Форум ''Интернет и Право''

Здравствуйте. Я хочу открыть тему и порассуждать, какие меры нужно предпринять на сетевом, техническом и программном уровне, чтобы соблоюсти требования ФЗ № 152 сайту, который содержит персональные данные. Каким образом выстроить отношения с пользователями, чтобы они были юридически чистыми. Имею в виду то, что согласие на обработку допускается с использованием ЭЦП или аналога собственноручной подписи, что получать с каждого пользователя - проблематично. Как быть? Какие соображения? Спасибо, за внимание и ответы.

Очень полезный форум по этой теме http://ispdn.ru/forum/

Я интересовался как легализовать интернет магазин по ПД - в ответ что то типа, ах еще и инет маги тоже же теоретически нужно приводить в божеский вид ... а как? Так ни кто и не ответил.

Были потуги в сторону в оферте писать, что все ПД пользователь разрешает делать публичными, но мол надзоры за это накажут. Короче ребята, которые этим сейчас реально занимаются так и не смогли четко сказать что нужно и что можно сделать.

Недавно заказывал банковскую карту через интернет - там требовалось поставить флажок, что я согласен на обработку моих данных. Это не имеет юридической силы?

А банк сможет доказать, что за компьютером были именно вы?

Вот в этом и дело, что "флажок" ФЗ № 152 не предусмотрен.

А как быть с программным обеспечением? Я знаю, что, например, "1С-Битрикс" - имеет сертификаты ФСТЭК, но сайт созданный на данной платформе должен проходить дополнительную сертификацию там же. То, что 1С уже имеет сертификат - просто облегчит его получение для сайта, но, я так понимаю, не решает проблем безопасности на сетевом уровне.

Боюсь, что "привести в соответствие с законом" не получится. Во-первых, закон бланкетный, сам требований почти не устанавливает, отсылает к подзаконным и под-подзаконным актам. Во-вторых, все ведомственные акты написаны нарочно так, чтобы их нельзя было выполнить, для максимизации коррупционных возможностей контролирующих органов. Поэтому большинство предприятий даже не рыпаются в сторону "приведения в соответствие", а просто платят за получение нужных бумажек.

Вернусь к теме. Актуальность возобновилась. Соглашусь с Вами, Николай Николаевич. Пришел к такому же выводу. По поводу "бумажек":
насколько я знаю, необходима общая аттестация информационной системы (веб-сервера). Этим занимаются организации, лицензированные ФСТЭК. При использовании сертифицированных продуктов аттестация будет проще и дешевле. Если кто занимался подобным вопросом и/или аттестовывал сайт, можно поподробнее об этом рассказать? Интересует сроки, примерная стоимость "бумажек", необходмо ли дополнительное шифровальное оборудование... в целом прошу, кто знает, сообщите, пожалуйста, подробности, буду признателен.

Не совсем понятен вопрос об аттестации-

Насколько понимаю, после вступления в силу приказа ФСТЭК 58, РД ФСТЭК
"ОСНОВНЫЕ МЕРОПРИЯТИЯ ПО ОРГАНИЗАЦИИ И ТЕХНИЧЕСКОМУ ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ",в котором в п 3.11 " требовалась для ИСПДн 1 и 2 классов – обязательная сертификация (аттестация) по требованиям безопасности информации"   - потерял силу


В  п. 3 «Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»:
«Достаточность принятых мер по обеспечению безопасности персональных данных при их обработке в информационных системах оценивается при проведении государственного контроля и надзора» (приказ ФСТЭК 58 2010г).

В соответствии с п. 12 в) «Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» (Постановление Правительства РФ 2007 г. № 781) оператору достаточно обеспечить «проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации» и проведение аттестации его ИСПДн не требуется.

Поскольку ПД это  разновидность конфиденциальной информации - здесь работают СТР-К.
Однако требования СТР-К являются обязательными только для защиты государственных информационных ресурсов.
Согласно ч. 9 ст. 14 Федерального закона №149-ФЗ «Об информации, информационных технологиях и защите информации»:
«Информация, содержащаяся в государственных информационных системах, а также иные имеющиеся в распоряжении государственных органов сведения и документы являются государственными информационными ресурсами».
Отсюда можно сделать вывод, что обязательная аттестация проводится только для государственных информационных систем, в которых осуществляется обработка персональных данных. В остальных случаях она носит добровольный (необязательный характер).

Вот я тоже такого мнения. Найду время - разберусь поподробнее.

Аттестация обязательна для компаний, обрабатывающих первый и второй классы информационных систем (ИС) персональных данных.
1 Класс:
ПДн, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни. Также ПДн, позволяющие идентифицировать субъекта и получить о нем дополнительную информацию, если в ИС одновременно обрабатываются ПДн более чем 100 000 субъектов, либо одновременно обрабатываются ПДн субъектов в пределах субъекта Российской Федерации или Российской Федерации в целом.

2 Класс:
ПДн, позволяющие идентифицировать субъекта и получить о нем дополнительную информацию, если в ИС одновременно обрабатываются ПДн от 1000 до 100 000 субъектов ПДн, либо одновременно обрабатываются ПДн субъектов ПДн, работающих в отрасли экономики Российской Федерации, в органе гос. власти, проживающих в пределах муниципального образования. Также ПДн, позволяющие 
идентифицировать субъекта, если в ИС одновременно обрабатываются ПДн более чем 100 000 субъектов либо одновременно обрабатываются ПДн субъектов в пределах субъекта Российской Федерации или Российской Федерации в целом.

В остальных случаях аттестация не обязательна.

Однако вы меня не поняли.  Из какого документа вы это взяли? - Этот документ отменен еще в марте 2010г. Он входил в так называемое 4-книжие и его название я привел выше. После выхода 58 приказа, утвердившего иной документ (его название выше) - 2 из 4 документов ФСТЭК были отменены внутренним приказом (поскольку они не регистрировались в минюсте, то в Инете инфы было мало. А как проводить классификацию и т.п. я прекрасно знаю)).  

А новый РД не требует аттестации, понятие аттестации осталось только в СТР-К (который, кстати , тоже в минюсте не регистрирован, однако он входит в число действующих руководящих документов ФСТЭК)

Самого документа я не видел, я читал:
"ПРАКТИЧЕСКИЕ АСПЕКТЫ РЕАЛИЗАЦИИ ПОЛОЖЕНИЙ ФЕДЕРАЛЬНОГО ЗАКОНА "О ПЕРСОНАЛЬНЫХ ДАННЫХ"
В.Сердюк К. т. н., CISSP, генеральный директор ЗАО "ДиалогНаука" Подписано в печать 17.05.2010.

Цитирую:



Стало быть, гражданин Сердюк, выпустив свою статью в мае, не знал, что обязательная аттестация отменена еще в марте?

О... Вы, уважаемый korsar, напишите, пожалуйста, в личку, что Вы знаете и что Вы можете в этом направлении, может, мы друг другу полезны.

P.S. Бегло прочел Приказ от 5 февраля 2010 г. N 58 ничего об обязательной аттестации или ее отмене не нашел. Может Вы подскажете, что по тексту этого Приказа говорит о том, что аттестация не обязательна?

Ну по-первых "крутым" спецом я не являюсь (всего лишь  возглавляю региональное подразделение информбезопсности одной госкорпорации) - просто мы эти этапы у себя в корпорации выполнили уже.
Как проводить классификацию системы описано в
" Приказ Федеральной службы по техническому и экспортному контролю, ФСБ РФ и Министерства информационных технологий и связи РФ
от 13 февраля 2008 г. N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных"
 
Помимо этого (классификации) разработана и утверждена концепция корпорации по ЗИ и  модель угроз (на основе типовой модели ФСТЭК),
Утверждено Описание СЗИ
инструкции по ЗИ в корпоративной АИС и куча сопутствующих, включая списки допущенных, инструкции по авторизации, актуализация таблиц разграничения доступа и т.д и т.п.
Выполнены все требования к системам нашего класса в соответствии с приказом 58 (НСД, мониторинг, система обнаружения вторжений и т.д.).

И , по крайней мере, проходившие проверки ФСТЭК и ФСБ в прошлом году во многих наших регионах нарушений не выявили.

Скромный Вы человек, korsar. Будьте добры, если можно, напишите мне в личку какой регион, кто проводил аттестацию, на каких условиях. Дело в том, что я юрист, и в технические моменты не особо люблю лезть, а аттестация нужна и не единоразово, и не одного объекта. Кстати, Ваш объект, о котором Вы ведете речь - Интернет-сайт, я правильно понимаю?

Нет, не сайт. В личку написал, что мы делали и каковы наши ИСПДН. Кстати, почему-то не вижу, где посмотреть свои отправленные сообщения можно - в исходящих пусто, а позиции "отправленные нет.

Увидел, спасибо. В исходящих должно быть.

По умолчанию, отправленные письма не сохраняются. Чтобы у вас осталась копия отправляемого сообщения установите галочку в опции "Сохранять копию в исходящих" (расположено под окошком, куда вы вводите текст сообщения).