ясно+20.6
ясно
завтра
пасмурно, град с дождем+30.0
послезавтра
переменная облачность, возможна гроза+21.0
$59.6564+0.0000
66.6780+0.0000
Информационная безопасность персональных данныхОтветов (9)

Информационная безопасность персональных данных

По закону "О персональных данных" до 1.01.2011 года все предприятия обрабатывающие персональные данные должны привести свои информационные системы в соответствии с требованиями законодательства. Срогович Данил расскажет все об обеспечении безопасности персональных данных, методах оптимизации затрат при построении системы защиты, путях исполнения основных положений закона.
Василий
Здравствуйте, некое ООО просит в договоре о купле-продаже комунального ресурса (тепловой энергии) просит указать мои полные паспортные данные, включая серию, номер паспорта и т.д., при этом в договоре нигде не оговаривается каким образом они будут использованы.При общении с их юристом по телефону, был получен ответ, что они не занимаются обработкой ПД.Тогда непонятно, зачем они просят их столь подробно указать их в договоре.Насколько это законно?
Ответ
В целом, сбор ПДн для целей исполнения договора не является нарушением ФЗ "О персональных данных". И, думаю, такой набор данных обоснован, т.к. Вы заключаете договор на продолжительный срок, подразумевающий возможность предъявления к Вам исковых требований за неисполнение условий договора, а без паспортных данных это будет сложно сделать. Оператор ПДн (то самое ООО) не обязан раскрывать суть обработки ПДн в тексте договора, или уведомлять субъекта ПДн о начале обработки. Поэтому в этом нет нарушения законодательства. Есть ФЗ "О персональных данных", оператор должен его придерживаться и никакие дополнительные приписки не могут снять с него эту ответственность. С другой стороны, у Вас, как у субъекта ПДн, есть право (см. ч. 1 ст. 14), а у оператора - обязанность (см. ч. 1 ст. 18 или ст. 20) на получение некоторой информации от оператора во время сбора ПДн и их последующей обработки. Полный перечень предоставляемой информации Вы найдете в ч. 7 ст. 14: http://www.consultant.ru/document/cons_doc_LAW_166051/?frame=13#p236 И дело не в том, что оператор собирает, а в том как он обрабатывает Ваши ПДн и соблюдает требования ФЗ-152. Плюс ко всему, должны соблюдаться не только Ваши права, но и данные должны быть должным образом защищены (ст. 19). А юрист видимо ошибся и быть не может такого, что компания заключает договор с физ. лицами, но не считается оператором ПДн. Каждый оператор ПДн должен назначить ответственного за организацию обработки ПДн и этот человек может дать Вам компетентный вопрос. Его контакты можно поискать в реестре операторов ПДн: http://pd.rkn.gov.ru/. Для защиты своих прав, Вы можете обратиться с заявлением в местный Роскомнадзор (http://70.rkn.gov.ru/), прокуратору или напрямую в суд.
Юрий Алексеевич Мышинский
Ставить или не ставить антивирусную программу на Apple Mac ?
Ответ
Обязательно, если возникают такие вопросы.
Мариша
Добрый день! Мой знакомый вскрыл все мои пароли, прочитал всб мою перписку везде. Я не опнимаю как но это сделал( Скажите, как лучше защищаться от взлома. Он ведь даже не в Томске и доступа к компьютеру прямого не имел..
Ответ
То, что злоумышленник не находится рядом с Вами или не имеет доступа к компьютеру, еще не означает полную защищенность. Речь видимо идет про популярные веб-сервисы и они ему так-же доступны из любой точки мира, как и Вам. Вполне может быть, что он смог подобрать пароль к Вашей учетной записи. Вариантов взлома (несанкционированного доступа) в веб-сервисам может быть несколько, но основные рекомендации простые: 1) ставьте сложные пароли и чаще их меняйте; 2) используйте уникальные пароли для различных сервисов; 2а) храните пароли в надежном месте: используйте менеджер паролей или записывайте в блокнот, но храните его подальше от компьютера; 3) для контрольных вопросов на восстановление пароля выбирайте несуществующие события-имена-явления; 4) пользуйтесь проверенными антивирусами; 5) не запускайте программы и не переходите по ссылкам присланные от подозрительных отправителей; 6) пользуйтесь защищенными протоколами при передаче конфиденциальной информации - https.
андрей
Здравствуйте! Какие существуют способы обезопасить свою электронную подпись?
Ответ
Вопрос требует уточнения, но основные приемы защиты ЭП: использовать съемный носитель или аппаратный токен (Рутокен, Етокен) для хранения и использования сертификата ЭП. И пользуйтесь услугами проверенных и надежных удостоверяющих центров (УЦ).
Александр Воробьёв
Здравствуйте у меня вот такой вопрос на каком основании банки используют мои личные данные???Пред история ,я в магазине взял под кредит товар.Выплатил исправно и потом пошло начались приходить по почте всякие рекламные буклеты ,началось татальное надоедание.Я позвонил по телефону в офис и попросил чтобы прекратили названивать,посылать бланки но это не подействовало,прошёл месяц они игнорировали моим просьбам и пока не пообещал подать в суд ,не ужели везде надо подавать в суд, для кого пишутся законы???????????
Ответ
Основанием для обработки Ваших ПДн служит договор. Там следует искать Все условия, цели и сроки обработки ПДн. У Вас есть право (ст. 14 закона "О персональных данных") потребовать у организации прекратить обработку в случае неправомерной обработки ПДн. Для защиты своих прав Вы можете воспользоваться ст. 17 Закона - обратиться лично или с запросом, написать заявление в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор, http://70.rsoc.ru/), либо в суд. Ну а законы для того и пишутся, чтобы Вы имели возможность отстоять свои права, хотя бы и в суде.
Евгений
Здравствуйте, Данил. Можете порекомендовать какие-нибудь технические средства защиты и шифрования конфиденциальных и персональных данных на сервере, размещенном на площадке третьих лиц? Так чтоб при физическом доступе к серверу злоумышленников (хищение сервера), доступ к самим данным они получить не смогли. Уточнение: сервер на Linux, доступ только по SSH. Доступа KVM over IP нет.
Ответ
Добрый день.

В целом, реализовать шифрованный раздел на linux-сервере не сложно, особенно если это не системный раздел. Можно использовать dm-crypt для шифрования на лету.

Но требования к защите конфиденциальной информации и персональных данных вносят свои ограничения: криптография должна иметь сертификат ФСБ. Для windows-платформ проблем не возникает, на рынке есть готовые решения и можно выбрать, но для linux-платформ готовых и сертифицированных продуктов сегодня нет. Можно рассмотреть возможность использования сертифицированных версий linux дистрибутивов: SUSE, AltLinux, Astra Linux SE и сертифицированных криптопровайдеров: КриптоПро CSP 3.6, Крипто-КОМ 3.2, Крипто-Си, ПБЗИ «СКЗИ «ЛИРССЛ», Верба-OU.

Рекомендую заново проанализировать угрозы хощения, вдруг окажется, что ценность информации не стоит таких затрат.
Ирина
Здравствуйте! С этого года моя организация стала страхователем для неработающих жителей г.Байконур, подлежащих обязательному медицинскому страхованию из бюджета города. Сейчас планируется создание базы данных по неработающим жителям и дальнейшая ее передача в ТФОМС. Но данной системы до настоящего времени не существовало как таковой. Перед моей организацией стоит проблема - какое программное обеспечение можно использовать, как осуществить сбор сведений по неработающему населению с учреждений, а так же хранение, накопление, изменение не нарушая закон "О персональны данных". Какие могут быть меры защиты если: - сбор сведений с учреждений в распечатанном виде - является нарушением закона? какую меру защиты можно предпринять в соответствии с законом? - сбор сведений с учреждений в электронном виде, на съемном носителе в документе *.xls - с применение пароля для открытия этого файла является ли мерой защиты? Хранение и обработка сведений осуществляется на ПК, конкретной программы по ведению базы данных нет, используется Excel для этого.... Какие у моей организации сроки как оператора привести в соответствии с законом данную систему по работе с персональными данными? Заранее большое спасибо за любой совет!
Ответ
Добрый день. Вашу ситуацию надо делить на две части: 1. обработка ПДн - порядок создания БД и взаимодействие с ТФОМС; 2. защита ПДн - выбор ПО и орг. мер для обеспечения безопасности собранных ПДн. В первом случае нужно проработать законодательство регулирующее деятельность Вашей организации и данный вид деятельности на предмет поиска обоснования в федеральном законодательстве. Если такого требования закона нет, то, скорей всего, придется собирать согласия с каждого субъекта, но все же рекомендую проработать все нормативные документы по этому вопросу. По второй части Вашего вопроса хочу сказать, что 1. работа с ПДн в распечатанном виде не может являться нарушением закона (это похоже на неправильную трактовку самого ФЗ-152); 2. меры защиты определены в документе ФСТЭКа ("приказ № 58") - вот и что-то из этого перечня Вам и надо будет предпринять. Работа по защите ПДн это комплекс орг. и тех. мер, поэтому купив одну программу Вы не решите всех своих проблем. По вопросу защиты ПДн в ИСПДн рекомендую начинать с "Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" постановление правительства № 781 от 17 ноября 2007 года (http://docs.pravo.ru/document/view/130753/0/).
Павел
На практике используют такие методы оценки качества криптоалгоритмов: всевозможные попытки их вскрытия; анализ сложности алгоритма шифрования; оценку статистической безопасности шифра. Вопрос: какой метод лучше, хуже и почему?
Ответ
Вопрос несколько не по теме консультации. Я не занимаюсь криптоанализом, поэтому и рассказать чего-то существенного у меня не получится.
Сергей Анатольевич
Прошу уточнить что значит (какие условия надо выполнить, чему соответствовать): Сертифицирована с показателями по 5 классу защищенности по требованиям руководящего документа «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищённости от несанкционированного доступа к информации». Сертифицированна и может использоваться при создании автоматизированных систем класса защищенности до класса 1Г включительно и информационных систем персональных данных до класса К 2 включительно. По 5 классу - ??? 1Г включительно - ??? К 2 включитель - ???
Ответ
Условия, которым соответствует то СЗИ (или СВТ), из сертификата которого Вы это скопировали, представлены как раз в том руководящем документе, что указан в сертификате. Он доступен на оф. сайте ФСТЭК Росии: http://www.fstec.ru/_docs/doc_3_3_003.htm
Устанавливается семь классов защищенности СВТ от НСД к информации. Самый низкий класс – седьмой, самый высокий – первый. Выбор класса защищенности СВТ для автоматизированных систем, создаваемых на базе защищенных СВТ, зависит от грифа секретности обрабатываемой в АС информации, условий эксплуатации и расположения объектов системы. Про классификацию АС можно почитать в РД Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации (http://www.fstec.ru/_docs/doc_3_3_004.htm). Классификация АС/ИСПДн проводится по соответствующим документам. Классификация проводится для дифференцированного подхода при выборе СЗИ. После классификации АС/ИСПДн выбираются СЗИ сертифицированные по определенным требованиям безопасности. Эти требования представлены в РД ФСТЭК России, а сертификат - это подтверждение, что СЗИ реально соответствует данным требованиям.
[Admin] | [Сбросить кэш всего сайта] | [Сбросить кэш страницы] | [Редактировать шаблон] | 2017-06-24 00:18:09