следующая тема »

[Алексей А. Шаталов]

Здравствуйте. Я хочу открыть тему и порассуждать, какие меры нужно предпринять на сетевом, техническом и программном уровне, чтобы соблоюсти требования ФЗ № 152 сайту, который содержит персональные данные. Каким образом выстроить отношения с пользователями, чтобы они были юридически чистыми. Имею в виду то, что согласие на обработку допускается с использованием ЭЦП или аналога собственноручной подписи, что получать с каждого пользователя - проблематично. Как быть? Какие соображения? Спасибо, за внимание и ответы.

[Добряк]

Очень полезный форум по этой теме http://ispdn.ru/forum/

Я интересовался как легализовать интернет магазин по ПД - в ответ что то типа, ах еще и инет маги тоже же теоретически нужно приводить в божеский вид ... а как? Так ни кто и не ответил.

Были потуги в сторону в оферте писать, что все ПД пользователь разрешает делать публичными, но мол надзоры за это накажут. Короче ребята, которые этим сейчас реально занимаются так и не смогли четко сказать что нужно и что можно сделать.

[Osby]

Недавно заказывал банковскую карту через интернет - там требовалось поставить флажок, что я согласен на обработку моих данных. Это не имеет юридической силы?

[Igor Michailov]

А банк сможет доказать, что за компьютером были именно вы?

[Алексей А. Шаталов]

Недавно заказывал банковскую карту через интернет - там требовалось поставить флажок, что я согласен на обработку моих данных. Это не имеет юридической силы?

Вот в этом и дело, что "флажок" ФЗ № 152 не предусмотрен.

А как быть с программным обеспечением? Я знаю, что, например, "1С-Битрикс" - имеет сертификаты ФСТЭК, но сайт созданный на данной платформе должен проходить дополнительную сертификацию там же. То, что 1С уже имеет сертификат - просто облегчит его получение для сайта, но, я так понимаю, не решает проблем безопасности на сетевом уровне.

[Николай Николаевич Федотов]

Боюсь, что "привести в соответствие с законом" не получится. Во-первых, закон бланкетный, сам требований почти не устанавливает, отсылает к подзаконным и под-подзаконным актам. Во-вторых, все ведомственные акты написаны нарочно так, чтобы их нельзя было выполнить, для максимизации коррупционных возможностей контролирующих органов. Поэтому большинство предприятий даже не рыпаются в сторону "приведения в соответствие", а просто платят за получение нужных бумажек.

[Алексей А. Шаталов]

... а просто платят за получение нужных бумажек.

Вернусь к теме. Актуальность возобновилась. Соглашусь с Вами, Николай Николаевич. Пришел к такому же выводу. По поводу "бумажек":
насколько я знаю, необходима общая аттестация информационной системы (веб-сервера). Этим занимаются организации, лицензированные ФСТЭК. При использовании сертифицированных продуктов аттестация будет проще и дешевле. Если кто занимался подобным вопросом и/или аттестовывал сайт, можно поподробнее об этом рассказать? Интересует сроки, примерная стоимость "бумажек", необходмо ли дополнительное шифровальное оборудование... в целом прошу, кто знает, сообщите, пожалуйста, подробности, буду признателен.

[korsar]

... а просто платят за получение нужных бумажек.

Вернусь к теме. Актуальность возобновилась. Соглашусь с Вами, Николай Николаевич. Пришел к такому же выводу. По поводу "бумажек":
насколько я знаю, необходима общая аттестация информационной системы (веб-сервера). Этим занимаются организации, лицензированные ФСТЭК. При использовании сертифицированных продуктов аттестация будет проще и дешевле. Если кто занимался подобным вопросом и/или аттестовывал сайт, можно поподробнее об этом рассказать? Интересует сроки, примерная стоимость "бумажек", необходмо ли дополнительное шифровальное оборудование... в целом прошу, кто знает, сообщите, пожалуйста, подробности, буду признателен.

Не совсем понятен вопрос об аттестации-

Насколько понимаю, после вступления в силу приказа ФСТЭК 58, РД ФСТЭК
"ОСНОВНЫЕ МЕРОПРИЯТИЯ ПО ОРГАНИЗАЦИИ И ТЕХНИЧЕСКОМУ ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ",в котором в п 3.11 " требовалась для ИСПДн 1 и 2 классов – обязательная сертификация (аттестация) по требованиям безопасности информации"   - потерял силу


В  п. 3 «Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»:
«Достаточность принятых мер по обеспечению безопасности персональных данных при их обработке в информационных системах оценивается при проведении государственного контроля и надзора» (приказ ФСТЭК 58 2010г).

В соответствии с п. 12 в) «Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» (Постановление Правительства РФ 2007 г. № 781) оператору достаточно обеспечить «проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации» и проведение аттестации его ИСПДн не требуется.

Поскольку ПД это  разновидность конфиденциальной информации - здесь работают СТР-К.
Однако требования СТР-К являются обязательными только для защиты государственных информационных ресурсов.
Согласно ч. 9 ст. 14 Федерального закона №149-ФЗ «Об информации, информационных технологиях и защите информации»:
«Информация, содержащаяся в государственных информационных системах, а также иные имеющиеся в распоряжении государственных органов сведения и документы являются государственными информационными ресурсами».
Отсюда можно сделать вывод, что обязательная аттестация проводится только для государственных информационных систем, в которых осуществляется обработка персональных данных. В остальных случаях она носит добровольный (необязательный характер).

[Алексей А. Шаталов]

Отсюда можно сделать вывод, что обязательная аттестация проводится только для государственных информационных систем, в которых осуществляется обработка персональных данных. В остальных случаях она носит добровольный (необязательный характер).

Вот я тоже такого мнения. Найду время - разберусь поподробнее.

[Алексей А. Шаталов]

Аттестация обязательна для компаний, обрабатывающих первый и второй классы информационных систем (ИС) персональных данных.
1 Класс:
ПДн, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни. Также ПДн, позволяющие идентифицировать субъекта и получить о нем дополнительную информацию, если в ИС одновременно обрабатываются ПДн более чем 100 000 субъектов, либо одновременно обрабатываются ПДн субъектов в пределах субъекта Российской Федерации или Российской Федерации в целом.

2 Класс:
ПДн, позволяющие идентифицировать субъекта и получить о нем дополнительную информацию, если в ИС одновременно обрабатываются ПДн от 1000 до 100 000 субъектов ПДн, либо одновременно обрабатываются ПДн субъектов ПДн, работающих в отрасли экономики Российской Федерации, в органе гос. власти, проживающих в пределах муниципального образования. Также ПДн, позволяющие 
идентифицировать субъекта, если в ИС одновременно обрабатываются ПДн более чем 100 000 субъектов либо одновременно обрабатываются ПДн субъектов в пределах субъекта Российской Федерации или Российской Федерации в целом.

В остальных случаях аттестация не обязательна.