ФЗ О персональных данных и Сертификация во ФСТЭК
Всем МИРА! :)
Как наверное уже многие слышали с 1-го января 2010 года вступает в силу Федеральный закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ О персональных данных
В связи с этим у меня есть ряд вопросов которые никак не могу понять. Вопросов много и сформулировать их крайне тяжело поэтому начну с малого, уж простите если скажу глупость.
Насколько я понимаю если я храню на сервере своей фирмы базу данных 1С кадры, то этот сервер уже должен быть защищен программными и аппаратными средствами которые должны быть сертифицированы во ФСТЭК. Кроме того рабочие станции работающие с этой базой также должны управляться сертифицированной во ФСТЭК ОС. Вот собственно вопрос в рабочих станциях так это или нет?
Далее. Возвращаться на винду я не стану, думаю большинство моих клиентов нахлебавшись от винды тоже не захотят вернутся к ней. Собственно есть вариант Мандрива имеющая сертификат ФСТЭК но это мандрива, все серваки у меня на Gentoo или Calculate рабочие станции тоже на Calculate чаще всего.
Можно-ли как-то остаться чистым перед законом и не менять сильно ПО в работающих сетях на Linux?
Учитывая что так или иначе нужна ОС основанная на Gentoo и имеющая сертификат от ФСТЭК у меня возникает вопрос можно ли сделать такой дистрибутив, вернее вопрос не столько в том можно ли сделать, сколько в том что именно нужно сделать. Как получить сертификат ФСТЭКа и как создать репозиторий обновлений который удовлетворял бы требованиям вышеупомянутого закона?
Собственно у меня в голове каша сейчас поэтому вопросу, поэтому и вопрос такой расплывчатый. Но вопрос крайне важный особенно если кто-то использует СПО в своих фирмах, я больше сем уверен что среди нас Gentoo-шников есть такие люди. Чет делать надо братцы времени в обрез...
- Для комментирования войдите или зарегистрируйтесь
>Насколько я понимаю если я
>Насколько я понимаю если я храню на сервере своей фирмы базу данных 1С кадры, то этот сервер уже должен быть защищен программными и аппаратными средствами которые должны быть сертифицированы во ФСТЭК.
В первую очередь, нужна сертифицированная 1С, а таковой пока не существует.
>Можно-ли как-то остаться чистым перед законом и не менять сильно ПО в работающих сетях на Linux?
можно, но очень дорого. Проще поставить сертифицированное ПО и оборудование.
>Как получить сертификат ФСТЭКа и как создать репозиторий обновлений который удовлетворял бы требованиям вышеупомянутого закона?
Нужно очень много денег и времени. Т.к. и ОС и обновления должны быть им сертифицированы.
>Собственно у меня в голове каша сейчас поэтому вопросу, поэтому и вопрос такой расплывчатый.
Нужно перво на перво посоветоваться с юристом. Даже с первого января тот закон работать не будет, так как нет одного из обязательных условий — регламента. Например только недавно была разработана и принята министерством форма для безълектронного делопроизводства, которая удовлетворяет этому закону. Пока про электронное делопроизводство ничего не известно.
Без обид но ничего нового я
Без обид но ничего нового я не узнал, правда заинтересовало последние
А вот это вообще ни очем :)
Очень много понятие слишком растяжимое + я думаю прежде чем собирать деньги нужно сделать нечто осязаемое, где найти требования выдвигаемые к такой ОС репозиторию и самим обнавлениям. Кроме требования чтобы сервер находился на территории РФ я ничего толком не нашел.
Вроде как доступ к репозиторию должен быть не простым а по крипто ключу но опять же каковы требования к шифрованию и т.д. и т.п.
Неужели за почти 3 года с момента принятия закона ничего не придумали? думаю мы просто плохо копаем :( Так вот у нас всегда, сделайте правильно а как правильно никто толком сказать не может.
Цитата: А вот это вообще ни
Это как раз о том. Если Вы сами изобретёте форму которую предложите заполнять сотрудникам, то такая форма будет ничтожна.
Идёте сюда, находите ближайший к вам, звоните и спршиваете все интересующие Вас вопросы.
В первую очередь должен быть сертифицированный источник (да, да, те самые диски с печатями)...
Именно! А вот что касается обработки личных данных без участия ЭВМ, то потихоньку фирмы начинают использовать утверждённые бланки и регламенты.
Для частной фирмы не очень больших масштабов ...
Для частной фирмы не очень больших масштабов вопрос может быть решен добавлением правильного пункта в трудовой договор. В стиле - "согласен с использованием персональных данных ... ", правильную формулировку уточните у юриста.
Спасибо это действительно
Спасибо это действительно дельный совет, поработаю в эту сторону.
Это само собой, но и защищать
Это само собой, но и защищать ПД надо после получения разрешения.
Вообще любая бумажка (файл) где есть ФИО, адрес и(или) данные паспорта (другого документа) подлежит защите.
> Учитывая что так или иначе
> Учитывая что так или иначе нужна ОС основанная на Gentoo и имеющая сертификат от ФСТЭК у меня возникает вопрос можно ли сделать такой дистрибутив, вернее вопрос не столько в том можно ли сделать, сколько в том что именно нужно сделать. Как получить сертификат ФСТЭКа и как создать репозиторий обновлений который удовлетворял бы требованиям вышеупомянутого закона?
Дорого и долго (нужно оплачивать работу сертификационного центра). Проще все-таки использовать тонкий клиент с сертифицированным ALT (в нём вроде есть wine@etersoft в комплекте), Mandriva или RHEL.
Интересная тема затронута. Я
Интересная тема затронута. Я думаю, что все же не обязательно иметь сертифицированный Linux Gentoo, так как общего понятия о Linux Gentoo Server или Linux Gentoo рабочая станция и т.д. как бы нет. Вопрос скорее всего будет стоять о сертификации Linux, Samba, vsftpd, и т.д. а не конкретного дистрибутива в данном случае. Программное обеспечение, задействованное в конкретном данном случае для хранения, сбора и передачи информации, содержащей защищаемые персональные данные. если я использую на ПК прогаммное обеспечение об БухСофт и 1С, но при этом слушаю музыку в Amarok, то мне не нужно тот Amarok сертифицировать. Исходя из требований закона, держать win2k нельзя даже в обычных военкоматах - содержание информации в рамках военной тайны :-)
аналогично, если образы дисков зашифрованы с помощью алгоритма blowfish или camelia, содержат КИ но физически размещены на рабочей станции под управлением windows, монтируются по сети, то сертифицировать придется и алгоритмы шифрования?
буду честен, я не знаю, почему у меня все работает
mib написал(а): Интересная
бред... нет такого понятия "военная тайна"... это во-первых, а во вторых: аттестация, категорирование, спецпроверки и специсследования (обязательные при работе с гостайной) никакого отношения к ПД не имеют учите матчасть...
Где мало слов, там вес они имеют... (с) W. Sheakespeare
Во-первых, какая категория
Во-первых, какая категория ПД? В зависимости от количества объектов ПД (людей, чьи данные надо защищать) и уровня ПД (начиная от обезличенных и заканчивая сведения о личной жизни человека) ПД делятся на 4 категории. Так вот, К4 не требует обязательной сертификации и аттестации, для данной категории достаточно декларировать о ней.
Ты задачу начал немного не с того конца, сначала определились со входными данными.
Не грусти, товарищ! Всё хорошо, beautiful good!
Аттестация/сертификация
1. Отвечает за ИСПДн оператор, т.е. кто обрабатывает данные - ему и развлекаться
2. Если ИСПДн не попадает под класс защиты К4, нужна аттестация рабочих мест
3. Аттестация мест, укомплектованных на основании сертифицированных продуктов, заметно дешевле и легче. Если продукты сделаны разумно, их еще и обновлять можно будет, если обновления сертифицированы
4. Аттестация мест, укомплектованных на основании несертифицированных продуктов, заметно более творческий процесс. Причем, о внесении изменений, если нет желания повторить этот процесс раньше завершения срока (3 года), стоит забыть
Люди насколько хорошо вы
Люди насколько хорошо вы владеете этим вопросом? Мне нужно разобраться в нем. Какие данные требуется охранять по ФЗ как именно их обрабатывать и охранять, какие требования к гос учреждениям, в данный момент к больницам и администрациям. Какие продукты есть для этого программные аппаратные? Насколько я понимаю Винда вообще отдыхает так как для получения нужных сертификатов для ГОС учреждений исходник должен быть открыт.
Словом у меня много вопросов которые мне трудно формулировать, и мне интересно есть ли смысл формулировать их тут, есть ли среди нас люди способные дать обоснованные на законодательстве ответы. Среди юристов которых я знаю я пока не нашел людей владеющих вопросом.
Винда не является средством
Винда не является средством защиты, она является частью системы обработки ПД. Равно как и Linux, FreeBSD etc. Другой вопрос - как защищать. Гость все правильно сказал - берешь сертифицированные решения, экономишь на сертификации СКЗИ и времени.
Любые данные о людях - ФИО, год и место рождения, семейное положение etc - это есть персональные данные. Опять же чем эти ПД детальнее - тем выше класс ИСПДн. Чем этих ПД больше - тем выше класс ИСПДн.
Есть категоризация ПД, где четко расписывается какие из них к какому классу относятся. К4 - обезличенные данные, обнародование которых ничем не грозит объектам ПД. К3 - данные, которые влекут незначительные последствия, К2 - влекут значительные последствия, К1 - может нанести тяжелый урон (мед.карты, истории болезни, политические взгляды, история судимости etc).
Под ФЗ-152 в категорию К2-К1 гарантированно попадают поликлиники, больницы, отделы кадров крупных организаций, банки и прочая.
Первый шаг - запросить так называемые документы и методические материалы из "приказа трех". Это реальные методички с грифом ДСП объемом где-то 100 страниц.
Есть реальная альтернатива не заморачиваться этим самому до конца (это требует значительных ресурсов и наличие хотя бы одного ЗИшника с соответствующим образованием в штате), и отдаться аутсорсерам или сертификационным агентствам. Насколько я знаю, они уже появились - например, какое-то подразделение DrWeb этим занимается.
В общем-то, это объемный труд, и здесь на форуме вряд ли все осветишь :). Подозреваю, что есть уже специализированные ресурсы по этому вопросу.
Не грусти, товарищ! Всё хорошо, beautiful good!
Мне почему вопрос этот
Мне почему вопрос этот интересен, потому что я аутсорсер :) юриста своего напряг разобраться но в силу специфики ей тоже не очень легко с этим справится. Попробую по гуглить на эту тему, может что нагуглю....
еще каналы связи есть, не только сервер и рабочие станции
Допущенный к персональным данным сотрудник может другому допущенному к ПД сотруднику передать ПД, например, на email, помимо 1С Кадры, т.е. рассматривать надо не только "сервер с 1С Кадры" и "рабочие станции работающие с этой базой", по-моему.
Лучше всего понизить класс системы до необходимого через сокращение перечня ПД, для начала.