ispdn |
Дата: Вторник, 10.01.2012, 18:49 | Сообщение # 1 |
Группа: Гости
|
Как помнят все интересующиеся ФЗ-152 «О персональных данных» был принят в далеком 2006 году. Введение Закона в полную силу постоянно откладывалось, но когда-то он должен был заработать. 1 июля 2011 это случилось. Для нас (госконтора, приблизительно в 20000 сотрудников в то время) вопрос поднялась в 2008 году. В начальном этапе не чересчур сильно, однако после вроде в сказке: «Чем дальше, тем страшнее».
Начальный этап — начальные Оргмеры.
— В каждой бумажке типа Заявления появилась заголовок маленькими буковками (чтобы оставить давнишний размер бланка) — «Выражаю гармония для необходимое использование моих персональных данных, в часть числе в информационных системах». — В Заявлениях для детские пособия было внесено дополнение про несовершеннолетних детей. — Также были взяты отдельные Заявления с согласием предоставления и передачи данных из других учреждений (Пенсионный Фонд, НПФ т.п.).
Неимоверно гибель бумаг и вовсе мало техники Второй остановка — разработка правильной документации. Наступал 2009 год и было известно, который Закон вновь отложат. Финансирования нет. Никто особо не торопится. Дозволено заниматься документацию. Вышестоящая контора дала образцы следующих документов:
Предначертание о назначении должностных лиц, ответственных следовать защиту информации ограниченного доступа, не содержащей государственной тайны; Приказ относительный определении контролируемой зоны, в которой расположены узлы автоматизированной системы предназначенной ради обработки информации ограниченного доступа, не содержащей государственно тайны; Приказ о запрещении обработки информации ограниченного доступа на не аттестованных объектах информатизации Инструкцию сообразно эксплуатации средств защиты информации объекта вычислительной техники; Инструкцию сообразно установке нового и модификации используемого программного обеспечения для автоматизированной системе обрабатывающей информацию ограниченного доступа; Инструкцию сообразно организации антивирусной защиты для автоматизированной системе обрабатывающей информацию ограниченного доступа; Инструкцию администратору информационной безопасности автоматизированной системы, обрабатывающей информацию ограниченного доступа; Инструкцию сообразно внесению изменений в списки пользователей и наделению их полномочиями доступа к ресурсам автоматизированной системы обрабатывающей информацию ограниченного доступа; Инструкцию сообразно организации парольной защиты автоматизированной системы; Инструкцию по организации резервного копирования данных автоматизированной системы обрабатывающей информацию ограниченного доступа; Инструкцию пользователя автоматизированной системы. Матрицу доступа к защищаемым ресурсам автоматизированной системы; Технический свидетельство для АС; Журнал учета допуска к работе в автоматизированной системе обрабатывающей информацию ограниченного доступа; Книга учета и выдачи машинных носителей информации предназначенных чтобы хранения информации ограниченного доступа, не содержащей государственной тайны; Книга учета средств защиты информации; Форму Заявки на внесение пользователей АС; Форму Акта проведения технических работ для объектах информатизации АС; Перечень сведений конфиденциального характера; Перечень защищаемых информационных ресурсов; Изображение технологического процесса обработки информации в выделенной локальной вычислительной узы; Схему коммутации выделенной локально вычислительной силок; Меню лиц, допущенных к самостоятельной работе в АС.
Третий этап — закупка технических средств защиты информации. Правильнее говорить, что закупала головная контора, мы потом единственно забирали. В результате получились: — Далласы на рабочие станции — Випнет координатор ради защищенного доступа сообразно IP-MPLS каналу к вышестоящей конторе. — Глушилки — Проведена сертификация Windows Server (здесь подобное обсуждается)
Четвертый этап — умственно-физические работы. Защищаемая автоматизированная учение должна быть защищена и физически. Тогда непомерно удачно подвернулся переезд отдела, работающего с персональными данными на противоположный этаж. Известный отдел оказался в ограниченном помещении, уединенно из кабинетов отобрали почти серверную. В результате с этажа на маршрутизатор выходят два кабеля (главный и резервный). Компьютера форматнули, установили чистую обновленную винду, офис, антивирь, рабочую прогу. В октябре 2009 приехали ребята с Питера. Установили Далласы, глушилки, настроили випнет, сделали всетаки замеры, откорректировали документацию.
Пятый остановка — завершение. В конце октября 2009 собралась внутренняя поручение по защите персональных данных. Были назначены ответственные лица, которые должны были за неделю подготовить документы и обманывать работы сообразно защите персональных данных (те самые, сколько перечислены со второго этапа). После неделю ответственные всетаки сделали. И забота с радостью приняла защищенную систему в эксплуатацию. Стремительно был получен свидетельство для три года, для чем всетаки и кончилось.
Понятно, что для самом деле кончилось паки не все. К примеру защищенная способ является единым программно-техническим комплексом. Мышь не поменяешь. Зато некогда в год дозволено вызвать аттестатора для проверки соблюдения всех показателей защиты. А аттестатор имеет право изменять имеющиеся документы. Беспричинно который мышь поменять реально. Начинать и современная понятие электронного межведомственного взаимодействия. Понятие хорошая. Вот один, не предусмотренная предыдущей концепцией защиты персональных данных. Беспричинно что если реализуем — будем заниматься аттестацию снова.
Пропорционально изменениям, внесённым законом № 363-ФЗ через 27 декабря 2009 года, операторы персональных данных должны привести свои системы обработки персональных данных, запущенные накануне 1 января 2010 возраст, в соответствие с законом перед 1 января 2011 года. Федеральным законом от 23 декабря 2010 возраст № 359-ФЗ «О внесении изменения в статью 25 федерального закона „О персональных данных“» срок приведения информационных систем персональных данных, созданных перед 1 января 2011 года, в симметрия с требованиями закона № 152-ФЗ – не позднее 1 июля 2011 года. Последние изменения были внесены федеральным законом № 261-ФЗ сквозь 25.07.2011. Этим законом была уточнена область действия Федерального закона «О персональных данных», используемые в нём основные понятия, принципы и условия обработки персональных данных. Существенно переработаны действующие законодательные нормы, касающиеся трансграничной передачи персональных данных, мер пропорционально обеспечению безопасности персональных данных рядом их обработке, прав и обязанностей оператора, взаимоотношений оператора и субъекта персональных данных.
Вступил в силу начало О персональных данных 152-ФЗ защита персональных данных |
|
| |
roboris |
Дата: Суббота, 13.12.2014, 18:09 | Сообщение # 2 |
Admin
Группа: Администраторы
Сообщений: 260
Репутация: 1
Статус: Оффлайн |
|
|
| |