|
|
|
ФЗ 152 "О персональных данных"
|
|||
|---|---|---|---|
|
#18+
Замучился гуглить... Подскажите: 1. Мы разрабатываем систему в которой может хранится персональная информация. Нам ее нужно стратифицировать в ФСТЭК РФ, РОССВЯЗКОМНАДЗОРе ...? Или это должны делать сами наши клиенты, сертифицируя свою ИС в комплексе? 2. Мы работаем с MS SQL - используем родную для СУБД систему авторизации и т.п. Достаточно ли того, что MS SQL сертифицирован? 3. Если все-таки нам надо сертифицироваться - как это делается? Есть ли компании помагающие в этом деле? Заранее спасибо ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.09.2009, 16:54 |
|
||
|
ФЗ 152 "О персональных данных"
|
|||
|---|---|---|---|
|
#18+
AP76, 1. Вопрос об аттестации (не сертификации) ИС решает оператор персональных данных на основании класса своей системы. Сертификации подлежат средства защиты, которые применяются в данной ИС. 2. Не достаточно. И вообще не с той оперы. 3. Есть. Помогут за соответствующее вознаграждение. Информзащита самые продвинутые (в т.ч. по ценам на свои услуги) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.09.2009, 17:02 |
|
||
|
ФЗ 152 "О персональных данных"
|
|||
|---|---|---|---|
|
#18+
AP76, если в договоре на разработку системы не прописано, что вы обеспечиваете соответствие системы требованиям фз-152, то голова должна болеть у тех, кто ее заказал. А если все-таки все прописано, то есть много фирм, занимающихся этими вопросами. Если напишите, где территориальнго находитесь, могу подсказать. Инфоризащита - одно из дорогих фирм. Главное, чтобы у организации была лицензия на защиту конфиденциальной информации. Я обучалась по организации защиты ПДн - можете обращаться с вопросами. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 18.09.2009, 14:49 |
|
||
|
ФЗ 152 "О персональных данных"
|
|||
|---|---|---|---|
|
#18+
anfiskaAP76, если в договоре на разработку системы не прописано, что вы обеспечиваете соответствие системы требованиям фз-152, то голова должна болеть у тех, кто ее заказал. А если все-таки все прописано, то есть много фирм, занимающихся этими вопросами. Если напишите, где территориальнго находитесь, могу подсказать. Инфоризащита - одно из дорогих фирм. Главное, чтобы у организации была лицензия на защиту конфиденциальной информации. Я обучалась по организации защиты ПДн - можете обращаться с вопросами. Мы интересовались, сказали будет стоить 500 тыс.руб. Сделают за полгода. Решили, что пока нам это не надо.)) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 18.09.2009, 15:42 |
|
||
|
ФЗ 152 "О персональных данных"
|
|||
|---|---|---|---|
|
#18+
Мы не пишем под заказ. У нас коробочный продукт. Можно считать - записная книжка. Что там будут вести клиенты, номера телефонов или диагнозы пациентов, предположить заранее тяжело. Вот и вопрос, что с этим делать и как грамотно ответить клиентам, требующим соответствия с законом. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 18.09.2009, 19:41 |
|
||
|
ФЗ 152 "О персональных данных"
|
|||
|---|---|---|---|
|
#18+
AP76, вы можете сертифицировать свою систему на соответстиве определённым нормативам и сообщить об этом клиенту. Тогда клиент сможет сылаясь на ваш сертификат хранить в ней секретные данные. Вы можете НЕ сертифицировать свою систему на соответстиве определённым нормативам и сообщить об этом клиенту. Тогда клиент сможет сертифицировать вашу систему самостоятельно, или купить другую систему с соответсвующим сертификатом. Возможны вариации. Чтобы провести сертификацию, нужно обратиться в лабораторию, которая выдаст методику испытаний. По методике вы делаете тесты (вообще говоря в присутствии членов сертификационной комиссии), пишете отчёт и предоставляете его в лабораторию. Если все тесты пройдены успешно, лаборатория выдаёт сетификат. Естественно, неформальные отношения тоже никто не отменял. Хороший ужин и т.д. сделает членов комиссии менее привередливыми. В своё время по линии МинСвязи мы сертифицировали свою систему в ЛОНИИС е. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 18.09.2009, 21:09 |
|
||
|
ФЗ 152 "О персональных данных"
|
|||
|---|---|---|---|
|
#18+
dorian grey, у нас Информзащита толькоза одно обследование запросила почти 2 миллиона, так что 500 - блеф ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.09.2009, 17:32 |
|
||
|
ФЗ 152 "О персональных данных"
|
|||
|---|---|---|---|
|
#18+
AP76, по любому все информамционные системы, разрабатываемые сейчас уже должны соответствовать требованиям ФЗ-152, так что это ваша голова должна болеть как вы будете достигать соответствия. Читайте документы внимательно. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.09.2009, 17:36 |
|
||
|
ФЗ 152 "О персональных данных"
|
|||
|---|---|---|---|
|
#18+
автор так что это ваша голова должна болеть как вы будете достигать соответствия. Читайте документы внимательно Какие документы и где? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.09.2009, 19:52 |
|
||
|
ФЗ 152 "О персональных данных"
|
|||
|---|---|---|---|
|
#18+
Я и читаю: авторСтатья 19. Меры по обеспечению безопасности персональных данных при их обработке 1. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий. оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных; Т.е. Оператор это не мы, а клиент. Соотв. от нас ничего не требуется. Вроде как. Ему в любом случае нужно сертифицировать компьютеры, каналы связи, помещение и т.п. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 28.09.2009, 12:14 |
|
||
|
ФЗ 152 "О персональных данных"
|
|||
|---|---|---|---|
|
#18+
1 - Интересный момент - сертификат утрачивает свою силу, если в систему будут внесены какие-либо изменения... А т.к. многие платформы позволяют дорабатывать отчеты, добавлять справочники, формы и т.п. то вообще непонятно как теперь быть ? Засертифицируешь "ЗиК" 1С или банковскую АБС, а потом ни одного отчета не сделать ? 2 - что есть персон. инф. ? это -совопкупность полей ФИО/АДРЕС/ПАСПОРТ ? А если в одной системе MSSQL - есть табличка клиентов с полем ФИО и ID клиента. А в другой базе данных Oracle есть Адрес и ID клиента, а в третьей базе ACCESS есть пасп. данные и ID клиента.. Ни одна система не хранит песональные данные , но распределенный запрос может их собрать по ID клиента. То как в этом случае сертифицировать ? 3 - а если персональные данные хранятся во временной таблице (убиваемой при выходе пользователя из системы ? (create table #PersData) а попадают они в эту табличку при входе пользователя из надежного и уже сертифицированного источника ? то такая система с динамическими таблицами тоже должна быть сертифицирована ? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 26.10.2009, 18:17 |
|
||
|
ФЗ 152 "О персональных данных"
|
|||
|---|---|---|---|
|
#18+
Абсолютно поддерживаю - в Законе куча дыр, ничего не понятно, а описанная Вами ситуация абсолютно типична. В том же MS Excel можно написать кучу макросов (интересно, а как его все-таки сертифицировали?). В общем очередная кормушка... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.10.2009, 11:29 |
|
||
|
ФЗ 152 "О персональных данных"
|
|||
|---|---|---|---|
|
#18+
AP76Абсолютно поддерживаю - в Законе куча дыр, ничего не понятно, а описанная Вами ситуация абсолютно типична. В том же MS Excel можно написать кучу макросов (интересно, а как его все-таки сертифицировали?). В общем очередная кормушка... Еxcel и без макросов поддается компьютерной обработке,а следовательно попадает под этот закон. Вероятнее всего даже с текстовыми файлами можно будет попасть под статью. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.10.2009, 13:26 |
|
||
|
ФЗ 152 "О персональных данных"
|
|||
|---|---|---|---|
|
#18+
Не нужно Вам сертифицировать ПО, которое не используется для защиты информации (т.е. не является средством защиты информации). Не ваша ПО (записная книжка), не word - не нужно сертифицировать. О защите ИСПДн в организациях напишу на недели... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.11.2009, 12:41 |
|
||
|
ФЗ 152 "О персональных данных"
|
|||
|---|---|---|---|
|
#18+
Написал подробнее о защите ПДн тут: http://www.sql.ru/forum/actualthread.aspx?tid=677642&pg=3 ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.11.2009, 15:14 |
|
||
|
ФЗ 152 "О персональных данных"
|
|||
|---|---|---|---|
|
#18+
А где в официальном источнике можно прочитать, что системы подобные нашей не подлежат сертификации. И как грамотно об этом сказать нашим клиентам, которые все чаще и чаще спрашивают о сертификатах? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 18.11.2009, 20:25 |
|
||
|
ФЗ 152 "О персональных данных"
|
|||
|---|---|---|---|
|
#18+
AP76А где в официальном источнике можно прочитать, что системы подобные нашей не подлежат сертификации. И как грамотно об этом сказать нашим клиентам, которые все чаще и чаще спрашивают о сертификатах? Если Вам необходимо выполнить требования ФЗ-152, то для Вас, как разработчиков системы, чтобы выполнить требования в частит технической защиты информации, необходимо руководствоваться документами ФСТЭК и ФСБ (при шифровании): - Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных от 15 февраля 2008 г. (ДСП) - Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных от 15 февраля 2008 г. (ДСП) - Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК, 2008 г. (Пометка «для служебного пользования» снята Решением ФСТЭК России от 11 ноября 2009 г. http://www.fstec.ru/_spravs/recomend.doc) - Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных. ФСТЭК, 2008 г. (Пометка «для служебного пользования» снята Решением ФСТЭК России от 11 ноября 2009 г. http://www.fstec.ru/_spravs/meropriaytiay.doc) Эти документы требуют , чтобы использовалось лицензионное ПО и сертифицированные средства защиты информации (СрЗИ) , т.е. сертифицированным должно быть не все ПО, включая БД, а только СрЗИ. На производство СрЗИ необходима лицензия ФСТЭК (но я так понял, Вы не разрабатываете). автор п.3.3 «Основных мероприятий…»: Технические и программные средства, используемые для обработки ПДн в ИСПДн, должны удовлетворять установленным в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации. Средства защиты информации, применяемые в ИСПДн, в установленном порядке проходят процедуру оценки соответствия, включая сертификацию на соответствие требованиям по безопасности информации. Далее оператору ПДн (скорее всего, это Ваш клиент), который будет использовать Вашу систему, необходимо выполнить требования ФЗ-152. А именно: провести комплекс мероприятий по защите имеющихся у него ПДн, с привлечением лицензиата ФСТЭК на все работы, или только на создание системы защиты информации (разработка ТЗ, проекта, установка, настройка сертифицированных СрЗИ) и аттестацию системы. Аттестация по требованиям безопасности информации предшествует началу обработки подлежащей защите информации и вызвана необходимостью официального подтверждения эффективности комплекса используемых на конкретной ИСПДн мер и средств защиты информации. Аттестация предусматривает комплексную проверку (аттестационные испытания) защищаемой ИСПДн в реальных условиях эксплуатации с целью оценки соответствия применяемого комплекса мер и средств защиты требуемому уровню безопасности информации. Поэтому, если Вы, как разработчик или поставщик ИС не вносите туда Пдн, беспокоиться не стоит - это проблема Заказчика (эксплуатации). ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 19.11.2009, 16:56 |
|
||
|
|
start [/forum/topic.php?fid=33&msg=36273213&tid=1548431]: |
0ms |
get settings: |
9ms |
get forum list: |
11ms |
check forum access: |
4ms |
check topic access: |
4ms |
track hit: |
54ms |
get topic data: |
8ms |
get forum data: |
2ms |
get page messages: |
50ms |
get tp. blocked users: |
1ms |
| others: | 11ms |
| total: | 154ms |
| 0 / 0 |
