Закон о персональных данных до января 2011 года...
11075
41
Set_
veteran
Всем привет!
Был сегодня на конференции по поводу закона о защите персональных данных. Были представители управления ФСТЭК по Сибирскому региону и представитель от Роскомнадзор'а.
Что-то осадочек остался неприятный. Понятно что регламент учета ПД сделать не проблема, определить уровни доступа и т.п. тоже. Отправить уведомление в Роскомнадзор тоже не вопрос. Но что беспокоит.
Казалось бы, ФСТЭК проверяет, согласно регламента оператора, уровень защиты информации и т.п.
Вопрос (не стал задавать на встрече от греха) - если, скажем, софт защиты (антивирусники, фаерволы и т.п.) у меня лицензирование и сертифицировано в России. Но все остальное (винды, офис и т.п.) не имеет лицензии. При плановой проверки они могут докопаться до этого, или передать в параллельную инстанцию? Или им пофигу? Клиенты не в восторге от необходимости все лицензировать только ради проверки Роскомнадзор'ом и ФСТЭК'ом. А других пока и не ждут в гости.
Так же интересуют адекватные ребята имеющие опыт в прикручивании тонкого клиента Linux к удаленному рабочему столу Windows Server, либо Citrix на нем же...
Сам этим вопросом не занимался никогда, признаюсь...
Был сегодня на конференции по поводу закона о защите персональных данных. Были представители управления ФСТЭК по Сибирскому региону и представитель от Роскомнадзор'а.
Что-то осадочек остался неприятный. Понятно что регламент учета ПД сделать не проблема, определить уровни доступа и т.п. тоже. Отправить уведомление в Роскомнадзор тоже не вопрос. Но что беспокоит.
Казалось бы, ФСТЭК проверяет, согласно регламента оператора, уровень защиты информации и т.п.
Вопрос (не стал задавать на встрече от греха) - если, скажем, софт защиты (антивирусники, фаерволы и т.п.) у меня лицензирование и сертифицировано в России. Но все остальное (винды, офис и т.п.) не имеет лицензии. При плановой проверки они могут докопаться до этого, или передать в параллельную инстанцию? Или им пофигу? Клиенты не в восторге от необходимости все лицензировать только ради проверки Роскомнадзор'ом и ФСТЭК'ом. А других пока и не ждут в гости.
Так же интересуют адекватные ребята имеющие опыт в прикручивании тонкого клиента Linux к удаленному рабочему столу Windows Server, либо Citrix на нем же...
Сам этим вопросом не занимался никогда, признаюсь...
К вопросу о прикручивании тонкого клиента. Это реально только для нересурсоёмких задач без графики. И лицензии на подключение и терминал все равно нужны. (Если сервер легализовать)
а к вам закон имеет отношение?
по теме: винды, офис, "правильные" клиенты "лицензируют" уже давно и по другим причинам
спросить при проверке на эту тему им ничего не помешает, т.е. захотят - спросят
по теме: винды, офис, "правильные" клиенты "лицензируют" уже давно и по другим причинам
спросить при проверке на эту тему им ничего не помешает, т.е. захотят - спросят
а к вам закон имеет отношение?А к Вам нет? Закон имеет отношение совершенно ко всем без исключения! Кроме случая, когда персональные данные используются для личных нужд, например семейный альбом.
Почему ко всем? Да потому что по закону, персональными данными считается любая информация начиная с фамилии имени и отчества. Вопрос только в том, какую информацию необходимо защищать, а какую нет. Например "обезличенную" информация (данные по которым невозможно определить конкретную личность) или общедоступные данные защищать не надо.
Все остальное необходимо.
Если Вы принимаете сотрудника на работу, заключаете договор и т.п. То вы берете у него персональные данные о нем, и обязаны эти самые данные защитить.
Если данные хранятся без использования автоматизированных средств, тоесть на бумажных носителях, то это юрисдикция Роскомнадзора, если на электронных носителях, то уже ФСТЭК. Если при этом используются системы шифрования данных, то еще и ФСБ.
Тоесть смотришь на экране монитора - ФСТЭК, переписал/распечатал на бумажку - Роскомнадзор.
Очень советую изучить закон подробнее.
Сайт ФСТЭК: http://www.fstec.ru/
Сайт Роскомнадзора: http://www.rsoc.ru
Сам 152 закон
Важный для многих из нас, занимающихся автоматизированным учетом ПД и электронной коммерции: Постановление Правительства Российской Федерации от 17.11.2007 № 781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»
Немного выдержек из закона:
персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;
обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;
Статья 7. Конфиденциальность персональных данныхНа самом деле, страшного в этом законе ничего нет. То что он касается совершенно всех - факт. Но в большинстве случаев все попадают под 3 класс и количеством ПД до 100 тыс. Что по сути не требует почти никаких изменений в уже существующей работе. Но в любом случае должен быть подготовлен регламент по работе с ПД на предприятии и Рскомнадзор и ФСТЭК будут проверять как раз соответствие регламента с тем как есть на самом деле и будут искать нарушения закона и применять меры.
1. Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Обеспечение конфиденциальности персональных данных не требуется:
1) в случае обезличивания персональных данных;
2) в отношении общедоступных персональных данных.
Меры тоже интересные. Штрафы, если память не изменяет, до 90 тыс. рублей, что не так страшно, как приостановка деятельности предприятия до 90 дней и лишение лицензий. Должностных лиц могут отстранить от выполнения своих обязанностей до 3-х лет. Данные могут заставить удалить или изъять... В общем намного проще все сделать сразу, темболее что это не требует каких-либо серьезных вложений.
Но вот беда. Проверять они все будут на месте, а значит есть риск влететь с нелицензионным софтом. Хоть это и не их юрисдикция.
В общем так или иначе, уболтал всетаки клиентов на переход на тонкие клиенты, большей частью, остальное лицензировать. Бюджет вылетел нехилый, но деваться им всеравно некуда, если не при сертификации накроют, то чуток попозже.
P.S. А по поводу закона очень советую озаботиться, ибо представители Роскомнадзора и ФСТЭК дали понять, что все очень серьезно и времени осталось до января 2011....
Дмитрий М.
experienced
если, скажем, софт защиты (антивирусники, фаерволы и т.п.) у меня лицензирование и сертифицировано в России. Но все остальное (винды, офис и т.п.) не имеет лицензии. При плановой проверки они могут докопаться до этого, или передать в параллельную инстанцию?Почему бы им не докопаться до Вашего ксерокса - вдруг он краденый? или до Вашей машины - вдруг Вы транспортный налог "забыли" заплатить?
Сценарий нарисуйте, при котором они выясняют, что у Вас на винду/офис лицензии нет. и основания предложите для этого выяснения. (предложение: "а покажите свою лицензию на винду" - выходит за рамки компетенции этих проверяющих, его надо игнорировать, и лицензионный договор Вы не обязаны на стене под стеклом хранить).
Как понимаю, проверять они будут наличие, содержание и исполнение регламента работы с ПД и тип используемых для этого программных и технических средств (сертифицированы или нет), легальность происхождения этих и других средств - в области ведения других проверяющих.
В общем так или иначе, уболтал всетаки клиентов на переход на тонкие клиенты, большей частью, остальное лицензировать. Бюджет вылетел нехилый, но деваться им всеравно некуда, если не при сертификации накроют, то чуток попозж
-------------------------------------------------------------
Объясните, как закон о ПД влияет на тип клиента - толстый/тонкий?
Set_
veteran
Сценарий нарисуйте, при котором они выясняют, что у Вас на винду/офис лицензии нет. и основания предложите для этого выяснения. (предложение: "а покажите свою лицензию на винду" - выходит за рамки компетенции этих проверяющихВот, здравые слова, это и хотел услышатьЯ вот тоже думаю что их не должно это как-то волновать
Объясните, как закон о ПД влияет на тип клиента - толстый/тонкий?Конечно никак, я не проводил связь. Просто в вопросе звучала обеспокоенность по поводу нелицензинного софта. Поэтому о тонком клиенте речь зашла именно с целью минимизировать затраты на лицензии на винду и прочий софт. Железо есть уже. Понятно что сервер надо будет лицензировать, но это и так делать в любом случае. Антивирусник тут потребуется всего один, с офисом заморочка будет, главным образом.
Спрашивал я про тонкий клиент, так как сам никогда этого не делал. Но уже нашел человека, друг мутил в одной конторе. На выходных будем прикручивать у первого клиента, буду учиться уму разуму
спасибо за системную подачу - был в состоянии неясности по этому поводу, тем более, человек, который учится по первому классу, меня успокоил, мол, не парься
попробую сформулировать своё(!) понимание требований безопасности в отношении софта, установленного на компьютере, использующегося для обработки персональных данных - софт должен быть а)лицензионным б) предназначенным для работы с персональными данными
таким образом проверить могут, более того, вовсе не факт, что тонкий клиент спасет от полноценной проверки всего оборудования, использующегося конторой - проводные провайдеры, вроде, уже слили информацию в соответствующие места, по беспроводным, полагаю, тоже рецепты имеются (идентификации, в основном, а уж проследить, куда пакеты ходят - дело техники). Даже, если отбросить в сторону технические изыски - а что Вы ответите проверяющим господам, стоя у тонкого клиента, на просьбу "а можно всех посмотреть"?
в общем, думаю, проще расчитывать, что начнут с первой группы и, пока до нас доберутся, юристы-правозащитники уже выработают набор рецептов... возможно, к тому времени и лицензии на софт новые появятся ))
попробую сформулировать своё(!) понимание требований безопасности в отношении софта, установленного на компьютере, использующегося для обработки персональных данных - софт должен быть а)лицензионным б) предназначенным для работы с персональными данными
таким образом проверить могут, более того, вовсе не факт, что тонкий клиент спасет от полноценной проверки всего оборудования, использующегося конторой - проводные провайдеры, вроде, уже слили информацию в соответствующие места, по беспроводным, полагаю, тоже рецепты имеются (идентификации, в основном, а уж проследить, куда пакеты ходят - дело техники). Даже, если отбросить в сторону технические изыски - а что Вы ответите проверяющим господам, стоя у тонкого клиента, на просьбу "а можно всех посмотреть"?
в общем, думаю, проще расчитывать, что начнут с первой группы и, пока до нас доберутся, юристы-правозащитники уже выработают набор рецептов... возможно, к тому времени и лицензии на софт новые появятся ))
Сейчас читают
"Дирекция стройки" и ООО СЕДА (часть 3)
134127
1000
Политика и биология. (часть 2)
114505
456
Барахолка-5. Обмен, покупка и продажа.
352666
1000
Дмитрий М.
experienced
попробую сформулировать своё(!) понимание требований безопасности в отношении софта, установленного на компьютере, использующегося для обработки персональных данных - софт должен быть а)лицензионным б) предназначенным для работы с персональными даннымихочу понять - приведите, плиз, логическую цепочку, согласно которой вытекает требование а.
таким образом проверить могут
(допустим, в регламенте написали, что используется винда ХР. считаете, что проверяющие обязаны пройти по всему офису, переписать кол-во машин с виндой и попросить счет-фактуру, в котором фигурирует покупка этого кол-ва лицензий? Если фирма росла и покупали долго и по разному, то потребуют показать все первичные бух. документы на все винды? И надо ли будет документы на все лицензии предъявлять или только на те, которые привязаны к рабочим местам, связанным с работой с персональными данными? )
Что означает по Вашему требование б? Как будут предназначение проверять?
Например, майкрософтовский офис (любой версии) предназначен "для работы с персональными данными"? а ОпенОфис?
Имхо, в реестре ФСТЭК перечислены программы (для определенного уровня) - и весь вопрос в том, используются ли программы из реестра или нет.
(опять же, если в регламенте фирмы прописано использование каких-то виндов, регламент не затрагивает лицензионную чистоту этих виндов - это за его рамками)
ИринаДеветьярова
junior
Здравствуйте! Все не так просто. Есть еще, например, и такое Постановление Правительства РФ от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" и в нем пункты
"1. Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее - персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
2. Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее. " А это означает, что если человек ввел данные в информационную систему, редактирует их, получает отчеты, то это персональные данные, обрабатываемые без использования средств автоматизации. И привет ФСТЭК и Роскомнадзору! Кроме того, требования ФСТЭК к ИС изложены в документах ДСП (для служебного пользования) и не были опубликованы в печати, поэтому их можно не выполнять. Важно, что у вас за организация (государственная или нет), какие данные вы обрабатываете (к какому классу в результате будет отнесена ваша система). Вообщем, прежде, чем шашками махать, надо бы юриста позвать и вместе с ним почитать нормативные акты , может быть не все так плохо.
"1. Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее - персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
2. Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее. " А это означает, что если человек ввел данные в информационную систему, редактирует их, получает отчеты, то это персональные данные, обрабатываемые без использования средств автоматизации. И привет ФСТЭК и Роскомнадзору! Кроме того, требования ФСТЭК к ИС изложены в документах ДСП (для служебного пользования) и не были опубликованы в печати, поэтому их можно не выполнять. Важно, что у вас за организация (государственная или нет), какие данные вы обрабатываете (к какому классу в результате будет отнесена ваша система). Вообщем, прежде, чем шашками махать, надо бы юриста позвать и вместе с ним почитать нормативные акты , может быть не все так плохо.
презумпция
хикки
А можно это как-то для лохов и лохушек разъяснить?
Вот у нас масюсенькая конторка, полторы калеки. Я веду попутно бухгалтерию и кадры, хотя не бух вовсе.
Про закон о ПД знаю только, что он есть и надо с этим что-то делать.
У меня Винда, 1С, Касперский лицензионные и ОпенОфис. (Профессиональный софт тыренный, но на другой машине. )
Мне, что ли, нужна специальная какая-то программа по защите ПД или где?
Вот у нас масюсенькая конторка, полторы калеки. Я веду попутно бухгалтерию и кадры, хотя не бух вовсе.
Про закон о ПД знаю только, что он есть и надо с этим что-то делать.
У меня Винда, 1С, Касперский лицензионные и ОпенОфис. (Профессиональный софт тыренный, но на другой машине. )
Мне, что ли, нужна специальная какая-то программа по защите ПД или где?
ЕвгенийNSK2010
в жизни все просто - зри в корень
да не парьтесь пока...в следующем году будет ясно...
а вот крупным и заметным компаниям стоит задуматься ...
вообще тенденции склоняются в сторону западных коллег...
знакомый собирается с людей скачивающих инфу с инета ...получать деньги...
уже ведется работа с прокуратурой...закон есть но прецедентов пока не было...скоро будут...
здесь тоже люди практически на воздухе будут делать деньги
не будешь платить...доберутся
а вот крупным и заметным компаниям стоит задуматься ...
вообще тенденции склоняются в сторону западных коллег...
знакомый собирается с людей скачивающих инфу с инета ...получать деньги...
уже ведется работа с прокуратурой...закон есть но прецедентов пока не было...скоро будут...
здесь тоже люди практически на воздухе будут делать деньги
не будешь платить...доберутся
презумпция
хикки
Можно подумать, у нас наказывают тех, кто наносит больше вреда (в т.ч. воображаемого).
У нас под раздачу попадают те, кого можно загнобить легко и просто и сделать на этом статистику, та-скать, раскрываемости, которую никто пока не отменил.
Так что на "маленьких" наехать проще, чем на крупные компании.
У нас под раздачу попадают те, кого можно загнобить легко и просто и сделать на этом статистику, та-скать, раскрываемости, которую никто пока не отменил.
Так что на "маленьких" наехать проще, чем на крупные компании.
ЕвгенийNSK2010
в жизни все просто - зри в корень
Так что на "маленьких" наехать проще, чем на крупные компании.
_____________
тут вопрос в другом...
этот бизнес рассчитан на получение материальной выгоды...
поэтому крупных доить всегда выгоднее и проще...
вы путаете с гос органами...
_____________
тут вопрос в другом...
этот бизнес рассчитан на получение материальной выгоды...
поэтому крупных доить всегда выгоднее и проще...
вы путаете с гос органами...
презумпция
хикки
Либо никто не считает нужным снизойти ко мне, недоучке, либо никто, как и я, не знает, как все должно быть оформлено.
Set_
veteran
[цитатаМне, что ли, нужна специальная какая-то программа по защите ПД или где?
Есть касперский, этого достаточно, в плане защиты. Да и он не нужен, если Ваш компьютер не подключен к интернету. А главное, у Вас должно быть положение по ведению учета ПД в свободной форме. Составляете документ как Вам удобно, но чтобы бал следующая информация:
- какие ПД собираются на Вашем предприятии, как и с какой целью. Если только кадры ведете, то описываете данные которые собираете с сотрудников (ФИО, телефоны и т.п.). Причем Важно учитывать тот факт, что если Вы берете с них сведения, то они должны дать ПИСЬМЕННОЕ разрешение, либо в анкете должен быть пункт, что он дает соглашение на обработку его личных данных в таких-то целях. Так же Важно, что если Вы собираете данные и о родственниках сотрудника (муж/жена, дети и т.п.), то письменное согласие требуется и с этих членов семьи. Такой вот дебилизм.
- Как хранятся данные о ПД и кто имеет к ним доступ из сотрудников.
Заверяете своей подписью и печать. При проверке они будут руководствоваться именно Вашим положением. Сначала проверят само положение, чтобы там было все указано, а затем будут проверять исполнение этого положения на Вашем предприятии. Вот собственно и все, ничего большего не требуется по Вашему уровню.
Все остальное уже касается более высоких уровней, когда утечка информации может повлечь серьезные последствия, такие как информация о расовой принадлежности или вероисповедании и т.п.
Есть касперский, этого достаточно, в плане защиты. Да и он не нужен, если Ваш компьютер не подключен к интернету. А главное, у Вас должно быть положение по ведению учета ПД в свободной форме. Составляете документ как Вам удобно, но чтобы бал следующая информация:
- какие ПД собираются на Вашем предприятии, как и с какой целью. Если только кадры ведете, то описываете данные которые собираете с сотрудников (ФИО, телефоны и т.п.). Причем Важно учитывать тот факт, что если Вы берете с них сведения, то они должны дать ПИСЬМЕННОЕ разрешение, либо в анкете должен быть пункт, что он дает соглашение на обработку его личных данных в таких-то целях. Так же Важно, что если Вы собираете данные и о родственниках сотрудника (муж/жена, дети и т.п.), то письменное согласие требуется и с этих членов семьи. Такой вот дебилизм.
- Как хранятся данные о ПД и кто имеет к ним доступ из сотрудников.
Заверяете своей подписью и печать. При проверке они будут руководствоваться именно Вашим положением. Сначала проверят само положение, чтобы там было все указано, а затем будут проверять исполнение этого положения на Вашем предприятии. Вот собственно и все, ничего большего не требуется по Вашему уровню.
Все остальное уже касается более высоких уровней, когда утечка информации может повлечь серьезные последствия, такие как информация о расовой принадлежности или вероисповедании и т.п.
И самое смешное, что наши персональные данные уже давным-давно гуляют где ни попадя. Существуют на черном рынке телефонные базы данных, адресные и т.д. Так что скрыть информацию можно разве что о тех, кто родился в последние несколько лет.
Да понятное дело, потом никому и не докажешь, что не от тебя информация ушла. Как они это будут отслеживать - непонятно.
P.S. На счет личных данных, как пример из личной жизни. Брал я квартиру в ипотеку в Газпромбанке, необходимо было указать контакты родственников в Новосибирске. Я указал родственников по линии отца, о которых даже жена моя не знала, не то что телефон или адрес, вообще о их существовании не знала. А что говорить о ком-то еще. Тем более, что они не родные родственники отца, а двоюродная сестра моего отца.
Через 4-ре месяца, как я взял кредит, позвонили им на городской телефон и сказали, что я подрался и разбил витрину магазина и что владелец готов не подавать заявление в милицию, если ему привезут 20-тыс рублей.
Такие дела, получается что 100% информация о моей связи с этими родственниками ушла из службы безопасности газпромбанка! Больше этой информацией никто не владел, кроме моих родителей живущих на Дальнем востоке.
А что говорить о различных анкетах при получении дисконтных карт, переписи населения и т.д. и т.п.
P.S. На счет личных данных, как пример из личной жизни. Брал я квартиру в ипотеку в Газпромбанке, необходимо было указать контакты родственников в Новосибирске. Я указал родственников по линии отца, о которых даже жена моя не знала, не то что телефон или адрес, вообще о их существовании не знала. А что говорить о ком-то еще. Тем более, что они не родные родственники отца, а двоюродная сестра моего отца.
Через 4-ре месяца, как я взял кредит, позвонили им на городской телефон и сказали, что я подрался и разбил витрину магазина и что владелец готов не подавать заявление в милицию, если ему привезут 20-тыс рублей.
Такие дела, получается что 100% информация о моей связи с этими родственниками ушла из службы безопасности газпромбанка! Больше этой информацией никто не владел, кроме моих родителей живущих на Дальнем востоке.
А что говорить о различных анкетах при получении дисконтных карт, переписи населения и т.д. и т.п.
презумпция
хикки
Спасибо за информацию.
Т.е. я пишу, что для целей кадрового и бух. учета собираю с сотрудников такие-то данные (перечисляю) и прилагаю бумажки с их письменным согласием, так? А вот с хранением насколько строго? У нас сейфа никакого нет, офис на дому.
Т.е. я пишу, что для целей кадрового и бух. учета собираю с сотрудников такие-то данные (перечисляю) и прилагаю бумажки с их письменным согласием, так? А вот с хранением насколько строго? У нас сейфа никакого нет, офис на дому.
Подскажите, плиз, "команду" из каких специалистов необходимо собрать для подготовки всего необходимого по этому Закону в организации?
Set_
veteran
Т.е. я пишу, что для целей кадрового и бух. учета собираю с сотрудников такие-то данные (перечисляю) и прилагаю бумажки с их письменным согласием, так?Да, именно так, а так же указываете, обычно приложением к положению, о том, кто именно из сотрудников имеет доступ к этим данным. Это важный момент, так как если, при проверке выяснится, что кто-то еще имеет доступ к этим данным, не перечисленный в положении/приложении, то вывод очевиден - Вы не следите за доступом к данным
А вот с хранением насколько строго? У нас сейфа никакого нет, офис на дому.На самом деле тут два вопроса, так как есть учет с использованием электроники и без нее. Если данные хранятся на компьютере и только на нем (Внимание, как только Вы распечатаете данные на бумаге, или просто перепишете вручную, это уже касается следующего вопроса, читаем ниже...), то достаточно защитить данные от внешнего доступа, установить ЛИЦЕНЗИОННЫЙ антивирус, присутствующий в реестре программного обеспечения для защиты ПД в ФСТЭК (Касперский там точно есть), а так же фаерволл (если компьютер подключен к сети К ЛЮБОЙ, не обязательно интернет, при условии что в сети присутствуют компьютеры на которых работают люди не имеющие доступ к ПД по Вашему же положению).
Вопрос второй, хранение на бумажных носителях. Сейф тут совсем не обязателен, главное ограничить доступ к данным лиц, не указанных в Вашем положении. С другой стороны, никто не мешает Вам указать, что все сотрудники компании имеют к ним доступ для таких-то целей. Тогда останется только исключить доступ третьих лиц к данным и все. Причем важно помнить, что ПД на бумажном носителе Вы не можете просто порвать, или выбросить. Их необходимо уничтожать по акту. Это по закону. В общем не "палитесь" при уничтожении бумажных носителей, либо уничтожайте по акту в составе комиссии.
Подскажите, плиз, "команду" из каких специалистов необходимо собрать для подготовки всего необходимого по этому Закону в организации?Смотря какой объем ПД у Вас собирается и как он и для чего обрабатывается. В 90% случаев, малом предпринимательстве, для решения этого вопроса достаточно одного человека - руководителя. И затрат только на антивирусник и, если необходимо, фаерволл.
В остальном достаточно написать положение по предприятию, собственными словами, и ограничить доступ к данным, как в электронном виде, так и на бумажных носителях. Это все, большего не надо. Если конечно Вы не собираете данные о расовой принадлежности, вероисповедании и т.п. Тогда уже НАМНОГО сложнее все сделать по закону
Вот отвечал, отвечал, а ответа своего так и не увидел... Подведу итог для себя - можно не заморачиваться на всякие сертификаты и дорогостоящие охранные грамоты... подготовить регламенты и правила.... сейфы и ящики... на всякий случай назначить директора - кто будет за все отвечать... и больше не заморачиваться! Я прав в целом? А что тогда в сети столько шума по этому вопросу? Или я что-то недопонимаю?
ЕвгенийNSK2010
в жизни все просто - зри в корень
Или я что-то недопонимаю?
___________
да не заморачивайтесь вы...с вас толком нечего брать...
время пройдет ...все прояснится
___________
да не заморачивайтесь вы...с вас толком нечего брать...
время пройдет ...все прояснится
Шум подняли только из-за недопонимания сути вопроса и связанными с ним, возможными, проблемами. А так же нечеткой формулировкой самих законов и спорным трактованием некоторых пунктов закона, не более того. Если же вникнуть в суть вопроса, то получается что нас, смертных, это практически не коснется. И проблем особых в этом нет. А вот на незнающих очень сильно наживутся компании, которые сертифицировали свою деятельность по защите ПД и будут предлагать свои услуги для "лопухов"
P.S. А по поводу закона очень советую озаботиться, ибо представители Роскомнадзора и ФСТЭК дали понять, что все очень серьезно и времени осталось до января 2011....Подскажите, а каково наказание сейчас за нарушение этого закона?
Я примерно 1 год назад случайно попал на один из семинаров по ИТ, там также выступал представитель ФСТЭК. Так вот, в прошлом году называлась цифра = 10 тыс. руб. штрафа за выявленное нарушение (первичное) этого закона. А также мужик из ФСТЭК говорил, что их в штате всего 2 чел. на всю область, которые могут делать проверки.
Так может с этим законом просто раздувают из мухи слона, чтобы кое-кто отмыл н-ую сумму?
Подскажите, а каково наказание сейчас за нарушение этого закона?Не забывайте, что ФСТЭК работает только с ПД на электронных носителях, а есть еще Роскомнадзор, они контролируют ПД на бумажных и носителях и т.п. Так что штат из двух человек в ФСТЭК большой погоды не делаетНа счет наказания, штрафы выросли до 90 тыс. руб. Но ни это страшно. Страшнее следующее:
- для сотрудника - запрет на занятие данном видом деятельности (связанным с учетом ПД) сроком до 3-х лет
- для организации - приостановка деятельности до 90 дней, лишение лицензий, могут заставить удалить все ПД и т.д.
Set_
veteran
Прошу прощения, памятка подвелаУточняю:
Так что же может грозить компании за нарушение Федерального Закона №152-ФЗ "О персональных данных": статья 24 Закона № 152-ФЗ: "Лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность".
УГОЛОВНАЯ ОТВЕТСТВЕННОСТЬ (Уголовный Кодекс РФ (УК РФ)
"…УК РФ. Статья 137. Нарушение неприкосновенности частной жизни
1. Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации - наказываются штрафом, либо обязательными работами на срок от ста двадцати до ста восьмидесяти часов, либо исправительными работами на срок до одного года, либо арестом на срок до четырех месяцев..."
"…УК РФ. Статья 140. Отказ в предоставлении гражданину информации
Неправомерный отказ должностного лица в предоставлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан, - наказываются штрафом, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет..."
"…УК РФ. Статья 272. Неправомерный доступ к компьютерной информации
1. Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, - наказывается штрафом, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет…"
В настоящее время в связи с принятием Федерального закона № 152 "О персональных данных" планируется внести изменения в некоторые законодательные акты РФ, в том числе в Кодекс об Административных Правонарушениях РФ и Уголовный кодекс РФ, что повлечет существенное увеличение размера наказания за нарушения в сфере обработки персональных данных.
Административная ответственность (Кодекс об Административных Правонарушениях РФ (КоАП РФ)
"…КоАП РФ. Статья 13.11. Нарушение установленного законом "О персональных данных" порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)
влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот руб.; на должностных лиц - от пятисот до одной тысячи руб.; на юридических лиц - от пяти тысяч до десяти тысяч руб..
"…КоАП РФ. Статья 13.12. Нарушение правил защиты информации
1. Нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну), -
влечет наложение административного штрафа на граждан в размере от трехсот до пятисот руб.; на должностных лиц - от пятисот до одной тысячи руб.; на юридических лиц - от пяти тысяч до десяти тысяч руб..
2. Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну), -
влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи руб. с конфискацией несертифицированных средств защиты информации или без таковой; на должностных лиц - от одной тысячи до двух тысяч руб.; на юридических лиц - от десяти тысяч до двадцати тысяч руб. с конфискацией несертифицированных средств защиты информации или без таковой.
"…КоАП РФ. Статья 13.14. Разглашение информации с ограниченным доступом
Разглашение информации, доступ к которой ограничен федеральным законом "О персональных данных" (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, за исключением случаев, предусмотренных частью 1 статьи 14.33 настоящего Кодекса, (ст.14.33- недобросовестная конкуренция) влечет наложение административного штрафавлечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи руб.; на должностных лиц - от четырех тысяч до пяти тысяч руб...."
Дисциплинарная ответственность (Трудовой кодекс)
Статья 81 - Однократное грубое нарушение работником трудовых обязанностей - разглашение охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе разглашение персональных данных другого работника - увольнение
Статья 90 - Нарушение норм, регулирующих получение, обработку и защиту персональных данных работника - увольнение
ВЫВОДЫ
По итогам проверки о соблюдении положений ФЗ -152 "О пероснальных данных" помимо наложения штрафов, может последовать уголовное преследование должностных лиц. Это конечно крайняя мера, но в России можно надолго оказаться в тюрьме и за ведро картошки.
Не стоит забывать и о возможности дисквалификации руководителя за несоблюдение требований закона, что повлечет невозможность занятия им соответствующих постов на длительное время.
Кроме того, штраф накладывается за зафиксированное нарушение. Но это не означает, что за это же нарушение нельзя оштрафовать снова. Это как будто Вы едите на автобусе без билета, и на каждой остановке заходит контролер и штрафует Вас за безбилитный проезд. Так и здесь, выдается предписание о немедленном устранении нарушений в течение 3 дней. И через этот срок проверка приходит снова и Вас снова штрафуют. Ведь за три дня нереально провести сертификацию своей информационной системы, и обеспечить выполнение всех требований 152 федерального закона.
Приведением бизнеса в соответствие с законом лучше озаботиться заранее, чтобы не нести дополнительных финансовых и моральных издержек.
Так что же может грозить компании за нарушение Федерального Закона №152-ФЗ "О персональных данных": статья 24 Закона № 152-ФЗ: "Лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность".
УГОЛОВНАЯ ОТВЕТСТВЕННОСТЬ (Уголовный Кодекс РФ (УК РФ)
"…УК РФ. Статья 137. Нарушение неприкосновенности частной жизни
1. Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации - наказываются штрафом, либо обязательными работами на срок от ста двадцати до ста восьмидесяти часов, либо исправительными работами на срок до одного года, либо арестом на срок до четырех месяцев..."
"…УК РФ. Статья 140. Отказ в предоставлении гражданину информации
Неправомерный отказ должностного лица в предоставлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан, - наказываются штрафом, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет..."
"…УК РФ. Статья 272. Неправомерный доступ к компьютерной информации
1. Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, - наказывается штрафом, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет…"
В настоящее время в связи с принятием Федерального закона № 152 "О персональных данных" планируется внести изменения в некоторые законодательные акты РФ, в том числе в Кодекс об Административных Правонарушениях РФ и Уголовный кодекс РФ, что повлечет существенное увеличение размера наказания за нарушения в сфере обработки персональных данных.
Административная ответственность (Кодекс об Административных Правонарушениях РФ (КоАП РФ)
"…КоАП РФ. Статья 13.11. Нарушение установленного законом "О персональных данных" порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)
влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот руб.; на должностных лиц - от пятисот до одной тысячи руб.; на юридических лиц - от пяти тысяч до десяти тысяч руб..
"…КоАП РФ. Статья 13.12. Нарушение правил защиты информации
1. Нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну), -
влечет наложение административного штрафа на граждан в размере от трехсот до пятисот руб.; на должностных лиц - от пятисот до одной тысячи руб.; на юридических лиц - от пяти тысяч до десяти тысяч руб..
2. Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну), -
влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи руб. с конфискацией несертифицированных средств защиты информации или без таковой; на должностных лиц - от одной тысячи до двух тысяч руб.; на юридических лиц - от десяти тысяч до двадцати тысяч руб. с конфискацией несертифицированных средств защиты информации или без таковой.
"…КоАП РФ. Статья 13.14. Разглашение информации с ограниченным доступом
Разглашение информации, доступ к которой ограничен федеральным законом "О персональных данных" (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, за исключением случаев, предусмотренных частью 1 статьи 14.33 настоящего Кодекса, (ст.14.33- недобросовестная конкуренция) влечет наложение административного штрафавлечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи руб.; на должностных лиц - от четырех тысяч до пяти тысяч руб...."
Дисциплинарная ответственность (Трудовой кодекс)
Статья 81 - Однократное грубое нарушение работником трудовых обязанностей - разглашение охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе разглашение персональных данных другого работника - увольнение
Статья 90 - Нарушение норм, регулирующих получение, обработку и защиту персональных данных работника - увольнение
ВЫВОДЫ
По итогам проверки о соблюдении положений ФЗ -152 "О пероснальных данных" помимо наложения штрафов, может последовать уголовное преследование должностных лиц. Это конечно крайняя мера, но в России можно надолго оказаться в тюрьме и за ведро картошки.
Не стоит забывать и о возможности дисквалификации руководителя за несоблюдение требований закона, что повлечет невозможность занятия им соответствующих постов на длительное время.
Кроме того, штраф накладывается за зафиксированное нарушение. Но это не означает, что за это же нарушение нельзя оштрафовать снова. Это как будто Вы едите на автобусе без билета, и на каждой остановке заходит контролер и штрафует Вас за безбилитный проезд. Так и здесь, выдается предписание о немедленном устранении нарушений в течение 3 дней. И через этот срок проверка приходит снова и Вас снова штрафуют. Ведь за три дня нереально провести сертификацию своей информационной системы, и обеспечить выполнение всех требований 152 федерального закона.
Приведением бизнеса в соответствие с законом лучше озаботиться заранее, чтобы не нести дополнительных финансовых и моральных издержек.
"…КоАП РФ. Статья 13.11. Нарушение установленного законом "О персональных данных" порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)Понятно, значит за последний год ничего не изменилось
влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот руб.; на должностных лиц - от пятисот до одной тысячи руб.; на юридических лиц - от пяти тысяч до десяти тысяч руб..
Статьи из Уголовного кодекса, которые вы привели, существовали еще до подписания фед. закона 152-ФЗ и никак не изменились в связи с принятием закона. Поэтому приплетать их сюда не совсем правильно. Сами ведь цитируете:
В настоящее время в связи с принятием Федерального закона № 152 "О персональных данных" планируется внести изменения в некоторые законодательные акты РФ...Это "планируется" длится уже не один год и навряд ли скоро что-нибудь изменится.
Это как будто Вы едите на автобусе без билета, и на каждой остановке заходит контролер и штрафует Вас за безбилитный проезд.Только контролеров всего 2 чел на все маршруты в городе - всех не оштрафают, риски мизирные
mazur_a
junior
С чего вы взяли, что взять нечего?)) Пару вещей есть даже очень ничего... что ж мы сюда ходим то, если взять нечего.... что-то не вяжется...
Чем утановлен штраф до 90 тыс. руб.? Не могу найти....
Чем утановлен штраф до 90 тыс. руб.? Не могу найти....Я же извинился, за неточность. Писал про 90 тыс по памяти после семинара, да вот памятка подвела. Поэтому и поискал в инете уточнение и поправил себяЕще раз извините.
ЕвгенийNSK2010
в жизни все просто - зри в корень
Пару вещей есть даже очень ничего... что ж мы сюда ходим то, если взять нечего...
__________________
имел ввиду что компания небольшая...руки не доберутся
__________________
имел ввиду что компания небольшая...руки не доберутся
А вот на незнающих очень сильно наживутся компании, которые сертифицировали свою деятельность по защите ПД и будут предлагать свои услуги для "лопухов"26.11.2010 на семинаре в НГТУ представитель ФСТЭК однозначно сказал, что деятельностью по защите информационных систем от несанкционированного доступа могут заниматься ТОЛЬКО те, кто имеет соответствующую лицензию ФСТЭК. Вплоть до того, что даже Касперского правильно установить на компьютер с ИСПДН могут только приглашенные специалисты
О чем я и говорил. Наживаться будут по полной и ценник, уверен, будет очень конский даже за установку касперского... Помяните мое слово
Какого класса персональные данные у вас?
В зависимости от класса ПД разные требования
Класс определяется в зависимости от категории и количества персональных данных.
категории следующие
Категория 1 - данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни
Категория 2 - данные, позволяющие идентифицировать и получить дополнительную информацию, за исключением категории 1
Категория 3 - данные, позволяющие идентифицировать субъекта персональных данных
Категория 4 - обезличенные и общедоступные персональные данные
Класс ПД в зависимости от категории данных и количества субъектов определяется по таблице
До 1000 1000-100 000 Более 100 000
Кат. 4 4 4 4
Кат. 3 3 3 2
Кат. 2 2 2 1
Кат. 1 1 1 1
Если требуется помощь по 152-ФЗ пишите в личку
В зависимости от класса ПД разные требования
Класс определяется в зависимости от категории и количества персональных данных.
категории следующие
Категория 1 - данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни
Категория 2 - данные, позволяющие идентифицировать и получить дополнительную информацию, за исключением категории 1
Категория 3 - данные, позволяющие идентифицировать субъекта персональных данных
Категория 4 - обезличенные и общедоступные персональные данные
Класс ПД в зависимости от категории данных и количества субъектов определяется по таблице
До 1000 1000-100 000 Более 100 000
Кат. 4 4 4 4
Кат. 3 3 3 2
Кат. 2 2 2 1
Кат. 1 1 1 1
Если требуется помощь по 152-ФЗ пишите в личку
ВЦ ИнфоСофт
junior
Можем вам порекомендовать книгу по этой теме - http://v8.1c.ru/metod/books/book.jsp?id=229
Приобрести можно у нас - в ВЦ ИнфоСофт. Контакты на сайтеwww.softnsk.ru
Приобрести можно у нас - в ВЦ ИнфоСофт. Контакты на сайтеwww.softnsk.ru
FelixS
activist
Отложили введение закона. В очередной раз.
FelixS
activist
http://www.cnews.ru/news/top/index.shtml?2010/12/08/419341
http://www.cnews.ru/news/line/index.shtml?2010/12/10/419674
в общем, ждёмс до Нового года ...
http://www.cnews.ru/news/line/index.shtml?2010/12/10/419674
в общем, ждёмс до Нового года ...
ТОП 5
1
2
3
4