Вид для печати
Всем доброго вечера!
На днях задумалась, что изменится с 1 января в отношении персональных данных сотрудников. У нас есть Положение о пордке обработки и защиты персональных данных, есть перечень допущенных лиц, расписка отв. лица за обработку перс. данных.
У кого есть какая-нибудь информация по этому поводу. Какие документы еще необходимы? Учет у нас автоматизирован, однако, нет возможности переплачивать сторонним фирмам за "защиту" всех данных.
Спасибо за отзывы!
у меня такой же вопрос, что делать с этими пер. данными, прочла Приказ 58 , так там еще класс определять надо, говрят штраф 5000 т.р за не выполнение требований!
Была на семинаре по этому вопросу, напугали что будут серьезные проверки по защите перс данных, тоже задемалась! Часть у вас уже сделана, еще мне посоветовали с каждого работника взять его письменное согласие на обработку персональных данныхи указать какие именно данные будут обрабатываться, каким способом будет вестись обработка. Если работаете с перс данными клиентов и с них надо брать письм. согласие на обработку пер. данных. Еще важно хранение этих данных, это сейфы, охранные сигнализации , опечатывание кабинетов ответств. лицами, где хранится инфа. Вобщем чем больше документальных подтверждений о хранении, обработке и защите - тем лучше!
Да .. и про класс, действительно, если организация работает с большим кол-ом перс данных клиентов и работников необходимо подавать в ком. надзор (если память не изменяет :yes:) заявку на определении класса организации 1,2,3 , мы работаем с большим кол-ом перс данных клиентов ( но не как банки и сот компании конечно) , но это такая волокита и трата времени поэтому не буду этого деать, надеюсь того что сделано будет достаточно!
В планах еще на один год перенести введение в действие.
это радует, абсурдный закон! Я когда с клиентов беру письм согласие начинаю обяснять, цитировать выдержки из закона почему я сних беру это чертово согласие на меня смотрят как на полную идиотку, чесн слово :fire:
Вы еще забыли металлические двери, решетки на окнах во все комнаты, где обрабатываются ИПД.Цитата:
Сообщение от Аноним
Сейфы для хранения всех бумажек. А еще - сертификат на программное обеспечение, что оно не содержит "жучков", позволяющих сторонним лицам этим самые ИПД, украсть.
Вот это требование, кстати говоря, делает ВСЮ работу по защите ИПД бессмысленными. Потому, что стоимость получения такого сертификата для разработчика программного обеспечения исчисляется десятками, если не сотнями миллионов рублей.
У нас человек, который пытался выяснить все необходимые разрешения и сертификаты, едва в обморок не упал, когда ему, бодреньким голосом объявили процедуру получения сертификата "безжучковости". Эти "веселые ребятки" затребовали РАСПЕЧАТКУ всего программного кода, проводящего обработку и хранение ИПД. Они-де, просмотрят код...
Скомпилированный исполняемый файл "весит" более 20 мегабайт.Сколько потянет не скомпилированный, тот, который можно читать глазами, даже ориентировочно представить трудно. Таких файлов в нашей системе - 18! Плюс локализованные версии для отдельных видов деятельности. Расчет стоимости "услуги" - за прочитанный мегабайт.
Но и это еще не все. Сертификат выдается на конкретный файл, имеющий определенную CRC.При внесении в него изменений, процедура получения повторяется. И так до бесконечности...
Еще раз убеждаемся в истинности постулата: Законы святы, да исполнители - супостаты!
в первом чтении приняли поправку депутата В.Плигина, члена генсовета ЕР...Цитата:
Сообщение от mvf
ко второму чтению (завтра) уже закон звучит так:
http://www.duma.gov.ru/faces/lawsear...jsp?c=444277-5
Статья 1
Внести в часть 3 статьи 25 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, № 31, ст. 3451; 2009, № 52, ст. 6439) изменение, изложив ее в следующей редакции:
«3. Информационные системы персональных данных, созданные до 1 января 2011 года, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 июля 2011 года.».
А я на Морозовский смотрел:
http://asozd2.duma.gov.ru/main.nsf/(...RN=262191-5&02
...заменив слова "не позднее 1 января 2010 года" словами "не позднее 1 января 2012 года".
Еще забыли про стулья, на которых сидим. полный абсурд
Спасибо всем, порадовали хорошей новостью!
Но, этот вопрос будет актуалент через год
хочу узнать обязательно ли подавать заявку в Роскомнадзор, если фирма совсем небольшая, как определить свой класс организации?
а еще я прочитала, что 1С готовит "глобальные" нововведения в части защиты перс. данных, например, в конфигурации 1С 8.2
т.е. получается, что в документах можно ссылаться будет на то, что в 1С все защищено, так? и не нежно будет никому переплачивать, так?
Урроды!
Фирма обязана обеспечить доступ к персональным данным работников чертовой уйме проверяльщиков из чертовой уймы проверятельных контор + обязана "предоставлять" эти данные наложке, ПФР, частично ФСС.
Все эти проверки и предоставления не имеют никакого отношения к правилам секретного делопроизводства, т.е. данные никак не защищены от любых утечек.
И ко всему этому бардаку гэбьё сочинило ещё один дебильный закон - мало они наварили на ГАС-Выборы, ЕГАИС-водка и ЭКЛЗ.
это о ком так???
у Вас есть-какие-нибудь доки по защите перс. даннх?
если вопрос ко мне - об авторах закона и депутатах.Цитата:
Сообщение от Аноним
какие доки? какая защита?Цитата:
у Вас есть-какие-нибудь доки по защите перс. даннх?
через месяц в ПФР и ИФНС будут свободно валяться тонны бумаг с этими самыми персональными данными (персучет и 2ндфл).
На днях видел доки, что разослал один из московских госорганов по подведомственным структурам - методические рекомендации по приведению ИСПДн в соответствие с законодательством. В пакете несколько десятков документов общим объёмом примерно 1000 страниц. Пока всё ниасилил, но общее впечатление - всё забюрократизировано донельзя.
С другой стороны, сейчас самостоятельно занимаюсь изучением этого вопроса. Впечатление таково: некоторые аспекты проверок можно размазать по стенке в любом суде при попытке оштрафовать контору. В свободное от работы время готовлю развёрнутый материал на эту тему. Может быть, успею подготовить ещё онлайн-помощники по классификации ИСПДн и подготовке доков.
Будем очень признательны за Ваш труд для всех!!! Ждем с нетерпением!!!:yes:
lubezniy, как у Вас продвигаются дела? Можете поделиться наработками?Цитата:
Сообщение от lubezniy
Решения у этого вопроса (исполнение требований "рекомендаций") не существует в принципе.Ни за какие деньги.Цитата:
Сообщение от lubezniy
Вот только два примера:
ограничить доступ к компьютерам. Это как? Сдавать их на склад по вечерам и получать взад обратно? Оборвать все сетевые кабели? Ну ладно, во время оно, пишущие машинки на праздники все собрались под замок, а что делать с принтерами? Их тоже? А зачем? Вон в телике показывают банкира с Каймановых островов- скинул ИПД на диски и все дела.
Второй пример.Для получения сертификата защищенности ПО (ну, чтобы там жучка на утечку не вставили) необходимо представить РАСПЕЧАТАННЫЙ код исполняемого и других файлов. Его, с умным видом, кто-то ТАМ ПОЧИТАЕТ. Ха-ха, три раза! У нас в скомпилированном виде каждый модуль "весит" 20 мб. а в распечатанном? Счет пойдет на килограммы бумаги. Если не центнеры! Но даже если такое и свершится, то "сертификат" выдадут на мертвого экзешника.Никаких исправлений в него вносить нельзя.Если внес- пожалуй за новым сертификатом. С нашим законотворчеством, даже без учета собственных багов, мы за этими сертификатами будем ходить чаще чем к клиентам.
И в довершение, "за посмотреть", аффилированные к неким дядям компашечки, берут денежки.Примерно миллион за файл. У нас только стандартных экзешников -18. Плюс локализованные. Итого?
Не хило кто-то устроился.
Рекомендации можно понимать по-разному. В любом случае в теории не бывает систем, из которых нельзя что-нибудь украсть. Весь вопрос только в том, сколько времени и ресурсов на это уйдёт, и хорошая защита - это не та, которая не даёт украсть, а та, которая не даёт сделать это быстро и просто. Профессионалы это хорошо понимают. При всём при этом хорошая защита стоит дорого, и это тоже приходится учитывать. Но мы не об этом, а о бумажках, которыми положено задницу прикрывать.Цитата:
Сообщение от YUM
В теории да. Можно, в конце концов, просто украсть компьютеры и стырить с них данные (правда, это тоже не всегда простая задача - видел я отдельные защиты своими глазами и даже пытался с ведома хозяев их поломать жёсткими методами - безуспешно). А практика состоит в том, чтобы лица, не допущенные к работе с данными, не могли что-либо записать на диск, вывести на принтер или передать по сети. А допущенное лицо можно привлечь.Цитата:
Сообщение от YUM
Лучший метод защиты от утечек - это не сертификация, а разграничение прав доступа для программ, чтобы не давать им возможности проявлять излишнюю сетевую активность, лезть в систему куда не надо и т. п.Цитата:
Сообщение от YUM
А сертификации можно подвергнуть, скажем, не всю программу, а её некую неизменную часть, которая вызывает изменяемые куски. Как у антивирусов - есть ядро программы (меняется сравнительно редко), а есть постоянно меняющиеся вирусные базы.
Т.е. вместо реальной защиты имеем ее видимость.Какой в ней смысл?Цитата:
Сообщение от lubezniy
Ваши слова, да Богу в уши!Цитата:
Сообщение от lubezniy
Наш работник ТРИ МЕСЯЦА пытался хоть что-то выяснить у "компетентных" организаций (не органов!)
но он даже зарегестрироваться не смог у них на сайте.
Только телефонное бла-бла-бла, причем каждый раз с новым, мало "компетентным", работником. НИКТО НИЧЕГО НЕ ЗНАЕТ!
Никаких решений!
Точно такой же, который в законе. ;) Защищать надо то, что есть от кого защищать, и там, откуда крадут. А от остального приходится отписываться.Цитата:
Сообщение от YUM
Естественно. Это же госслужба. Там ляпни что не так (не в смысле неправильно, а в смысле "не понравится начальству, прокуратуре или кому-то ещё") - вмиг пистон хороший вставят. Вот и культивируют там безделие и безответственность. И говорить там никто ничего не хочет.Цитата:
Сообщение от YUM
Ну не смеши.Цитата:
Сообщение от lubezniy
Какая госслужба?
Речь идет о "придворных" организациях, которые берутся разъяснять, толковать и прочее. Потому YUM и написал слово "компетентных" в кавычках и прямо указал, что это не органы.
По сути, идет банально распил бюджетного бабла.
Можно подумать, что органы у нас в этом плане компетентные (без кавычек). Лично я про ФСТЭК подумал.Цитата:
Сообщение от BorisG
а если я прикинусь,что у меня каменный век и я все данные веду на бумаге...я должна дяденек с автоматом нанимать??? :wow:
Сорри. Торможу... пропустил, что не органы.
не "бюджетного", а нашего. С моего конкретного кармана.Цитата:
Сообщение от BorisG
Я же, чтобы этим дармоедам заплатить, должен с кого-то получить. Соответственно, этот "кто-то" также с кого-то.
В итоге -> себестоимость-> цена-> мой карман.
Без всякого пришлого к нам болтания про "налогоплательщика", который содержит...
Кстати и эта ветка накручивания в этой-же схеме.:(
Простите, я правильно понимаю, что если взять упрощенно, то в стране принят закон, требования которого фактически не могут быть выполнимы большинстовм мелких и средних организаций, и соответственно, получился прекрасный "крючок", на которые можно поймать эти самые организации? Разъясните.
не совсем правильно.Цитата:
Сообщение от Kassir
для начала - требования этого закона не могут быть даже поняты нормальным человеком с высшим техническим и/или юридическим образованием и стажем работы, какое уж тут может выполнение.
так что будут ходить и собирать взятки.
=============
с квартплатными квитанциями за декабрь бумажку принесли - "Согласие на обработку персональных данных". хотят, чтобы я подписал, что согласен на обработку моих данных расчетно-кассовым центром. ну подпишу я её и еще штук пять таких же - прибавится у меня счастья по сравнению с кошмарными десятилетиями, прожитыми мной без восхитительного закона 152-фз?
или защищенности прибавится?
Старый ворчун, ну как жееслиЦитата:
не совсем правильно.
это то, что я и имел ввиду, когда писалЦитата:
будут ходить и собирать взятки.
причем практически любые.Цитата:
получился прекрасный "крючок", на которые можно поймать эти самые организации
А разве нет?
По бумаге тагумент отдельный есть (впридачу к 152-ФЗ).Цитата:
Сообщение от Лёнка
да.Цитата:
Сообщение от Kassir
ПРИМЕРНЫЙ ПЕРЕЧЕНЬ РЕГЛАМЕНТИРУЮЩЕЙЦитата:
Сообщение от Аноним
ДОКУМЕНТАЦИИ ДЛЯ ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Акт классификации информационной системы персональных данных (ИСПДн).
2. Модель угроз безопасности ПДн при их обработке в ИСПДн (для специальных систем).
3. Определение границ контролируемой зоны ИСПДн.
4. Технический паспорт ИСПДн.
5. Технические паспорта на защищаемые помещения.
6. Электронный журнал регистрации обращений пользователей ИСПДн на получение ПДн.
7. Регламент разграничения прав доступа (Матрица доступа).
8. Приказ о назначении администратора безопасности ИСПДн.
9. Руководство администратора ИСПДн.
10. Руководство пользователя ИСПДн.
11. Приказ об утверждении списка лиц, которым необходим доступ к ПДн, обрабатываемым в ИСПДн, для выполнения служебных (трудовых) обязанностей.
12. Перечень применяемых средств защиты информации (СЗИ).
13. Перечень эксплуатационной и технической документации применяемых СЗИ
14. Перечень носителей ПДн.
15. Заключение о готовности СЗИ к эксплуатации.
16. Политика информационной безопасности в организации.
17. Концепция информационной безопасности ИСПДн в организации.
18. Положение о защите персональных данных.
19. Положение по организации и проведению работ по обеспечению безопасности ПДн при их обработке в ИСПДн.
20. Должностные инструкции персоналу в части обеспечения безопасности ПДн при их обработке в ИСПДн.
21. Рекомендации по использованию программных и аппаратных средств защиты.
22. Положение по организации контроля эффективности защиты информации в организации.
23. Положение об организации режима безопасности помещений, где осуществляется работа с ПДн.
24. Положение о порядке хранения и уничтожения носителей ПДн.
25. Формы учета для организации обработки ПДн (шаблоны, бланки).
26. Отчет об обследования информационных систем.
27. Перечень сведений конфиденциального характера.
28. Приложение к Трудовому договору о неразглашении конфиденциальной информации.
29. Приказ о назначении структурного подразделения или должностного лица, ответственного за обеспечение безопасности ПДн.
30. Копия «Уведомления об обработке ПДн», выписка из реестра операторов ПДн.
ПРИМЕРНЫЙ ПЕРЕЧЕНЬ РЕГЛАМЕНТИРУЮЩЕЙЦитата:
Сообщение от Olivka-k
ДОКУМЕНТАЦИИ ДЛЯ ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Акт классификации информационной системы персональных данных (ИСПДн).
2. Модель угроз безопасности ПДн при их обработке в ИСПДн (для специальных систем).
3. Определение границ контролируемой зоны ИСПДн.
4. Технический паспорт ИСПДн.
5. Технические паспорта на защищаемые помещения.
6. Электронный журнал регистрации обращений пользователей ИСПДн на получение ПДн.
7. Регламент разграничения прав доступа (Матрица доступа).
8. Приказ о назначении администратора безопасности ИСПДн.
9. Руководство администратора ИСПДн.
10. Руководство пользователя ИСПДн.
11. Приказ об утверждении списка лиц, которым необходим доступ к ПДн, обрабатываемым в ИСПДн, для выполнения служебных (трудовых) обязанностей.
12. Перечень применяемых средств защиты информации (СЗИ).
13. Перечень эксплуатационной и технической документации применяемых СЗИ
14. Перечень носителей ПДн.
15. Заключение о готовности СЗИ к эксплуатации.
16. Политика информационной безопасности в организации.
17. Концепция информационной безопасности ИСПДн в организации.
18. Положение о защите персональных данных.
19. Положение по организации и проведению работ по обеспечению безопасности ПДн при их обработке в ИСПДн.
20. Должностные инструкции персоналу в части обеспечения безопасности ПДн при их обработке в ИСПДн.
21. Рекомендации по использованию программных и аппаратных средств защиты.
22. Положение по организации контроля эффективности защиты информации в организации.
23. Положение об организации режима безопасности помещений, где осуществляется работа с ПДн.
24. Положение о порядке хранения и уничтожения носителей ПДн.
25. Формы учета для организации обработки ПДн (шаблоны, бланки).
26. Отчет об обследования информационных систем.
27. Перечень сведений конфиденциального характера.
28. Приложение к Трудовому договору о неразглашении конфиденциальной информации.
29. Приказ о назначении структурного подразделения или должностного лица, ответственного за обеспечение безопасности ПДн.
30. Копия «Уведомления об обработке ПДн», выписка из реестра операторов ПДн.
Интересно, что делать тем ИП, у которых всего 1-2 наемных работника, бутики в аренде площадью 10-15 кв. м, нет бухгалтера и отдела кадров? А таких по стране ох как много!:wow:
fvd52, выполнять Закон :wow:
Люди,вы бы хоть внимательно прочли этот закон,особенно статью:"Статья 6. Условия обработки персональных данных
1. Обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.2. Согласия субъекта персональных данных, предусмотренного частью 1 настоящей статьи, не требуется в следующих случаях:
1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;
2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;..."
Мы бешенно начали собирать пакет документов-а потом внимательно стали разбирать каждое слово в законе-и...перестали.
А мы и не начинали ….. кроме нескольких «ягодок»….возраст... :wow:
а можно для тупых? в итоге то что делать?
В свидетельствах о рождении детей (для стандартных вычетов) есть данные о национальности детей и второго родителя, доверенности, выданные на работников покупателей, - здесь субъекты не являются сторонами договора и федеральный закон не устанавливает порядок получения этих данных.Цитата:
1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;
2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;..."
во-во, присоединяюсьЦитата:
а можно для тупых? в итоге то что делать?
Будьте добры ежели кто сталкивался с этой темой или знает конкретно, что сейчас надо делать
отпишитесь
Работаем с перс данными клиентов , подали уведомление в роскомнадзор , так сказать "вышли из тени" )) Зарегистрировались в реестре операторов персданных, спецы роскома говорят от нас больше ничего не потребуется никаких отчетов, проверок и т.п. Остальное по минимуму: Положение об обработке перс данных в нашей организации, назначение ответственных лиц за обработку и (или) хранение. Письменное согласие с каждого работника на обработку его перс данных. С клиентов так же письм.согласие. П.С. Всем удачи !!!
