Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных.
Здравствуйте. Пришло письмо, как бы странно не звучало в названии - это Постановление Правительства РФ от 17.11.2007 № 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных"
Далее по тексту:
Приказываю:
1. Утвердить перечень должностей, при замещении которых сотрудники управления по делам молодёжи имеют доступ к персональным данным граждан и могут производить их обработку.
2. Сотрудникам управления, имеющим доступ к персональным данным граждан и производящим из обработку, осуществлять работу с персональными данными граждан в соответствии с "Положением о работе с персональными данными гражданв админмистрации города Владимира", утверждённым распоряжением главы города от 07.12.2009 № 730-р.
3. Директорам подведомственных муниципальных учреждений разработать необходимую документацию и проводить работу с персональными данными граждан в соответствии с требованиями текущего законодательства.
4. Контроль за исполнением данного приказа оставляю за собой.
С пунктами 1,2 и 4 вроде всё понятно. Я не могу разработать модель, которая им нужна по 3тьему пункту. Ибо свалили на меня. Если подключать какую-нить фирму, то всё что они сделают - придут, поставят пару "кошерных" антивирусов, просто сменят пароли, скажут менять мол их каждый месяц, снесут мою православную Кубунту и затребуют за работу кучу денег, коих в нашей организации нет.
Вот так приблизительно выглядит наш оффис:
прокси<->АДСЛ-модем<->хаб<->7 компов, один из которых мой с файлопомойкой на кубунту, где все документы храняться. На остальных пока винда - ибо начальство боится переходить на линукс, хотя и видело как я нормально и быстро в нём работаю.
У меня на руках "Федеральный закон о персональных данных", но там нет ничего о том, как разработать эту "необходимую документацию.
Если кто сталкивался, пожалста - отзовитесь...
Желательно в кратчайшие сроки, а то вы знаете - утвердили - сразу вводить, и их неип не волнует что нужно время, тем более если до этого ничего подобного не было. В прошлом году прислали что-то типа опросника - какие ОСи стоят (причём про линукс там не было ни слова), стоит ли др. Веб или Касперский, и если нет то почему не стоят. И какого типа у нас есть персональные данные (У нас хранятся ИСПДн 3 категории, объём 1 уровня, из чего следует класс 3).
Нужно сделать макет защиты данных и отправить им.
Заранее спасибо.
совершенно непонятна суть п.3:
Что здесь имеется в виду?
Вообще, как мне видится, тебе бы между модемом и хабом стоило бы поставить роутер, а трафик пустить либо по NAT, либо по проксе (дело вкуса), хотя если модем сам по себе работает как роутер, а разделять трафик по потребностям тебе не надо, то это дело лишнее.
Ну и потом, какую защиту данных надо? ограничение доступа к каким-то файлам - одно дело. Шифрование жесткого диска с данными - другое.
В общем, НИПАНЯЯЯЯЯТНА (с)
Я сам не в курсе =\
Модем и так выполняет функции роутера, и трафик идёт по NAT.
Я сам не понимаю что им надо - поэтому у вас и спрашиваю...
Как я понял - им надо какую-то модель защиты данных..
А как её оформить?
Да напиши им чего нибудь и покажи, пусть ознакомятся, внесут поправки, тут главное вовремя написать мол смотрите я сделал вовремя. Ну ничего если Kubuntu укажешь, обьяснишь что да как и про вирусы им раскажешь, кстати есть аваст под линукс, его задача проверять разделы с виндовс. Главное начать. А насчет безопасноти можешь у пенсионников спросить, там не отдел по защите а почти гестапо.
Что написать?
Я сюда и обращаюсь чтобы подсказали что им накалякать....
Наткнулся на сайт ispdn.ru - сижу и втыкаю, но пока ничего существенного не нашёл. Только ссылки на статьи. Ни образцов, ни в каком виде оформлять...
Вот что нашёл на сайте этом.. :
Порядок действий по защите информационной системы персональных данных
Нужна помощь в 4, 5 и 6 пунктах =\
Я таким не занимался ни разу...
защита информации - отдельный бизнес на котором рубятся неплохие баблосы. если мало что изменилось за последнее время, то заставят поставить сертифицированный межсетевой экран (файрвол). про вирусы можешь написать "в целях снижения риска утечки информации, связанных с вирусами, троянами и т.д. всем перейти на кубунту" но антивирус поставить все таки придется. текст про систему паролей можно стащить в инете (переодичность смены, требования к длине и т.д.). если данные храняться в файлах а не в базе, придется шифровать диск, в противном случае самой базой. необходима инструкция для народа под подпись. посмотри сайт контор, которые этим занимаются, чтобы набраться чугунных слов (атлас какой-нибудь)
Виндозом дело пахнет, ибо как это не парадоксально, но по моему их и подрузумевают.
KUBUNTU ясен пень защищённее (ИМХО и только ИМХО), но это же никому не известно не понятно и не доказано, а вот Форточки когда с блекджеком и "кашпировским" плюс обновления через интернет и бдение биллютеней безопасности якобы становятся безопасными... и т.п.
Взять те же торги на Roseltorg.ru - сказал Владимир ясно солнышко: "Не бывать взяткам, сговору и монополии, будете все через интернет торговать." Смотрим требования JavaScript ещё можно запустить под линуксом (или нет?), а вот CAPICOM это по моему MS приблуда, налицо приговор покупай XP и выше. И все инструкции исключительно по продуктам Mыcrosoft, за исключением может быть Bat...
Хотя не исключаю, что свободные программы просто не имею какого-то нужного функционала.
К чему это я, к тому, что надо внимательно посмотреть очень этот вопрос, чую майкросятиной пахнет...
JavaScript работает во всех современных браузерах. Причём, насколько я в курсе в осле он изрядно отстаёт от текущей спецификации. :)
А вот CAPICOM - действительно выньдавс-онле:
CAPICOM версии 2.1.0.2 — последняя версия CAPICOM, которая официально поддерживается в Windows Vista. Однако, Microsoft объявила, что поддержка CAPICOM прекращена и далее компонент разрабатываться не будет. Microsoft предлагает заменить CAPICOM криптографическими классами .NET Framework X509.
Википедия.
JavaScript работает во всех современных браузерах. Причём, насколько я в курсе в осле он изрядно отстаёт от текущей спецификации. :)
А вот CAPICOM - действительно выньдавс-онле:
CAPICOM версии 2.1.0.2 — последняя версия CAPICOM, которая официально поддерживается в Windows Vista. Однако, Microsoft объявила, что поддержка CAPICOM прекращена и далее компонент разрабатываться не будет. Microsoft предлагает заменить CAPICOM криптографическими классами .NET Framework X509.
Википедия.
Простите мое непрофессиональное вмешательство, но тут точно никто не путает защиту информации и защиту персональных данных?
(Wiki)Персональные данные (или личные данные) — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
В МГУ всех студентов заставили подписать душераздирающие бумажки о том, что университету разрешено использование, обработка и всякое такое персональных данных. Сказали, что без такого разрешения вывешенные списки поступивших абитуриентов и даже экзаменационная ведомость - незаконные документы...
чтобы стать оператором персональных данных, нужно провести организационно-технические мероприятия по защите этих самых данных. о чем и известить регистрирующий орган. кстати если данные нужны для функционирования организации и предоставляются человеком добровольно (под подпись), то ничего делать не надо. отсюда и подпись бумажки в МГУ.
Не знаю как по закону, но если данные есть, ********ь их нельзя, независимо от согласия на это человека.
Иначе у нас сразу начнёться "марш согласных" и мало найдётся не согласных поступать в институты, получать услуги и т.п. И у всех организаций автоматически появятся пункты: "мы делаем с вашими данными, что хотим и не трогает"...
Ст. 22, ч. 2, п. 2 Закона позволено не уведомлять уполномоченный орган об обработке ПД, если она осуществляется в связи с исполнением договора, стороной которого является субъект ПД, и с его согласия
Это может и да, но
*********составлять базы для продажи в метро или бездействовать против их создания злоумышленниками на основе данных попавших к вам, это думается (ИМХО) по прежнему преступления (но юрист из меня, такой же как балерина...).Отправить комментарий