Предлагаю создать ветку для общения на тему организации защиты ПДн в свете федерального закона №152 http://www.consultant.ru/online/base/?req=doc;base=LAW;n=103154

Пожалуйста, только ответы по существу. Флудить не нужно - тема сильно обширная.

Ну я, пожалуй, начну со своего вопроса.
Выдержка из ст. 22 закона (несколько строк объединены в одно предложение):
Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;

Получается, что для 1С:ЗиК и 1С:ЗиУП ничего делать не нужно?

Ап

на итс все расписано

(1) Нужно логировать досуп и отказ в доступе к персональным данным. Логировать отказ в доступе могет только 8.2, значит ЗиК нужно выкинуть.

(4) :) Это Вы о файловой ???? Возможно. А что вы будете делать с SQL вариантом ?  Селект звездочка фром из QA....  при Sa логине и трех единицах пароля :)

(5) Нет, логирование - это запись в журнал регистрации об отказе конкретному пользователю доступа к конкретным персональным данным. При чем тут файловая-шмайловая?

(6) Пока будете расписывать что такое прикладное логирование при отказе доступа все уже украдут :)

(3) Почитал ИТС - появились дополнительные вопросы, но на мой вопрос там ответа нет.

Согласно п. 1 ст. 22 152-ФЗ:
Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

Согласно п. 2 ст. 22 152-ФЗ:
Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;

2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

Из вышесказанного я сделал вывод, что никого уведомлять не нужно, если все физ. лица, данные которых мы обрабатываем, либо являются сотрудниками нашего предприятия, либо это наши контрагенты, с которыми заключен договор.
Я сделал правильный вывод или нет?

(4) "Нужно логировать досуп и отказ в доступе к персональным данным" - это где такое написано? Можно ссылочку, если не сложно...

На ИТС написано, что нужно "разработать Положение о порядке обработки персональных данных работников и гарантии их защиты". Кто-нибудь уже это делал? Есть-ли примеры или шаблоны подобного положения?

там 3 уровня вроде есть персональных данных. 1-й уровень - это секретные данные обрабатываете или данные о здоровье сотрудников (медицинские карты), или у вас база всю Россию охватывает - миллионы человек, тогда надо сообщать. А обычные базы - это 2-й уровень, сообщать вроде не надо.

(0) Реально никто ничего не знает. Закон весьма сырой, но тема актуальная. В ИТС Консалтинге действительно неплохо написано, но вопросов меньше не становится.

добавлю свои вопросы:
1) Нужно ли подавать заявление об намерении обработывать данные? Не "как в законе"(мутно), а как на самом деле.

2) Стоит указывать в заявлении автоматизированную обработку - а то может ну ее, меньше проблем.

3) 1С 8.2 шифрование поддерживает?
4) В средствах защиты нужно указывать разные программы не входящие в реестр?
5) Дата начала обработки - начало года или дата начала ввода данных в программу?

Это вопросы, которые возникают при заполнении заявления.

(12) первый вопрос это эхо моего (1) или (8)? Или это какое-то другое заявление?

(13) да, сильно смушает пунки 1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;

(12) По вопросу 3 - шифрование вроде как уже не нужно... А вообще, если вариант файловый, то таблицы с данными просто так не валяются, всё упаковано в 1Cv8.1CD. Ну а в SQL варианте, это уже таблицы SQL, платформа тут не при чем.

(12) На (10) есть что ответить?

(15) Нужно, шифрование отменили ТОЛЬКО для неавтоматизированной обработки.

иначе бы это выглядело жестко - зашифрованная первичка :)

(10) Положение+ дополнение в трудовом договоре - это первое что нужно сделать, любой юрист с этим справится. Шаблоны я без проблем находил в интернете.

(4) +100. То же, но в более вежливой форме объявили и в 1С

(20) Там все еще проще - есть в реестре - можно использовать, нет в реестре - нельзя. А в реестре есть только 8.2z

(19) А вот это уже полезная информация, спасибо!

(19) Ага, у нас вон недавно кадровик обходила, подпися собирала.

(21) Подкрепляйте посты ссылочками, дорогие господа :)
Мы же серьезные вещи обсуждаем))

У нас провели серию мероприятий по обеспечении защиты персональных данных: теперь ключи от кабинетов (где возможен доступ к ним) кладем в тубусы и опечатываем их и только тогда сдаем на вахту.

(25) Это кто Вам такие мероприятия провел? Сами вычитали или в фирму какую-нибудь обращались?

(26) Нет, сами. Долго думали перед этим ).

(12) + (15) + (17) продолжение:

Из старой редакции п. 1 ст. 19 152-ФЗ:
Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

Из текущей редакции п. 1 ст. 19 152-ФЗ:
Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
(в ред. Федерального закона от 27.12.2009 N 363-ФЗ)

Из (28) делаем вывод - шифрование уже не нужно.

(29) Согласен, с шифрованием все понятно, в свое время ошибался.

Вот, нашел интересный сайт:
Портал персональных данных http://pd.rsoc.ru/
На этом ресурсе есть пример Уведомления об обработке персональных данных и рекомендации по его заполнению: http://pd.rsoc.ru/operators-registry/operators-registry-documents/
Возможно, это снимет часть вопросов из (12).

ФЗ №152 определяет только самые общие положения, касающиеся защиты ПНД.
Есть еще целая куча нормативных документов, где достаточно детально расписывается, что нужно и не нужно делать.
Это два постановления Правительства РФ, совместный приказ ФСБ, ФСТЭК и Минкомсвязи о порядке определения класса информационной системы, ряд документов ФСТЭК.

Номера лень, честно говоря, искать, все можно найти на ИТС.

Если самостоятельно всем этим заниматься, то, имхо, нужно садиться и предельно внимательно читать все нормативные документы. Смотреть каждый пункт и решать, относится ли это к нам, нужно ли это делать и так далее.

И то, скорее всего, при реальной проверке всегда можно будет к чему-нибудь придраться, благо многие вещи в нормативных документах изложены достаточно туманно, если вообще не противоречит друг другу. Вы, например, заметили, что из ФЗ152 исключили слова о шифрованиии, но из уточняющих нормативных актов шифрование никуда не пропало.

Ихмо, самый верный, но наиболее затратный путь избежать проблем при проверках - пригласить какую-нибудь организацию со стороны, имеющую гос. лицензию на проведение работ по защите информации и выдающую аттестаты или какую-нибудь другую бумажку. Желательно, чтобы организация была солидная - какой-нибудь системный интегратор или (полу)государственная структура.

Вопрос еще в том, насколько серьезно будут проверять. Вряд ли у Роскомнадзора достаточно ресурсов, чтобы обеспечить сколь-нибудь массовые проверки.

(33) Да, я тоже думаю, что это не задача программиста 1С, заниматься этим вопросом... Просто, похоже, никто, кроме меня, на нашем предприятии об этом законе и не знает... Но чтобы идти с этим вопросом к руководству, нужно иметь представление, про что вести разговор.

(33) Вот только они никакой ответственности не несут

(1) Для 1с ничего не нужно. Это должны быть организационно-распорядительные доки. В случае с трудовыми отношениями, у вас должен быть трудовой договор или что-то подобное. В нем должен быть пункт о согласии работника на обработку вами его персональных данных.

(35) В ваш адрес будет направлено письмо или указание о предоставлении отчета по выполнению фз152. Далее смекайте, отреагировать вашим руководителям или нет. По истечении какого-то срока будет реакция Роскомнадзора. Если вы матёрые, накроют сразу, если нет в порядке общей очереди.
В любом случае не пренебрегайте.
И конечно дело не в программистах, а в руководителях. Пусть не рассчитывают, что это не их дело.

А вот фрилансерам, которые зарегистрированы, как ИП и не имеют сотрудников, как я понимаю, ничего вообще делать не нужно... Или нужно?

(37) Вы нормативные акты читали-то хоть? Там одними бумажками не отделаешься. Бумажками можно отделаться, если придет не слишком грамотная проверка проверка без технических специалистов.

(38) А откуда информация по регламенту проверки, особенно, что Роскомнадзор будет что-то у кого-то запрашивать?

(4) (20) (21) Очередной раз посмотрел приказ ФСТЭК (№58 от 5-02-10). где логирование доступа и отказа к ПД? есть регистрация входа/выхода в систему (из системы).А что вы будете использовать в качестве защиты от НСД, в том и ведется логирование. И 7-ку и 8-ку (без z) не надо "в топку", просто его не рассматриваем как средство защиты (официально), а покупаем и закрываемся другими сертифицированными средствами. Использование 8.2z в качестве защиты от НСД наложет существенные ограничения (мне кажется): только sql-ный вариант, невозможность обновить платформу.
Про шифрование: как правило оно нужно только при передаче ПД по общим каналом, и то нужно ПО с сертификатом ФСБ.
сайты www.ispdn.ru, www.itsec.ru/forum.php, lukatsky.blogspot.com

А вообще закон из серии "кошмарить бизнес". Я понимаю, что есть ряд организаций, утечка персональных данных из которых может к неприятным последствиям привести. Кредитные организации, операторы связи, милиция, может еще что. Но зачем все это обычным "купи-продайкам", коих у нас огромное число, причем довольно крупных, которые просто ведут кадровый учет и могут хранить информацию о контактных лицах контрагентов.

Жуть, в общем.

(41) Постановление Правительства РФ от 17 ноября 2007 года, статья 15:

"Запросы пользователей информационной системы на получение персональных данны, включая лиц, указанных в пункте 14 настоящего Положения, а также факты предоставления персональных данных по этим запросам, региструются автоматизированными средствами ИС в электронному журнале обращений.

Нормативных актов много...

(40) Мы регулярно из всяких контрольных органов получаем запросы. В этом случае только бумажки и нужны были.

(44) А если они решат лично проверить? И не бумажки, а что реально сделано?

(45)проверки Роскомнадзора регламентируются каким-то нормативным актом(чуть ли не ФЗ). Приедет инспектор - встречайте и показывайте. Допустим ведение электронного журнала по ведению работ с персональными данными (это навскидку, там могут быть другие учетные журналы). Так надо будет показать этот электронный журнал и к нему регламентные доки, что однозначно идентифицируют сделавшего туда запись. Скорее всего это будет невозможно. Тогда надо будет показать просто амбарную книгу. Но она должна быть - раз. Должен быть распорядительный документ, её актуализирующий - два. Вот это и есть как раз реакция менеджмента на требования фз152.

(41) 8.2z - это для информационных систем 1-го класса. Вы для начала определитесь к какому классу, относится ваша система. Читая приказ ФСТЭК (№58 от 5-02-10), видим, что для 3 класса допустим, нужно чтобы у каждого пользователя был пароль, велся журнал регистрации и делались бекапы. Всё. Обычная ЗиК 7.7 вполне подойдет.

(43) это можно и в 7ке и 8ке сделать... кстати на это мало кто обращает внимание, надо на спец.форумах посправшивать. представляю лог у расчетчика на крупном предприятии...
Но тут много неясности: что такое запрос с точки зрения закона? и в каком виде регистрировать( дата и кто или еще что запрашивает)? и т.д.

(41) совершенно с Вами согласен, подразумевал что в основном у всех класс 2 или 3. нужно только понимать что пароль относится к средствам защиты информации, которые дожны пройти "процедуру оценки соотвестия". И пароли у 7ке и обычной 8ке это ... "не сертифицированно => не кошерно".

по скорее бы цены на http://www.1c.ru/szi/ озвучали!

Фирмой "1С" проведена сертификация защищенного программного комплекса "1С:Предприятие, версии 8.2z" (партии из 10 000 экземпляров продукции, маркированных знаками соответствия с № Г 420000 по № Г 429999) на соответствие требованиям руководящих документов по защите от несанкционированного доступа (НСД) - 5 класс; классификация по уровню контроля отсутствия недекларированных возможностей (НДВ) по 4 уровню контроля. Получен сертификат ФСТЭК России № 2137 со сроком действия до 20.07.2013, в соответствии с которым защищенный программный комплекс "1С:Предприятие, версии 8.2z" признан программным средством общего назначения со встроенными средствами защиты от несанкционированного доступа к информации, не содержащей сведения, составляющие государственную тайну. Полученным сертификатом подтверждено соответствие программного продукта указанным выше требованием и разрешено использование защищенного программного комплекса "1С:Предприятие, версии 8.2z" для создания автоматизированных систем до класса 1Г включительно, а также для защиты информации в ИСПДн до класса К1 включительно. Порядок использования и настройки защищенного программного комплекса "1С:Предприятие, версии 8.2z" указан в документации к программному продукту.

Важно отметить, что сертифицирована была именно платформа, а не конфигурации (например, "Бухгалтерия предприятия", "Зарплата и управление персоналом" и т. п.), так как именно на уровне платформы реализован функционал, обеспечивающий защиту информации в части управления доступом. В связи с этим для пользователей программ системы "1С:Предприятие 8" достаточно приобрести 1 сертифицированную версию платформы "1С:Предприятие 8.2z" без необходимости дополнительной сертификации каждого прикладного решения.
(c) http://buh.ru/document.jsp?ID=1729

Подробная подборка информации по 152-фз:
http://www.wikisec.ru/index.php?title=Реализация_требований_152_ФЗ

http://v8.1c.ru/metod/books/book.jsp?id=229

В общем купила баба порося...
Лудше бы разрешили продавать DVD диски на горбушке с базами начислений депутатов по заниженным ценам на диск. Дешевле бы вышло.
А так решили, что лицензия программного кода защитит.
На счёт типовых конфиг, то их скорее всего переписывать придётся.
v8: Настройка прав доступа к отдельным полям таблицы.
Пока структуру не поменять хрен, что нормально правами разрулишь. Ну или платформу ещё раз дорабатывать.
Та что с Z умеет интересно на уровне полей таблицы закрывать или только шифрование призаписи и чтении?

(0)  кирдык закону

http://www.cnews.ru/news/top/index.shtml?2010/12/08/419341
В законопроекте предлагается на год, до 1 января 2012 г. перенести сроки вступления в силу требований закона «О персональных данных» по отношению к ранее созданным информационным системам их обработки.

(51) купил се книжку.. очень полезная..

(53) нефакт..

зы- знаю контору которая уже сертифицировалась.. причем несколько лямов вбухала в мероприятия...

вроде первый класс у них там...
вот облом будет :)

3декабря на бухдне выходила выступать тетка из конторы которая проверки в общем то и осуществляет.. и высказала несколько тезисов:

1. закон работает уже несколько лет и только за 2010 г. было дох.я проверок и куча штрафов.

2. основное в применении закона это не ваши всякие там программульки/писульки а четкое соблюдение регламента по бумажкам..

(56) Как раз с бумажным регламентом все более-менее ясно. Полный швах именно с ПО.

(57) как раз наоборот...
по бумажному регламенту расскажи как ты будешь делать и оформлять модели угроз а главное где будешь сертифицированного спеца для этого нанимать и сколько ему платить...

расскажи в каком охраняемом помещении у тебя серваки.. как прописаны регламенты доступа к носителям информации и тд и тп...


а с софтом вообще все просто.
8ки те которые просто 8.2 удовлетворяют второму классу при условии использования паролей минимум в шесть символов.

для первого класса нужно нашлепку ставить (да и то не обязательно)

(55) факт
поправки приняты в 1 чтении
злобная тетка отдыхает

+(58) а первый класс нужен только тем кто хранит в базе всякие данные о вероисповедании, сексуальных предпочтениях и прочих измерениях типа "22 см"

(59) угу.. сколько еще чтений ? :)

(61) 2 чтения
к следующей среде будет готов

+(61) кстати злобная тетка объяснила что "нужно читать законы" и "закон действует уже давно"

то есть если к вам придет плановая проверка.. то срок "приведения в порядок" сократится с "до 2012" до момента появления проверяющих

(62) Есть всетаки сомнения что его отложат еще раз.

(62) гы гы гы.. это не отменяет необходимости регистрироваться как оператор персональных данных и проводить комплекс мер...

мало того.. придет проверка и нагнет...
ибо закон - действует :)

(64) ты же был.. вопрос: как контора злобной тетки оштрафовала на кучу миллионов кучу компаний ДО наступления 2011 г.?

ну вот чисто интересно?

(62) [придет проверка и нагнет]
и пойдет в сад

(67) ну ну :)

http://www.lin.ru/news_item.htm?id=5470626028248187766

"Пока за нарушения с коллекторов взимаются штрафы. Они невысоки - согласно действующему Кодексу об административных правонарушениях (КоАП) от 5 до 10 тыс. рублей за каждое нарушение. Однако сейчас, по словам Юрия Кантемирова, рассматривается вопрос о внесении изменений в КоАП. Будут введены новые составы правонарушений, конкретизированы полномочия трех регуляторов Закона "О персональных данных" (Москомнадзора, Федеральной службы по техническому и экспортному контролю (ФСТЭК и ФСБ) и увеличены штрафы с 5-10 тыс. до 50 тыс. - 1 млн рублей. Соответствующий законопроект уже находится в Думе."

то есть злобные коллекторы зассали и платят а вот ты такой бесстрашный всех пошлешь в сад..

кстати все кто вторым классом сертифицируются и сидят на 7ке - в пролете :)

(70) Это почему? Тогда уж вся 1с в пролете, кроме фантомной 8.2z

Защита персональных данных от 1С

(71) с чего бы.. требования почитай к информационным системам..

7ка - 4ый и третий класс
8ка - 4ый, третий и второй
8z  - все классы



еще раз - ошибочно считать что мол поставили защищенную прогу и типа зашибись...

самый, самый сложный и главный момент в организации защиты перс.данных - это выполнить РЕГЛАМЕНТ.. в который входит миллион бумажек, приказов и распоряжений...

(73) > 3. Методы и способы защиты информации от несанкционированного доступа, обеспечивающие функции управления доступом, регистрации и учета, обеспечения целостности и безопасного межсетевого взаимодействия для информационных систем 2 класса.

3.1. Для информационных систем 2 класса при однопользовательском режиме обработки персональных применяются все методы и способы защиты информации от несанкционированного доступа, соответствующие информационным системам 3 класса при однопользовательском режиме обработки.

3.2. Для информационных систем 2 класса при многопользовательском режиме обработки персональных данных и равных правах доступа к ним пользователей применяются все методы и способы защиты информации от несанкционированного доступа, соответствующие информационным системам 3 класса при многопользовательском режиме обработки персональных данных и равных правах доступа к ним пользователей.

3.3. Для информационных систем 2 класса при многопользовательском режиме обработки персональных данных и разных правах доступа к ним пользователей реализуются все методы и способы защиты информации от несанкционированного доступа, соответствующие информационным системам 3 класса при многопользовательском режиме обработки персональных данных и разных правах доступа к ним пользователей.


Чего из этого 7.7 не может?
http://www.ispdn.info/zakonodatelstvo/prikaz-fstek-rf-ot-05-02-2010-n-58-ob-utverzhdenii-polozheniya-o-metodach-i-sposobach-zaschiti-informatsii-v-informatsionnich-sistemach-personalnich-dannich.html

я так и не пойму смысл защиты


самый простой способ узнать это у сотров самих
вариантов много, никакие законы не помогут =)

(74) читай официальную позицию 1С - недавно письмо было.

а не может - ну например регистрация неудачных попыток входа в систему...

(75) это нужно для ВТО.

закладочка

(76) Все-таки законы первичны, а в законе сказано насчет регистрации отказов доступа:

4.3. Для информационных систем 1 класса при многопользовательском режиме обработки персональных данных и разных правах доступа к ним пользователей применяются следующие основные методы и способы защиты информации:

....
регистрация попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам. В параметрах регистрации указываются дата и время попытки доступа к защищаемому файлу с указанием ее результата (успешная, неуспешная), идентификатор пользователя, спецификация защищаемого файла;

регистрация попыток доступа программных средств к дополнительным защищаемым объектам доступа (терминалам, техническим средствам, узлам сети, линиям (каналам) связи, внешним устройствам, программам, томам, каталогам, файлам, записям, полям записей). В параметрах регистрации указываются дата и время попытки доступа к защищаемому объекту с указанием ее результата (успешная, неуспешная), идентификатор пользователя, спецификация защищаемого объекта (логическое имя (номер));

-----------------
обрати внимание на класс системы и условия эксплуатации.

(77) гражданам рф нужно это ?

(79) а про второй что написано?

(80) нет конечно

В думе запланировано на 24 декабря:

№ 444277-5 "О внесении изменения в статью 25 Федерального закона  "О персональных данных" (второе чтение);

(83) сенаторы зажигают
подписали раньше думцев
http://www.pravo.ru/news/view/44671/

(84) но всего на полгода, до 1 июля.

что за 8.2z ??

(86) http://www.1c.ru/szi/

Федеральный закон от 23 декабря 2010 г. N 359-ФЗ "О внесении изменения в статью 25 Федерального закона "О персональных данных"
    Принят Государственной Думой 10 декабря 2010 года
    Одобрен Советом Федерации 15 декабря 2010 года

    Статья 1
    Внести в часть 3 статьи 25 Федерального закона от 27 июля 2006 года
N 152-ФЗ "О персональных данных" (Собрание  законодательства   Российской
Федерации, 2006, N 31, ст. 3451; 2009, N 52, ст. 6439) изменение, изложив
ее в следующей редакции:
    "3. Информационные системы  персональных  данных,  созданные    до 1
января 2011 года, должны быть приведены в  соответствие  с   требованиями
настоящего Федерального закона не позднее 1 июля 2011 года.".

    Статья 2
    Настоящий Федеральный закон вступает в силу с 1 января 2011 года.

Президент Российской Федерации                               Д. Медведев

Москва, Кремль
23 декабря 2010 года
N 359-ФЗ

-------------
Думается - это был последний перенос.

(88) Перед полным отменном закона?

(89) Перед повышением штрафов до мульёна - чтобы руководители предприятий активнее реагировали))

(90) отложат и не один раз,
закон,не имеющий лоббистов, обречен

Может кто подскажет - какова роль этого реестра http://www.fstec.ru/_razd/_serto.htm ? Где о нем сказано в законах?

(92) наследство ФАПСИ, большая часть просрочена

(93) Ну да, то что просрочено - сам вижу, но какое отношение имеет он к ФЗ152?

(94) http://buh.ru/document.jsp?ID=1729
начни от печки
есть и специализированные сайты по ЗИ

(95) Все, понял.
2) Обязательное использование ПО, прошедшего контроль отсутствия недекларированных возможностей, предусмотрено только для информационных систем 1-го класса (см. таблицу на стр. 5), а для 2-го класса рекомендуется использовать сертифицированное программное обеспечение, для 3-го класса существует "право выбора" - использовать или нет.

(91) А 1с не лоббирует этот закон? Его наверное потому от отложили, что 8.2z не готова. :))

Т.е. я правильно понимаю, что в организации, в которой я работаю, относящейся ко второму классу нужно выполнить такие действия (у нас УПП 1.2 на 1с 8.1):
Составить положение о ЗПД.
Изменить трудовые договора
Получить разрешения у работников хранить их данные
Составить реестр и маркировку защищаемых носителей информации
Перейти на 8.2 (не обязательно)
Проверить, чтобы у пользователей был пароль не менее 6 символов (не обязательно)

все?

кстати, а что за регистр в УПП 1.2 "Настройка защиты персональных данных"? очередной задел на будущее?