ФЗ-152 «О персональных данных»

Ответить
ispdn

ФЗ-152 «О персональных данных»

Сообщение ispdn » 11 янв 2012, 02:41

Как помнят многие интересующиеся ФЗ-152 «О персональных данных» был принят в далеком 2006 году. Введение Закона в действие продолжительно откладывалось, только когда-то он вынужден был заработать. 1 июля 2011 это случилось.
Для нас (госконтора, примерно в 20000 персон в то трудное время) вопрос поднялась в 2008 году.
На начальном этапе не чрезвычайно крепко, однако потом точно в сказке: «Чем дальше, тем страшнее».

Для начала первый этап — начальные Оргмеры.

— В каждой бумажке типа Заявления появилась надпись маленькими буковками (для оставить предшествующий величина бланка) — «Выражаю разрешение для необходимое использование моих персональных данных, в книга числе в информационных системах».
— В Заявлениях на детские пособия было внесено приложение про несовершеннолетних детей.
— Также были взяты отдельные Заявления с согласием предоставления и передачи данных из других учреждений (Пенсионный Фонд, НПФ т.п.).

Сильно много бумаг и совершенно бедно техники
Следующий остановка — разработка правильной документации.
Наступал 2009 год и было известно, что Закон опять отложат. Финансирования нет. Никто отдельно не торопится. Дозволительно заниматься документацию. Вышестоящая контора дала образцы следующих документов:

Рецепт о назначении должностных лиц, ответственных следовать защиту информации ограниченного доступа, не содержащей государственной тайны;
Ордер относительный определении контролируемой зоны, в которой расположены узлы автоматизированной системы предназначенной чтобы обработки информации ограниченного доступа, не содержащей государственно тайны;
Инструкция о запрещении обработки информации ограниченного доступа на не аттестованных объектах информатизации
Инструкцию по эксплуатации средств защиты информации объекта вычислительной техники;
Инструкцию по установке нового и модификации используемого программного обеспечения для автоматизированной системе обрабатывающей информацию ограниченного доступа;
Инструкцию сообразно организации антивирусной защиты для автоматизированной системе обрабатывающей информацию ограниченного доступа;
Инструкцию администратору информационной безопасности автоматизированной системы, обрабатывающей информацию ограниченного доступа;
Инструкцию по внесению изменений в списки пользователей и наделению их полномочиями доступа к ресурсам автоматизированной системы обрабатывающей информацию ограниченного доступа;
Инструкцию по организации парольной защиты автоматизированной системы;
Инструкцию по организации резервного копирования данных автоматизированной системы обрабатывающей информацию ограниченного доступа;
Инструкцию пользователя автоматизированной системы.
Матрицу доступа к защищаемым ресурсам автоматизированной системы;
Технический паспорт для АС;
Книга учета допуска к работе в автоматизированной системе обрабатывающей информацию ограниченного доступа;
Книга учета и выдачи машинных носителей информации предназначенных для хранения информации ограниченного доступа, не содержащей государственной тайны;
Книга учета средств защиты информации;
Форму Заявки на внесение пользователей АС;
Форму Акта проведения технических работ на объектах информатизации АС;
Список сведений конфиденциального характера;
Перечень защищаемых информационных ресурсов;
Изображение технологического процесса обработки информации в выделенной локальной вычислительной путы;
Схему коммутации выделенной локально вычислительной узы;
Роспись лиц, допущенных к самостоятельной работе в АС.

Третий остановка — закупка технических средств защиты информации.
Правильнее говорить, сколько закупала головная контора, мы после единственно забирали. В результате получились:
— Далласы для рабочие станции
— Випнет координатор чтобы защищенного доступа сообразно IP-MPLS каналу к вышестоящей конторе.
— Глушилки
— Проведена сертификация Windows Server (здесь подобное обсуждается)

Четвертый этап — умственно-физические работы.
Защищаемая автоматизированная порядок должна непременно защищена и физически. Тут очень удачно подвернулся переезд отдела, работающего с персональными данными на видоизмененный этаж. Определенный отдел оказался в ограниченном помещении, взаперти из кабинетов отобрали почти серверную. В результате с этажа на маршрутизатор выходят два кабеля (главный и резервный). Компьютера форматнули, установили чистую обновленную винду, офис, антивирь, рабочую прогу. В октябре 2009 приехали ребята с Питера. Установили Далласы, глушилки, настроили випнет, сделали всетаки замеры, откорректировали документацию.

Пятый остановка — завершение.
В конце октября 2009 собралась внутренняя забота по защите персональных данных. Были назначены ответственные лица, которые должны были после неделю подготовить документы и обманывать работы по защите персональных данных (те самые, сколько перечислены со второго этапа). Следовать неделю ответственные постоянно сделали. И забота с радостью приняла защищенную систему в эксплуатацию. Проворно был получен билет на три года, на чем постоянно и кончилось.

Конечно, что на самом деле кончилось паки не все.
К примеру защищенная учение является единым программно-техническим комплексом. Мышь не поменяешь. Зато раз в год дозволительно вызвать аттестатора для проверки соблюдения всех показателей защиты. А аттестатор имеет право изменять имеющиеся документы. Так сколько мышь поменять реально.
Начинать и современная мысль электронного межведомственного взаимодействия. Мысль хорошая. Вот только, не предусмотренная предыдущей концепцией защиты персональных данных. Беспричинно который если реализуем — будем оказывать аттестацию снова.

Согласие изменениям, внесённым законом № 363-ФЗ от 27 декабря 2009 года, операторы персональных данных должны привести искушение системы обработки персональных данных, запущенные перед 1 января 2010 года, в аналогия с законом накануне 1 января 2011 года. Федеральным законом после 23 декабря 2010 возраст № 359-ФЗ «О внесении изменения в статью 25 федерального закона „О персональных данных“» срок приведения информационных систем персональных данных, созданных накануне 1 января 2011 возраст, в симфония с требованиями закона № 152-ФЗ – не позднее 1 июля 2011 года. Последние изменения были внесены федеральным законом № 261-ФЗ сквозь 25.07.2011. Этим законом была уточнена область действия Федерального закона «О персональных данных», используемые в нём основные понятия, принципы и условия обработки персональных данных. Существенно переработаны действующие законодательные нормы, касающиеся трансграничной передачи персональных данных, мер согласно обеспечению безопасности персональных данных приблизительно их обработке, прав и обязанностей оператора, взаимоотношений оператора и субъекта персональных данных.

Вступил в силу федеральный основание О персональных данных 152-ФЗ
<a href="http://youbisiness.ru">личные данные</a>

Аватара пользователя
ZeuS
Сообщения: 142
Зарегистрирован: 27 окт 2010, 09:57
Откуда: Калачинск
Контактная информация:

Re: ФЗ-152 «О персональных данных»

Сообщение ZeuS » 11 янв 2012, 12:13

Не сыпьте соль на раны ... :(. Если данные относятся к классу К1 или К2 - вообще кошмар.

Ответить
cron