Форум ''Интернет и Право''

Основной раздел => Средства защиты информации => Тема начата: Алексей А. Шаталов от 04 Март 2011, 18:29:46



Название: Защита персональных данных на сайте.
Отправлено: Алексей А. Шаталов от 04 Март 2011, 18:29:46
Здравствуйте. Я хочу открыть тему и порассуждать, какие меры нужно предпринять на сетевом, техническом и программном уровне, чтобы соблоюсти требования ФЗ № 152 сайту, который содержит персональные данные. Каким образом выстроить отношения с пользователями, чтобы они были юридически чистыми. Имею в виду то, что согласие на обработку допускается с использованием ЭЦП или аналога собственноручной подписи, что получать с каждого пользователя - проблематично. Как быть? Какие соображения? Спасибо, за внимание и ответы.


Название: Re: Защита персональных данных на сайте.
Отправлено: Добряк от 04 Март 2011, 19:04:56
Очень полезный форум по этой теме http://ispdn.ru/forum/

Я интересовался как легализовать интернет магазин по ПД - в ответ что то типа, ах еще и инет маги тоже же теоретически нужно приводить в божеский вид ... а как? Так ни кто и не ответил.

Были потуги в сторону в оферте писать, что все ПД пользователь разрешает делать публичными, но мол надзоры за это накажут. Короче ребята, которые этим сейчас реально занимаются так и не смогли четко сказать что нужно и что можно сделать.


Название: Re: Защита персональных данных на сайте.
Отправлено: Osby от 04 Март 2011, 20:03:32
Недавно заказывал банковскую карту через интернет - там требовалось поставить флажок, что я согласен на обработку моих данных. Это не имеет юридической силы?


Название: Re: Защита персональных данных на сайте.
Отправлено: Igor Michailov от 04 Март 2011, 22:05:59
А банк сможет доказать, что за компьютером были именно вы?


Название: Re: Защита персональных данных на сайте.
Отправлено: Алексей А. Шаталов от 05 Март 2011, 10:10:23
Недавно заказывал банковскую карту через интернет - там требовалось поставить флажок, что я согласен на обработку моих данных. Это не имеет юридической силы?
Вот в этом и дело, что "флажок" ФЗ № 152 не предусмотрен.

А как быть с программным обеспечением? Я знаю, что, например, "1С-Битрикс" - имеет сертификаты ФСТЭК, но сайт созданный на данной платформе должен проходить дополнительную сертификацию там же. То, что 1С уже имеет сертификат - просто облегчит его получение для сайта, но, я так понимаю, не решает проблем безопасности на сетевом уровне.


Название: Re: Защита персональных данных на сайте.
Отправлено: Николай Николаевич Федотов от 20 Март 2011, 12:54:38
Боюсь, что "привести в соответствие с законом" не получится. Во-первых, закон бланкетный, сам требований почти не устанавливает, отсылает к подзаконным и под-подзаконным актам. Во-вторых, все ведомственные акты написаны нарочно так, чтобы их нельзя было выполнить, для максимизации коррупционных возможностей контролирующих органов. Поэтому большинство предприятий даже не рыпаются в сторону "приведения в соответствие", а просто платят за получение нужных бумажек.


Название: Re: Защита персональных данных на сайте.
Отправлено: Алексей А. Шаталов от 08 Апрель 2011, 14:39:24
... а просто платят за получение нужных бумажек.
Вернусь к теме. Актуальность возобновилась. Соглашусь с Вами, Николай Николаевич. Пришел к такому же выводу. По поводу "бумажек":
насколько я знаю, необходима общая аттестация информационной системы (веб-сервера). Этим занимаются организации, лицензированные ФСТЭК. При использовании сертифицированных продуктов аттестация будет проще и дешевле. Если кто занимался подобным вопросом и/или аттестовывал сайт, можно поподробнее об этом рассказать? Интересует сроки, примерная стоимость "бумажек", необходмо ли дополнительное шифровальное оборудование... в целом прошу, кто знает, сообщите, пожалуйста, подробности, буду признателен.


Название: Re: Защита персональных данных на сайте.
Отправлено: korsar от 20 Апрель 2011, 06:34:02
... а просто платят за получение нужных бумажек.
Вернусь к теме. Актуальность возобновилась. Соглашусь с Вами, Николай Николаевич. Пришел к такому же выводу. По поводу "бумажек":
насколько я знаю, необходима общая аттестация информационной системы (веб-сервера). Этим занимаются организации, лицензированные ФСТЭК. При использовании сертифицированных продуктов аттестация будет проще и дешевле. Если кто занимался подобным вопросом и/или аттестовывал сайт, можно поподробнее об этом рассказать? Интересует сроки, примерная стоимость "бумажек", необходмо ли дополнительное шифровальное оборудование... в целом прошу, кто знает, сообщите, пожалуйста, подробности, буду признателен.

Не совсем понятен вопрос об аттестации-

Насколько понимаю, после вступления в силу приказа ФСТЭК 58, РД ФСТЭК
"ОСНОВНЫЕ МЕРОПРИЯТИЯ ПО ОРГАНИЗАЦИИ И ТЕХНИЧЕСКОМУ ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ",в котором в п 3.11 " требовалась для ИСПДн 1 и 2 классов – обязательная сертификация (аттестация) по требованиям безопасности информации"   - потерял силу


В  п. 3 «Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»:
«Достаточность принятых мер по обеспечению безопасности персональных данных при их обработке в информационных системах оценивается при проведении государственного контроля и надзора» (приказ ФСТЭК 58 2010г).

В соответствии с п. 12 в) «Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» (Постановление Правительства РФ 2007 г. № 781) оператору достаточно обеспечить «проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации» и проведение аттестации его ИСПДн не требуется.

Поскольку ПД это  разновидность конфиденциальной информации - здесь работают СТР-К.
Однако требования СТР-К являются обязательными только для защиты государственных информационных ресурсов.
Согласно ч. 9 ст. 14 Федерального закона №149-ФЗ «Об информации, информационных технологиях и защите информации»:
«Информация, содержащаяся в государственных информационных системах, а также иные имеющиеся в распоряжении государственных органов сведения и документы являются государственными информационными ресурсами».
Отсюда можно сделать вывод, что обязательная аттестация проводится только для государственных информационных систем, в которых осуществляется обработка персональных данных. В остальных случаях она носит добровольный (необязательный характер).



Название: Re: Защита персональных данных на сайте.
Отправлено: Алексей А. Шаталов от 20 Апрель 2011, 12:44:01
Отсюда можно сделать вывод, что обязательная аттестация проводится только для государственных информационных систем, в которых осуществляется обработка персональных данных. В остальных случаях она носит добровольный (необязательный характер).
Вот я тоже такого мнения. Найду время - разберусь поподробнее.


Название: Re: Защита персональных данных на сайте.
Отправлено: Алексей А. Шаталов от 20 Апрель 2011, 14:54:24
Аттестация обязательна для компаний, обрабатывающих первый и второй классы информационных систем (ИС) персональных данных.
1 Класс:
ПДн, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни. Также ПДн, позволяющие идентифицировать субъекта и получить о нем дополнительную информацию, если в ИС одновременно обрабатываются ПДн более чем 100 000 субъектов, либо одновременно обрабатываются ПДн субъектов в пределах субъекта Российской Федерации или Российской Федерации в целом.

2 Класс:
ПДн, позволяющие идентифицировать субъекта и получить о нем дополнительную информацию, если в ИС одновременно обрабатываются ПДн от 1000 до 100 000 субъектов ПДн, либо одновременно обрабатываются ПДн субъектов ПДн, работающих в отрасли экономики Российской Федерации, в органе гос. власти, проживающих в пределах муниципального образования. Также ПДн, позволяющие 
идентифицировать субъекта, если в ИС одновременно обрабатываются ПДн более чем 100 000 субъектов либо одновременно обрабатываются ПДн субъектов в пределах субъекта Российской Федерации или Российской Федерации в целом.

В остальных случаях аттестация не обязательна.


Название: Re: Защита персональных данных на сайте.
Отправлено: korsar от 21 Апрель 2011, 04:20:49
Аттестация обязательна для компаний, обрабатывающих первый и второй классы информационных систем (ИС) персональных данных.
1 Класс:
ПДн, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни. Также ПДн, позволяющие идентифицировать субъекта и получить о нем дополнительную информацию, если в ИС одновременно обрабатываются ПДн более чем 100 000 субъектов, либо одновременно обрабатываются ПДн субъектов в пределах субъекта Российской Федерации или Российской Федерации в целом.

2 Класс:
ПДн, позволяющие идентифицировать субъекта и получить о нем дополнительную информацию, если в ИС одновременно обрабатываются ПДн от 1000 до 100 000 субъектов ПДн, либо одновременно обрабатываются ПДн субъектов ПДн, работающих в отрасли экономики Российской Федерации, в органе гос. власти, проживающих в пределах муниципального образования. Также ПДн, позволяющие  
идентифицировать субъекта, если в ИС одновременно обрабатываются ПДн более чем 100 000 субъектов либо одновременно обрабатываются ПДн субъектов в пределах субъекта Российской Федерации или Российской Федерации в целом.

В остальных случаях аттестация не обязательна.

Однако вы меня не поняли.  Из какого документа вы это взяли? - Этот документ отменен еще в марте 2010г. Он входил в так называемое 4-книжие и его название я привел выше. После выхода 58 приказа, утвердившего иной документ (его название выше) - 2 из 4 документов ФСТЭК были отменены внутренним приказом (поскольку они не регистрировались в минюсте, то в Инете инфы было мало. А как проводить классификацию и т.п. я прекрасно знаю)).  

А новый РД не требует аттестации, понятие аттестации осталось только в СТР-К (который, кстати , тоже в минюсте не регистрирован, однако он входит в число действующих руководящих документов ФСТЭК)


Название: Re: Защита персональных данных на сайте.
Отправлено: Алексей А. Шаталов от 21 Апрель 2011, 09:29:53
Однако вы меня не поняли.  Из какого документа вы это взяли?
Самого документа я не видел, я читал:
"ПРАКТИЧЕСКИЕ АСПЕКТЫ РЕАЛИЗАЦИИ ПОЛОЖЕНИЙ ФЕДЕРАЛЬНОГО ЗАКОНА "О ПЕРСОНАЛЬНЫХ ДАННЫХ"
В.Сердюк К. т. н., CISSP, генеральный директор ЗАО "ДиалогНаука" Подписано в печать 17.05.2010.

Цитирую:

Цитировать
Аттестация информационной системы, обрабатывающей
персональные данные.
Аттестация является обязательной для систем классов К1 и К2 и представляет собой завершающий этап создания системы защиты персональных данных. На данном этапе проводится комплекс проверок, позволяющих выдать аттестат соответствия требованиям по безопасности персональных данных. Аттестация проводится специализированными организациями, имеющими необходимые лицензии ФСТЭК и аттестат аккредитации.


Этот документ отменен еще в марте 2010г. Он входил в так называемое 4-книжие и его название я привел выше.
Стало быть, гражданин Сердюк, выпустив свою статью в мае, не знал, что обязательная аттестация отменена еще в марте?

А как проводить классификацию и т.п. я прекрасно знаю)).  
О... Вы, уважаемый korsar, напишите, пожалуйста, в личку, что Вы знаете и что Вы можете в этом направлении, может, мы друг другу полезны.

P.S. Бегло прочел Приказ от 5 февраля 2010 г. N 58 ничего об обязательной аттестации или ее отмене не нашел. Может Вы подскажете, что по тексту этого Приказа говорит о том, что аттестация не обязательна?


Название: Re: Защита персональных данных на сайте.
Отправлено: korsar от 21 Апрель 2011, 13:04:19
Однако вы меня не поняли.  Из какого документа вы это взяли?
Самого документа я не видел, я читал:
"ПРАКТИЧЕСКИЕ АСПЕКТЫ РЕАЛИЗАЦИИ ПОЛОЖЕНИЙ ФЕДЕРАЛЬНОГО ЗАКОНА "О ПЕРСОНАЛЬНЫХ ДАННЫХ"
В.Сердюк К. т. н., CISSP, генеральный директор ЗАО "ДиалогНаука" Подписано в печать 17.05.2010.

Цитирую:

Цитировать
Аттестация информационной системы, обрабатывающей
персональные данные.
Аттестация является обязательной для систем классов К1 и К2 и представляет собой завершающий этап создания системы защиты персональных данных. На данном этапе проводится комплекс проверок, позволяющих выдать аттестат соответствия требованиям по безопасности персональных данных. Аттестация проводится специализированными организациями, имеющими необходимые лицензии ФСТЭК и аттестат аккредитации.


Этот документ отменен еще в марте 2010г. Он входил в так называемое 4-книжие и его название я привел выше.
Стало быть, гражданин Сердюк, выпустив свою статью в мае, не знал, что обязательная аттестация отменена еще в марте?

А как проводить классификацию и т.п. я прекрасно знаю)).  
О... Вы, уважаемый korsar, напишите, пожалуйста, в личку, что Вы знаете и что Вы можете в этом направлении, может, мы друг другу полезны.

P.S. Бегло прочел Приказ от 5 февраля 2010 г. N 58 ничего об обязательной аттестации или ее отмене не нашел. Может Вы подскажете, что по тексту этого Приказа говорит о том, что аттестация не обязательна?


Ну по-первых "крутым" спецом я не являюсь (всего лишь  возглавляю региональное подразделение информбезопсности одной госкорпорации) - просто мы эти этапы у себя в корпорации выполнили уже.
Как проводить классификацию системы описано в
" Приказ Федеральной службы по техническому и экспортному контролю, ФСБ РФ и Министерства информационных технологий и связи РФ
от 13 февраля 2008 г. N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных"
 
Помимо этого (классификации) разработана и утверждена концепция корпорации по ЗИ и  модель угроз (на основе типовой модели ФСТЭК),
Утверждено Описание СЗИ
инструкции по ЗИ в корпоративной АИС и куча сопутствующих, включая списки допущенных, инструкции по авторизации, актуализация таблиц разграничения доступа и т.д и т.п.
Выполнены все требования к системам нашего класса в соответствии с приказом 58 (НСД, мониторинг, система обнаружения вторжений и т.д.).

И , по крайней мере, проходившие проверки ФСТЭК и ФСБ в прошлом году во многих наших регионах нарушений не выявили.


Название: Re: Защита персональных данных на сайте.
Отправлено: Алексей А. Шаталов от 22 Апрель 2011, 10:16:24
Скромный Вы человек, korsar. Будьте добры, если можно, напишите мне в личку какой регион, кто проводил аттестацию, на каких условиях. Дело в том, что я юрист, и в технические моменты не особо люблю лезть, а аттестация нужна и не единоразово, и не одного объекта. Кстати, Ваш объект, о котором Вы ведете речь - Интернет-сайт, я правильно понимаю?


Название: Re: Защита персональных данных на сайте.
Отправлено: korsar от 22 Апрель 2011, 13:00:27
Скромный Вы человек, korsar. Будьте добры, если можно, напишите мне в личку какой регион, кто проводил аттестацию, на каких условиях. Дело в том, что я юрист, и в технические моменты не особо люблю лезть, а аттестация нужна и не единоразово, и не одного объекта. Кстати, Ваш объект, о котором Вы ведете речь - Интернет-сайт, я правильно понимаю?

Нет, не сайт. В личку написал, что мы делали и каковы наши ИСПДН. Кстати, почему-то не вижу, где посмотреть свои отправленные сообщения можно - в исходящих пусто, а позиции "отправленные нет.


Название: Re: Защита персональных данных на сайте.
Отправлено: Алексей А. Шаталов от 22 Апрель 2011, 14:44:08
Нет, не сайт. В личку написал, что мы делали и каковы наши ИСПДН. Кстати, почему-то не вижу, где посмотреть свои отправленные сообщения можно - в исходящих пусто, а позиции "отправленные нет.
Увидел, спасибо. В исходящих должно быть.


Название: Re: Защита персональных данных на сайте.
Отправлено: Igor Michailov от 22 Апрель 2011, 19:06:32
в исходящих пусто, а позиции "отправленные нет.
По умолчанию, отправленные письма не сохраняются. Чтобы у вас осталась копия отправляемого сообщения установите галочку в опции "Сохранять копию в исходящих" (расположено под окошком, куда вы вводите текст сообщения).