Форум ''Интернет и Право''
29 Марта 2024, 12:31:44 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.

Войти
Новости: Форум "Интернет и Право" прекратил свою работу с 01 января 2013 г.
 
   Начало   Помощь Поиск Войти Регистрация  
В закладки:
Страниц: [1] 2   Вниз
  Печать  
Автор Тема: Защита персональных данных на сайте.  (Прочитано 18857 раз)
Алексей А. Шаталов
Модератор
Завсегдатай
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 1495


Это девственная территория для публичных домов

600942454
« : 04 Марта 2011, 18:29:46 »

Здравствуйте. Я хочу открыть тему и порассуждать, какие меры нужно предпринять на сетевом, техническом и программном уровне, чтобы соблоюсти требования ФЗ № 152 сайту, который содержит персональные данные. Каким образом выстроить отношения с пользователями, чтобы они были юридически чистыми. Имею в виду то, что согласие на обработку допускается с использованием ЭЦП или аналога собственноручной подписи, что получать с каждого пользователя - проблематично. Как быть? Какие соображения? Спасибо, за внимание и ответы.
Записан
Добряк
Посетитель
*
Офлайн Офлайн

Сообщений: 11


E-mail
« Ответ #1 : 04 Марта 2011, 19:04:56 »

Очень полезный форум по этой теме http://ispdn.ru/forum/

Я интересовался как легализовать интернет магазин по ПД - в ответ что то типа, ах еще и инет маги тоже же теоретически нужно приводить в божеский вид ... а как? Так ни кто и не ответил.

Были потуги в сторону в оферте писать, что все ПД пользователь разрешает делать публичными, но мол надзоры за это накажут. Короче ребята, которые этим сейчас реально занимаются так и не смогли четко сказать что нужно и что можно сделать.
Записан
Osby
Посетитель
*
Офлайн Офлайн

Пол: Мужской
Сообщений: 32


« Ответ #2 : 04 Марта 2011, 20:03:32 »

Недавно заказывал банковскую карту через интернет - там требовалось поставить флажок, что я согласен на обработку моих данных. Это не имеет юридической силы?
Записан
Igor Michailov
Модератор
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 7261



« Ответ #3 : 04 Марта 2011, 22:05:59 »

А банк сможет доказать, что за компьютером были именно вы?
Записан

Юридические консультации.

Помощь в составлении жалоб и ходатайств.

Заверение контента сайтов, Интернет-страниц, электронной почты.
Алексей А. Шаталов
Модератор
Завсегдатай
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 1495


Это девственная территория для публичных домов

600942454
« Ответ #4 : 05 Марта 2011, 10:10:23 »

Недавно заказывал банковскую карту через интернет - там требовалось поставить флажок, что я согласен на обработку моих данных. Это не имеет юридической силы?
Вот в этом и дело, что "флажок" ФЗ № 152 не предусмотрен.

А как быть с программным обеспечением? Я знаю, что, например, "1С-Битрикс" - имеет сертификаты ФСТЭК, но сайт созданный на данной платформе должен проходить дополнительную сертификацию там же. То, что 1С уже имеет сертификат - просто облегчит его получение для сайта, но, я так понимаю, не решает проблем безопасности на сетевом уровне.
Записан
Николай Николаевич Федотов
Ведущий
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 4531


Мафия бессмертна, сыск вечен!

263087756
WWW E-mail
« Ответ #5 : 20 Марта 2011, 12:54:38 »

Боюсь, что "привести в соответствие с законом" не получится. Во-первых, закон бланкетный, сам требований почти не устанавливает, отсылает к подзаконным и под-подзаконным актам. Во-вторых, все ведомственные акты написаны нарочно так, чтобы их нельзя было выполнить, для максимизации коррупционных возможностей контролирующих органов. Поэтому большинство предприятий даже не рыпаются в сторону "приведения в соответствие", а просто платят за получение нужных бумажек.
Записан

Форензика - компьютерная криминалистика: http://forensics.ru/
Алексей А. Шаталов
Модератор
Завсегдатай
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 1495


Это девственная территория для публичных домов

600942454
« Ответ #6 : 08 Апреля 2011, 14:39:24 »

... а просто платят за получение нужных бумажек.
Вернусь к теме. Актуальность возобновилась. Соглашусь с Вами, Николай Николаевич. Пришел к такому же выводу. По поводу "бумажек":
насколько я знаю, необходима общая аттестация информационной системы (веб-сервера). Этим занимаются организации, лицензированные ФСТЭК. При использовании сертифицированных продуктов аттестация будет проще и дешевле. Если кто занимался подобным вопросом и/или аттестовывал сайт, можно поподробнее об этом рассказать? Интересует сроки, примерная стоимость "бумажек", необходмо ли дополнительное шифровальное оборудование... в целом прошу, кто знает, сообщите, пожалуйста, подробности, буду признателен.
Записан
korsar
Посетитель
*
Офлайн Офлайн

Сообщений: 84


С любовью к ближнему


E-mail
« Ответ #7 : 20 Апреля 2011, 06:34:02 »

... а просто платят за получение нужных бумажек.
Вернусь к теме. Актуальность возобновилась. Соглашусь с Вами, Николай Николаевич. Пришел к такому же выводу. По поводу "бумажек":
насколько я знаю, необходима общая аттестация информационной системы (веб-сервера). Этим занимаются организации, лицензированные ФСТЭК. При использовании сертифицированных продуктов аттестация будет проще и дешевле. Если кто занимался подобным вопросом и/или аттестовывал сайт, можно поподробнее об этом рассказать? Интересует сроки, примерная стоимость "бумажек", необходмо ли дополнительное шифровальное оборудование... в целом прошу, кто знает, сообщите, пожалуйста, подробности, буду признателен.

Не совсем понятен вопрос об аттестации-

Насколько понимаю, после вступления в силу приказа ФСТЭК 58, РД ФСТЭК
"ОСНОВНЫЕ МЕРОПРИЯТИЯ ПО ОРГАНИЗАЦИИ И ТЕХНИЧЕСКОМУ ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ",в котором в п 3.11 " требовалась для ИСПДн 1 и 2 классов – обязательная сертификация (аттестация) по требованиям безопасности информации"   - потерял силу


В  п. 3 «Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»:
«Достаточность принятых мер по обеспечению безопасности персональных данных при их обработке в информационных системах оценивается при проведении государственного контроля и надзора» (приказ ФСТЭК 58 2010г).

В соответствии с п. 12 в) «Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» (Постановление Правительства РФ 2007 г. № 781) оператору достаточно обеспечить «проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации» и проведение аттестации его ИСПДн не требуется.

Поскольку ПД это  разновидность конфиденциальной информации - здесь работают СТР-К.
Однако требования СТР-К являются обязательными только для защиты государственных информационных ресурсов.
Согласно ч. 9 ст. 14 Федерального закона №149-ФЗ «Об информации, информационных технологиях и защите информации»:
«Информация, содержащаяся в государственных информационных системах, а также иные имеющиеся в распоряжении государственных органов сведения и документы являются государственными информационными ресурсами».
Отсюда можно сделать вывод, что обязательная аттестация проводится только для государственных информационных систем, в которых осуществляется обработка персональных данных. В остальных случаях она носит добровольный (необязательный характер).

Записан
Алексей А. Шаталов
Модератор
Завсегдатай
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 1495


Это девственная территория для публичных домов

600942454
« Ответ #8 : 20 Апреля 2011, 12:44:01 »

Отсюда можно сделать вывод, что обязательная аттестация проводится только для государственных информационных систем, в которых осуществляется обработка персональных данных. В остальных случаях она носит добровольный (необязательный характер).
Вот я тоже такого мнения. Найду время - разберусь поподробнее.
Записан
Алексей А. Шаталов
Модератор
Завсегдатай
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 1495


Это девственная территория для публичных домов

600942454
« Ответ #9 : 20 Апреля 2011, 14:54:24 »

Аттестация обязательна для компаний, обрабатывающих первый и второй классы информационных систем (ИС) персональных данных.
1 Класс:
ПДн, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни. Также ПДн, позволяющие идентифицировать субъекта и получить о нем дополнительную информацию, если в ИС одновременно обрабатываются ПДн более чем 100 000 субъектов, либо одновременно обрабатываются ПДн субъектов в пределах субъекта Российской Федерации или Российской Федерации в целом.

2 Класс:
ПДн, позволяющие идентифицировать субъекта и получить о нем дополнительную информацию, если в ИС одновременно обрабатываются ПДн от 1000 до 100 000 субъектов ПДн, либо одновременно обрабатываются ПДн субъектов ПДн, работающих в отрасли экономики Российской Федерации, в органе гос. власти, проживающих в пределах муниципального образования. Также ПДн, позволяющие 
идентифицировать субъекта, если в ИС одновременно обрабатываются ПДн более чем 100 000 субъектов либо одновременно обрабатываются ПДн субъектов в пределах субъекта Российской Федерации или Российской Федерации в целом.

В остальных случаях аттестация не обязательна.
Записан
Страниц: [1] 2   Вверх
  Печать  
 
Перейти в:  

Яндекс цитирования © Антон Серго, 1998-2012. Правовая информация.
Карта сайта "Интернет и Право" (internet-law.ru).

На правах рекламы:

Произвольная ссылка:







Powered by SMF 1.1.21 | SMF © 2011, Simple Machines