Персональные данные

[Инга]

Подскажите, пожалуйста, никак не могу осилить этот дурацкий закон. Мы относимся к оператором, осуществляющим обработку персональных данных?

По нам конкретно: заключая договор с абонентом, мы вписываем (бумажный носитель) его ФИО (полностью), адрес, паспортные данные, в спорных ситуациях берем ксерокопию паспорта и/или свидетельва о регистрации прав на недвижимое имущество. В билинг (компьютер) заносим только Фамилию, инициалы и адрес.

Нам нужно вставать на учет в РКН?

[1076]

Инга написал:
Нам нужно вставать на учет в РКН?

РКН  считает,  что  необходимо.
По  закону  можно не  извещать в  указанных  там  случаях.

Инга написал:
Подскажите, пожалуйста, никак не могу осилить этот дурацкий закон. Мы относимся к оператором, осуществляющим обработку персональных данных?

В базе  храните - значит  относитесь.

Инга написал:
В билинг (компьютер) заносим только Фамилию, инициалы и адрес.

Это  ИСПДН специальная К2  (если  больше 1000 аб)

Тут тема  была  с  рекомендациями  по  результатам  проверок.
Для начала  нужно  все  бумажные  мероприятия  провести.

[Sirius]

Если в электронном виде вы храните только ФИО и адрес абонента, то можно попробывать "натянуть" 4 категорию. В этом случае компании не нужно внедрение каких-либо дополнительных средств программных и аппаратных средств защиты информации.
На предприятии принимаете Положение о защите персональных данных, в помещении, где стоит компъютер и хранятся договора ставите решетку и доп. замок. Это возможно все меры...
Но...в бухгалтерии предприятия наверняка хранятся в электронном виде данные сотрудников компании, необходимые, хотя бы, для начисления зарплаты. Эти данные уже подпадают под 3 категорию, а это уже спец. софт для защиты информации...
В общем есть тема для обдумывания, м.б. стоит обратиться в соотв-ий отдел местного связьнадзора за разъяснениями.
Далее, в РСН вы отправляете уведомление и если их все устроит, попадаете в реестр операторов персональных данных http://pd.rsoc.ru/operators-registry/operators-list/.

1076, не пугайте людей 2ой категорией...и не приводите тут выдержки из ИСПДН.

[1076]

Sirius написал:
Если в электронном виде вы храните только ФИО и адрес абонента, то можно попробывать "натянуть" 4 категорию.

Для этого  данные  должны  быть  общедоступные  или  обезличенные .
+ присутствуют  сведения  о  платежах  абонента и  предоставляемых  услугах.
Это  нереально :@

Sirius написал:
1076,...и не приводите тут выдержки из ИСПДН.

это  почему ??

[Дедушка Ди]

Я свой РКН послал пока в сад.
Заявил, что я использую персональные данные абонентов только для исполнения договора с ними и в электронном виде у меня хранится только номер договора.
Побурчали чего-то недовольно, попросили написать какую нибудь справочку....
На этом все и закончилось....

[Operator]

didandr написал:
Я свой РКН послал пока в сад.
Заявил, что я использую персональные данные абонентов только для исполнения договора с ними и в электронном виде у меня хранится только номер договора.
Побурчали чего-то недовольно, попросили написать какую нибудь справочку....
На этом все и закончилось....

У вас нет сотрудников чьи бы данные вы обрабатывали?

[Operator]

Sirius написал:
1076, не пугайте людей 2ой категорией...и не приводите тут выдержки из ИСПДН.

Я не уверен, что вас пугают. Но всяк поступает так как он считает для себя нужным.

[Инга]

А чем вообще опасен закон? что-то не пойму никак. Почему многие так боятся с ним связываться? Хорошо, я поняла, что вроде все-таки надо отправить уведомление в РКН. А потом? Я кому-то чем-то буду обязана?

[1076]

Инга написал:
А чем вообще опасен закон? что-то не пойму никак. Почему многие так боятся с ним связываться? Хорошо, я поняла, что вроде все-таки надо отправить уведомление в РКН. А потом? Я кому-то чем-то буду обязана?

до 1 июля  от  вас  требуются  только  бумажные  мероприятия,  после  должны  вступить  в  силу требования  к ИСПДН .
Учитвая  предыдущий  опыт  проверок по телематике и ПД в  реальные  системы  никто  не  лезет, достаточно доков  на  покупку и  акта  установки  сертифицированного ПО (я  про  АСР).

[solvikval]

Инга написал:
А чем вообще опасен закон?  Я кому-то чем-то буду обязана?

Тем, что это закон, который вы, вольно или не вольно, можете нарушить, и обязаны в соответствии с этим законом организовать защиту этих данных....

[Alexam]

Закон о персональных данных  изменён (почти)  - готов к 3-му чтению ЭРК и текст ТУТ. Пока сам не разбирался, что изменено - много статей исправлено.

[Operator]

Alexam написал:
Закон о персональных данных  изменён (почти)  - готов к 3-му чтению ЭРК и текст ТУТ. Пока сам не разбирался, что изменено - много статей исправлено.

Считай что уже рассмотрен и подписан гарантом. Вступает в действие с 01.07.2011.
Бегло обнаружил, что требуется обязательное письменное согласие субъекта, вне зависимости от заключенного договора.

[1076]

Кто- нибудь  в  курсе  ,  не  собираются  ли  еще  раз  перенести вступление  в  действие требований  к  ИСПДН ?

[Operator]

1076 написал:
Кто- нибудь  в  курсе  ,  не  собираются  ли  еще  раз  перенести вступление  в  действие требований  к  ИСПДН ?

В ст. 25 "Заключительные положения" вот эту часть 152-го признать утратившим силу:

3. Информационные системы персональных данных, созданные до 1 января 2011 года, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 июля 2011 года.

и появилось:

...Операторы, которые осуществляют обработку персональных данных до 1 июля 2011 года, обязаны принять решение, предусмотренное частью 8 статьи 19 настоящего Федерального закона и представить в уполномоченный орган по защите прав субъектов персональных данных, сведения, предусмотренные пунктами 5, 71, 10 и 11 части 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2013 года.
...Операторы, которые осуществляют обработку персональных данных до 1 июля 2011 года, обеспечившие безопасность персональных данных в соответствии с требованиями, установленными Правительством Российской Федерации, вправе не принимать решение о присоединении к стандарту обеспечения безопасности персональных данных или об издании стандарта обеспечения безопасности персональных данных. Об обеспечении безопасности безопасность персональных данных в соответствии с требованиями, установленными Правительством Российской Федерации, оператор обязан уведомить уполномоченный орган по защите прав субъектов персональных данных не позднее 1 января 2012 года.»;

[1076]

4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись письменному согласию субъекта персональных данных на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) фамилию, имя отчество, адрес представителя, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия представителя (при получении согласия от представителя субъекта персональных данных);
3) наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
4) цель обработки персональных данных;
5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
6) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
7) срок, в течение которого действует согласие, а также способ его отзыва, если иное не установлено федеральными законами;
8) подпись субъекта персональных данных.

при  вступлении в  силу  поправок  в  этой  редакции, все  старые  соглсия на  обработку  станут  недействительными ??

[1076]

8. Оператор обязан принять решение о присоединении к стандарту обеспечения безопасности персональных данных, за исключением случаев, предусмотренных частью 22 статьи 25 настоящего Федерального закона. В случае, если необходимый стандарт обеспечения обработки персональных данных отсутствует, оператор вправе издать стандарт обеспечения безопасности персональных данных. Решение о присоединении к стандарту обеспечения безопасности персональных данных или об издании стандарта обеспечения безопасности персональных данных оператор принимает самостоятельно, если иное не установлено федеральным законом или международным договором Российской Федерации.

Если я  правильно понял,  то  можно все  угрозы признать не  актуальными  и  не  заморачиваться  техническими мероприятиями. :|

[1076]

Вот этот   http://www.altlinux.ru/products/altlinux-spt-fstec/
 сертифицированный  ФСТЭК  продукт не запускается  на интеловской серверной  платформе .
На запрос HCL для  этого  продукта ( на  чем  ее  можно  запускать)  был  получен  кАнкретный  ответ  -
продолжение в закрытом разделе

:@

[Operator]

1076 написал:
при  вступлении в  силу  поправок  в  этой  редакции, все  старые  соглсия на  обработку  станут  недействительными ??

Предполагается вступление ЗП в силу с 01.07.2011, Закон обратной силы не имеет.

[Operator]

1076 написал:
Если я  правильно понял,  то  можно все  угрозы признать не  актуальными  и  не  заморачиваться  техническими мероприятиями. :|

Как сказать!

5. Правительство Российской Федерации вправе установить требования по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности, и не являющихся государственными и муниципальными информационными системами персональных данных, в зависимости от характеристик угроз безопасности этих данных с учетом частей 1 и 2 настоящей статьи.

[Operator]

1076 написал:
Вот этот   http://www.altlinux.ru/products/altlinux-spt-fstec/
 сертифицированный  ФСТЭК  продукт не запускается  на интеловской серверной  платформе .
На запрос HCL для  этого  продукта ( на  чем  ее  можно  запускать)  был  получен  кАнкретный  ответ  -
продолжение в закрытом разделе

:@

А что вы сертификацией заморачиваетесь http://www.buh.ru/document-1729

в случае если в ИСПДн содержатся сведения в отношении персональных данных, имеющих отношение только к одной организации (сотрудники, покупатели, учредители, потенциальные клиенты и т. п.), при этом информации, касающейся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни не содержится, такой ИСПДн может быть присвоен 3-й класс, для которого применение сертифицированного программного продукта необязательно.

[1076]

Довольно спорная  статья и  применима  только для  пользователей  сертифицированного варианта платформы 1С которая  и заявлена  как сертифицированное СЗИ.
Если  у вас ПДН  в mySQL на Linux ,  то по- любому  нужен продукт  с сертификатом,  кторый  будет  играть  роль  СЗИ.

Насколько я вкурил  трехкнижие , ваша или наша   система  может  быть K2-3 или специальная ,  причем  любой  биллинг автоматом  попадает  в  специальные ,  так как читаем

Утвержден
Приказом
ФСТЭК России,
ФСБ России,
Мининформсвязи России
от 13 февраля 2008 г. N 55/86/20

ПОРЯДОК
ПРОВЕДЕНИЯ КЛАССИФИКАЦИИ ИНФОРМАЦИОННЫХ СИСТЕМ
ПЕРСОНАЛЬНЫХ ДАННЫХ



8. По заданным оператором характеристикам безопасности персональных данных, обрабатываемых в информационной системе, информационные системы подразделяются на типовые и специальные информационные системы.
Типовые информационные системы - информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных.
Специальные информационные системы - информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).
К специальным информационным системам должны быть отнесены:
информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных;
информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.

Если специальная  , то составляем  нужную  нам  модель  угроз и  выкидываем  от  туда  всю  муть  про  ПЭМИН и видовые  каналы .

[Operator]

1076 написал:
Довольно спорная  статья и  применима  только для  пользователей  сертифицированного варианта платформы 1С которая  и заявлена  как сертифицированное СЗИ.

Ни чего подобного.

[1076]

Ну  если нет  у  меня  1с , и сертифицированных продуктов  тоже  нет .
Заявить  в  качестве  СЗИ  в ИСПДН я  могу  только  продукт  с  сертификатом  .

С  этим  не  станете  спорить ?

[Operator]

1076 написал:
Ну  если нет  у  меня  1с , и сертифицированных продуктов  тоже  нет .
Заявить  в  качестве  СЗИ  в ИСПДН я  могу  только  продукт  с  сертификатом  .

С  этим  не  станете  спорить ?

1С или иное не причём. Причём класс.

[1076]

Любой биллинг -  это  специальная  система  ,

так  как: п.8  N 55/86/20

Ваша  система  может быть  специальной   или  типовой (К1-4)

Специальная  и одновременно   К(2-4)    система БЫТЬ  НЕ  МОЖЕТ ,

 так  как  к типовым  предъявляется фиксированный  набор  требований,
в  случае  специальной  вы  пишете  свою  модель  угоз .