|
Защита персональных данных
|
|
| Sanny | Дата: Среда, 11.02.2009, 11:03 | Сообщение # 1 |
 Правдоборец
Группа: Гости
Сообщений: 6257
Статус: Offline
| Итак у студентов 4 курса началась практика. Наиболее актуальный и в тоже время самый трудный (ввиду своей новизны и недостатка отработанных методик) вопрос это защита персональных данных. Нам, студентам вечернего отделения, труднее еще потому, что в большинстве своем, проходим практику по месту работы. Следовательно у нас нет руководителя от организации компетентного в этом вопросе, и почти всю систему защиты ПД приходится строить с нуля. Предлагаю в этой ветке обсудить именно практические аспекты создания и функционирования СЗПД (теории нас вроде научили). Первый вопрос: с чего начать? Быть может с уточнения нормативной базы?
Всяких нормативных документов вроде много, вот список который смог составить: 1. Федеральный закон от 27 июля 2006 года № 152-ФЗ "О персональных данных".
2. Федеральный закон от 19 декабря 2005 года № 160-ФЗ "О ратификации конвенции совета Европы о защите физических лиц при автоматизированной обработке персональных данных".
3. Указ Президента Российской Федерации от 6 марта 1997 года № 188 "Об утверждении перечня сведений конфиденциального характера".
4. Постановление Правительства РФ от 17 ноября 2007 года № 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных".
5. Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 года № 55/86/20 "Об утверждении порядка проведения классификации информационных систем персональных данных".
6. Нормативно-методический документ (НМД) ФСТЭК России "Основные мероприятия по организации..." от 15 февраля 2008 года.
7. НМД ФСТЭК России "Рекомендации по обеспечению безопасности..." от 15 февраля 2008 года.
8. НМД ФСТЭК России "Базовая модель угроз безопасности..." от 15 февраля 2008 года.
9. НМД ФСТЭК России "Методика определения актуальных угроз безопасности..." от 15 февраля 2008 года. Может я чего то упустил? И что в этом списке наиболее важно, а что не очень?
У меня есть план - выпить столько, сколько смогу. Отличный план!
Сообщение отредактировал Sanny - Среда, 11.02.2009, 11:06 |
| |
| |
| Gaika | Дата: Среда, 11.02.2009, 14:58 | Сообщение # 2 |
 Рядовой
Группа: Проверенные
Сообщений: 7
Статус: Offline
| Перечень законодательных и нормативно-правовых актов можно посмотреть на сайте Федеральной службы по надзору в сфере связи и массовых коммуникаций http://www.rsoc.ru/main/directions/874/916.shtml
|
| |
| |
| Expert | Дата: Среда, 11.02.2009, 16:25 | Сообщение # 3 |
 Главный
Группа: Администраторы
Сообщений: 6114
Статус: Offline
| Sanny, спасибо за тему и за важную проблему, которую подняли. Защита персональных данных, это как бесконечное "совершенствование налогового законодательства": сколько не совершенствуй, а число коллизий не уменьшается  . -- Только сегодня с Л.С. Носовым и Д.Н. Едомским разговаривали на эту тему часа полтора. Дмитрий Николаевич сейчас активно готовит курс лекций по "персоналке" на текущий семестр (в т.ч. и у группы 1433 они будут, как семестр начнётся => кстати, напоминаю, что это будет 9 или 10 марта => потом дополнительно сообщим). Он сказал, что владеет всей ДСП-нормативкой (что неудивительно ), но в то же время универсальных алгоритмов и методик защиты персональных данных нет. То есть, к примеру, нет четких инструкций с наличием методик, "как быть" в различных исключительных ситуациях, которые могут возникнуть при создании и организации ЗПД. Как согласовать систему ЗПД с особенностями конкретного документооборота в конкретном учреждении конкретной отрасли - тоже непонятно... --
Я, конечно, ужасно далёк от прикладной защиты информации. (... и, скорее всего, уже вряд ли буду вникать во все тонкости её, но за это "не пинайте"  .
Напомню, что в настоящее время я как декан - по большому счёту временный завхоз-организатор и "разруливатор", и после окончания "командировки" на факультет, вернусь к своим проектам. Поэтому по содержательной части КЗОИ и всех её составляющих обращаемся к Леониду Сергеевичу => советы, указания и принятие решений по существу ЗИ - за ним ). В то же время замечу, что вся ситуация с ЗПД почти "как капля воды" напоминает мне ситуацию с вводом с 01.01.2002 обязательного ведения налогового учёта на предприятиях всех отраслей, даже на тех, где налога на прибыль вообще не могло быть даже теоретически. Затем было почти два года (до 2004 г.), когда было вообще непонятно, как его (НУ) вести и самое главное - как согласовывать его с бухгалтерским учётом (а у нас в СыктГУ - ещё и с Бюджетным кодексом  ). Сколько копий было сломано, сколько различных консалтеров обогатились... Вздохнули спокойно только в году 2006-м. Также и с ЗПД будет. Года 2010-2012 (но, imho, дольше) понадобятся только на то, чтобы вообще только начать понимать, а как же всё-таки полностью защитить персональные данные... -- Gaika, спасибо за ссылку!  -- Надеюсь, в обсуждении примут участие не только вечерники .
Блог декана
Уведомление для прессы и всех пользователей сети интернет: администрация форума может не заметить вовремя нецензурных слов и других, возможно, оскорбительных выражений/картинок/прочих материалов. Если вы заметили косвенный либо прямой факт оскорбления кого бы то ни было, пожалуйста, сообщите об этом администратору форума для принятия решения об удалении/модерировании соответствующего сообщения. Полный текст уведомления см. здесь.
|
| |
| |
| Elena | Дата: Четверг, 12.02.2009, 10:15 | Сообщение # 4 |
 Да! Я - такая!
Группа: Гости
Сообщений: 359
Статус: Offline
| А еще интересно содержимое пакета нормативки по ТЗИ: инструкции, положения, бланки доков, модели угроз, нарушителей??? Намётки есть (по информэйшн с сайта ФСТЭК: Информационно-справочная система по документам в области технической защиты информации), но хотелось бы узнать мнение компэтэнтных лютиков 
"Я вообще животных люблю. Кто-то там кошек любит, или собак, а я всех люблю без разбора. Людей только не люблю. Надоели, сука. Носятся и бегают, орут друг на друга, суетятся, злые все какие-то!"
"Лучшим доказательством существования разумной жизни во вселенной является тот факт, что с нами до сих пор никто не попытался связаться."
Сообщение отредактировал Elena - Четверг, 12.02.2009, 14:02 |
| |
| |
| Elena | Дата: Четверг, 12.02.2009, 11:26 | Сообщение # 5 |
|
Да! Я - такая!
Группа: Гости
Сообщений: 359
Статус: Offline
| О, еще кое-что интересное по перечню документов (примерный перечень норм-метод док-ов, регламентирующих деят-ть в области ЗИ) есть в учебнике Бузова
"Я вообще животных люблю. Кто-то там кошек любит, или собак, а я всех люблю без разбора. Людей только не люблю. Надоели, сука. Носятся и бегают, орут друг на друга, суетятся, злые все какие-то!"
"Лучшим доказательством существования разумной жизни во вселенной является тот факт, что с нами до сих пор никто не попытался связаться."
Сообщение отредактировал Elena - Четверг, 12.02.2009, 14:03 |
| |
| |
| eXceed | Дата: Четверг, 12.02.2009, 14:14 | Сообщение # 6 |
 Генералиссимус
Группа: Гости
Сообщений: 5466
Статус: Offline
| Может поговорим о технической стороне? А то от законов и прочей бумаги уже воротит =)
bda-expert.ru — это система форумов, где можно общаться быстро и свободно, где любая точка зрения имеет право на жизнь.
|
| |
| |
| Sanny | Дата: Четверг, 12.02.2009, 14:34 | Сообщение # 7 |
|
Правдоборец
Группа: Гости
Сообщений: 6257
Статус: Offline
| Quote (eXceed) Может поговорим о технической стороне?
Боюсь, что это самая простая сторона этого вопроса. Хотя был бы рад обсудить как наладить техническую защиту дешево и сердито.
У меня есть план - выпить столько, сколько смогу. Отличный план!
|
| |
| |
| Expert | Дата: Четверг, 12.02.2009, 21:48 | Сообщение # 8 |
|
Главный
Группа: Администраторы
Сообщений: 6114
Статус: Offline
| Quote (Elena) А еще интересно содержимое пакета нормативки по ТЗИ Quote (eXceed) Может поговорим о технической стороне? Quote (Sanny) Хотя был бы рад обсудить как наладить техническую защиту дешево и сердито. Создайте отдельную тему.
Блог декана
Уведомление для прессы и всех пользователей сети интернет: администрация форума может не заметить вовремя нецензурных слов и других, возможно, оскорбительных выражений/картинок/прочих материалов. Если вы заметили косвенный либо прямой факт оскорбления кого бы то ни было, пожалуйста, сообщите об этом администратору форума для принятия решения об удалении/модерировании соответствующего сообщения. Полный текст уведомления см. здесь.
|
| |
| |
| BoSSurman | Дата: Четверг, 12.02.2009, 22:05 | Сообщение # 9 |
|
Корифей
Группа: Модераторы
Сообщений: 674
Статус: Offline
| Quote (Expert) Создайте отдельную тему.
Вопрос надо решать в комплексе Сам тоже в теме постараюсь отписаться, как появится вдохновение Хотя сам я данным вопросом вплотную еще не занимался. Заодно и повод посмотреть что к чему. Пока интересны мнения комментарии других КЗОИшников и не только)
:-P
|
| |
| |
| eXceed | Дата: Пятница, 13.02.2009, 14:10 | Сообщение # 10 |
|
Генералиссимус
Группа: Гости
Сообщений: 5466
Статус: Offline
| Я плакал господа. Ибо походу в нашем универе все сводиться к знанию нормативных документов. Иначе нас бы не отправляли с предложением создать отдельную тему для технических разговоров. Ну создайте тему, пообщаемся там.
bda-expert.ru — это система форумов, где можно общаться быстро и свободно, где любая точка зрения имеет право на жизнь.
|
| |
| |
| Gaika | Дата: Пятница, 13.02.2009, 14:19 | Сообщение # 11 |
|
Рядовой
Группа: Проверенные
Сообщений: 7
Статус: Offline
| Quote (eXceed) Я плакал господа. Ибо походу в нашем универе все сводиться к знанию нормативных документов.
К знанию нормативных документов "всё сводится" во всех организациях независимо от сферы их деятельности. Без бумажки - ты БУКАШКА!!! 
Сообщение отредактировал Gaika - Пятница, 13.02.2009, 14:19 |
| |
| |
| Expert | Дата: Пятница, 13.02.2009, 15:54 | Сообщение # 12 |
|
Главный
Группа: Администраторы
Сообщений: 6114
Статус: Offline
| Quote (Expert) Создайте отдельную тему. Quote (eXceed) Ибо походу в нашем универе все сводиться к знанию нормативных документов. Иначе нас бы не отправляли с предложением создать отдельную тему для технических разговоров. Не понял логической связи между моей фразой и вашими двумя.
Также налицо просто "железобетонная" логика между двумя предложениями в вашей фразе . Quote (eXceed) Иначе нас бы не отправляли с предложением создать отдельную тему для технических разговоров. К тому же, я по-моему ясно написал: Quote (Expert) ... и, скорее всего, уже вряд ли буду вникать во все тонкости её, но за это "не пинайте" --
Считаете нужным обсуждать всё вместе => пожалуйста. --
Quote (eXceed) Я плакал господа. Сочувствую. Quote (Expert) Может поговорим о технической стороне? Начинайте. --
Quote (Gaika) К знанию нормативных документов "всё сводится" во всех организациях независимо от сферы их деятельности. Не только "к знанию", но и, imho, к наличию тоже. P.S. Для справки: тема называется "Защита персональных данных". Без претензий. Просто напоминание...
Блог декана
Уведомление для прессы и всех пользователей сети интернет: администрация форума может не заметить вовремя нецензурных слов и других, возможно, оскорбительных выражений/картинок/прочих материалов. Если вы заметили косвенный либо прямой факт оскорбления кого бы то ни было, пожалуйста, сообщите об этом администратору форума для принятия решения об удалении/модерировании соответствующего сообщения. Полный текст уведомления см. здесь.
|
| |
| |
| Sanny | Дата: Пятница, 13.02.2009, 16:19 | Сообщение # 13 |
|
Правдоборец
Группа: Гости
Сообщений: 6257
Статус: Offline
| Нормативно-документальная сторона вопроса это первые шаги в построении системы защиты ПД. До технической стороны дойдем в процессе последовательного обсуждения.
Ведь даже самая технически совершенная СЗПД рушится в прах (а это огромные деньги на ветер), при отсутствии необходимых организационных мер.
У меня есть план - выпить столько, сколько смогу. Отличный план!
|
| |
| |
| lamama | Дата: Пятница, 13.02.2009, 16:36 | Сообщение # 14 |
 Заведующий кафедрой
Группа: Модераторы
Сообщений: 524
Статус: Offline
| Вопросы технической защиты персональных данных давным давно проработаны. Вся информация есть в руководящих документах ФСТЭК и ФСБ России, а так же в СТР-К (на которой основаны РД по ПД) и "Временных методиках...". Если мы будем обсуждать только техническую сторозу СЗИ ИСПДн - "все сведется в физике" (фраза с секции "Защита персональных данных" Инфофорума-11). Поэтому как правильно заметил Алексей:Quote (BoSSurman) Вопрос надо решать в комплексе
Государство в лице в ФСТЭК и ФСБ не заставляет, а помогает защищать ПДн (персональные данные) и ИСПДн (информационные системы персональных данных)! Поэтому нормативные документы не только нужно, но и полезно читать. А Вы, eXceed, на сколько мне известно, еще не видели ни одного Руководящего документа по информационной безопасности. Почитайте - очень полезно.
Можно утверждать, что Вы сделали "крутую" СЗИ, но как ее оценить (что она "крутая")? В этом, опять-же, нам помогает Государство.
Создавая СЗИ для ПДн не надо забывать и о субъекте персональных данных: нас с вами, да и всех остальных. По ФЗ "О персональных данных" я имею право не предоставлять свои персональные данные третьим лицам. Но в этом случае я не смогу никуда уехать на поезде или самолете. А с кого мне требовать безопасность моих ПДн в этих ИСПДн? На этот вопрос Государство пока не может ответить. ФСТЭК обещает массовые проверки с 01.01.2010 (не раньше!).
Не оседать, не приживаться -
Ступенька за ступенькой - без печали,
Шагать вперед, идти от дали к дали,
Все шире быть, все выше подниматься.
|
| |
| |
| BoSSurman | Дата: Пятница, 13.02.2009, 22:28 | Сообщение # 15 |
|
Корифей
Группа: Модераторы
Сообщений: 674
Статус: Offline
| Предлагаю для удобства и наглядности придумать какую-нибудь виртуальную организацию, описать сферу деятельности, ее структуру и т.д. а потом уже на эту модель пытаться наложить требования по ПД. Это будет и проще и понятней. Я со студентами 5 курса опробовал такой подход в прошлом семестре на пз по КСЗИ, получилось относительно неплохо для первого раза Кто что предложит?
:-P
|
| |
| |
