ФЗ О персональных данных и Сертификация во ФСТЭК

Всем МИРА! :)

Как наверное уже многие слышали с 1-го января 2010 года вступает в силу Федеральный закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ О персональных данных

В связи с этим у меня есть ряд вопросов которые никак не могу понять. Вопросов много и сформулировать их крайне тяжело поэтому начну с малого, уж простите если скажу глупость.

Насколько я понимаю если я храню на сервере своей фирмы базу данных 1С кадры, то этот сервер уже должен быть защищен программными и аппаратными средствами которые должны быть сертифицированы во ФСТЭК. Кроме того рабочие станции работающие с этой базой также должны управляться сертифицированной во ФСТЭК ОС. Вот собственно вопрос в рабочих станциях так это или нет?

Далее. Возвращаться на винду я не стану, думаю большинство моих клиентов нахлебавшись от винды тоже не захотят вернутся к ней. Собственно есть вариант Мандрива имеющая сертификат ФСТЭК но это мандрива, все серваки у меня на Gentoo или Calculate рабочие станции тоже на Calculate чаще всего.

Можно-ли как-то остаться чистым перед законом и не менять сильно ПО в работающих сетях на Linux?

Учитывая что так или иначе нужна ОС основанная на Gentoo и имеющая сертификат от ФСТЭК у меня возникает вопрос можно ли сделать такой дистрибутив, вернее вопрос не столько в том можно ли сделать, сколько в том что именно нужно сделать. Как получить сертификат ФСТЭКа и как создать репозиторий обновлений который удовлетворял бы требованиям вышеупомянутого закона?

Собственно у меня в голове каша сейчас поэтому вопросу, поэтому и вопрос такой расплывчатый. Но вопрос крайне важный особенно если кто-то использует СПО в своих фирмах, я больше сем уверен что среди нас Gentoo-шников есть такие люди. Чет делать надо братцы времени в обрез...

>Насколько я понимаю если я

>Насколько я понимаю если я храню на сервере своей фирмы базу данных 1С кадры, то этот сервер уже должен быть защищен программными и аппаратными средствами которые должны быть сертифицированы во ФСТЭК.

В первую очередь, нужна сертифицированная 1С, а таковой пока не существует.

>Можно-ли как-то остаться чистым перед законом и не менять сильно ПО в работающих сетях на Linux?

можно, но очень дорого. Проще поставить сертифицированное ПО и оборудование.

>Как получить сертификат ФСТЭКа и как создать репозиторий обновлений который удовлетворял бы требованиям вышеупомянутого закона?

Нужно очень много денег и времени. Т.к. и ОС и обновления должны быть им сертифицированы.

>Собственно у меня в голове каша сейчас поэтому вопросу, поэтому и вопрос такой расплывчатый.

Нужно перво на перво посоветоваться с юристом. Даже с первого января тот закон работать не будет, так как нет одного из обязательных условий — регламента. Например только недавно была разработана и принята министерством форма для безълектронного делопроизводства, которая удовлетворяет этому закону. Пока про электронное делопроизводство ничего не известно.

Без обид но ничего нового я

Без обид но ничего нового я не узнал, правда заинтересовало последние

Цитата:
Даже с первого января тот закон работать не будет, так как нет одного из обязательных условий — регламента. Например только недавно была разработана и принята министерством форма для безълектронного делопроизводства, которая удовлетворяет этому закону. Пока про электронное делопроизводство ничего не известно.

А вот это вообще ни очем :)

Цитата:
Нужно очень много денег и времени. Т.к. и ОС и обновления должны быть им сертифицированы.

Очень много понятие слишком растяжимое + я думаю прежде чем собирать деньги нужно сделать нечто осязаемое, где найти требования выдвигаемые к такой ОС репозиторию и самим обнавлениям. Кроме требования чтобы сервер находился на территории РФ я ничего толком не нашел.
Вроде как доступ к репозиторию должен быть не простым а по крипто ключу но опять же каковы требования к шифрованию и т.д. и т.п.

Неужели за почти 3 года с момента принятия закона ничего не придумали? думаю мы просто плохо копаем :( Так вот у нас всегда, сделайте правильно а как правильно никто толком сказать не может.

Цитата: А вот это вообще ни

Цитата:
А вот это вообще ни очем :)

Это как раз о том. Если Вы сами изобретёте форму которую предложите заполнять сотрудникам, то такая форма будет ничтожна.

Цитата:
где найти требования выдвигаемые к такой ОС репозиторию и самим обнавлениям

Идёте сюда, находите ближайший к вам, звоните и спршиваете все интересующие Вас вопросы.

Цитата:
Вроде как доступ к репозиторию должен быть не простым а по крипто ключу но опять же каковы требования к шифрованию и т.д. и т.п.

В первую очередь должен быть сертифицированный источник (да, да, те самые диски с печатями)...

Цитата:
Неужели за почти 3 года с момента принятия закона ничего не придумали?

Именно! А вот что касается обработки личных данных без участия ЭВМ, то потихоньку фирмы начинают использовать утверждённые бланки и регламенты.

Для частной фирмы не очень больших масштабов ...

Для частной фирмы не очень больших масштабов вопрос может быть решен добавлением правильного пункта в трудовой договор. В стиле - "согласен с использованием персональных данных ... ", правильную формулировку уточните у юриста.

Спасибо это действительно

Спасибо это действительно дельный совет, поработаю в эту сторону.

Это само собой, но и защищать

Это само собой, но и защищать ПД надо после получения разрешения.

Вообще любая бумажка (файл) где есть ФИО, адрес и(или) данные паспорта (другого документа) подлежит защите.

> Учитывая что так или иначе

> Учитывая что так или иначе нужна ОС основанная на Gentoo и имеющая сертификат от ФСТЭК у меня возникает вопрос можно ли сделать такой дистрибутив, вернее вопрос не столько в том можно ли сделать, сколько в том что именно нужно сделать. Как получить сертификат ФСТЭКа и как создать репозиторий обновлений который удовлетворял бы требованиям вышеупомянутого закона?

Дорого и долго (нужно оплачивать работу сертификационного центра). Проще все-таки использовать тонкий клиент с сертифицированным ALT (в нём вроде есть wine@etersoft в комплекте), Mandriva или RHEL.

Интересная тема затронута. Я

Интересная тема затронута. Я думаю, что все же не обязательно иметь сертифицированный Linux Gentoo, так как общего понятия о Linux Gentoo Server или Linux Gentoo рабочая станция и т.д. как бы нет. Вопрос скорее всего будет стоять о сертификации Linux, Samba, vsftpd, и т.д. а не конкретного дистрибутива в данном случае. Программное обеспечение, задействованное в конкретном данном случае для хранения, сбора и передачи информации, содержащей защищаемые персональные данные. если я использую на ПК прогаммное обеспечение об БухСофт и 1С, но при этом слушаю музыку в Amarok, то мне не нужно тот Amarok сертифицировать. Исходя из требований закона, держать win2k нельзя даже в обычных военкоматах - содержание информации в рамках военной тайны :-)
аналогично, если образы дисков зашифрованы с помощью алгоритма blowfish или camelia, содержат КИ но физически размещены на рабочей станции под управлением windows, монтируются по сети, то сертифицировать придется и алгоритмы шифрования?

буду честен, я не знаю, почему у меня все работает

mib написал(а): Интересная

mib написал(а):
Интересная тема затронута. Исходя из требований закона, держать win2k нельзя даже в обычных военкоматах - содержание информации в рамках военной тайны :-)

бред... нет такого понятия "военная тайна"... это во-первых, а во вторых: аттестация, категорирование, спецпроверки и специсследования (обязательные при работе с гостайной) никакого отношения к ПД не имеют учите матчасть...

Где мало слов, там вес они имеют... (с) W. Sheakespeare

Во-первых, какая категория

Во-первых, какая категория ПД? В зависимости от количества объектов ПД (людей, чьи данные надо защищать) и уровня ПД (начиная от обезличенных и заканчивая сведения о личной жизни человека) ПД делятся на 4 категории. Так вот, К4 не требует обязательной сертификации и аттестации, для данной категории достаточно декларировать о ней.
Ты задачу начал немного не с того конца, сначала определились со входными данными.

Не грусти, товарищ! Всё хорошо, beautiful good!

Аттестация/сертификация

1. Отвечает за ИСПДн оператор, т.е. кто обрабатывает данные - ему и развлекаться
2. Если ИСПДн не попадает под класс защиты К4, нужна аттестация рабочих мест
3. Аттестация мест, укомплектованных на основании сертифицированных продуктов, заметно дешевле и легче. Если продукты сделаны разумно, их еще и обновлять можно будет, если обновления сертифицированы
4. Аттестация мест, укомплектованных на основании несертифицированных продуктов, заметно более творческий процесс. Причем, о внесении изменений, если нет желания повторить этот процесс раньше завершения срока (3 года), стоит забыть

Люди насколько хорошо вы

Люди насколько хорошо вы владеете этим вопросом? Мне нужно разобраться в нем. Какие данные требуется охранять по ФЗ как именно их обрабатывать и охранять, какие требования к гос учреждениям, в данный момент к больницам и администрациям. Какие продукты есть для этого программные аппаратные? Насколько я понимаю Винда вообще отдыхает так как для получения нужных сертификатов для ГОС учреждений исходник должен быть открыт.
Словом у меня много вопросов которые мне трудно формулировать, и мне интересно есть ли смысл формулировать их тут, есть ли среди нас люди способные дать обоснованные на законодательстве ответы. Среди юристов которых я знаю я пока не нашел людей владеющих вопросом.

Винда не является средством

Винда не является средством защиты, она является частью системы обработки ПД. Равно как и Linux, FreeBSD etc. Другой вопрос - как защищать. Гость все правильно сказал - берешь сертифицированные решения, экономишь на сертификации СКЗИ и времени.
Любые данные о людях - ФИО, год и место рождения, семейное положение etc - это есть персональные данные. Опять же чем эти ПД детальнее - тем выше класс ИСПДн. Чем этих ПД больше - тем выше класс ИСПДн.
Есть категоризация ПД, где четко расписывается какие из них к какому классу относятся. К4 - обезличенные данные, обнародование которых ничем не грозит объектам ПД. К3 - данные, которые влекут незначительные последствия, К2 - влекут значительные последствия, К1 - может нанести тяжелый урон (мед.карты, истории болезни, политические взгляды, история судимости etc).
Под ФЗ-152 в категорию К2-К1 гарантированно попадают поликлиники, больницы, отделы кадров крупных организаций, банки и прочая.
Первый шаг - запросить так называемые документы и методические материалы из "приказа трех". Это реальные методички с грифом ДСП объемом где-то 100 страниц.
Есть реальная альтернатива не заморачиваться этим самому до конца (это требует значительных ресурсов и наличие хотя бы одного ЗИшника с соответствующим образованием в штате), и отдаться аутсорсерам или сертификационным агентствам. Насколько я знаю, они уже появились - например, какое-то подразделение DrWeb этим занимается.
В общем-то, это объемный труд, и здесь на форуме вряд ли все осветишь :). Подозреваю, что есть уже специализированные ресурсы по этому вопросу.

Не грусти, товарищ! Всё хорошо, beautiful good!

Мне почему вопрос этот

Мне почему вопрос этот интересен, потому что я аутсорсер :) юриста своего напряг разобраться но в силу специфики ей тоже не очень легко с этим справится. Попробую по гуглить на эту тему, может что нагуглю....

еще каналы связи есть, не только сервер и рабочие станции

Допущенный к персональным данным сотрудник может другому допущенному к ПД сотруднику передать ПД, например, на email, помимо 1С Кадры, т.е. рассматривать надо не только "сервер с 1С Кадры" и "рабочие станции работающие с этой базой", по-моему.

Лучше всего понизить класс системы до необходимого через сокращение перечня ПД, для начала.

vitek написал(а):

Насколько я понимаю если я храню на сервере своей фирмы базу данных 1С кадры, то этот сервер уже должен быть защищен программными и аппаратными средствами которые должны быть сертифицированы во ФСТЭК. Кроме того рабочие станции работающие с этой базой также должны управляться сертифицированной во ФСТЭК ОС. Вот собственно вопрос в рабочих станциях так это или нет?

Настройки просмотра комментариев

Выберите нужный метод показа комментариев и нажмите "Сохранить установки".