ispdn
| Дата: Вторник, 10.01.2012, 12:25 | Сообщение # 1 |
Стажер
Сообщений: 2
Награды: 0
| Как помнят все интересующиеся ФЗ-152 «О персональных данных» был принят в далеком 2006 году. Введение Закона в действие нудно откладывалось, только когда-то он должен был заработать. 1 июля 2011 это случилось.
Для нас (госконтора, почти на 20000 человек в то трудное время) вопрос поднялась в 2008 году.
На начальном этапе не больно сильно, но потом точно в сказке: «Чем дальше, тем страшнее».
Первый шаг — начальные Оргмеры.
— В каждой бумажке типа Заявления появилась заголовок маленькими буковками (чтобы оставить минувший величина бланка) — «Выражаю дозволение на необходимое использование моих персональных данных, в часть числе в информационных системах».
— В Заявлениях на детские пособия было внесено приложение про несовершеннолетних детей.
— Также были взяты отдельные Заявления с согласием предоставления и передачи данных из других учреждений (Пенсионный Фонд, НПФ т.п.).
Очень много бумаг и совершенно немного техники
Другой этап — разработка правильной документации.
Наступал 2009 год и было известно, который Положение еще отложат. Финансирования нет. Никто особо не торопится. Позволительно упражнять документацию. Вышестоящая контора дала образцы следующих документов:
Приказ о назначении должностных лиц, ответственных следовать защиту информации ограниченного доступа, не содержащей государственной тайны;
Веление об определении контролируемой зоны, в которой расположены узлы автоматизированной системы предназначенной ради обработки информации ограниченного доступа, не содержащей государственно тайны;
Приказ о запрещении обработки информации ограниченного доступа на не аттестованных объектах информатизации
Инструкцию по эксплуатации средств защиты информации объекта вычислительной техники;
Инструкцию сообразно установке нового и модификации используемого программного обеспечения на автоматизированной системе обрабатывающей информацию ограниченного доступа;
Инструкцию сообразно организации антивирусной защиты на автоматизированной системе обрабатывающей информацию ограниченного доступа;
Инструкцию администратору информационной безопасности автоматизированной системы, обрабатывающей информацию ограниченного доступа;
Инструкцию сообразно внесению изменений в списки пользователей и наделению их полномочиями доступа к ресурсам автоматизированной системы обрабатывающей информацию ограниченного доступа;
Инструкцию по организации парольной защиты автоматизированной системы;
Инструкцию сообразно организации резервного копирования данных автоматизированной системы обрабатывающей информацию ограниченного доступа;
Инструкцию пользователя автоматизированной системы.
Матрицу доступа к защищаемым ресурсам автоматизированной системы;
Технический паспорт для АС;
Книга учета допуска к работе в автоматизированной системе обрабатывающей информацию ограниченного доступа;
Журнал учета и выдачи машинных носителей информации предназначенных чтобы хранения информации ограниченного доступа, не содержащей государственной тайны;
Книга учета средств защиты информации;
Форму Заявки для внесение пользователей АС;
Форму Акта проведения технических работ на объектах информатизации АС;
Список сведений конфиденциального характера;
Перечень защищаемых информационных ресурсов;
Описание технологического процесса обработки информации в выделенной локальной вычислительной путы;
Схему коммутации выделенной локально вычислительной тенета;
Перечень лиц, допущенных к самостоятельной работе в АС.
Третий остановка — закупка технических средств защиты информации.
Правильнее говорить, что закупала головная контора, мы после один забирали. В результате получились:
— Далласы на рабочие станции
— Випнет координатор ради защищенного доступа сообразно IP-MPLS каналу к вышестоящей конторе.
— Глушилки
— Проведена сертификация Windows Server (здесь подобное обсуждается)
Четвертый остановка — умственно-физические работы.
Защищаемая автоматизированная способ должна быть защищена и физически. Тогда непомерно удачно подвернулся переезд отдела, работающего с персональными данными для другой этаж. Известный отдел оказался в ограниченном помещении, один из кабинетов отобрали около серверную. В результате с этажа для маршрутизатор выходят два кабеля (основной и резервный). Компьютера форматнули, установили чистую обновленную винду, офис, антивирь, рабочую прогу. В октябре 2009 приехали ребята с Питера. Установили Далласы, глушилки, настроили випнет, сделали однако замеры, откорректировали документацию.
Пятый этап — завершение.
В конце октября 2009 собралась внутренняя комиссия сообразно защите персональных данных. Были назначены ответственные лица, которые должны были следовать неделю подготовить документы и обманывать работы сообразно защите персональных данных (те самые, который перечислены со второго этапа). За неделю ответственные все сделали. И забота с радостью приняла защищенную систему в эксплуатацию. Оживленно был получен патент для три возраст, на чем всетаки и кончилось.
Конечно, который для самом деле кончилось паки не все.
К примеру защищенная порядок является единым программно-техническим комплексом. Мышь не поменяешь. Зато единожды в год можно вызвать аттестатора чтобы проверки соблюдения всех показателей защиты. А аттестатор имеет преимущество изменять имеющиеся документы. Так сколько мышь поменять реально.
Ну и современная идея электронного межведомственного взаимодействия. Идея хорошая. Вот лишь, не предусмотренная предыдущей концепцией защиты персональных данных. Беспричинно что если реализуем — будем кропать аттестацию снова.
Соразмерность изменениям, внесённым законом № 363-ФЗ посредством 27 декабря 2009 года, операторы персональных данных должны привести соблазн системы обработки персональных данных, запущенные предварительно 1 января 2010 возраст, в единство с законом прежде 1 января 2011 года. Федеральным законом через 23 декабря 2010 возраст № 359-ФЗ «О внесении изменения в статью 25 федерального закона „О персональных данных“» срок приведения информационных систем персональных данных, созданных загодя 1 января 2011 года, в аналогичность с требованиями закона № 152-ФЗ – не позднее 1 июля 2011 года. Последние изменения были внесены федеральным законом № 261-ФЗ через 25.07.2011. Этим законом была уточнена школа действия Федерального закона «О персональных данных», используемые в нём основные понятия, принципы и условия обработки персональных данных. Существенно переработаны действующие законодательные нормы, касающиеся трансграничной передачи персональных данных, мер пропорционально обеспечению безопасности персональных данных наличность их обработке, прав и обязанностей оператора, взаимоотношений оператора и субъекта персональных данных.
Вступил в силу постановление О персональных данных 152-ФЗ
<a href="http://youbisiness.ru">информационные системы обработки персональных данных</a>
<a href="http://youbisiness.ru">Защита персональных данных</a>
|
| |
|
|
