъекта ПД.

                    Комментарий


                    • #11
                      Сообщение от Uomo Посмотреть сообщение
                      Вот - http://www.rsoc.ru/main/directions/874/916.shtml Законодательные и нормативно-правовые акты по ПД если у кого еще нет .
                      Я бы сюда отослал - http://www.privacy-info.ru/low/ - тут законов гораздо больше

                      Комментарий


                      • #12
                        Сообщение от Uomo Посмотреть сообщение
                        Уважаемые господа!
                        Чтобы не быть голословными давайте начнем систематизацию, тех материалов и знаний которые есть у нас на данный момент.
                        Честно признаться тему "Постановление Правительства РФ по персональным данным" очень тяжело перелопачивать в поисках интересных обсуждений.
                        Вот - http://www.rsoc.ru/main/directions/874/916.shtml Законодательные и нормативно-правовые акты по ПД если у кого еще нет .
                        А конкретную проблемму связанную с ПД, хотелось бы обсудить следующую:
                        Не будем брать пока операторов связи, провайдеров и даже банки, а рассмотрим простую фирму имеющую реестр своих сотрудников и клиентов фирмы - юридических лиц.
                        Данные последних могут относится к ПД, только при указании конкретных физических лиц с паспортными данными.
                        Допустим реестр сотрудников обрабатывается в 1С бухгалтерии, а клиенты в 1С предприятии.
                        Что следует предпринять данной фирме чтобы соответствовать требованиям закона 152-ФЗ?

                        Только давайте не будем вдаваться в такие подробности как - являются ли данные AD персональными данными, потому как основываясь на 152-ФЗ:
                        Глава 1, статья 3, пункт 1:
                        персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;
                        Глава 1, статья 3, пункт 8:
                        обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;

                        Можно сделать следующий вывод - отдельно ФИО + год рождения - являются обезличенными ПД, т.к. не возможно определить принадлежность ПД КОНКРЕНОМУ субъекту ПД. По сути ПД в информационной системе являются обезличенными если в них не указаны паспортные данные и адрес субъекта ПД.
                        1. В приведенном списке у РКН нет приказа трех (Приказ Федеральной службы по техническому и экспортному контролю, ФСБ РФ и Министерства информационных технологий и связи РФ от 13 февраля 2008 г. № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных&raquo - на его основании определяем класс ИСПД
                        2. Все-таки ФИО+дата рождения относится к необезличенным ПД (Xпд категории 3) => класс ИСПД К3 (для более 100к ПД К2).
                        3. По сотрудникам:
                        - обработка ПД ведется на основании ТК => согласие не требуется на основании п.2.1) ст.6 Закона 152-ФЗ
                        - на основании п.2.1) ст.22 Закона 152-ФЗ не обязательно отправлять уведомление в РКН
                        - остается открытым вопрос по уволенным сотрудникам т.к. с ними уже не связывает ТД...
                        4. Клиенты-юрлица:
                        - часть ПД подпадает под п.2.4) ст.22 Закона 152-ФЗ - общедоступные ПД (из сведений, подлежащих обязательному опубликованию) - по ним не обязательно уведомление РКН
                        - не исключено, что окажутся не подпадающие под обязательное опубликование ПД, а договор м.б. заключен не с физиком, а с юриком... Если только ФИО (должность и контактный служебный тлф. к ПД не относятся) - тогда тоже можно не уведомлять РКН, но согласие на обработку требуется получить. Если захотелось еще что-то кроме ФИО - уведомление в РКН и согласие субъекта ПД на обработку его ПД.

                        Наиболее вероятно, что данные обрабатываются в сети подключенной к И-нету (соответствующие требования к МЭ).

                        Если К2 или распределенная К3 - лицензия на ТЗКИ и аттестация.

                        Если не хотите К1 - запрет на отправку личной почты (иных электронных сообщений).

                        Комментарий


                        • #13
                          Сообщение от Toparenko Посмотреть сообщение
                          1Если не хотите К1 - запрет на отправку личной почты (иных электронных сообщений).
                          Это - не в эту ветку. Абсолютно надуманная проблема, которая может возникнуть только у тех компании, которые считают для себя возможным нарушать тайну личной жизни своих сотрудников и открыто это декларировать.

                          Все прочие спокойно заявят, что обработкой этих данных не занимаются, сославшись на тайну переписки.

                          Комментарий


                          • #14
                            Сообщение от malotavr Посмотреть сообщение
                            Это - не в эту ветку.
                            Согласен, что обсуждение не для этой ветки. Здесь зафиксирован только факт вопроса.

                            Ответ в ветке про "перлюстрацию"

                            Комментарий


                            • #15
                              Сообщение от Toparenko Посмотреть сообщение
                              Если К2 или распределенная К3 - лицензия на ТЗКИ и аттестация.
                              Хочу выразить благодарность, за такой подробный и детальный ответ. Теперь становится вполне понятно, что для среднестатистической организации в 90% случаях не потребуется никакого уведомления в РКН. А для защиты ПД своих сотрудников в обрабатываемых информационных системах потребуется лицензия на ТЗКИ и аттестация.
                              Возникает вопрос - будет ли РКН заниматься проверками таких организаций?! Которые осуществляют обработку ПД только своих сотрудников.
                              И хотелось бы уточнить насчет обезличивания ПД. В 152-ФЗ в определениях получаются довольно размытые понятия, которые каждый трактует по своему. Но попробуем еще раз:
                              Пример: Петров Анатолий Васильевич 15.05.1970 г.р. - является ли эта запись ПД и подлежит ли защите согласно 152-ФЗ.
                              На мой субъективный взгляд данная запись ПД не является, потому что мы никак не можем ТОЧНО идентифицировать человека. Допустим если откроем базу данных какой-нибудь страховой компании, там встретиться не один десяток таких людей - таким образом запись обезличена.
                              А вот к примеру данные кредитной карты - Имя, Фамилия + номер карты - это уже безусловно ПД по которым можно однозначно идентифицировать человека.

                              Комментарий


                              • #16
                                Господа, не пложите веток про персданные. Все эти вопросы уже обсуждались и не раз в специально созданном для этого топике.

                                Комментарий


                                • #17
                                  Сообщение от Алексей Лукацкий Посмотреть сообщение
                                  Господа, не пложите веток про персданные. Все эти вопросы уже обсуждались и не раз в специально созданном для этого топике.
                                  Уважаемый Алексей, у ветки касающейся перс. данных уже слишком большой размер и слишком размытые обсуждения. А здесь хотелось бы выработать конкретные процедуры для подготовки организации защиты ПД. Вопрос обезличивания перс. данных действительно обсуждался но по нему так и не было получено согласованного мнения.

                                  Комментарий


                                  • #18
                                    Сообщение от barmalei Посмотреть сообщение
                                    Предлагаю собраться форумчанам, определить основные задачи, разбить на более мелкие, распределить среди участников Коллегии.
                                    Каждый внесет свой вклад в нормативную базу, вместе составим комплект документов, план внедрения и т.д.
                                    Может быть потороплюсь, но..
                                    Давно была идея создать место для создания и обсуждения документации по ИБ (именно документации). На этом форуме было много разговоров по поводу обмена рыбами документов, но до реальных действия на сколько я понимаю не дошло, за некоторым исключением, в том числе и alex.a.fedorov.
                                    Запустил wiki сайт, сейчас наполняю. Основная мысль - если кто-то и не поделится целым документом, то вполне может вставить абзац-другой или просто покритиковать документ (размещать и править документы может любой зарегистрировавшийся).
                                    Строго не судите, возможно у вас будут какие-то замечания, выслушаю (только не здесь).
                                    Площадка для создания и обсуждения документов есть, приглашаю желающих.
                                    ---
                                    Если пост выглядит как реклама, то я его удалю и больше на этом форуме речь о сайте идти не будет.
                                    ---
                                    securitypolicy.ru
                                    Последний раз редактировалось Majestic; 08.04.2009, 11:11.

                                    Комментарий


                                    • #19
                                      Сообщение от Uomo Посмотреть сообщение
                                      А для защиты ПД своих сотрудников в обрабатываемых информационных системах потребуется лицензия на ТЗКИ и аттестация.
                                      Здесь зависит от того какие данные о своих сотрудниках обрабатываете.

                                      Грубо: паспорт является основным документом идентифицирующим личность. IMO все, что есть в паспорте можно смело относить к категории 3 (персональные данные, позволяющие идентифицировать субъекта персональных данных).

                                      Т.ч. смотрите сами на сколько Вам необходима ИСПД К2 и нельзя ли еe разбить на несколько К3?
                                      Например: в случае более 1к сотрудников обобщенные сведения о ЗП вести только по должностям. А уже с ПД сотрудников и сведениями об их доходах (ведомости на выдачу ЗП) раздробить по нескольким ИСПД.

                                      Соответственно если не распределенная К3, то не обязательна лицензия на ТЗКИ+аттестация
                                      Сообщение от Uomo Посмотреть сообщение
                                      Возникает вопрос - будет ли РКН заниматься проверками таких организаций?! Которые осуществляют обработку ПД только своих сотрудников.
                                      Уведомление не требуется отправлять т.ч. основания включения в план проверок нет (если "дурку не сваляете"). Т.ч. только по неанонимной жалобе внеплановая проверка.
                                      Сообщение от Uomo Посмотреть сообщение
                                      И хотелось бы уточнить насчет обезличивания ПД. В 152-ФЗ в определениях получаются довольно размытые понятия, которые каждый трактует по своему. Но попробуем еще раз:
                                      Пример: Петров Анатолий Васильевич 15.05.1970 г.р. - является ли эта запись ПД и подлежит ли защите согласно 152-ФЗ.
                                      На мой субъективный взгляд данная запись ПД не является, потому что мы никак не можем ТОЧНО идентифицировать человека. Допустим если откроем базу данных какой-нибудь страховой компании, там встретиться не один десяток таких людей - таким образом запись обезличена.
                                      Конкретно "Петров Анатолий Васильевич 15.05.1970 г.р." еще может быть... Но если фамилия не столь распространенная, то по ФИО и дате рождения можно идентифицировать субъекта ПД
                                      Сообщение от Uomo Посмотреть сообщение
                                      А вот к примеру данные кредитной карты - Имя, Фамилия + номер карты - это уже безусловно ПД по которым можно однозначно идентифицировать человека.
                                      Имя, фамилия + роспись на карте сверенная с собственноручной росписью - можно однозначно идентифицировать.
                                      Имя, фамилия + номер карты - сомневаюсь
                                      Последний раз редактировалось Toparenko; 08.04.2009, 11:54.

                                      Комментарий


                                      • #20
                                        Сообщение от Uomo Посмотреть сообщение
                                        Уважаемый Алексей, у ветки касающейся перс. данных уже слишком большой размер и слишком размытые обсуждения. А здесь хотелось бы выработать конкретные процедуры для подготовки организации защиты ПД. Вопрос обезличивания перс. данных действительно обсуждался но по нему так и не было получено согласованного мнения.
                                        Насчет "выработать" никаких претензий. Но начался опять флейм "что такое персданные" и т.п.

                                        Комментарий


                                        • #21
                                          Но начался опять флейм "что такое персданные" и т.п.
                                          Поддерживаю.
                                          Товарищи, без флейма.

                                          Комментарий


                                          • #22
                                            Товарищи, как много в этом посте Москвичей? +1

                                            Комментарий


                                            • #23
                                              Сообщение от Majestic Посмотреть сообщение
                                              Может быть потороплюсь, но..
                                              Давно была идея создать место для создания и обсуждения документации по ИБ (именно документации). На этом форуме было много разговоров по поводу обмена рыбами документов, но до реальных действия на сколько я понимаю не дошло, за некоторым исключением, в том числе и alex.a.fedorov.
                                              Запустил wiki сайт, сейчас наполняю.
                                              securitypolicy.ru
                                              Эх. В реализации идеи меня обогнал (((

                                              Комментарий


                                              • #24
                                                Барнаул

                                                Комментарий


                                                • #25
                                                  Berckut,
                                                  Я за! (это заодно ответ на письмо!)

                                                  Комментарий


                                                  • #26
                                                    Сообщение от grandm Посмотреть сообщение
                                                    Я за! (это заодно ответ на письмо!)
                                                    Ты доками поделись ;-)

                                                    Комментарий


                                                    • #27
                                                      Хорошая идея, как будем воплощать?
                                                      Предлагаю начать с памятки "Если вы решили следовать требованиям 152-ФЗ", или "Первые шаги по защите ПД" - можно составить список мероприятий или документов по ПД.
                                                      Или стоит начать с того, чтобы собраться - вопрос на какой площадке?

                                                      ps. 2Majestic ссылка securitypolicy.ru не работает, напишите какие документы можно выставить на ней

                                                      Комментарий


                                                      • #28
                                                        Сообщение от alex.a.fedorov Посмотреть сообщение
                                                        Предлагаю начать с памятки "Если вы решили следовать требованиям 152-ФЗ", или "Первые шаги по защите ПД" - можно составить список мероприятий или документов по ПД.
                                                        А вот ZZubra делал такую памятку, если мне не изменяет память.

                                                        Комментарий


                                                        • #29
                                                          Делать-то делал. Только про защиту там нету ничего. Орг. меры только если. И ОРД чуть-чуть. Книжечка в ветке по ПДн лежит и в http://pdn.3dn.ru/load/ Там же и план работ. Забирайте. Мне не жалко )))
                                                          Жду не дождусь открытия документов ФСТЭК. И еще летом обещают новый документ ФСБ (сорока принесла).
                                                          Вот тогда и можно будет рекомендации, памятки и тд делать.

                                                          Комментарий


                                                          • #30
                                                            Сообщение от ZZubra Посмотреть сообщение
                                                            Делать-то делал. Только про защиту там нету ничего. Орг. меры только если. И ОРД чуть-чуть.
                                                            Если не хотеть бодаться с регуляторами, то у тебя достаточно неплохо расписано вся тема с общепризнанной точки зрения на ПДн ;-) Т.е. как это должно быть по мнению регуляторов ;-)

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X