Персональные данные - вход в тему

Форум Сообщества Практиков Конкурентной разведки (СПКР)

Конкурентная разведка, Бизнес-разведка, Корпоративная разведка,
Деловая разведка по открытым источникам в бизнесе.
Работаем строго в рамках закона.

Дезинформация и активные мероприятия в бизнесе
Форум Сообщества Практиков Конкурентной разведки (СПКР) »   Теория и практика работы с персональными данными »   Персональные данные - вход в тему
RSS

Персональные данные - вход в тему

<<Назад  Вперед>>Страницы: 1 2 3 4 5 6 7
Печать
 
Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
toparenko
Модератор форума
ANTESIGNĀNUS
Откуда: СССР
Всего сообщений: 728
Рейтинг пользователя: 5


Ссылка


Дата регистрации на форуме:
7 июня 2009

Vinni написал:
[q]
ETA IT-company выпустила “Рекомендации по выполнению требований Федерального закона №152-ФЗ “О персональных данных“.
[/q]

Исправление на второй странице руководства:
[q]
«Настоящий документ был подготовлен LETA IT-company исключительно в информационных целях. LETA IT-company не несет ответственность за какие-либо убытки или ущерб, возникшие в результате использования сведений, содержащихся в настоящем документе, а также последствия, вызванные неполнотой представленных сведений. Дополнительная информация предоставляется по запросу.

Настоящий документ охраняется законодательством об интеллектуальной собственности и его использование для целей извлечения прибыли не допускается.

Допускается перепечатка, доведение до всеобщего сведения или иное воспроизведение настоящего документа с условием сохранения его целостности и оригинального дизайна, а также с указанием разработчика LETA IT-company.

Любая переработка, за исключением перевода, всего документа или его части допускается лишь с письменного разрешения LETA IT-company.

При цитировании документа ссылка на источник заимствования обязательна.

© LETA IT-company, 2010»
[/q]

Источник

---
Грабли - это оружие. Бывают веерные и обычные (с) Что? Где? Когда? 30.05.2009
toparenko
Модератор форума
ANTESIGNĀNUS
Откуда: СССР
Всего сообщений: 728
Рейтинг пользователя: 5


Ссылка


Дата регистрации на форуме:
7 июня 2009

Vinni написал:
[q]
На сайте Федеральной службы по техническому и экспортному контролю размещен проект Приказа ФСТЭК России "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных." (Документ MS Word)".
[/q]

Общее соответсвие классов ИСПДн к АСЗИ становится:


Однопользовательская К3 и К2
Многопользовательская К3 и К2 с равными правами доступа
Многопользовательская К3 и К2 с разными правами доступа
Однопользовательская К13А минус сертифицированные средства защиты
Многопользовательская К1 с равными правами доступа2А минус криптографическая подсистема и сертифицированные средства защиты
Многопользовательская К1 с разными правами доступа


Что появилось/убрали:
1. Добавили, что пароль должен состоять из буквенно-цифровых символов
2. Убрали акцент на охрану в нерабочее время
3. Убрали "любую" маркировку при учете носителей, но при этом не определили как она должна выглядеть
4. "Почему-то" убрали способы очистки оперативной памяти и внешних накопителей.
5. В многопользовательской К1 с равными правами убрали администратора безопасности/службу защиты информации (могу понять для локального компьютера с несколькими пользователями - но не могу понять для одноранговой сети/сегмента сети, рабочей группы из нескольких компьютеров)

Накладки:
1. В однопользовательской К3 зачем-то добавили пункт "возможность восстановления средства защиты от несанкционированного доступа, предусматривающая ведение двух копий программного средств защиты, его периодическое обновление и контроль работоспособности", который практически дублирует ранее приведенный "проверка наличия средств восстановления системы защиты персональных данных, предусматривающих ведение двух копий программных средств защиты информации, их периодическое обновление и контроль работоспособности;"
2. В однопользовательской К3 добавили из 1Д требование "проверка целостности модулей средства защиты от несанкционированного доступа, необходимых для корректного функционирования этого средства, при его загрузке с использованием контрольных сумм;", которое "потеряли" в многопользовательской К3 и К1 с равными правами доступа и однопользовательской К1
3. В однопользовательской К1 и многопользовательской К1 с равными правами доступа "потеряли" "целостность программной среды обеспечивается отсутствием в информационной системе средств разработки", хотя это требование есть в низшем классе К3
4. Зачем-то оставили в однопользовательской К1 и многопользовательской К1 с равными правами доступа дублирующий учет носителей, когда в многопользовательской К1 с разными правами доступа этого нет... IMO лучше бы брали доптребования из 1Г, а не из 3А/2А - тогда было бы меньше накладок

---
Грабли - это оружие. Бывают веерные и обычные (с) Что? Где? Когда? 30.05.2009
Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
А. Лукацкий начал публикацию своего курса про моделирование угроз - 1ая часть.
toparenko
Модератор форума
ANTESIGNĀNUS
Откуда: СССР
Всего сообщений: 728
Рейтинг пользователя: 5


Ссылка


Дата регистрации на форуме:
7 июня 2009
Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 5 февраля 2010 г. N 58 г. Москва "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных"
Опубликован 5 марта 2010 г.
Вступает в силу 15 марта 2010 года

---
Грабли - это оружие. Бывают веерные и обычные (с) Что? Где? Когда? 30.05.2009
toparenko
Модератор форума
ANTESIGNĀNUS
Откуда: СССР
Всего сообщений: 728
Рейтинг пользователя: 5


Ссылка


Дата регистрации на форуме:
7 июня 2009
[q]
Утверждено
первым заместителем
директора ФСТЭК России
5 марта 2010 г.



В связи с изданием приказа ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» (зарегистрирован Минюстом России 19 февраля 2010 г., регистрационный № 16456; опубликован: «Российская газета», 5 марта 2010 г., № 46) не применять с 15 марта 2010 г. для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных следующие методические документы ФСТЭК России:
Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.;
Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.
[/q]


---
Грабли - это оружие. Бывают веерные и обычные (с) Что? Где? Когда? 30.05.2009
Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
_ttp://www.tsarev.biz/?p=1373
[q]

В Череповце есть такой сайт mmite.3dn.ru , на нем выкладывают результаты конференций и семинаров по ПДн, которые проводятся при участии Череповецкого Государственного Университета. На последнем семинаре “Обеспечение безопасности персональных данных в органах государственной власти и местного самоуправления” у представителя университета был доклад, в котором он постарался представить шаблонный вариант внутренних документов по ПДн.
Доклады, перечень документов и сами шаблоны можно скачать с сайта (прикрепляю к письму два предложенных пакета документов). Ссылка 1, Ссылка 2
[/q]


maviandr
Новичок

Всего сообщений: 1
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
21 сен. 2010
Извините, пожалуйста, если сообщение не в тему, но создалось впечатление, что здесь собрались люди, знающие законы, касающиеся безопасности персональных данных. Помогите, пожалуйста! В связи с указом президента о введении электронных дневников на учащихся школ (рассылкой родителям на эл. почту сведений о посещаемости и успеваемости их детей) Департамент образования нашего города закупил программу по созданию на сервере каждой школы базы информации, включающей не только данные классных журналов (см. выше), но и расписание и другую информацию. Нас волнует то, что для работы этой программы все работники школы в обязательном порядке должны дать свои строго конфиденциальные данные: паспортные данные, прописка, ИНН, номер диплома и др. Говорят, что это необходимо для работы бухгалтерии. Однако, эти данные есть в компьютере главного бухгалтера и он несёт ответственность за их неразглашение. Почему мы свои данные должны выставить на сервер, то есть во всемирную паутину? Кто будет нести ответственность за утечку информации? Есть ли конкретные законы, ограждающие нас от вмешательства извне?
Спасибо всем неравнодушным людям, кто откликнется!
toparenko
Модератор форума
ANTESIGNĀNUS
Откуда: СССР
Всего сообщений: 728
Рейтинг пользователя: 5


Ссылка


Дата регистрации на форуме:
7 июня 2009

maviandr написал:
[q]

Извините, пожалуйста, если сообщение не в тему, но создалось впечатление, что здесь собрались люди, знающие законы, касающиеся безопасности персональных данных. Помогите, пожалуйста! В связи с указом президента о введении электронных дневников на учащихся школ (рассылкой родителям на эл. почту сведений о посещаемости и успеваемости их детей) Департамент образования нашего города закупил программу по созданию на сервере каждой школы базы информации, включающей не только данные классных журналов (см. выше), но и расписание и другую информацию. Нас волнует то, что для работы этой программы все работники школы в обязательном порядке должны дать свои строго конфиденциальные данные: паспортные данные, прописка, ИНН, номер диплома и др. Говорят, что это необходимо для работы бухгалтерии. Однако, эти данные есть в компьютере главного бухгалтера и он несёт ответственность за их неразглашение. Почему мы свои данные должны выставить на сервер, то есть во всемирную паутину? Кто будет нести ответственность за утечку информации? Есть ли конкретные законы, ограждающие нас от вмешательства извне?Спасибо всем неравнодушным людям, кто откликнется!
[/q]

Вообще-то электронные дневники жестко конфликтуют с законом "О персональных данных" (2006 года № 152-ФЗ).
При этом туда еще собираются засунуть и психологическую помощь - см.

Хотя я честно не понимаю зачем в электронном дневнике паспортные данные родителей, прописка, ИНН и т.п. Очень напоминает другую инициативу Минобрнауки с "паспортом здоровья школьника" от которого "за весту" идет "душок" ювенальной юстиции.

IMO для электронного дневника вполне хватило бы единого сервиса (оператором ПДн которого было бы Минобрнауки со всей ответсвенность за защиту/незащиту) и данных школа+клас+фамилия+инициалы+текущие оценки и больше ничего.

Попробуйте написать запрос в территориальный Роскомнадзор по факту запроса лишних ПДн и порядка их обработки.

---
Грабли - это оружие. Бывают веерные и обычные (с) Что? Где? Когда? 30.05.2009
IvanovSV
Начинающий

Всего сообщений: 37
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
15 июля 2009

Vinni написал:
[q]

вот какие рекомендации дает своим пользователям компания "Парус", производящая популярную бухгалтерскую программу Письмо Корпорации Парус "Рекомендации по выполнению требований законодательства по персональным данным" в связи с тем, что с 1 января 2010 года вступает в силу положение Федерального закона РФ от 27 июля 2006 г. №152-ФЗ "О персональных данных".Информационное письмо, подготовленное Корпорацией Парус в связи с тем, что с 1 января 2010 года вступает в силу положение Федерального закона РФ от 27 июля 2006 г. №152-ФЗ "О персональных данных".
[/q]

Ссылки убитые:(
<<Назад  Вперед>>Страницы: 1 2 3 4 5 6 7
Печать
Форум Сообщества Практиков Конкурентной разведки (СПКР) »   Теория и практика работы с персональными данными »   Персональные данные - вход в тему
RSS

Последние RSS
Top tips on gathering information about companies by using free online sources
Новое на блоге HRразведка
Безопасность данных в MS Access
Слово как улика
20 Recon and Intel Gathering Tools used by InfoSec Professionals
What’s Changed?
10 альтернативных поисковиков
Ситуационный центр главы Республики Коми
Развёртывание ситуационных центров на базе технологии Avalanche
Как принимать сложные решения. Советы бывшего оперативника ЦРУ.
Открытая информация о "Новичке" из сети интернет.
Ген. директор "ОЗХО" Ахмет Узюмдж о "Новичке" и хим. атаке в Сирии
Онлайн-сервисы для Twitter
Коллекция для Twitter
Приложение Opera VPN закрывается
О работе разведки
Deep web и 11 поисковиков по нему
Об изначальной "лживости" любых документов
Обновление на блоге HRазведка
методическое пособие

Самые активные 20 тем RSS
Слово как улика
Top tips on gathering information about companies by using free online sources
Новое на блоге HRразведка
WebSite Watcher
Безопасность данных в MS Access