ФЗ 152 о защите персональных данных. Политика безопасности , Публикация №183758

ФЗ 152 о защите персональных данных. Политика безопасности

V.I.P.

Сообщений: 2062Баллов: 1721Регистрация: 02.02.2009

23.10.2009 08:01:17

Всем доброго времени суток. Вопрос вот такой. Есть 152 ФЗ О персональных данных. В соответствии с данным законом все предприятия (называемые операторами персональных данных) РФ, имеющие информационные системы по обработке персональных данных (ИСПДн) до вступления закона в силу должны привести их в соответствие с требованиями ФЗ не позднее 1 января 2010 года.
Меня интересует политика безопасности в сфере IT. Может быть кто то уже делал данную процедуру?
Что касаемо кадров то тут понятно - -трудовые в сейфах, никаких копий. А как у вас с паролями на компах и прочее?

В России столько трудовых кодексов, сколько отделов кадров.

Цитировать Имя

Афина Паллада V.I.P. Сообщений: 2282Баллов: 1939Регистрация: 16.01.2009 Пользователь "ИКС-2015", пользователь электронной библиотеки "Пакет Кадровика" версии ПРОФ	#2 23.10.2009 08:42:06 Подписываюсь. Дополняю + Положение об обеспечении безопасности ПД при их обработке в иноформационных системах ПД, утв. постановлением Правительства РФ от 17.11.2007 г. №781 В чате я Athena Pallas
	Цитировать Имя

Юлия М

V.I.P.

Сообщений: 2062Баллов: 1721Регистрация: 02.02.2009

23.10.2009 09:48:36

Цитата
Афина Паллада пишет: Подписываюсь. Дополняю + Положение об обеспечении безопасности ПД при их обработке в иноформационных системах ПД, утв. постановлением Правительства РФ от 17.11.2007 г. №781

Это положение я нашла, ознакомилась. Там на самом деле тьма законов. И сделать надо до 01 января, в частности послать Уведомления

В России столько трудовых кодексов, сколько отделов кадров.

Цитировать Имя

lidiya Свои люди Сообщений: 383Баллов: 315Регистрация: 13.08.2009	#4 23.10.2009 10:16:14 Юлия М, спасибо за подсказку. Посоветовать чего е могу, сама только узнала. Но пароли стоят везде, и на комп, и напрограммы. Хочешь обнять весь мир - купи глобус
	Цитировать Имя

Юлия М

V.I.P.

Сообщений: 2062Баллов: 1721Регистрация: 02.02.2009

23.10.2009 10:38:10

Например в банке система такова: вход в систему - пароль, вход в программу - пароль. Если ты встаешь с рабочего места - заблокируй комп. Через определенный промежуток времени пароли надо менять, причем пароли должны быть из набора цифр и букв, а не даты рождения который взломает любой человек (как мою асю)
Мы имеем доступ к базам данных (удаленный доступ по каналам связи, обслуживаем 1С) и в принципе должна быть разработана методика по защите данных в организациях.
По сути вот пришел к вам на работу устраиваться человек. Сидит в кабинете, а вы вышли копию с документа сделать или еще куда то. Он в этот момент вставил флешку (к нашей Флешке отношения не имеет

) и скопировал вашу базу данных. А потом выложил или продал или еще чего нито сделал. Вот для чего все это надо делать.

В России столько трудовых кодексов, сколько отделов кадров.

Цитировать Имя

Юлия М

V.I.P.

Сообщений: 2062Баллов: 1721Регистрация: 02.02.2009

23.10.2009 13:37:55

Ст.22п.1 ФЗ 152. Для тех, кто является оператором (вот напрмер редакция пакета кадровика - оператор)
Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обпработку перс. данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
3. Уведомление, предусмотренное частью 1 настоящей статьи, должно быть направлено в письменной форме и подписано уполномоченным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации. Уведомление должно содержать следующие сведения:

1) наименование (фамилия, имя, отчество), адрес оператора;

2) цель обработки персональных данных;

3) категории персональных данных;

4) категории субъектов, персональные данные которых обрабатываются;

5) правовое основание обработки персональных данных;

6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;

7) описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке;

8) дата начала обработки персональных данных;

9) срок или условие прекращения обработки персональных данных.

4. Уполномоченный орган по защите прав субъектов персональных данных в течение тридцати дней с даты поступления уведомления об обработке персональных данных вносит сведения, указанные в части 3 настоящей статьи, а также сведения о дате направления указанного уведомления в реестр операторов. Сведения, содержащиеся в реестре операторов, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными.

В России столько трудовых кодексов, сколько отделов кадров.

Цитировать Имя

Юлия М

V.I.P.

Сообщений: 2062Баллов: 1721Регистрация: 02.02.2009

23.10.2009 13:42:58

Глава 6. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

Статья 25. Заключительные положения

1. Настоящий Федеральный закон вступает в силу по истечении ста восьмидесяти дней после дня его официального опубликования.

2. После дня вступления в силу настоящего Федерального закона обработка персональных данных, включенных в информационные системы персональных данных до дня его вступления в силу, осуществляется в соответствии с настоящим Федеральным законом.

3. Информационные системы персональных данных, созданные до дня вступления в силу настоящего Федерального закона, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2010 года.

4. Операторы, которые осуществляют обработку персональных данных до дня вступления в силу настоящего Федерального закона и продолжают осуществлять такую обработку после дня его вступления в силу, обязаны направить в уполномоченный орган по защите прав субъектов персональных данных, за исключением случаев, предусмотренных частью 2 статьи 22 настоящего Федерального закона, уведомление, предусмотренное частью 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2008 года.

В России столько трудовых кодексов, сколько отделов кадров.

Цитировать Имя

ОксанаХ

V.I.P.

Сообщений: 3556Баллов: 3045Регистрация: 12.10.2008

Пользователь "ИКС-2016"; Пользователь электронной библиотеки "Пакет Кадровика"

23.10.2009 22:13:44

У нас на всех компьютерах стоят 1-е пароль на вход в компьютер и пароль на вход в локальную сеть, 2-е электронные ключи для компьютера (при уходе с рабочего места обязательно вынимаем его), 3-е все файлы закрыты паролями. Так что враг не пройдет

Изменено: ОксанаХ - 23.10.2009 22:19:05

Цитировать Имя

KZI

Гость

09.11.2009 13:17:22

Чтобы соответствовать требованиям ФЗ 152 и постановления правительства № 781 не попасть под установленную законом ответственность необходимо провести следующие мероприятия:
классификацию информационной системы;
разработку системы защиты персональных данных (разработать ТЗ, Проект);
установить, настроить сертифицированные ФСТЭК и ФСБ средств защиты информации;
провести аттестацию (декларирование). Аттестат соответствия – это тот документ, который подтверждает, что Ваша система защищена и соответствует требованиям, его Вы будете предъявлять РОСКОМНАДЗОРУ при проверке и сотрудникам (субъектам ПДн) по требованию.

Мероприятия по защите информации (в том числе по защите персональных данных) подлежать лицензированию (см. 128-ФЗ "О лицензировании отдельных видов деятельности" от 8 августа 2001 г.)

Более подробно о том, как обеспечить защиту персональных данных, ответственность, законодательство, смотрите тут: http://kzis.ru/docs/ZI_PDn.pdf

Цитировать Имя

Афина Паллада V.I.P. Сообщений: 2282Баллов: 1939Регистрация: 16.01.2009 Пользователь "ИКС-2015", пользователь электронной библиотеки "Пакет Кадровика" версии ПРОФ	#10 10.11.2009 09:05:10 KZI, рекламой балуетесь? В чате я Athena Pallas
	Цитировать Имя

KZI

Гость

#11

25.11.2009 12:32:55

Цитата
Афина Паллада пишет: KZI, рекламой балуетесь?

В документе больше полезной информации, чем рекламы.

Для справки:
ФСТЭК снял пометку ДСП:
Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных от 15 февраля 2008 г. (Выписка, при рассмотрении угроз утечки информации по каналам побочных электромагнитных излучений и наводок (ПЭМИН) необходимо применять полную версию данного документа - ДСП)
Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных от 15 февраля 2008 г. (Пометка «для служебного пользования» снята Решением ФСТЭК России от 16 ноября 2009 г.)
Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК, 2008 г. (Пометка «для служебного пользования» снята Решением ФСТЭК России от 11 ноября 2009 г.)
Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных.ФСТЭК, 2008 г. (Пометка «для служебного пользования» снята Решением ФСТЭК России от 11 ноября 2009 г.)

Цитировать Имя

Inna_Igorevna

Заслуженный

Сообщений: 1743Баллов: 1450Регистрация: 06.07.2009

Пользователь электронной библиотеки "Пакет Кадровика"

#12

25.11.2009 12:50:36

Цитата

Юлия М пишет:
Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обпработку перс. данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

сюда не входят операторы, заключающие с владельцем персональных данных трудовые отношения.

Скажите-ка, ребята, нам тут из министерства пришла инструкция о том, что нужно разрабатывать не только положение о ПД, но и много-иного других бумажек. Причем, в инструкции написано "рекомендуемый перечень документов", но устно сказали, что обязательный.
Вы разрабатывали что-то еще, кроме Положения и письменного согласия на обработку?

Цитата
Юлия М пишет: А как у вас с паролями на компах и прочее?

А еще нас проинформировали, что компы, на которых хранятся ПД не должны быть подключены к локальной или интернет сети... (я кста, с вами сейчас с этого компа и общаюсь) Неужели меня отрежут?

Изменено: Inna_Igorevna - 25.11.2009 12:51:21

Цитировать Имя

Юлия М

V.I.P.

Сообщений: 2062Баллов: 1721Регистрация: 02.02.2009

#13

25.11.2009 13:00:14

А еще на них не должно быть дисководов и прочих входов для внешних устройст. Ситуация: пришел человек устраиваться на работу. Вы пошли делать копию с паспорта или другого документа, а ксерокс в коридоре стоит. За те 3 минуты что вас не было можно вставить флешку и скопировать базу данных, например. Но это я конечно утрирую. Просто есть закон и его надо исполнять. Правда пока никто толком не знает как. На сайте смоленской администрации выложено все очень подробно.

В России столько трудовых кодексов, сколько отделов кадров.

Цитировать Имя

Гость Гость	#14 17.04.2023 10:30:55 Добрый день, подскажите пжл есть НПА в котором установлено что в организация обязан быть специалист по защите информации? (Как у спец по охране труда и спец по воинс учёту)
	Цитировать Имя

Гость

#15

07.11.2023 11:25:47

Цитата
Гость написал: Добрый день, подскажите пжл есть НПА в котором установлено что в организация обязан быть специалист по защите информации? (Как у спец по охране труда и спец по воинс учёту)

тоже бы хотелось ответа га этот вопрос
а то вешают все на кадры, сколько можно

Цитировать Имя

Надежда

V.I.P.

Сообщений: 14671Баллов: 23904Регистрация: 02.03.2009

Модератор // Эксперт журнала "Кадровик-практик"

#16

07.11.2023 12:45:51

Цитата
Гость написал: есть НПА в котором установлено что в организация обязан быть специалист по защите информации?

Для коммерческих организаций законом установлена только обязанность назначить лицо, ответственное за организацию обработки персональных данных (оно же, как правило, отвечает за сохранность этой информации).
Полагаю, что специалист по защите информации требуется организациям, которые работают со сведениями, составляющими государственную тайну. И этот вопрос регулируется Законом РФ от 21 июля 1993 г. N 5485-I "О государственной тайне".

Есть два типа людей: одни катят мир, а другие бегут рядом и кричат: «Боже, куда катится этот мир?»

Цитировать Имя

Читают тему

BBCode Правила

Форма ответов



	Запомнить меня

Регистрация
Забыли свой пароль?
Войти как пользователь:

ФЗ 152 о защите персональных данных. Политика безопасности , Публикация №183758

Последние публикации

Новости