URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 78857
[ Назад ]

Исходное сообщение
"План действий по обеспечению требований нового Закона РФ 'О ..."

Отправлено opennews , 12-Июл-11 11:51 
1 июля в силу вступили все положения Закона "О персональных данных" (ФЗ-152), который может создать проблемы огромному количеству компаний в нашей стране. Согласно требованиям закона, практически все компании, на компьютерах которых обрабатываются персональные сведения о физических лицах, обязаны непрерывно контролировать обеспечение необходимого уровня защищенности таких сведений. К сожалению, ко «Дню Защиты Персональных Данных» большинство операторов персональных данных оказались не готовы.

По оценкам экспертов рынка, из примерно 5-7 миллионов российских организаций, только немногим более 200 тысяч уведомили Роскомнадзор о готовности соблюдать нормативные требованиям по обработке персональных данных. Причиной такой выжидательной позиции стала практика неоднократных переносов сроков полного вступления в силу всех требований закона. В итоге многие российские компании уже в ближайшее время могут могут столкнуться с реальными санкциями со стороны регулирующих органов.

...

URL: http://www.zpdn-day.ru
Новость: http://www.opennet.me/opennews/art.shtml?num=31157


Содержание

Сообщения в этом обсуждении
"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено ЬТЛ , 12-Июл-11 12:06 
интересно, как в этот закон подействует на одноглазиков и всекте?

"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено AHAHAC , 15-Июл-11 15:20 
ШУХЕР НЕ ПОДНИМАЕМ, ЭТО НОВОСТЬ - РЕКЛАМА!


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено dimss , 12-Июл-11 12:10 
В Латвии такой закон есть давно, и его требования в целом соблюдаются, но никакой паники он не вызвал. Так что вопрос в том, как все это внедрять.

"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено Аноно , 12-Июл-11 12:11 
Тупой бесполезный закон, можно смело забивать.

"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено Sergey722 , 12-Июл-11 12:25 
Закон не читал, но, я так понимаю, если не пройти проверку - это чревато убытками, как минимум! Хотя бы формально надо соответствовать. Повторюсь, что закон не читал, но идея о том, что информацией о больных СПИДом не должны торговать на Горбушке мне нравится.

"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено rttvr , 12-Июл-11 13:02 
> А больных спидом изолировать. Жестоко, но действенно.

а больных на голову изолировать. Хоть и бесполезно для них, а обществу лучше.

fixed!


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено Офигеть , 14-Июл-11 16:14 
> Тупой бесполезный закон, можно смело забивать.

Обязательно забейте. Приостановление деятельности организации на 3 месяца это такая фигня.


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено lincz , 12-Июл-11 12:23 
Интересный пример я имею доступ к серверу своего института. Как студент.
Немного поигрался. Просто пройдя все названия дирректории в /home и выполнив по ним еще одну комманду, не помню какую. Сохранил адреса е-mail всех девушек нашего института в файл.

"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено fr0ster , 12-Июл-11 14:23 
Ждите, к вам выедет первая свободная опергруппа :)

"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено Ян Злобин , 12-Июл-11 17:31 
>Ждите, к вам выедет первая свободная опергруппа :)

Неее.  Там девушек на всех не хватит. :-)


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено Аноним , 13-Июл-11 02:05 
Будут вам смехулечки когда какойнить опер случайно прочитает/нагуглит и решит легкую палку срубить. А что, добровольное признание своей вины вроде как считается за доказательство в суде.

"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено dimderbin , 13-Июл-11 10:11 
нет ,не считается (все равно нужно доказывать)

"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено СуперАноним , 13-Июл-11 01:25 
А что, там директории юзеров имеют права drwxr-xr-x ?

"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено lincz , 13-Июл-11 11:58 
Неа, drwx------ в директории юзеров никто не залезал.
И взлома никакого не было.
Просто можно получить имена директорий юзеров.
И сделать вот так: finger `ls...` | grep ...
Т.е. вроде бы админы виноваты, но они граждане США и сервер не в РФ, непонятно сможет ли российский опер на них палку срубить. Если только через интерпол.

"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено Аноним , 13-Июл-11 02:11 
> Немного поигрался. Просто пройдя все названия дирректории в /home и выполнив по ним еще одну комманду,

Это вместо того чтобы сообщить админам о уязвимости/проблеме конфигурации? Малацца. По-моему, такие как вы вполне заслуживают показательной порки.


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено тоже Аноним , 13-Июл-11 09:36 
Насколько я понял по описанию "взлома", админам надо сообщить примерно следующее: "кто ж вас, убогих, надоумил давать имя пользователю по его e-mail? Имена-то пользователей в системе любой юзер может посмотреть..."
Впрочем, по своему админскому опыту знаю, что девушки и сами не прочь ввести свой e-mail в качестве имени пользователя, не задумываясь о том, что это имя может увидеть кто-то еще.

"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено Аноним , 12-Июл-11 12:26 
в нашей стране определенные органы будут заниматься вымогательством.
Рэкет в погонах.

"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено Аноним , 12-Июл-11 12:51 
Особо весело смотрится на этом сайте поле записи на бесплатные вебинары:
[img]http://i24.fastpic.ru/big/2011/0712/da/5ec160ad1abeaa754bccc...

в контексте новости


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено Аноним , 12-Июл-11 13:09 
Анкетирование пользователей на форумах/чатах попадает под этот закон?

"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено Аноно , 12-Июл-11 13:14 
В первую очередь.

"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено smile , 12-Июл-11 13:14 
Если в анкете есть что-то из ФИО, даты рождения и т.д. - то по идее попадает.

"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено Аноним , 12-Июл-11 13:25 
так ведь достоверность этих данных никто не проверят, паспорта никто не спрашивает

"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено Аноно , 12-Июл-11 14:16 
Тем более. Не хватало, что бы еще и не проверенные базы продавали.

"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено fr0ster , 12-Июл-11 16:12 
ФИО это не самое интересное,по закону данные о религиозных/философских воззрениях идет по первой категории, ФИО само по себе только по четвертой. А это значит что уход базы юзверей какогонить форума более чреват последствиями, чем уход базы емейлов спамеру.

"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено Аноним , 13-Июл-11 02:15 
> чем уход базы емейлов спамеру.

Ну емэйлы спамеры и так накопают, а вот философские убеждения... хм... за их профукивание и правда надо вздувать по максимуму. Если вы берете на себя ответственность хранить столь чувствительную информацию (хинт: некоторые религиозные и философские течения между собой мягко говоря не дружат) - ну так и отвечайте тогда за ее разбазаривание.

А то поразвелось уродов которые хотят все, вплоть до скана паспорта и фото креды. А вот отвечать за слив они почему-то не хотят, хотя слив может создать хозяину паспорта/креды/что там еще массу проблем.


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено fr0ster , 13-Июл-11 10:20 
>> чем уход базы емейлов спамеру.
> Ну емэйлы спамеры и так накопают, а вот философские убеждения... хм... за
> их профукивание и правда надо вздувать по максимуму. Если вы берете
> на себя ответственность хранить столь чувствительную информацию (хинт: некоторые религиозные
> и философские течения между собой мягко говоря не дружат) - ну
> так и отвечайте тогда за ее разбазаривание.

Вот только эта инфа никогда не была тайной, на любом форуме юзеры просто выплескивают свои религиозные и философские убеждения. Так что в этой части охранные мероприятия теряют смысл.

> А то поразвелось уродов которые хотят все, вплоть до скана паспорта и
> фото креды. А вот отвечать за слив они почему-то не хотят,
> хотя слив может создать хозяину паспорта/креды/что там еще массу проблем.

Это само собой, только к проблеме форума и убеждений не относится, за указанный вами слив данных само собой надо лечить клизмами на полведра скипидару с грамофонными иглами.


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено рфьыеук , 13-Июл-11 11:13 
Был в СССР такой плакат. Болтун находка для шпиона и НЕ БОЛТАЙ!
Благородные доны, вас за пальцы никто не тянет забивать в инете свои реальные данные.

з.ы Пора предмет в школах вводить на ряду с ОБЖ, ОИБ (основы информационной безопасности).


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено fr0ster , 12-Июл-11 14:25 
> Анкетирование пользователей на форумах/чатах попадает под этот закон?

Не попадает, пользователи передали данные о себе, а закон касается передачи инфы вторыми лицами третьим. То есть утечка инфы из базы форума налево это уже подпадает под закон.


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено masakra , 12-Июл-11 13:17 
Кто-нибудь нашёл "требования нормативных актов регуляторов"? Киньте ссылкой.

"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено Офигеть. , 12-Июл-11 19:11 
Не знать тройственный приказ 55/86/20 нонсенс.

"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено SirYorik , 18-Июл-11 07:25 
http://www.pd.rsoc.ru/law/  

"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено EuPhobos , 12-Июл-11 14:38 
Мне сразу статья на эту тему вспомнилась
http://habrahabr.ru/blogs/infosecurity/109174/

"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено Аноним , 12-Июл-11 16:11 
Итак, этот закон позволяет прикрыть почти любого (кроме, быть может грандов): выполнить его невозможно либо безумно дорого (чего одна сертификация рабочих мест стоит. А проапдейтили софт [т.е. внесли изменения в "проверенную конфигурацию", на которую вам сертификат выдали] или железо - привет, платите заново)

PS
Закон _читал_, но осуждаю. Именно потому и осуждаю.


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено rshadow , 12-Июл-11 17:33 
> чего одна сертификация рабочих мест стоит

В советское время все рабочие места были сертифицированы. Пора отвыкать от пиратства и разгильдяйства =)


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено fr0ster , 12-Июл-11 17:40 
>> чего одна сертификация рабочих мест стоит
> В советское время все рабочие места были сертифицированы. Пора отвыкать от пиратства
> и разгильдяйства =)

В советское время сертификация не была источником дохода для сертифицирующих органов


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено Аноним , 12-Июл-11 18:44 
> В советское время все рабочие места были сертифицированы. Пора отвыкать от пиратства и разгильдяйства =)

А вы не путайте сертификацию с пиратством и разгильдяйством. Вы можете поставить наскозь все лицензионное... но от этого оно не станет сертифицированным! Для целей обработки ПД - как минимум. Вам придется обратиться в спецконторку, которая ваше место (все места, где "прикасаются" к ПД) проверит и сертификат (отдельно на каждое место) выдаст. Который вы уже и предъявите проверяльщикам. Да, сертификат-то выдаст контора не абы какая, а только имеющая лицензию. И выдаст на конкреную конфигурацию, которую и укажет в бумашках (дабы к другому месту, например, не приложили). Поставили на систему обновления безопасности - прощай сертификат. Либо живи с дырой, либо сертифицируся - и плАти Дэнги - по-новой.


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено ragnar , 13-Июл-11 12:04 
не так немного..
Сертификат на рабочее место затрагивает только железячную конфигурацию, а не ПО. Ткже уровень сертификата зависит от уровня Персональных данных, обрабатываемых на машине. В самом безобидном случае если умирает какая-то железка, то ее можно будет заменить на другую, указанную в списке сертифицированных. В самом серьезном придется и на самом деле проходить сертификацию еще раз, и ее цена может доходить по 50-70 тыр за 1 место, но это уже с совсем секретными данными, в основном на оборонных организациях.
С ПО примерно тоже самое. Нужно установить сертифицированное ПО - с этим проблем нет - сейчас при покупке лицензионного ПО производитель указывает есть и у него сертификат и на какую версию. При необходимости обновления качаем новую версию, уже получившую сертификат и все. Со совобным софтом также - есть список прошедших сертификацию ядер линукса, к примеру, на них ОСи и собираем.

"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено umbr , 13-Июл-11 12:31 
Про "список прошедших сертификацию ядер линукса" можно поподробнее?

"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено ragnar , 14-Июл-11 12:53 
> Про "список прошедших сертификацию ядер линукса" можно поподробнее?

пожалуйста, официальный сайт ФСТЭК->Сведения о системе сертификации средств защиты информации по требованиям безопасности информации->Государственный реестр сертифицированных средств защиты информации Системы сертификации средств защиты информации по требованиям безопасности информации № РОСС RU.0001.01БИ00
в экселевской табличке лежит список сертифицированного ПО, там достаточно ПО, реализованного на различных ядрах Линукс, и список версий сертифицированных дистрибутивов Линукса с указанием версии ядер. Из того что попалось на глаза - Мандрива и Альт, вроде и об Убунте слышал что-то


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено umbr , 14-Июл-11 22:36 
Посмотрел этот эпичный документ, всего один намек на версию ядра (2.4.8), сертифицированы только конкретные дистрибутивы (Альт, Редхат).
Порадовало, что MS-DOS до сих пор живет и процветает :)

"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено Офигеть. , 12-Июл-11 19:25 
> Итак, этот закон позволяет прикрыть почти любого (кроме, быть может грандов): выполнить
> его невозможно либо безумно дорого (чего одна сертификация рабочих мест стоит.
> А проапдейтили софт [т.е. внесли изменения в "проверенную конфигурацию", на которую
> вам сертификат выдали] или железо - привет, платите заново)

Для большинства компаний нужно всего лишь подготовить документы: 10-15 бумажек, чтобы чувствовать себя спокойно.

Ну а если вы обрабатываете более 100 тыс. записей персональных данных, или данные содержат медицинские/биометрические сведения, то придется потратится, но не то чтобы очень, обезличивание персональных данных рулит.

Да, и не путайте пожалуйста "сертификацию" и "аттестацию".


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено scor , 13-Июл-11 11:55 
> или данные содержат медицинские/биометрические сведения, то придется потратится, но не то
> чтобы очень, обезличивание персональных данных рулит.

Ок. Берём _любой_ отдел кадров. Работник принёс и сдал в отдел кадров больничный лист. Можно ли больничный лист рассматривать как "данные о состоянии здоровья"? Думаю, что вполне. Итого имеем "менее 1000 субъектов" + "данные о состоянии здоровья". Какой там класс по табличкам из "рекомендаций"? Вроде К1.:) Начинаем исполнять?:)


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено ragnar , 13-Июл-11 12:09 
а вы в 1С для расчета зарплаты вносите все данные из больничного листа, или только сроки больничного? Или в организации стоит система электронного документооборота, в которой хранится скан больничного? Так что немного не тот уровень ПД получается... Кстати для бумажных носителей ПД тоже есть свои заморочки, но они намного проще и дешевле)

"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено scor , 13-Июл-11 12:46 
Я конечно излишне пессимистичен, но в этой стране лучше перебздеть, чем недобздеть.:) Тут вопрос не в том, что и как храним, а в том, что считаем "данными о состоянии здоровья". "В этом году болел 3 раза ГРИППом (даты), 2 раза ломал руку (даты) и т.д." или "в этом году болел 5 раз (даты)". В первом случае правы Вы, и это не автоматизированный сбор и обработка, но во втором случае имеем К1. Как-то так.:)

"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено ram_scan , 14-Июл-11 12:33 
> В этом году болел 3 раза ГРИППом (даты), 2 раза ломал руку (даты) и т.д.

Вы таки когда последний раз на больничном были ?

В больничном листе указывается или "заболевание" - абстрактно, или "травма", тоже абстрактно. А что там у вас было, гонорея и член сломан, или орз и сломаная нога знают только на больничке где ваша история болезни хранится.


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено scor , 14-Июл-11 12:57 
>> В этом году болел 3 раза ГРИППом (даты), 2 раза ломал руку (даты) и т.д.
> Вы таки когда последний раз на больничном были ?

Собственно никогда небыл.:)

> В больничном листе указывается или "заболевание" - абстрактно, или "травма", тоже абстрактно.
> А что там у вас было, гонорея и член сломан, или
> орз и сломаная нога знают только на больничке где ваша история
> болезни хранится.

Не знал. Сенкс!
Тем не менее вопрос: что считаем "данными о состоянии здоровья", для меня, так и остаётся без ответа. Есть лишь некие "мнения", но конкретики никакой. http://ispdn.ru/forum/index.php?PAGE_NAME=read&FID=1&TID=705


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено . , 15-Июл-11 16:32 
http://zpdn-day.ru/faq.php

В каких случаях закон разрешает вести обработку персональных данных без подачи уведомления в уполномоченный орган?

Действительно, такие случаи в законе предусмотрены:
* если предприятие обрабатывает персональные данные граждан, которых связывают с предприятием трудовые отношения;
* если персональные данные являются общедоступными;
* если персональные данные включают в себя только ФИО граждан;
* если персональные данные необходимы для однократного пропуска на территорию предприятия;
* если персональные данные обрабатываются без использования средств автоматизации.


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено ragnar , 14-Июл-11 12:57 
> В первом случае
> правы Вы, и это не автоматизированный сбор и обработка, но во
> втором случае имеем К1. Как-то так.:)

Все верно, но здесь каждая организация решает для себя какую именно информацию вносить в базы и соответственно выбирает для себя уровень ПД. Законом предполагается, что все будут стремиться к минимальному уровню - с одной стороны чтобы сократить свои затраты, а с другой в цыфре будет меньше критичной для утечки информации.


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено Офигеть , 13-Июл-11 15:58 
Ок. Берём _любой_ отдел кадров.

Ок. Берем и читаем 152ФЗ.

Статья 22. Уведомление об обработке персональных данных


1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;

2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;



"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено Офигеть , 13-Июл-11 16:00 
> Ок. Берём _любой_ отдел кадров.
> Ок. Берем и читаем 152ФЗ.

Криво скопипастил.

Статья 22. Уведомление об обработке персональных данных


2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;

2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено fr0ster , 13-Июл-11 16:21 
> 1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые
> отношения;
> 2) полученных оператором в связи с заключением договора, стороной которого является субъект
> персональных данных, если персональные данные не распространяются, а также не предоставляются
> третьим лицам без согласия субъекта персональных данных и используются оператором исключительно
> для исполнения указанного договора и заключения договоров с субъектом персональных данных;

Я так понимаю должно быть выполнено оба условия, не?
Сдача отчетности в налоговую с ФИО ИНН адресами и доходами сотрудников считается передачей информации третьим лицам?


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено Офигеть. , 13-Июл-11 21:09 
>Я так понимаю должно быть выполнено оба условия, не?

не. одного на выбор. Читайте уже.


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено fr0ster , 13-Июл-11 22:35 
>>Я так понимаю должно быть выполнено оба условия, не?
> не. одного на выбор. Читайте уже.

Читаю, но не будучи юристом не уверен нужно одно либо оба.
Если одного достаточно то вопрос снят


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено Офигеть , 14-Июл-11 08:51 
>Читаю, но не будучи юристом не уверен нужно одно либо оба.

Если одного достаточно то вопрос снят

Если бы читали, то не писали слово "оба", там много пунктов, я лишь выписал те которые относятся к вашему вопросу.


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено fr0ster , 14-Июл-11 20:37 
>>Читаю, но не будучи юристом не уверен нужно одно либо оба.
> Если одного достаточно то вопрос снят
> Если бы читали, то не писали слово "оба", там много пунктов, я
> лишь выписал те которые относятся к вашему вопросу.

Этих двух условий хватает для определения достаточности. И это именно те пункты, что таки относились к моему вопросу, сами сказали же.


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено Офигеть. , 16-Июл-11 15:03 
>>>Читаю, но не будучи юристом не уверен нужно одно либо оба.
>> Если одного достаточно то вопрос снят
>> Если бы читали, то не писали слово "оба", там много пунктов, я
>> лишь выписал те которые относятся к вашему вопросу.
> Этих двух условий хватает для определения достаточности. И это именно те пункты,
> что таки относились к моему вопросу, сами сказали же.

Любого пункта.


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено Офигеть. , 13-Июл-11 21:11 
> Сдача отчетности в налоговую с ФИО ИНН адресами и доходами сотрудников считается
> передачей информации третьим лицам?

На бумаге или на флешке? Если да то к 152 ФЗ отношения не имеет.


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено fr0ster , 13-Июл-11 22:36 
>> Сдача отчетности в налоговую с ФИО ИНН адресами и доходами сотрудников считается
>> передачей информации третьим лицам?
> На бумаге или на флешке? Если да то к 152 ФЗ отношения
> не имеет.

И так  и так приходится сдавать.


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено Офигеть , 14-Июл-11 09:07 
>>> Сдача отчетности в налоговую с ФИО ИНН адресами и доходами сотрудников считается
>>> передачей информации третьим лицам?
>> На бумаге или на флешке? Если да то к 152 ФЗ отношения
>> не имеет.
> И так  и так приходится сдавать.

Никаких доп. затрат вы не понесете, напишите приказ о хранение таких носителей в железном шкафу/сейфе, на флешки нанесите маркировку,  и дайте приказ на подпись директору, перед законом Вы чисты.


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено fr0ster , 14-Июл-11 20:42 
> Никаких доп. затрат вы не понесете, напишите приказ о хранение таких носителей
> в железном шкафу/сейфе, на флешки нанесите маркировку,  и дайте приказ
> на подпись директору, перед законом Вы чисты.

Вопрос в передаче налоговой. С хранением чисты, а с передачей? Кто отвечает за безопасность канала передачи данных?


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено ragnar , 14-Июл-11 13:03 
> Ок. Берём _любой_ отдел кадров.
> Ок. Берем и читаем 152ФЗ.
> Статья 22. Уведомление об обработке персональных данных
> 1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые
> отношения;
> 2) полученных оператором в связи с заключением договора, стороной которого является субъект
> персональных данных, если персональные данные не распространяются, а также не предоставляются
> третьим лицам без согласия субъекта персональных данных и используются оператором исключительно
> для исполнения указанного договора и заключения договоров с субъектом персональных данных;

все верно:
1) Сейчас это прописывают в трудовом договоре (контракте) и при устройстве на работу сотрудник автоматом принимает эти условия.
2) Из собственного опыта работы в библиотеке - просто распечатываются небольшие листочки, в которых говорится, что пользователь согласен с тем, что будут обрабатываться его ПД, но неикому не будут передаваться дальше. Получив его роспись листочек прикладывается к формуляру и все - все довольны - закон соблюден:)


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено Офигеть , 14-Июл-11 09:23 
> Итак, этот закон позволяет прикрыть почти любого (кроме, быть может грандов): выполнить
> его невозможно либо безумно дорого (чего одна сертификация рабочих мест стоит.
> А проапдейтили софт [т.е. внесли изменения в "проверенную конфигурацию", на которую
> вам сертификат выдали] или железо - привет, платите заново)
> PS
> Закон _читал_, но осуждаю. Именно потому и осуждаю.

Если бы читали, то не писали бы про "сертификацию рабочих мест". Безумно дорого это сколько? 10 тысяч рублей? Невозможно выполнить -- почему?


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено AHAH , 12-Июл-11 16:21 
в принципе этот закон нужен только для опсосов , мед учреждений , ментов , налоговых , пенсионных , etc
да и подписали этот закон после утечек баз опсосов и ментов
но под этот закон попадаю и я со своей зарплатной 1ской , которую нафиг не сдалось кому-то ломать и кому-то передавать данные , только лишняя головная боль

тупо высасывание денег : создание структур которые будут непосредственно сертифицировать , которые будут предлагать услуги по подготовки к сертифицированию (сбор информации , подготовка необходимых документов , etc) если кому лень самому , и те кто будут продавать сертифицированное ПО | железо

---
ps
<< К сожалению, ко «Дню Защиты Персональных Данных» большинство операторов персональных данных оказались не готовы. >>

хаха закон от 2006 года и трубили о нем на всех углах и опсосы просили перенести сроки и опа не готовы


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено Сергей , 12-Июл-11 17:47 
> в принципе этот закон нужен только для опсосов , мед учреждений ,
> ментов , налоговых , пенсионных , etc
> да и подписали этот закон после утечек баз опсосов и ментов
> но под этот закон попадаю и я со своей зарплатной 1ской ,
> которую нафиг не сдалось кому-то ломать и кому-то передавать данные ,
> только лишняя головная боль
> тупо высасывание денег : создание структур которые будут непосредственно сертифицировать
> , которые будут предлагать услуги по подготовки к сертифицированию (сбор информации
> , подготовка необходимых документов , etc) если кому лень самому ,
> и те кто будут продавать сертифицированное ПО | железо

  Вот именно, сами и будем эти услуги друг другу предлагать...


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено scor , 12-Июл-11 18:08 
> но под этот закон попадаю и я со своей зарплатной 1ской

Да ладно с 1с-кой. В записную мобильника забил ФИО + номер телефона + фото --- создал базу с персональными данными.:) Если ещё и дату рождения добавил, чтоб напоминалка выскакивала, так вообще злостный сборщик ПД и должен положить свой мобильник внутрь сертифицированной циски, а рядом с ней поставить двух не менее сертифицированных специалистов.:)


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено Офигеть. , 12-Июл-11 19:18 
>> но под этот закон попадаю и я со своей зарплатной 1ской
> Да ладно с 1с-кой. В записную мобильника забил ФИО + номер телефона
> + фото --- создал базу с персональными данными.:) Если ещё и
> дату рождения добавил, чтоб напоминалка выскакивала, так вообще злостный сборщик ПД

Нет, Вы не правы. Записные книжки мобильников не имеют отношения к закону о ПД. Статья 2, пункт 2 ФЗ 152.

"Действие настоящего Федерального закона не распространяется на отношения, возникающие при:
обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;:


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено scor , 13-Июл-11 00:10 
> исключительно для личных и семейных нужд

Это всё конечно хорошо, только вот "есть нюанс" (с). Где дано определение "исключительности" этих нужд? Так и купленный на горбушке дивидюк с базами можно заявить "для дома, для семьи":) В общем закон писан по всем канонам "этой страны". Минимум конкретики и определений, максимум тумана и широких понятий. Как нужно по ситуации, так и трактуем.:)
Я может конечно и слишком утрирую, но даже представители Роскомнадзора не смогли дать _чёткого_ определения того, какую информацию считать ПД. Например, на вопрос "считать ли ИНН персональными данными", после продолжительных рассуждений, был получен ответ, что таки считать. Аргументация была железной:
- Но ведь по одному ИНН нельзя ничего узнать?!
- Можно посмотеть в базе налоговой.
- Так база же не доступна никому, кроме самой налоговой.
- Нет! Её можно купить на дисках. А посему лучше считать ИНН персональными данными категории 3.
И тут ответить было уже нечего.:)


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено iZEN , 13-Июл-11 00:38 
По ИНН можно узнать задолженность конкретного физ.лица: https://service.nalog.ru/debt/

"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено scor , 13-Июл-11 11:29 
Сенкс!
[/ирония вкл]
Из функционала этого ресурса можно сделать вывод, что ФИО, информация о документе удостоверяющего личность и дата и место рождения и любая их комбинация относятся к категории К4 и не требует защиты. Ибо находясь в публичном доступе, достоверность и неизменность этих данных при передаче не обеспечивается при помощи _сертифицированных_ СКЗИ, коими ни openSSL ни AES-256 не являются, насколько я знаю (могу ошибаться конечно).:)

PS. К тому же этот ресурс нарушает Указ за номером 334 от 3 апреля 1995 г. http://clsz.fsb.ru/docs/gov/u334.htm, который вроде ещё никто не отменял.:)
[/ирония выкл]


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено Офигеть , 13-Июл-11 16:13 
> Сенкс!
> [/ирония вкл]
> Из функционала этого ресурса можно сделать вывод, что ФИО, информация о документе
> удостоверяющего личность и дата и место рождения и любая их комбинация
> относятся к категории К4 и не требует защиты. Ибо находясь в
> публичном доступе, достоверность и неизменность этих данных при передаче не обеспечивается

У Вас есть хоть одно основание считать что информация находится в публичном доступе?


> PS. К тому же этот ресурс нарушает Указ за номером 334 от
> 3 апреля 1995 г. http://clsz.fsb.ru/docs/gov/u334.htm, который вроде ещё никто не отменял.:)

Никаким образом он не нарушается.


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено scor , 13-Июл-11 17:23 
> У Вас есть хоть одно основание считать что информация находится в публичном
> доступе?

Сеть "Интернет" является сетью публичного доступа. Это раз. Данный ресурс подключен к сети "Интернет", т.е. находится в публичном доступе. Это два. Любой желающий может запросить данные данные обо мне и они ему будут предоставлены. Никаких гарантий того, что данные обо мне предоставлены выпрошающему без искажений при передачи по сети, с точки зрения нашего законодательства, не предоставляется. Таким образом, я вправе считать, что функциональность данного ресурса может нанести мне "существенный вред". Например, сумма задолженности может быть искажена. Это три. Другими словами --- основания есть.:)

>> PS. К тому же этот ресурс нарушает Указ за номером 334 от
>> 3 апреля 1995 г. http://clsz.fsb.ru/docs/gov/u334.htm, который вроде ещё никто не отменял.:)
> Никаким образом он не нарушается.

Пункт 2 вышеозначенного Указа гласит:
"Запретить использование государственными организациями и предприятиями в информационно - телекоммуникационных системах шифровальных средств, включая криптографические средства обеспечения подлинности информации (электронная подпись), и защищенных технических средств хранения, обработки и передачи информации, не имеющих сертификата Федерального агентства правительственной связи и информации при Президенте Российской Федерации"

На сколько я могу видеть, со своей стороны, информация с данного ресурса приходит мне в шифрованном виде. Криптографические функции выполняет библиотека openSSL. Целостность и неизменность передаваемых данных обеспечивается по алгоритму AES-256. openSSL имеет сертификат? Алгоритм AES-256 одобрен к применению соответствующими органами? Если это так, то буду только рад. Но это вряд ли.:)


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено Офигеть. , 13-Июл-11 22:51 
>> У Вас есть хоть одно основание считать что информация находится в публичном
>> доступе?
> Сеть "Интернет" является сетью публичного доступа. Это раз. Данный ресурс подключен к
> сети "Интернет", т.е. находится в публичном доступе. Это два. Любой желающий
> может запросить данные данные обо мне и они ему будут предоставлены.
> Никаких гарантий того, что данные обо мне предоставлены выпрошающему без искажений
> при передачи по сети, с точки зрения нашего законодательства, не предоставляется.
> Таким образом, я вправе считать, что функциональность данного ресурса может нанести
> мне "существенный вред". Например, сумма задолженности может быть искажена. Это три.
> Другими словами --- основания есть.:)

Письмо в прокуратуру отправлено?

>>> PS. К тому же этот ресурс нарушает Указ за номером 334 от
>>> 3 апреля 1995 г. http://clsz.fsb.ru/docs/gov/u334.htm, который вроде ещё никто не отменял.:)
>> Никаким образом он не нарушается.
> Пункт 2 вышеозначенного Указа гласит:
> "Запретить использование государственными организациями и предприятиями в информационно
> - телекоммуникационных системах шифровальных средств, включая криптографические средства
> обеспечения подлинности информации (электронная подпись), и защищенных технических средств
> хранения, обработки и передачи информации, не имеющих сертификата Федерального агентства
> правительственной связи и информации при Президенте Российской Федерации"

С каких пор ваш ИНН стал государственной тайной? Нужно понимать что цитируешь.

> На сколько я могу видеть, со своей стороны, информация с данного ресурса
> приходит мне в шифрованном виде. Криптографические функции выполняет библиотека openSSL.
> Целостность и неизменность передаваемых данных обеспечивается по алгоритму AES-256. openSSL
> имеет сертификат? Алгоритм AES-256 одобрен к применению соответствующими органами? Если
> это так, то буду только рад. Но это вряд ли.:)

Алгоритм и средства могут быть любыми, если они соответствует отраслевому стандарту.
Для интернет-магазинов самоподписанный сертификат сделанный при помощи OpenSSL самое то, осталось собраться и подписать такой стандарт.
Это к слову, но данный правовой акт не имеет никакого отношения к рассмотренному ресурсу.


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено scor , 14-Июл-11 00:44 
> Письмо в прокуратуру отправлено?

Это изречение к чему вообще?:)

>>>> PS. К тому же этот ресурс нарушает Указ за номером 334 от
>>>> 3 апреля 1995 г. http://clsz.fsb.ru/docs/gov/u334.htm, который вроде ещё никто не отменял.:)
>>> Никаким образом он не нарушается.
> С каких пор ваш ИНН стал государственной тайной? Нужно понимать что цитируешь.

При чём тут собственно ИНН и уж тем более гос.тайна? Указ №334 запрещает использование кем бы то нибыло _любых_ СКЗИ , кроме имеющих сертификат соответствия, выданный уполномоченными органами.  

> Алгоритм и средства могут быть любыми, если они соответствует отраслевому стандарту.
> Для интернет-магазинов самоподписанный сертификат сделанный при помощи OpenSSL самое
> то, осталось собраться и подписать такой стандарт.
> Это к слову, но данный правовой акт не имеет никакого отношения к
> рассмотренному ресурсу.

Это Ваше личное мнение по данной проблеме, но, к сожалению, в окружающей нас действительности, оно никак не влияет на суть происходящего.


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено Офигеть , 14-Июл-11 08:59 
>> Письмо в прокуратуру отправлено?
> Это изречение к чему вообще?:)

Вы написали что нарушены Ваши права. Ваши действия по восстановлению своих прав: заявление в прокуратуру и никак иначе.

>>>>> PS. К тому же этот ресурс нарушает Указ за номером 334 от
>>>>> 3 апреля 1995 г. http://clsz.fsb.ru/docs/gov/u334.htm, который вроде ещё никто не отменял.:)
>>>> Никаким образом он не нарушается.
>> С каких пор ваш ИНН стал государственной тайной? Нужно понимать что цитируешь.
> При чём тут собственно ИНН и уж тем более гос.тайна? Указ №334
> запрещает использование кем бы то нибыло _любых_ СКЗИ , кроме имеющих
> сертификат соответствия, выданный уполномоченными органами.

Обработка персональных данных - 152ФЗ, 334 Указ относится к гос. тайне, даже ваша ссылка введет на нормативную документацию необходимую для получения лицензии на доступ к гос. тайне, центра лицензирования ФСБ. В 334 Указе ничего не сказано, про отношения между гражданами и государством.

>> Алгоритм и средства могут быть любыми, если они соответствует отраслевому стандарту.
>> Для интернет-магазинов самоподписанный сертификат сделанный при помощи OpenSSL самое
>> то, осталось собраться и подписать такой стандарт.
>> Это к слову, но данный правовой акт не имеет никакого отношения к
>> рассмотренному ресурсу.
> Это Ваше личное мнение по данной проблеме, но, к сожалению, в окружающей
> нас действительности, оно никак не влияет на суть происходящего.

К счастью отраслевые стандарты прописаны в законе, к несчастью кроме банков ни у кого таких стандартов нет, но вы правы в том что ваше мнение не имеет никакого отношения к происходящему.


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено scor , 14-Июл-11 10:19 
>[оверквотинг удален]
>>>>>> 3 апреля 1995 г. http://clsz.fsb.ru/docs/gov/u334.htm, который вроде ещё никто не отменял.:)
>>>>> Никаким образом он не нарушается.
>>> С каких пор ваш ИНН стал государственной тайной? Нужно понимать что цитируешь.
>> При чём тут собственно ИНН и уж тем более гос.тайна? Указ №334
>> запрещает использование кем бы то нибыло _любых_ СКЗИ , кроме имеющих
>> сертификат соответствия, выданный уполномоченными органами.
> Обработка персональных данных - 152ФЗ, 334 Указ относится к гос. тайне, даже
> ваша ссылка введет на нормативную документацию необходимую для получения лицензии на
> доступ к гос. тайне, центра лицензирования ФСБ. В 334 Указе ничего
> не сказано, про отношения между гражданами и государством.

Вы либо не читали, либо не поняли, что прочли, либо потеряли контекст обсуждения. ПД мы вообще не обсуждали, а лишь СКЗИ. В какой именно части документа "Указ Президента Российской Федерации от 3 апреля 1995 г. № 334. УКАЗ ПРЕЗИДЕНТА РОССИЙСКОЙ ФЕДЕРАЦИИ О МЕРАХ ПО СОБЛЮДЕНИЮ ЗАКОННОСТИ В ОБЛАСТИ РАЗРАБОТКИ, ПРОИЗВОДСТВА, РЕАЛИЗАЦИИ И ЭКСПЛУАТАЦИИ ШИФРОВАЛЬНЫХ СРЕДСТВ, А ТАКЖЕ ПРЕДОСТАВЛЕНИЯ УСЛУГ В ОБЛАСТИ ШИФРОВАНИЯ ИНФОРМАЦИИ" сказано хоть что-нибудь касаемо гос.тайны?:)
По поводу "запретов" и "отношений между гражданами" так и быть, процитирую:
"4. В интересах информационной безопасности Российской Федерации и усиления борьбы с организованной преступностью запретить деятельность юридических и физических лиц, связанную с разработкой, производством, реализацией и эксплуатацией шифровальных средств, а также защищенных технических средств хранения, обработки и передачи информации, предоставлением услуг в области шифрования информации, без лицензий, выданных Федеральным агентством правительственной связи и информации при Президенте Российской Федерации в соответствии с Законом Российской Федерации "О федеральных органах правительственной связи и информации".
Чтоб вы не перенапрягли свой мозг приведу даже выдержки:)
"...запретить деятельность юридических и физических лиц, связанную с разработкой, производством, реализацией и эксплуатацией шифровальных средств..."
И из пункта 6:
"...осуществлять выявление юридических и физических лиц, нарушающих требования настоящего Указа."
Так понятней? "Запретить и выявить":) Вопрос прежний: "при чём тут гостайна?". Или это ваши личные выводы, основанные на URL?:)


> К счастью отраслевые стандарты прописаны в законе, к несчастью кроме банков ни
> у кого таких стандартов нет, но вы правы в том что
> ваше мнение не имеет никакого отношения к происходящему.

Скатившись до выпадов в стиле "сам дурак!" вы никак не стали выглядеть умней.;)



"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено Офигеть , 14-Июл-11 14:04 
>Вы либо не читали, либо не поняли, что прочли, либо потеряли контекст обсуждения. ПД мы вообще не обсуждали, а лишь СКЗИ.

Как лицензиат ФСБ с восьмилетнем стажем, я не понимаю о чем Вы. Указ касается исключительно гос. тайны и частично ( с большими исключениями )коммерческой тайны.

Для справки прочитайте Приказ №957 ФСБ, там перечислены все виды деятельности на которые этот указ не распространяется их много.

> Так понятней? "Запретить и выявить":) Вопрос прежний: "при чём тут гостайна?". Или
> это ваши личные выводы, основанные на URL?:)

У Вас есть хоть одно основание, причислять данный указ к защите персональных данных, если такого понятия в 1995 году в РФ не было?

>> К счастью отраслевые стандарты прописаны в законе, к несчастью кроме банков ни
>> у кого таких стандартов нет, но вы правы в том что
>> ваше мнение не имеет никакого отношения к происходящему.
> Скатившись до выпадов в стиле "сам дурак!" вы никак не стали выглядеть
> умней.;)

Я лишь отражаю то что вы пишете, если вы можете себе такое позволить в посту выше, почему вы считаете что другие не могут повторить ваши же слова?


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено scor , 14-Июл-11 02:31 
> Для интернет-магазинов самоподписанный сертификат сделанный при помощи OpenSSL самое
> то, осталось собраться и подписать такой стандарт.

Самоподписанным сертификатом вы свой бложик защищайте.:) Защитнички... Нуачож! Криптография --- "там всё до безумия просто": google -> openSSL howto -> copyPaste -> PROFIT!!! А потом ещё удивляются, что их базы на горбушке продаются.:) Отраслевые стандарты... Мать их за ногу.:)


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено Офигеть , 14-Июл-11 09:00 
>> Для интернет-магазинов самоподписанный сертификат сделанный при помощи OpenSSL самое
>> то, осталось собраться и подписать такой стандарт.
> Самоподписанным сертификатом вы свой бложик защищайте.:) Защитнички... Нуачож! Криптография
> --- "там всё до безумия просто": google -> openSSL howto ->
> copyPaste -> PROFIT!!! А потом ещё удивляются, что их базы на
> горбушке продаются.:) Отраслевые стандарты... Мать их за ногу.:)

Предложите что-нибудь другое?


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено scor , 14-Июл-11 10:20 
>>> Для интернет-магазинов самоподписанный сертификат сделанный при помощи OpenSSL самое
>>> то, осталось собраться и подписать такой стандарт.
>> Самоподписанным сертификатом вы свой бложик защищайте.:) Защитнички... Нуачож! Криптография
>> --- "там всё до безумия просто": google -> openSSL howto ->
>> copyPaste -> PROFIT!!! А потом ещё удивляются, что их базы на
>> горбушке продаются.:) Отраслевые стандарты... Мать их за ногу.:)
> Предложите что-нибудь другое?

Не использовать самоподписанные сертификаты в продакшене! Всегда Ваш К. О.:)


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено Офигеть , 14-Июл-11 13:55 
>>>> Для интернет-магазинов самоподписанный сертификат сделанный при помощи OpenSSL самое
>>>> то, осталось собраться и подписать такой стандарт.
>>> Самоподписанным сертификатом вы свой бложик защищайте.:) Защитнички... Нуачож! Криптография
>>> --- "там всё до безумия просто": google -> openSSL howto ->
>>> copyPaste -> PROFIT!!! А потом ещё удивляются, что их базы на
>>> горбушке продаются.:) Отраслевые стандарты... Мать их за ногу.:)
>> Предложите что-нибудь другое?
> Не использовать самоподписанные сертификаты в продакшене! Всегда Ваш К. О.:)

Издайте такой отраслевой стандарт никто не мешает, можете даже прописать УЦ и скинуться всей отраслью.


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено Офигеть , 13-Июл-11 09:05 
>Так и купленный на горбушке дивидюк с базами можно заявить "для дома, для семьи":)

Это уже совсем другое уголовное преступление. Давайте не валить всё в кучу.

>Я может конечно и слишком утрирую, но даже представители Роскомнадзора не смогли дать _чёткого_ определения того, какую информацию считать ПД. Например, на вопрос "считать ли ИНН персональными данными"

Что за чушь. Утрудитесь прочитать тройственный приказ, там всё до безумия просто. Представители Роскомнадзора бывают разные, от технички до директора, и множество отделов, каждый из которых занимается своим делом, персоналкой единицы.

Если коротко, то если ИНН находится вместе с именем и фамилией, или другой информацией позволяющий достоверно показать на конкретного человека, то да это персональные данные, если сам по себе то это обезличенные персональные данные и в защите не нуждается.


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено scor , 13-Июл-11 10:02 
> Это уже совсем другое уголовное преступление. Давайте не валить всё в кучу.

"В кучу" и не будем. Имелись ввиду не методы получения этой базы, а её наличие как таковое. Хорошо. Положим, что я частный детектив (или просто энтузиаст этого дела) и у меня в ноуте собраны довольно-таки подробные досье на обширную группу лиц. Следуя подобной логике я с лёгкостью заявляю, что вся эта ИСПДн собиралась мной _исключительно_ в личных целях и ФЗ 152 меня не касается. Всё верно? Или в законе где-то есть _чёткое_ разграничение понятия "личных целей" и "не личных"?

> Утрудитесь прочитать тройственный приказ, там всё до безумия просто.

Про "безумную простоту", мягко говоря, не совсем правда. Если не затруднит, выдержку или ссылочку на перечень данных, и в каких комбинациях они относятся к той или иной категории. "привести к незначительным последствиям" и "к значительным" это, позвольте, немного не то. Кто, в конечном итоге, определяет "значительность" этих последствий?
"Книжки" эти читал. В итоге сдались в РКН. Давно это было конечно, с полгода назад. Конкретные формулировки подзабыл уже, но вот ощущения "безумной простоты" это чтиво у меня не оставило уж точно. Возможно, что для понимания сих документов нужно иметь особый образ мышления. Видимо не дано мне.:)
> Представители Роскомнадзора бывают разные

Каким бы он ни был, он остаётся представителем контролирующего органа. И раз его уполномочили давать разъяснения на семинаре, посвящённом ФЗ 152, то его мнение и будет наиболее близко к мнению сотрудников, непосредственно проводящих проверки на предприятиях.
> Если коротко, то если ИНН находится вместе с именем и фамилией, или другой информацией позволяющий достоверно показать на конкретного человека,

В каком месте ФЗ или сопутствующих ему документах указана классификация информации, название которой ИНН? И в каком месте дано определение "информацией позволяющий достоверно показать на конкретного человека". Смею предположить, что таких мест просто нет, а посему классификация всего этого добра отдаётся на милость барина^Wпроверяющего органа.:)


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено Офигеть , 13-Июл-11 11:56 
>"В кучу" и не будем. Имелись ввиду не методы получения этой базы, а её наличие как таковое.

А теперь расскажите как Вы будете подавать заявку в Роскомнадзор, что вы являетесь оператором ПД и обрабатываете такие данные. Правильный ответ: никак. Контрафакт.


>Про "безумную простоту", мягко говоря, не совсем правда. Если не затруднит, выдержку или ссылочку на перечень данных, и в каких комбинациях они относятся к той или иной категории.

Ссылочка содержится в предыдущем посте и там всё расписано так что даже даун поймет.

>И раз его уполномочили давать разъяснения на семинаре, посвящённом ФЗ 152, то его мнение и будет наиболее близко к мнению сотрудников, непосредственно проводящих проверки на предприятиях.

Я вам дал исчерпывающий ответ, на некорректный вопрос. Виртуальные сотрудники виртуальных семинаров никому не интересны.

>В каком месте ФЗ или сопутствующих ему документах указана классификация информации, название которой ИНН? И в каком месте дано определение "информацией позволяющий достоверно показать на конкретного человека". Смею предположить, что таких мест просто нет, а посему классификация всего этого добра отдаётся на милость барина^Wпроверяющего органа.:)

И еще раз читайте http://www.itsec.ru/articles2/Inf_security/porjadok-klassifi...

Пункт 6.

категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;

Подходит ИНН ? Однозначно нет, у вас уже не 1 категория.

категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;

Можете законными путями получить по ИНН идентификацию субъекта? Однозначно нет, у вас не 2 категория.

категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных;

То же самое у Вас не 3 категория.

категория 4 - обезличенные и (или) общедоступные персональные данные.

Обезличены? Да! Поздравляю у Вас 4 категория, защиты не требуется.

Добавьте "имя" "фамилию" будет 3 категория, отделаетесь одними бумагами.


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено scor , 13-Июл-11 12:23 
> А теперь расскажите как Вы будете подавать заявку в Роскомнадзор, что вы
> являетесь оператором ПД и обрабатываете такие данные. Правильный ответ: никак. Контрафакт.

По Вашей логике я и не должен подавать никаких заявок. Это же Ваши слова?
>> Записные книжки мобильников не имеют отношения к закону о ПД. Статья 2, пункт 2 ФЗ 152.
>> "Действие настоящего Федерального закона не распространяется на отношения, возникающие >> при: обработке персональных данных физическими лицами исключительно для личных и  
>> семейных нужд, если при этом не нарушаются права субъектов персональных данных;:
> Я вам дал исчерпывающий ответ, на некорректный вопрос. Виртуальные сотрудники виртуальных
> семинаров никому не интересны.

Семинар вполне себе реальный, с живыми, весёлыми людьми. Ну да ладно. Я Вас понял.:)

> И еще раз читайте http://www.itsec.ru/articles2/Inf_security/porjadok-klassifi...
> категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных
> данных;
> То же самое у Вас не 3 категория.

Я уже писал, что заминка возникла именно по этому пункту. Представитель РКН рекомендовал причислить ИНН к категории 3. Пологаю, что как раз из-за возможности двоякого толкования понятия "идентифицировать субъекта персональных данных". ФИО не позволит _однозначно_ идентифицировать субъекта, т.к. совпадения могут быть множественными. ИНН напротив же, даёт 100%-ную гарантию, что данный номер принадлежит только одному субъекту. Другими словами, в определении категории 2 говорится:
> категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;

т.е. если по ИНН можно узнать, скажем ФИО (получить о нем дополнительную информацию), то это К2. В определении К3 же сказано только "позволяющие идентифицировать субъекта персональных данных". Т.е. можно трактовать как "если данные являются уникальным идентификатором, то с их помощью можно однозначно идентифицировать субъекта". Соответственно К3.


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено fr0ster , 13-Июл-11 12:40 
> Я уже писал, что заминка возникла именно по этому пункту. Представитель РКН
> рекомендовал причислить ИНН к категории 3. Пологаю, что как раз из-за
> возможности двоякого толкования понятия "идентифицировать субъекта персональных данных".
> ФИО не позволит _однозначно_ идентифицировать субъекта, т.к. совпадения могут быть множественными.

+100500 Приходилось использовать идентификацию по ИНН при поиске физлиц работающих как внутренние совместители.

> ИНН напротив же, даёт 100%-ную гарантию, что данный номер принадлежит только
> одному субъекту. Другими словами, в определении категории 2 говорится:

100% если исключить человеческий фактор...

>> категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
> т.е. если по ИНН можно узнать, скажем ФИО (получить о нем дополнительную
> информацию), то это К2. В определении К3 же сказано только "позволяющие
> идентифицировать субъекта персональных данных". Т.е. можно трактовать как "если данные
> являются уникальным идентификатором, то с их помощью можно однозначно идентифицировать
> субъекта". Соответственно К3.

Но для идентификации не всегда нужно связывать ИНН с ФИО.


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено Офигеть , 13-Июл-11 13:56 
>+100500 Приходилось использовать идентификацию по ИНН при поиске физлиц работающих как внутренние совместители.

-100500 Без ФИО ИНН бесполезен, если вы только не работаете в налоговой, но там и так 1К.


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено fr0ster , 13-Июл-11 14:38 
>>+100500 Приходилось использовать идентификацию по ИНН при поиске физлиц работающих как внутренние совместители.
> -100500 Без ФИО ИНН бесполезен, если вы только не работаете в налоговой,
> но там и так 1К.

Нет, не в налоговой, но как вы отличите Иванова Ивана Ивановича от Иванова Ивана Ивановича? То ли совместители, то ли полные тезки. А еще насчет идентификации вы что то путаете, ФИО неоднозначный идентификатор, а ИНН однозначен и достаточен.


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено Офигеть , 13-Июл-11 16:04 
>>>+100500 Приходилось использовать идентификацию по ИНН при поиске физлиц работающих как внутренние совместители.
>> -100500 Без ФИО ИНН бесполезен, если вы только не работаете в налоговой,
>> но там и так 1К.
> Нет, не в налоговой, но как вы отличите Иванова Ивана Ивановича от
> Иванова Ивана Ивановича? То ли совместители, то ли полные тезки. А
> еще насчет идентификации вы что то путаете, ФИО неоднозначный идентификатор, а
> ИНН однозначен и достаточен.

Персональные данные обрабатываемые в ходе трудовых отношений не рассматриваются 152ФЗ. Единственное требование удалять такие данные после расторжения трудового контракта.


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено fr0ster , 13-Июл-11 16:27 
>> Нет, не в налоговой, но как вы отличите Иванова Ивана Ивановича от
>> Иванова Ивана Ивановича? То ли совместители, то ли полные тезки. А
>> еще насчет идентификации вы что то путаете, ФИО неоднозначный идентификатор, а
>> ИНН однозначен и достаточен.
> Персональные данные обрабатываемые в ходе трудовых отношений не рассматриваются 152ФЗ.
> Единственное требование удалять такие данные после расторжения трудового контракта.

Опять таки вопрос по пункту 2, насчет передачи третьим лицам. Ну и как быть с требованием хранить некоторые документы надцать лет и три года? Типа трудовой книжки и еще кое каких мелочей? То есть и удалить нельзя и хранить не можно.


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено Офигеть. , 13-Июл-11 21:52 
>>> Нет, не в налоговой, но как вы отличите Иванова Ивана Ивановича от
>>> Иванова Ивана Ивановича? То ли совместители, то ли полные тезки. А
>>> еще насчет идентификации вы что то путаете, ФИО неоднозначный идентификатор, а
>>> ИНН однозначен и достаточен.
>> Персональные данные обрабатываемые в ходе трудовых отношений не рассматриваются 152ФЗ.
>> Единственное требование удалять такие данные после расторжения трудового контракта.
> Опять таки вопрос по пункту 2, насчет передачи третьим лицам. Ну и
> как быть с требованием хранить некоторые документы надцать лет и три
> года? Типа трудовой книжки и еще кое каких мелочей? То есть
> и удалить нельзя и хранить не можно.

Читайте уже законы! Ну не нужно на трудовую книжку ставить сертифицированный межсетевой экран, я даже не знаю как это вы будете делать.

Достаточно положить ее в железный шкаф закрываемый на ключ, все требования соблюдены.

Весь сыр-бор из-за хранения данных в электронном виде и идут лесом ваши больничные листы, трудовые книжки и всякая бумажная отчетность в налоговую, пенсионку и прочее органы, и даже на дискетах и флешках, потому как такие носители тоже достаточно положить в шкаф и закрыть на ключ.


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено fr0ster , 13-Июл-11 22:51 
> Весь сыр-бор из-за хранения данных в электронном виде и идут лесом ваши
> больничные листы, трудовые книжки и всякая бумажная отчетность в налоговую, пенсионку
> и прочее органы, и даже на дискетах и флешках, потому как
> такие носители тоже достаточно положить в шкаф и закрыть на ключ.

Можно тогда вообще отказаться от вычислительных систем. Вы для 20000 стажи посчитаете без хранения данных по стажам в компе?


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено Офигеть. , 13-Июл-11 23:20 
>> Весь сыр-бор из-за хранения данных в электронном виде и идут лесом ваши
>> больничные листы, трудовые книжки и всякая бумажная отчетность в налоговую, пенсионку
>> и прочее органы, и даже на дискетах и флешках, потому как
>> такие носители тоже достаточно положить в шкаф и закрыть на ключ.
> Можно тогда вообще отказаться от вычислительных систем.

Да можно, только зачем?

> Вы для 20000 стажи посчитаете
> без хранения данных по стажам в компе?

Так храните и считайте, и помните о 152 ФЗ 22 статье пункте 2. Передавать будете запишите на флешку, только не теряйте. Ну а если нужно обязательно через интернет передавать, то тут предстоит жутко потратится и купить жутко дорогой сертифицированный межсетевой экран а-ля Usergate за целых пять тысяч рублей!

http://www.usergate.ru/buy_usergate/buy_usergate_fstek.php


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено fr0ster , 14-Июл-11 20:31 
>>> такие носители тоже достаточно положить в шкаф и закрыть на ключ.
>> Можно тогда вообще отказаться от вычислительных систем.
> Да можно, только зачем?

Затем что все прочее подставляет под санкции

>> Вы для 20000 стажи посчитаете
>> без хранения данных по стажам в компе?
> Так храните и считайте, и помните о 152 ФЗ 22 статье пункте
> 2. Передавать будете запишите на флешку, только не теряйте. Ну а

Вот они реалии нашего безбумажного делопроизводства. Флешку почтой заказным письмом с описью?

> если нужно обязательно через интернет передавать, то тут предстоит жутко потратится
> и купить жутко дорогой сертифицированный межсетевой экран а-ля Usergate за целых
> пять тысяч рублей!
>  http://www.usergate.ru/buy_usergate/buy_usergate_fstek.php

Вот, может у этого и есть бамажка о сертификации, вот только в корпоративной сети это непригодно.


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено Офигеть. , 16-Июл-11 17:44 
>Затем что все прочее подставляет под санкции

Факт вашего рождения уже попадает под санкции, по вашей же логике, а вдруг вас кто-то обвинит в преступлении.

>Вот они реалии нашего безбумажного делопроизводства. Флешку почтой заказным письмом с описью?

Как бухгалтер пешком до налоговой и пенсионке ходила, так и дальше будет ходить.

>Вот, может у этого и есть бамажка о сертификации, вот только в корпоративной сети это непригодно.

Почему?


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено SirYorik , 18-Июл-11 08:05 
"Персональные данные обрабатываемые в ходе трудовых отношений не рассматриваются 152ФЗ."

5+, садитесь, два. Вы можете только *не*уведомлять* РКН. А защищать эти данные вы всё-равно обязаны как персональные. А если в вашей автоматизированной HR|бухгалтерской системе карточка Т-2 хранится в полном объёме, то вы попали минимум на К2. (особенно весело если HR у вас, кусок крутой и дорогущей ERP)

И удалять вы их не имеете права в течении 75 лет. Вы их передадите на архивное хранение. А вот архивы совершенно точно не 152фз регулируются.


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено fr0ster , 18-Июл-11 12:01 
> "Персональные данные обрабатываемые в ходе трудовых отношений не рассматриваются 152ФЗ."
> 5+, садитесь, два. Вы можете только *не*уведомлять* РКН. А защищать эти данные
> вы всё-равно обязаны как персональные. А если в вашей автоматизированной HR|бухгалтерской
> системе карточка Т-2 хранится в полном объёме, то вы попали минимум
> на К2. (особенно весело если HR у вас, кусок крутой и
> дорогущей ERP)
> И удалять вы их не имеете права в течении 75 лет. Вы
> их передадите на архивное хранение. А вот архивы совершенно точно не
> 152фз регулируются.

Поправка. В ЕРП Т-2 не хранится, она формируется по надобности, а вот данные для построения Т-2 таки хранятся. С другой стороны что тогда обязаны хранить 75 лет?


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено Офигеть , 13-Июл-11 14:05 
> +100500 Приходилось использовать идентификацию по ИНН при поиске физлиц работающих как
> внутренние совместители.

Уже не говоря что этот случай под 152ФЗ никак не попадает.


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено fr0ster , 13-Июл-11 14:39 
>> +100500 Приходилось использовать идентификацию по ИНН при поиске физлиц работающих как
>> внутренние совместители.
> Уже не говоря что этот случай под 152ФЗ никак не попадает.

На основании чего?


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено Офигеть , 13-Июл-11 16:01 
>>> +100500 Приходилось использовать идентификацию по ИНН при поиске физлиц работающих как
>>> внутренние совместители.
>> Уже не говоря что этот случай под 152ФЗ никак не попадает.
> На основании чего?

152 ФЗ Статья 22 пункт 2.


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено fr0ster , 13-Июл-11 16:23 
>>>> +100500 Приходилось использовать идентификацию по ИНН при поиске физлиц работающих как
>>>> внутренние совместители.
>>> Уже не говоря что этот случай под 152ФЗ никак не попадает.
>> На основании чего?
> 152 ФЗ Статья 22 пункт 2.

Вопрос тот же что и выше
Сдача отчетности в налоговую с ФИО ИНН адресами и доходами сотрудников считается передачей информации третьим лицам?


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено Андрей , 13-Июл-11 19:52 
Вот поэтому, значит, в пендостане сами налоги считают :)

"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено Офигеть. , 13-Июл-11 21:16 
>>>>> +100500 Приходилось использовать идентификацию по ИНН при поиске физлиц работающих как
>>>>> внутренние совместители.
>>>> Уже не говоря что этот случай под 152ФЗ никак не попадает.
>>> На основании чего?
>> 152 ФЗ Статья 22 пункт 2.
> Вопрос тот же что и выше
> Сдача отчетности в налоговую с ФИО ИНН адресами и доходами сотрудников считается
> передачей информации третьим лицам?

152 ФЗ, тройственный приказ, и 58 приказ ФСТЭК, написаны на сухом техническом языке, технарями для технорей, никакой воды и без всяких юридических тонкостей. Все вместе менее 20 страниц крупного текста, читаемого на одном дыхании.


"O_o"
Отправлено XPEH , 14-Июл-11 11:46 
> 152 ФЗ, тройственный приказ, и 58 приказ ФСТЭК, написаны на сухом техническом
> языке, технарями для технорей, никакой воды и без всяких юридических тонкостей.
> Все вместе менее 20 страниц крупного текста, читаемого на одном дыхании.

Ну да, без тонкостей, как же.

Статья 3. п 1
1. персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;

Как мило "другая информация". Кто определять будет ?


Статья 5. п. 1

1. Обработка персональных данных должна осуществляться на основе принципов:

<бла-бла-бла>

5) недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.

Кто будет определять совместимость/несовместимость целей ?

CRM, система траблтикетов, автоинформатор какой-нибудь, взаимодействующие с системой биллинга, совместимы по целям ? Или нет, или как левой пятке проверяющего захочется ?

И т.д. и т.п.


"O_o"
Отправлено Офигеть , 14-Июл-11 13:53 
>Как мило "другая информация". Кто определять будет ?

Ну а какую информацию Вы обрабатываете? Кто кроме Вас определит?


>Кто будет определять совместимость/несовместимость целей ?

А кто кроме вас определит цель обработки Вами информации?


"O_o"
Отправлено XPEH , 14-Июл-11 15:09 
Ну что вы изворачиваетесь как уж на сковородке ?

>>Как мило "другая информация". Кто определять будет ?
> Ну а какую информацию Вы обрабатываете? Кто кроме Вас определит?
>>Кто будет определять совместимость/несовместимость целей ?
> А кто кроме вас определит цель обработки Вами информации?

И все как один проверяющие просто обязаны согласиться с моими определениями или вправе придумать свои ? При том что приведенные статьи допускают толкование не то что расширительное, а вообще какое угодно.

Зато вопросы взаимодействия систем принадлежащих разным организациям вообще в законе не рассмотрены.

Вот к примеру запрос на проверку существования счета (ну или телефонного номера) от платежной системы к операторскому биллингу, он в свете 152-Ф3 вообще законен ?


"O_o"
Отправлено Офигеть , 14-Июл-11 15:33 
> Ну что вы изворачиваетесь как уж на сковородке ?

Извините, но Вы тут у меня не первый :). Можете прочитать сам текст новости? Если да, то пройдите пожалуйста по ссылке указанной в новости, там всё очень грамотно расписано.

> И все как один проверяющие просто обязаны согласиться с моими определениями или
> вправе придумать свои ? При том что приведенные статьи допускают толкование
> не то что расширительное, а вообще какое угодно.

Кратко: должен быть документ о назначении комиссии из ваших сотрудников, они сами должны присвоить категорию обрабатываемых персональных данных.

> Зато вопросы взаимодействия систем принадлежащих разным организациям вообще в законе не
> рассмотрены.

Почему вы так считаете?

> Вот к примеру запрос на проверку существования счета (ну или телефонного номера)
> от платежной системы к операторскому биллингу, он в свете 152-Ф3 вообще
> законен ?

Да. Телефонный номер 4 категория.


"O_o"
Отправлено XPEH , 14-Июл-11 16:01 
>> Ну что вы изворачиваетесь как уж на сковородке ?
> Извините, но Вы тут у меня не первый :). Можете прочитать сам
> текст новости? Если да, то пройдите пожалуйста по ссылке указанной в
> новости, там всё очень грамотно расписано.

Реклама Ideco ICS мне неинтересна.

>> И все как один проверяющие просто обязаны согласиться с моими определениями или
>> вправе придумать свои ? При том что приведенные статьи допускают толкование
>> не то что расширительное, а вообще какое угодно.
> Кратко: должен быть документ о назначении комиссии из ваших сотрудников, они сами
> должны присвоить категорию обрабатываемых персональных данных.

При том что четких критериев нет. ЧТД.

>> Зато вопросы взаимодействия систем принадлежащих разным организациям вообще в законе не
>> рассмотрены.
> Почему вы так считаете?

Цитату из 152-Ф3 или 55/86/20 в студию.

>> Вот к примеру запрос на проверку существования счета (ну или телефонного номера)
>> от платежной системы к операторскому биллингу, он в свете 152-Ф3 вообще
>> законен ?
> Да. Телефонный номер 4 категория.

Опять же цитату в студию.


"O_o"
Отправлено Офигеть. , 16-Июл-11 14:49 
>Реклама Ideco ICS мне неинтересна.

А причем тут он. Там методические указания в вольном изложении.

>При том что четких критериев нет. ЧТД.

Есть.

>Цитату из 152-Ф3 или 55/86/20 в студию.

Мимо 58 ФСТЭК.

>Опять же цитату в студию.

6п 55/86/20



"O_o"
Отправлено ragnar , 14-Июл-11 14:43 
> Кто будет определять совместимость/несовместимость целей ?
> CRM, система траблтикетов, автоинформатор какой-нибудь, взаимодействующие с системой
> биллинга, совместимы по целям ? Или нет, или как левой пятке
> проверяющего захочется ?

Не как захочется, например не совместима система биллинга клиентов провайдера привязаная к 1С и 1сная база зарплаты сотрудников.
Дураку ясно, что это должны быть разные базы, и желательно на разных серверах. Но есть умельцы, ведущие эти два учета в одной базе (сам видел 1 раз). вот это уе попадает под указанный пункт закона



"O_o"
Отправлено XPEH , 14-Июл-11 15:23 
>> Кто будет определять совместимость/несовместимость целей ?
>> CRM, система траблтикетов, автоинформатор какой-нибудь, взаимодействующие с системой
>> биллинга, совместимы по целям ? Или нет, или как левой пятке
>> проверяющего захочется ?
> Не как захочется, например не совместима система биллинга клиентов провайдера привязаная
> к 1С и 1сная база зарплаты сотрудников.
> Дураку ясно, что это должны быть разные базы, и желательно на разных
> серверах. Но есть умельцы, ведущие эти два учета в одной базе
> (сам видел 1 раз). вот это уе попадает под указанный пункт
> закона

Вы это в 152-Ф3 прочитали или с помощью пролетарского самосознания определили ?

В законе никаких критериев совместимости/несовместимости нет и вопрос оставлен на произвол проверяющим органам. Чем это чревато догадайтесь сами.


" жара..."
Отправлено Andrey Mitrofanov , 14-Июл-11 15:24 
> Не как захочется, например не совместима система биллинга клиентов провайдера привязаная
> к 1С и 1сная база зарплаты сотрудников.

А если _все_ сотрудники по трудовому договору являются клиентами самого провайдера (Ну, там безлимит бесплатный -- каждому сотруднику)?

И тут выясняется, что имя-фамилию-номерпаспорта-адреспрописки "объединять нельзя! ни-ни!!"...

> Дураку ясно, что это должны

Необязательность исполнения существующих законов компенсируется написанием новых, никак не увязанных и конфликтующих со старыми, и.... вааще, проконсультируйтесь с Вашим Законодателем. +++Чем бы законодатель не тешился, лишь бы исполнением не озаботился?


" жара..."
Отправлено Офигеть , 14-Июл-11 16:01 
>А если _все_ сотрудники по трудовому договору являются клиентами самого провайдера (Ну, там безлимит бесплатный -- каждому сотруднику)?
>И тут выясняется, что имя-фамилию-номерпаспорта-адреспрописки "объединять нельзя! ни-ни!!"...

И еще раз 22 статья 152 ФЗ.


" жара..."
Отправлено XPEH , 14-Июл-11 16:06 
>>А если _все_ сотрудники по трудовому договору являются клиентами самого провайдера (Ну, там безлимит бесплатный -- каждому сотруднику)?
>>И тут выясняется, что имя-фамилию-номерпаспорта-адреспрописки "объединять нельзя! ни-ни!!"...
> И еще раз 22 статья 152 ФЗ.

Вопрос был о взаимодействии и совместимости/несовместимости систем обработки ПД, а вы статью "Уведомление об обработке персональных данных" подсовываете. Зачем ?


" жара..."
Отправлено Офигеть. , 16-Июл-11 14:51 
>>>А если _все_ сотрудники по трудовому договору являются клиентами самого провайдера (Ну, там безлимит бесплатный -- каждому сотруднику)?
>>>И тут выясняется, что имя-фамилию-номерпаспорта-адреспрописки "объединять нельзя! ни-ни!!"...
>> И еще раз 22 статья 152 ФЗ.
> Вопрос был о взаимодействии и совместимости/несовместимости систем обработки ПД, а вы статью
> "Уведомление об обработке персональных данных" подсовываете. Зачем ?

Что вас во взаимодействии интересует?


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено Офигеть , 13-Июл-11 14:04 
> По Вашей логике я и не должен подавать никаких заявок. Это же
> Ваши слова?

Если вы пользуетесь нелегальной базой данных, то конечно вы можете на себя настучать, но зачем?

> Семинар вполне себе реальный, с живыми, весёлыми людьми. Ну да ладно. Я
> Вас понял.:)

Я тоже.
е самое у Вас не 3 категория.

> Я уже писал, что заминка возникла именно по этому пункту. Представитель РКН
> рекомендовал причислить ИНН к категории 3. Пологаю, что как раз из-за
> возможности двоякого толкования понятия "идентифицировать субъекта персональных данных".
> ФИО не позволит _однозначно_ идентифицировать субъекта, т.к. совпадения могут быть множественными.
> ИНН напротив же, даёт 100%-ную гарантию, что данный номер принадлежит только
> одному субъекту.

Я Я вам про то же. ИНН+ФИО К3, Просто ИНН К4.

> т.е. если по ИНН можно узнать, скажем ФИО (получить о нем дополнительную
> информацию), то это К2.

Если допустить что бабушки есть... то она может быть дедушкой. В реальной жизни по ИНН нельзя узнать ФИО и других параметров, если только вы не работаете в налоговой. Тут всё то же самое. Мне в своей практике приходилось опускать К1 до К4, просто за счет удаления не существенных полей, таких как ФИО,  в базе данных.


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено fr0ster , 13-Июл-11 14:42 
> Если допустить что бабушки есть... то она может быть дедушкой. В реальной
> жизни по ИНН нельзя узнать ФИО и других параметров, если только
> вы не работаете в налоговой. Тут всё то же самое. Мне
> в своей практике приходилось опускать К1 до К4, просто за счет
> удаления не существенных полей, таких как ФИО,  в базе данных.

То есть вы считаете, что если от ИНН и прочего нет возможности узнать ФИО то и угроз никаких нет? Даже если ФИО само по себе не сильно персональные данные?


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено Офигеть , 13-Июл-11 16:02 
>> Если допустить что бабушки есть... то она может быть дедушкой. В реальной
>> жизни по ИНН нельзя узнать ФИО и других параметров, если только
>> вы не работаете в налоговой. Тут всё то же самое. Мне
>> в своей практике приходилось опускать К1 до К4, просто за счет
>> удаления не существенных полей, таких как ФИО,  в базе данных.
> То есть вы считаете, что если от ИНН и прочего нет возможности
> узнать ФИО то и угроз никаких нет? Даже если ФИО само
> по себе не сильно персональные данные?

Это не я так считаю. Это вам выше указанные законы и приказы нужно хоть раз прочитать.


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено fr0ster , 13-Июл-11 16:25 
>> То есть вы считаете, что если от ИНН и прочего нет возможности
>> узнать ФИО то и угроз никаких нет? Даже если ФИО само
>> по себе не сильно персональные данные?
> Это не я так считаю. Это вам выше указанные законы и приказы
> нужно хоть раз прочитать.

Сорри, закон и родина в вашем лице.
Собственно вопросов больше нет, ничего хорошего от этого закона нет.


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено Офигеть. , 13-Июл-11 21:23 
>>> То есть вы считаете, что если от ИНН и прочего нет возможности
>>> узнать ФИО то и угроз никаких нет? Даже если ФИО само
>>> по себе не сильно персональные данные?
>> Это не я так считаю. Это вам выше указанные законы и приказы
>> нужно хоть раз прочитать.
> Сорри, закон и родина в вашем лице.

Не нужно перекладывать свой правовой нигилизм на моё лицо.

> Собственно вопросов больше нет, ничего хорошего от этого закона нет.

Хорошего от этого много. Всё что у вас есть в жизни это вот эти самые персональные данные.
Будут в открытом доступе:
- На вас можно оформить кредит (без вашего ведома)
- Продать любую собственность ( без вашего ведома)
- Скомпрометировать перед супругой или коллегами по работе

Ну и еще всячески попортить жизнь.


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено fr0ster , 13-Июл-11 22:48 
>> Сорри, закон и родина в вашем лице.
> Не нужно перекладывать свой правовой нигилизм на моё лицо.

Никакого нигилизма а лишь знание того, как наши законы можно использовать для пользы отдельных групп лиц.

>> Собственно вопросов больше нет, ничего хорошего от этого закона нет.
> Хорошего от этого много. Всё что у вас есть в жизни это
> вот эти самые персональные данные.
> Будут в открытом доступе:
> - На вас можно оформить кредит (без вашего ведома)
> - Продать любую собственность ( без вашего ведома)
> - Скомпрометировать перед супругой или коллегами по работе

Закон этому не мешает. А сертификат прикроет задницу, тем кто прошляпил ваши ПД, но озаботился о сертификате.

> Ну и еще всячески попортить жизнь.

Этот закон никак не помешает испортить жизнь, так как факт "ухода" персональных данных надо доказать, а факт отсутствия сертификации особо доказывать не надо. То есть закон исключительно для доения еще одним контролирующим органом. Плюс с этим законом контора допустившая "уход" ваших персональных данных прикроется сертификатом и вы будете сами доказывать что "ушли" от конторы, а не вы сами отдали "третьим лицам".


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено Офигеть. , 13-Июл-11 23:10 
>>> Сорри, закон и родина в вашем лице.
>> Не нужно перекладывать свой правовой нигилизм на моё лицо.
> Никакого нигилизма а лишь знание того, как наши законы можно использовать для
> пользы отдельных групп лиц.

Столько, извините, глупых вопросов вы задали, даже не попытавшись прочитать закон, и после этого вы утверждаете что никакого правового нигилизма нет. Зато есть какие-то отдельные группы лиц, видимо чукчи не только писатели, но и читатели.  

>>> Собственно вопросов больше нет, ничего хорошего от этого закона нет.
>> Хорошего от этого много. Всё что у вас есть в жизни это
>> вот эти самые персональные данные.
>> Будут в открытом доступе:
>> - На вас можно оформить кредит (без вашего ведома)
>> - Продать любую собственность ( без вашего ведома)
>> - Скомпрометировать перед супругой или коллегами по работе
> Закон этому не мешает. А сертификат прикроет задницу, тем кто прошляпил ваши
> ПД, но озаботился о сертификате.

О каком сертификате идёт речь? Вы опять законы не читали?

>> Ну и еще всячески попортить жизнь.
> Этот закон никак не помешает испортить жизнь, так как факт "ухода" персональных
> данных надо доказать, а факт отсутствия сертификации особо доказывать не надо.
> То есть закон исключительно для доения еще одним контролирующим органом. Плюс
> с этим законом контора допустившая "уход" ваших персональных данных прикроется сертификатом
> и вы будете сами доказывать что "ушли" от конторы, а не
> вы сами отдали "третьим лицам".

Ну нету никаких сертификатов, не на попе не в других местах. Есть сертифицированные продукты как программные так и аппаратные, вот у них есть сертификат, который сам по себе ничего не значит, без организационным мероприятий и правовой и нормативной документации, большую часть из которой "вам" придется сделать самостоятельно. Применение же именно сертифицированных продуктов вовсе не обязательно.

Закон дает ответственность за обработку персональных данных, тем самым их защищая.

Точно так же как и УК не предотвращает полностью убийства или воровство, а вводит за них ответственность, тем самым значительно снижая преступность.


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено fr0ster , 14-Июл-11 20:21 
> Столько, извините, глупых вопросов вы задали, даже не попытавшись прочитать закон, и
> после этого вы утверждаете что никакого правового нигилизма нет. Зато есть
> какие-то отдельные группы лиц, видимо чукчи не только писатели, но и
> читатели.

Вы телепатию отключите, глупые они разве только для того, кто с нашими законами не сталкивался. Ну а нигилизм он от местной специфики. Насчет компенсации строгости закона.

> О каком сертификате идёт речь? Вы опять законы не читали?

О том документе, который подтвердит прохождение продуктом или системой процедуры сертификации.

> Ну нету никаких сертификатов, не на попе не в других местах. Есть
> сертифицированные продукты как программные так и аппаратные, вот у них есть
> сертификат, который сам по себе ничего не значит, без организационным мероприятий
> и правовой и нормативной документации, большую часть из которой "вам" придется
> сделать самостоятельно. Применение же именно сертифицированных продуктов вовсе не обязательно.

То нету сертификатов, то "сертифицированные продукты как программные так и аппаратные", а как вы подтвердите, что они сертифицированы?

> Закон дает ответственность за обработку персональных данных, тем самым их защищая.

Закон дает еще одну возможность доения для чиновников, никакой защиты он не дает, так как позволяет очень широкую трактовку.

> Точно так же как и УК не предотвращает полностью убийства или воровство,
> а вводит за них ответственность, тем самым значительно снижая преступность.

Закон ничуть не снизил преступность, он просто изменил ее.


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено Офигеть. , 16-Июл-11 17:59 
> О том документе, который подтвердит прохождение продуктом или системой процедуры сертификации.

Такой процедуры в 152ФЗ нет. Вы её выдумали. Её не существует. В законах нет ничего не про какую сертификацию. Как еще объяснить?


> То нету сертификатов, то "сертифицированные продукты как программные так и аппаратные",
> а как вы подтвердите, что они сертифицированы?

У вас каша в голове. На контору сертификат что она соответсвует 152ФЗ не выдают! Понятно?

Железки и программы могут иметь сертификат ФСТЭК, голографическую наклейку, но то что вы купили такую железку или программу ничего не говорит о том что вы выполняете 152ФЗ.

Равно как и отсутствие такой железки или программы ничего не говорит о том что не выполняете 152ФЗ.

> Закон дает еще одну возможность доения для чиновников, никакой защиты он не
> дает, так как позволяет очень широкую трактовку.

Это проблема лично вашего менталитета. Хреново так воспринимать действительность.
Требования пожарников дают еще большую трактовку.

Закон такой вступил в действие на основе ратификации РФ конвенции ЕС, нормативная база перенесена из Европы чуть более чем полностью.

> Закон ничуть не снизил преступность, он просто изменил ее.

Ахтунг!



"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено ragnar , 14-Июл-11 14:10 
>> исключительно для личных и семейных нужд
> Это всё конечно хорошо, только вот "есть нюанс" (с). Где дано определение
> "исключительности" этих нужд? Так и купленный на горбушке дивидюк с базами
> можно заявить "для дома, для семьи":)

А вас об этом и не спросят, во-первых спрашиваться будет с продавца этих данных, и он имеет непосредственное отношение к этому закону. А до покупателя дело дойдет только в том случае если он станет использовать не "исключительно для личных нужд", а попытается на этом заработать или распространить куда-то дальше


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено ragnar , 13-Июл-11 12:12 
>> но под этот закон попадаю и я со своей зарплатной 1ской
> Да ладно с 1с-кой. В записную мобильника забил ФИО + номер телефона
> + фото --- создал базу с персональными данными.:) Если ещё и
> дату рождения добавил, чтоб напоминалка выскакивала, так вообще злостный сборщик ПД
> и должен положить свой мобильник внутрь сертифицированной циски, а рядом с
> ней поставить двух не менее сертифицированных специалистов.:)

Закон насколько я понимаю касается ЮрЛиц, да к тому же и телефонное ПО по-идее должно проходить сертификацию. Так что тут все нормально...


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено Андрей , 13-Июл-11 19:54 
>>> но под этот закон попадаю и я со своей зарплатной 1ской
>> Да ладно с 1с-кой. В записную мобильника забил ФИО + номер телефона
>> + фото --- создал базу с персональными данными.:) Если ещё и
>> дату рождения добавил, чтоб напоминалка выскакивала, так вообще злостный сборщик ПД
>> и должен положить свой мобильник внутрь сертифицированной циски, а рядом с
>> ней поставить двух не менее сертифицированных специалистов.:)
> Закон насколько я понимаю касается ЮрЛиц, да к тому же и телефонное
> ПО по-идее должно проходить сертификацию. Так что тут все нормально...

Скажите это владельцам Андроидов :)


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено ragnar , 14-Июл-11 14:17 
> Скажите это владельцам Андроидов :)

а при чем здесь владельцы андроидов? Закон касается Операторов персональных данных, т.е. организаций, работающих с ПД. Защита личной информации ФизЛица - это его собственное дело. А если у Вас есть в компании корпоративные телефоны (аппараты, а не номера), которые выдаются сотрудникам, то я  не думаю что они будут на андроидах, и что на них будет храниться персональная информация сотрудников или клиентов, попадающая под данный закон.
А вот если вы захотите скажем отнести отчетность в пенсионку на флэшке своей мобилы (а не на рабочей флэхе с инвентарным номером) и случайно потеряете ее, то тут вот да - прямое нарушение закона, причем не только вами, но и руководителем, позволившим вам это сделать, и службой информационной безопасности (или сотрудника, отчеющего за сохранность ПД) за то что не доглядели.


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено Офигеть , 14-Июл-11 09:27 
> в принципе этот закон нужен только для опсосов , мед учреждений ,
> ментов , налоговых , пенсионных , etc
> да и подписали этот закон после утечек баз опсосов и ментов
> но под этот закон попадаю и я со своей зарплатной 1ской ,
> которую нафиг не сдалось кому-то ломать и кому-то передавать данные ,
> только лишняя головная боль

Попадаете под закон со своей 1С-кой, но никаких безумных денег это не стоит, максимум 10 тыс. рублей разово, а то и вовсе бесплатно.

> тупо высасывание денег : создание структур которые будут непосредственно сертифицировать
> , которые будут предлагать услуги по подготовки к сертифицированию (сбор информации
> , подготовка необходимых документов , etc) если кому лень самому ,
> и те кто будут продавать сертифицированное ПО | железо

Никакого создания структур не будет, Роскомнадзор, ФСБ, ФСТЭК и так существует. Документы делаются за один день одним человеком.


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено XPEH , 14-Июл-11 11:11 
>> тупо высасывание денег : создание структур которые будут непосредственно сертифицировать
>> , которые будут предлагать услуги по подготовки к сертифицированию (сбор информации
>> , подготовка необходимых документов , etc) если кому лень самому ,
>> и те кто будут продавать сертифицированное ПО | железо
> Никакого создания структур не будет, Роскомнадзор, ФСБ, ФСТЭК и так существует.

Ну да, просто у них прибавилось возможностей для доения.


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено Офигеть , 14-Июл-11 14:25 
Ну да, просто у них прибавилось возможностей для доения.

Вы ощущаете себя дойной коровой?


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено fr0ster , 14-Июл-11 22:19 
> Ну да, просто у них прибавилось возможностей для доения.
> Вы ощущаете себя дойной коровой?

А вы нет? Вы на "той" стороне?


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено Офигеть. , 16-Июл-11 18:19 
>> Ну да, просто у них прибавилось возможностей для доения.
>> Вы ощущаете себя дойной коровой?
> А вы нет? Вы на "той" стороне?

Я нет.


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено fr0ster , 14-Июл-11 20:50 
>> тупо высасывание денег : создание структур которые будут непосредственно сертифицировать
>> , которые будут предлагать услуги по подготовки к сертифицированию (сбор информации
>> , подготовка необходимых документов , etc) если кому лень самому ,
>> и те кто будут продавать сертифицированное ПО | железо
> Никакого создания структур не будет, Роскомнадзор, ФСБ, ФСТЭК и так существует. Документы
> делаются за один день одним человеком.

А главное все в одно окно.


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено Офигеть. , 16-Июл-11 18:23 
>>> тупо высасывание денег : создание структур которые будут непосредственно сертифицировать
>>> , которые будут предлагать услуги по подготовки к сертифицированию (сбор информации
>>> , подготовка необходимых документов , etc) если кому лень самому ,
>>> и те кто будут продавать сертифицированное ПО | железо
>> Никакого создания структур не будет, Роскомнадзор, ФСБ, ФСТЭК и так существует. Документы
>> делаются за один день одним человеком.
> А главное все в одно окно.

Да себе в сейф.


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено Аноним , 12-Июл-11 17:06 
Спасибище за статью и ссылку..

"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено Ващенаглухо , 12-Июл-11 19:10 
то есть если у меня сервера с базой стоят где то в Китае, можно забить на этот закон?

"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено Офигеть. , 12-Июл-11 19:19 
> то есть если у меня сервера с базой стоят где то в
> Китае, можно забить на этот закон?

Если деньги получаешь тут, то нет.


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено fr0ster , 12-Июл-11 20:50 
> то есть если у меня сервера с базой стоят где то в
> Китае, можно забить на этот закон?

Если в Китае, то пойдешь как китайский шпион :)


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено scor , 13-Июл-11 00:21 
> то есть если у меня сервера с базой стоят где то в
> Китае, можно забить на этот закон?

Если сервера в Китае, то это "распределенные ИСПДн, имеющие подключение к сетям связи общего пользования и (или) сетям международного информационного обмена". А посему будь любезен применить сертифицированное оборудование ограничения доступа, как на стороне серверов, так и на стороне клиентов. А ко всему прочему ещё и обеспечить шифрацию и целостность данных при передаче. А вот с криптографией уже "велком ту КГБ":) Это для начала.


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено SirYorik , 18-Июл-11 08:21 
+трансграничная передача данных

"План действий по обеспечению требований нового Закона РФ 'О ..."
Отправлено Денис , 13-Июл-11 07:58 
Как прочитал - аж передернуло.
Я работаю в гос. структуре админом.
Мало нам было VipNet'a так сейчас еще обязуют покупать SecretNet - господи сколько же геммороя на простую админскую голову, за ту же самую зарплату.
Все эти меры не более чем способ отжать бабла с простого населения, особенно круто это получается в гос структурах, типа же "вам выделены дополнительные средства по статье....", это же не из вашего кармана.
Жили же счастливо без всех этих средств защиты.
Это просто смешно в конце концов, я что на винде что на линуксе смогу весь тот функционал (что дают все эти системы защиты персональных данных)сделать _штатными_ средствами, например IpSec'Ом. Можно также какой-нить openvpn использовать для передачи данных между филиалами организации.
Да какой-там IpSec, просто в arp-таблице сервера жестко прописать  соответствие ip и mac адресов, и то толку больше будет.
Откаты и попил денег налогоплатильшеков рулит, вне всякого сомнения.


"План действий по обеспечению требований нового Закона РФ 'О ..."
Отправлено Офигеть , 13-Июл-11 09:10 
> Все эти меры не более чем способ отжать бабла с простого населения,
> особенно круто это получается в гос структурах, типа же "вам выделены
> дополнительные средства по статье....", это же не из вашего кармана.
> Жили же счастливо без всех этих средств защиты.

Нет не жили. Мне например чуть-ли не каждый месяц в почтовый ящик ложные квитанции об оплате коммунальных услуг, утечка перс. данных на лицо, там даже льготы мои указаны.  


"План действий по обеспечению требований нового Закона РФ 'О ..."
Отправлено j3qq4 , 13-Июл-11 15:45 
а теперь прекратятся, да?
Законы выполняются законопослушными людьми. Квитанции рассылают, очевидно, не они. МИ базами не они торгуют. И готов поспорить,  что не прекратят это делать из-за какого-то там закона. Ничего личного, только деньги. И закон этот принимался, уж поверьте, не для того чтобы Вы перестали получать левые квитанции.

"План действий по обеспечению требований нового Закона РФ 'О ..."
Отправлено Офигеть , 13-Июл-11 16:08 
> а теперь прекратятся, да?

А теперь я могу  ЖКХ настучать по башке, и посадить вполне определенную сволочь, которая слила это информацию и буду полностью прав.


"План действий по обеспечению требований нового Закона РФ 'О ..."
Отправлено Аноним , 13-Июл-11 16:27 
Может достаться и Вам, если вы не докажите что вы без умысла читали данные, которые Вам не предоставлялись ;) А человек сделал всё правильно - отнёс квитанцию в ящик по адресу. Ну, если не по адресу, то да - виноват, но опять же умысел доказать нужно

"План действий по обеспечению требований нового Закона РФ 'О ..."
Отправлено Андрей , 13-Июл-11 20:01 
> Может достаться и Вам, если вы не докажите что вы без умысла
> читали данные, которые Вам не предоставлялись ;) А человек сделал всё
> правильно - отнёс квитанцию в ящик по адресу. Ну, если не
> по адресу, то да - виноват, но опять же умысел доказать
> нужно

а мне и не надо искать "вполне определенную сволочь". пусть сами ищут. подать иск на директора ЖКУ - он как первое лицо организации отвечает за все. и за ЭТО тоже. Он не обязан знать всех тонкостей конкретного процесса в своей организации. Но он обязан знать и уметь контролировать этот процесс.


"План действий по обеспечению требований нового Закона РФ 'О ..."
Отправлено scor , 13-Июл-11 20:19 
Откуда уверенность, что конкретно, обсуждаемый тут, ФЗ152 хоть как-то сможет повлиять на проблему утечки ПД?:) Ну напишите вы заявление, ну придут в ЖКУ проверяющие, ну дадут им ознакомиться с "документом", в котором будет сказано, что "ИСПДн предприятия полностью соответствует требованиям ФЗ152".:) Где взять доказательства того, что утечка произошла именно из ИСПДн ЖКУ, а не, например, вы лично выложили свои ПД какой-нибудь "тёмной личности", при распитии коньячка под шашлычок?:) Проще говоря, каковы основания для подачи иска против ЖКУ? Ваше честное слово?:)

"План действий по обеспечению требований нового Закона РФ 'О ..."
Отправлено Офигеть. , 13-Июл-11 21:27 
> Откуда уверенность, что конкретно, обсуждаемый тут, ФЗ152 хоть как-то сможет повлиять на
> проблему утечки ПД?:) Ну напишите вы заявление, ну придут в ЖКУ
> проверяющие, ну дадут им ознакомиться с "документом", в котором будет сказано,
> что "ИСПДн предприятия полностью соответствует требованиям ФЗ152".:) Где взять доказательства
> того, что утечка произошла именно из ИСПДн ЖКУ, а не, например,
> вы лично выложили свои ПД какой-нибудь "тёмной личности", при распитии коньячка
> под шашлычок?:) Проще говоря, каковы основания для подачи иска против ЖКУ?
> Ваше честное слово?:)

Уверенность простая, можно взять написать письмо и пройтись по квартирам, под коньячек перс. данные микрорайона, включая такие как оформленная льгота в конкретном ЖКО не расскажешь.


"План действий по обеспечению требований нового Закона РФ 'О ..."
Отправлено Офигеть. , 13-Июл-11 21:41 
>> Может достаться и Вам, если вы не докажите что вы без умысла
>> читали данные, которые Вам не предоставлялись ;) А человек сделал всё
>> правильно - отнёс квитанцию в ящик по адресу. Ну, если не
>> по адресу, то да - виноват, но опять же умысел доказать
>> нужно
> а мне и не надо искать "вполне определенную сволочь". пусть сами ищут.
> подать иск на директора ЖКУ - он как первое лицо организации
> отвечает за все. и за ЭТО тоже. Он не обязан знать
> всех тонкостей конкретного процесса в своей организации. Но он обязан знать
> и уметь контролировать этот процесс.

Вот. А чтобы привлечь его к ответственности, как раз и нужен такой закон, а то иначе прокуратура и дело не откроет, в виду отсутствия состава преступления.


"План действий по обеспечению требований нового Закона РФ 'О ..."
Отправлено Офигеть , 14-Июл-11 09:18 
> Может достаться и Вам, если вы не докажите что вы без умысла
> читали данные, которые Вам не предоставлялись ;) А человек сделал всё
> правильно - отнёс квитанцию в ящик по адресу. Ну, если не
> по адресу, то да - виноват, но опять же умысел доказать
> нужно

С чего бы мне доказывать? Нормативный акт?


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено Аноним , 13-Июл-11 16:21 
Установка средств защиты в данном случае не спасут. Вам так же будут носить квитанции

"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено Офигеть. , 13-Июл-11 21:39 
> Установка средств защиты в данном случае не спасут. Вам так же будут
> носить квитанции

А вы никогда не находили в своём почтовом ящике кредитные карточки аля "Русский стандарт", "Тинькофф" или сообщения что вы выиграли автомобиль вот только нужно купить пару предметов, в каком то почтовом магазине?

И это весьма невинные примеры нарушения закона о ПД? И при чём тут средства защиты, я не давал этим организациям право на обработку своих ПД.


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено ragnar , 14-Июл-11 14:26 
>> Установка средств защиты в данном случае не спасут. Вам так же будут
>> носить квитанции
> А вы никогда не находили в своём почтовом ящике кредитные карточки аля
> "Русский стандарт", "Тинькофф" или сообщения что вы выиграли автомобиль вот только
> нужно купить пару предметов, в каком то почтовом магазине?
> И это весьма невинные примеры нарушения закона о ПД? И при чём
> тут средства защиты, я не давал этим организациям право на обработку
> своих ПД.

А вы не забывайте об уровнях ПД, например вполне можно распространять ПД, по которым невозможно однозначно идентифицировать человека. Например я могу передать ваше имя-отчество и адрес (скажем без указания города), но не передавать сведения о паспорте, ИНН, мед полисе и т.д. В таком случае привлечь будет невозможно. Т.к. невозможно однозначно идентифицировать вас, потому что в каждом городе есть скажем улица Ленина, д2, к.3. и есть большая вероятность, что хотя бы в двух населенных пунктах нашей родины необъятной по этому адресу проживает Иванов Иван Иваныч. Т.к. такими с помощью таких ПД невозможно напрямую получить материальную выгоду или совершить мошенничество, то они под закон не попадают - там о них упоминается в классификаторе, но за их распространение не несется ответственность..


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено Офигеть , 14-Июл-11 15:19 
А вы не забывайте об уровнях ПД, например вполне можно распространять ПД, по которым невозможно однозначно идентифицировать человека. Например я могу передать ваше имя-отчество и адрес (скажем без указания города), но не передавать сведения о паспорте, ИНН, мед полисе и т.д. В таком случае привлечь будет невозможно.

Адрес и ФИО уже К-3, и свободно передавать не получится, не указание города не является обезличиванием. Более того вы забываете "О разрешение на обработку ПД" и этого вполне достаточно чтобы  "письма счастья" и прочий "лохотрон" ко мне не приходил.


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено fr0ster , 14-Июл-11 22:27 
> А вы не забывайте об уровнях ПД, например вполне можно распространять ПД,
> по которым невозможно однозначно идентифицировать человека. Например я могу передать ваше
> имя-отчество и адрес (скажем без указания города), но не передавать сведения
> о паспорте, ИНН, мед полисе и т.д. В таком случае привлечь
> будет невозможно.

Вы учтите, что номер и серия паспорта в ряде случаев не считается достаточным для идентификации документом, в отличие от ИНН, всегда уникальном.


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено Офигеть. , 16-Июл-11 18:21 
> Вы учтите, что номер и серия паспорта в ряде случаев не считается
> достаточным для идентификации документом, в отличие от ИНН, всегда уникальном.

111111111111. Скажи с ходу чей это ИНН? Смогешь?


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено scor , 17-Июл-11 11:09 
> 111111111111. Скажи с ходу чей это ИНН? Смогешь?

Вы вообще верно понимаете термин "идентификация"?:) Какая разница какой второй идентификатор (ФИО) у субъекта под ИНН "111111111111"? Если даже этот номер позволяет со 100%-ной уверенностью _идентифицировать_ субъекта? На примере разжевать? Да легко!
Берём идентификатор "Офигеть" на ресурсе opennet.ru. Уже зная его можно с уверенностью _идентифицировать_ все сообщения составленные данным субъектом. И по информации в этих сообщениях можно составить предварительный образ данного субъекта: образ мышления, стиль ведения дискуссии, время наивысшей активности на форуме и т.д. Из "дополнительной информации" можно получить, например, что "Как лицензиат ФСБ с восьмилетнем стажем". И так далее. Другими словами идентификатор "Офигеть" позволяет утверждать, что, то или иное действие совершил именно этот субъект. С тем лишь отличием от ИНН, что "Офигеть" применим только на ресурсе opennet.ru, тогда как ИНН применим на территории всей РФ.
Теперь по самому ИНН. Мало того, что по этому номеру очень удобно _идентифицировать_ субъекта, так ещё можно и получить _дополнительную информацию_. Если бы номер был составлен корректно, то по нему, "сходу", можно определить регион, к котором он выдан, а также номер местной налоговой, а по нему узнать и город и район, в котором этому субъекту выдали этот ИНН. Из чего уже можно сделать вывод, что данный субъект, как минимум проживал в этом районе данного города, и есть вероятность, что до сих пор там и проживает. Т.е. ИНН позволяет _идентифицировать_ субъекта и _получить дополнительную информацию_. А уж о том, важна ли эта информация, и на сколько она может навредить, решать самому субъекту. Как-то так.:)


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено SirYorik , 14-Июл-11 14:47 
просмотрел обсуждение по диагонали, и чтото не встретил упоминания того что поправки к 152фз вчера прошли совет федераций, и про кипеж с письмом президенту в среде продвинутых безопасников (может невнимательно просматривал)

secinsight.blogspot.com personal-data.livejournal.com lukatsky.blogspot.com

если президент подпишет, то довольно быстро все методики (типа рекламируемой) надо будет перерабатывать.


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено Офигеть , 14-Июл-11 15:24 
> просмотрел обсуждение по диагонали, и чтото не встретил упоминания того что поправки
> к 152фз вчера прошли совет федераций, и про кипеж с письмом
> президенту в среде продвинутых безопасников (может невнимательно просматривал)
> secinsight.blogspot.com personal-data.livejournal.com lukatsky.blogspot.com
> если президент подпишет, то довольно быстро все методики (типа рекламируемой) надо будет
> перерабатывать.

Да ладно, тут процентов 90 высказывавшихся понятия не имеет об этом законе и текста его не видели. А вы еще тут с поправками, которых еще не приняли толком.

А тот кипеш это вообще из разряда юмора, ребята голословно сказали что внедрение закона будет стоить 6% ВВП, как считали никто не знает.


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено SirYorik , 15-Июл-11 14:54 
это не ребята придумали, а депутат (фио не отложилось) на слушаниях в парламенте.

и они правы, законное внедрение СЗИ СПДН стоит бабла немерянно.


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено Офигеть. , 16-Июл-11 14:55 
> это не ребята придумали, а депутат (фио не отложилось) на слушаниях в
> парламенте.
> и они правы, законное внедрение СЗИ СПДН стоит бабла немерянно.

Ну так оборот вырос, ВВП выросло. 90% компаний это вообще не касается. В результате внедрение даст рост экономики. Ребята не правы.


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено SirYorik , 18-Июл-11 06:59 
90% ?!, товарищ, вы не в теме, ЭТО касается любой организации и ИП засветившейся заведением ИНН.Роскомнадзор отталкивается от этой информации (ЕГРЮЛ и тп) при создании плана проверок, они *обязаны* проверить организацию на соблюдение 152фз по истечению 3х лет после даты создания организации. То, что ресурсов у РКН на проверку всех 3млн потенциальных операторов пДН нет, никого не колышет. Попасть в ближайший план проверок вероятность невелика, зато попасть на интерес пакости обиженному сутяге, как нефиг делать.

"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено SirYorik , 14-Июл-11 14:49 
"чтобы каждый ИТ-специалист мог приблизить собственный День Защиты Персональных Данных в своей компании,"

тут доля ИТ-специалиста процентов 50.
первые 50% должны вносить юристы и директорство и не сисадмин.


"План действий по обеспечению требований нового Закона РФ О п..."
Отправлено SirYorik , 14-Июл-11 14:52 
"Что делать в этой ситуации системному администратору или ИТ-специалисту? Стараться как можно скорее привести свою корпоративную сеть в соответствие с положениями ФЗ-152. Любые отсрочки сегодня могут стать причиной серьезных проблем на предприятии - вплоть до приостановки бизнес-процессов. "

только в случае если был приказ о назначении сисадмина крайним.
приостановка бизнеспроцесса должна парить директора, а не сисадмина.
кроме того до такой приостановки сперва пройдет куча времени и мелких штрафов.
а директора это обычно не парит. вероятности прихода РКН и последовательность наказаний тому способствует.