Закон о персональных данных ФЗ №152

Вводная часть:
Бизнес развивается. Конкуренция растет. И задача любой компании — не только выжить, но и оставаться конкурентоспособной как можно дольше. Успех предприятия напрямую зависит от эффективности работы его сотрудников. Поэтому проблема обучения персонала актуальна для многих компаний.
Сотрудники любых учреждений - программисты, бухгалтеры и ряд других специалистов по статусу обязаны идти в ногу с прогрессом в своей области. Иначе они потеряют квалификацию. Соответствие стандартам. В некоторых случаях, например, для прохождения сертификации международной системы качества , предприятие должно включать в свою структуру, наряду с другими обязательными условиями, и постоянно действующую систему обучения персонала...

Думаю нет смысла далее объяснять зачем обучать персонал...
(У кого будут вопросы расскажу в частном порядке).

Слышали, читали закон "о персональных данных" - ФЗ №152????
Знаете требования? Знаете наказания?

В двух словах скажу основные аспекты, требования и решения по данному закону (относится, практически ко всем компаниям в РФ).
1) Что такое персональные данные?
Персональные данные (давайте без официальных определений, а по человечески) - любая информация, содержащая Имя+Фамилию+Отчество сотрудника или клиентов, или партнеров (один из самых распространненных примеров).
2) Кто "попадает" под данный закон?
Любая компания, организаяция и т.п. у которой хранятся и обрабатываются персональные данные (вопрос №1). Т.е. от сюда видно, что "попадает" любая компания.
3) Сроки реализации? Дата начала проверок?
Данный закон вступает в силу с 1 января 2010 (половина года осталась!...). И ,как следствие, проверки начнутся именно с этого числа...
Регулирующие органы - ФСБ, ФСТЭК, Россвязкоманднадзор.
4) Что будет при несоблюдении закона?
За нарушение положений данного Закона предусмотрена уголовная и административная ответственность (№152-ФЗ, глава 6, статья 25, пункт 4). - Это официально.
Есть источники (включая самих регуляторов), которые утверждают:
1) За первых приход регуляторы, при несоответствии закону, щтраф будет составлять 100 МРОТ на компанию и 30 МРОТ руководителю.
2) Так же данный штраф, является "зеленым светом" для других надзирающих органов (а их уже очень много...)
3) Время для приведения к соответствию после проверки составляет 2 недели!
И это только 3 санкции, а их больше (фантазия не ограничивает)...
5)Что нужно сделать, чтобы соответсвовать данному закону?
Сбор документов отправка и т.п. - подробности, думаю объяснять не стоит.
Необходимые и достаточные условия для соответствия:
- зарегестрировать персонал, работающий с пер. данными. Т.к. регуляторы прежде всего проверяют компании, которые не зарегестрированные в базе операторов на сайте ФСТЭК,ФСБ
- провести аудит в компании (с целью получения в органах регулирования документ соответствия и подписанный документ на приобретение и\или изменения средст защиты)
- приобрести и установить необходимые средства защиты информации
- обучить специалистов, работающих с данными средствами. (требования закона!)
6) Сколько это будет стоить?
Для каждой компании стоимость разная (не существует даже "вилки" т.к. у каждой компании и предприятия разные требования для соответствия и разное кол-во сотрудников).
7) Сколько требуется времени для приведение к соответствию?
Все зависит от размера компании. Минимальное время для приведения к соответствию - 2,3 месяца.

Данная информация является поверхностной, но при этом взяты основные аспекты.

А вы начали подготовку к реализации соответствия?

_________________
С уважением...

М-дя...
Запугали до полусмерти.
А можно внятно - что хотят от нас законодатели?
А то закона под рукой нет.

_________________
Пусть Путь Ваш освещается Светом Души Вашей!

Важнее что захотят от нас исполнительные органы (кстати непонятно кто будет контролировать исполнение этого закона).

Кто будет контролировать чуть выше написано:
ФСБ, ФСТЭК, Россвязкоманднадзор

_________________
Пусть Путь Ваш освещается Светом Души Вашей!

вопросик:
а какие бумаги я могу требовать у проверяющих ??
как я могу получить сертификат или атестацию пройти, где ???

все только на уровне слухов
а если я уже 10+ лет в ИТ структуре ... мне что обучаться чемуто еще надо, как долго ???

был бы рад пообщаться в часном порядке через ICQ ...

Любая проверяющая организация обязана предварительно уведомить о проверке - не читал закон, но МНС, напрмер, уведомляет за 2 недели.
При проверке сотрудники ОБЯЗАНЫ предъявить направление (ордер, развешение, приказ) на проведение проверки.

При проверке:
1. Требуем означенный приказ
2. Проверяем документы проверяющих
3. Проверяем права проверяющих - звоним в управление их конторы

Телефон проверяющей компании берем из справочника или из справочной службы.

Разговоры в стиле:
1. Звоните лучше по ЭТОМУ телефону
2. Что-то Вы много запросов задаете
3. Вы на неприятности напрашиваетесь
Свидетельствуют о том, что Вас хотят "кинуть" или "раскрутить".

При проверке - ЛЮБОЙ - веди аудиозапись разговора - предупредите о факте записи.
Точность, аккуратность, знание своих прав и отказ подписать что-либо в качестве формальности творят чудеса.

_________________
Пусть Путь Ваш освещается Светом Души Вашей!

а как определить категорию под которую я могу попасть ??
на сколько слышал их несколько ...

Закон читайте.

_________________
Пусть Путь Ваш освещается Светом Души Вашей!

Начать нужно с классификации системы.

Читайте Приказ Федеральной службы по техническому и экспортному контролю, ФСБ РФ и Министерства информационных технологий и связи РФ
от 13 февраля 2008 г. N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных".

Потом читаем Постановление Правительства N 781, там описаны общие мероприятия:

11. При обработке персональных данных в информационной системе должно быть обеспечено:
а) проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;
б) своевременное обнаружение фактов несанкционированного доступа к персональным данным;
в) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
г) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
д) постоянный контроль за обеспечением уровня защищенности персональных данных.
12. Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя:
а) определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз;
б) разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем;
в) проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;
г) установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;
д) обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними;
е) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
ж) учет лиц, допущенных к работе с персональными данными в информационной системе;
з) контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
и) разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;
к) описание системы защиты персональных данных.

Более конкретные требования (мероприятия), ОБЯЗАТЕЛЬНЫЕ к исполнению, прописаны в 4х документах ФСТЭК (они ДСП) и 2х документах ФСБ.

Для выполненияе работ по обеспечению безопасности ПДн необходимо получить необходимые лицензии ФСТЭК или обратиться к лицензиату ФСТЭК, чтобы тот провел комплекс мероприятий (создание системы защиты, установка-настройка, разработка необходимых организационно-распорядительных документов, аттестация).

ФСТЭК снял пометку ДСП:
Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (Документ MS Word) (Пометка «для служебного пользования» снята Решением ФСТЭК России от 11 ноября 2009 г.)
Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (Документ MS Word) Пометка «для служебного пользования» снята Решением ФСТЭК России от 16 ноября 2009 г.
Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных (Документ MS Word) (Пометка «для служебного пользования» снята Решением ФСТЭК России от 11 ноября 2009 г.)
Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных(выписка) (архив RAR) (При рассмотрении угроз утечки информации по каналам побочных электромагнитных излучений и наводок (ПЭМИН) необходимо применять полную версию данного документа.)

Также обновил брошюру...