Comments 112
Я вот все понять все таки не могу. Вот есть у меня сайт, там можно регистрироваться и писать комментарии. Мне обязательно проходить аттестацию? И кто будет определять класс информационной системы?
Все зависит от того какие данные вы просите от пользователя при регистрации на сайте
А если на хабре создать голосование «сколько вам лет?», то это уже 4-я категория?
Видимо нет. Потому что нет точной информации по каждому субъекты.
Но если публиковать имя и фамилию в профилях пользователей — это уже 3-я, как я понял.
Но если публиковать имя и фамилию в профилях пользователей — это уже 3-я, как я понял.
Скорее 2-я. В профилях полно другой дополнительной информации — и возраст, и место работы, и прочие контакты.
и все они недостоверны
я так понимаю, до тех пор пока система не оперирует данными, позволяющими идентифицировать гражданина (коими являются паспортные, водительские права и т.п) — то эти данные являются обезличенными, а значит 4-я категория
я так понимаю, до тех пор пока система не оперирует данными, позволяющими идентифицировать гражданина (коими являются паспортные, водительские права и т.п) — то эти данные являются обезличенными, а значит 4-я категория
А требования к достоверности законом не предъявляются.
Вообще, чёткой трактовки, что является данными, позволяющими идентифицировать человека, в законе и связанных с ним бумагах нет. Представители ФСТЭК заявляли, что сочетание ФИО + дата рождения уже достаточно. В некоторых случаях (редкая фамилия, например) достаточно и меньшего.
Вообще, чёткой трактовки, что является данными, позволяющими идентифицировать человека, в законе и связанных с ним бумагах нет. Представители ФСТЭК заявляли, что сочетание ФИО + дата рождения уже достаточно. В некоторых случаях (редкая фамилия, например) достаточно и меньшего.
В зависимости от количества проголосовавших от 3 до 1 категории :)
Не просите от человека столько информации, что можно будет однозначно его идентифицировать, и тогда у вас не будет персональных данных вообще. Вот Интернет-магазинам действительно тяжело.
Кстати, в Регламенте проверок РосКомНадзора есть требование предъявить экранные формы, подразумевающие ввод персональных данных, поэтому идентифицирующие поля необходимо именно убирать — ответом «их никто не заполняет» не отделаться.
На сколько я понял инет-магазинам достаточно включить при регистрации договор-оферту, в котором человек соглашается с тем, что его персональными данными можно оперировать.
Правда, мне непонятно, нужно ли сертифицировать/аттестировать…
поправьте, если не прав.
Правда, мне непонятно, нужно ли сертифицировать/аттестировать…
поправьте, если не прав.
Уберите с сайта ФИО, ИНН, номер паспорта и прочие данные, которые могут однозначно идентифицировать человека и будет Вам счастье.
Основная фишка в том что у вас не должно быть связанных данных. К примеру ФИО без привязки к адресу или телефону уже не будет являться персональными данными. Основной смысл в том что избегать каких либо привязок позволяющих установить однозначную привязку. Старайтесь по максимуму обезличивать данные.
Тут тоже не все так просто. Реальный пример: организация вела базу клиентов и вместо ФИО + ДР + Паспорт, использовала в ИСПДн номер (КОД). Кодом был номер бумажного документа который хранился в другом отделе, закрытый в сейфе, в бумагу были те самые ФИО + ДР + Паспорт.
Была проверка со ФСТЭКом, ФСТЭК сказал, что можно определить человека, так как можно получить доступ к бумагам.
Была проверка со ФСТЭКом, ФСТЭК сказал, что можно определить человека, так как можно получить доступ к бумагам.
Я немного не понял, а при чем тут бумага? В законе же говорится только про автоматизигованную обработку, верно? Их же остальная документация по идее не должна интересовать?
Как объяснили нам ФСТЭК, это дополнительная информация (не важно на чем она) с помощью которой можно определить конкретного человека… ссылка на документ у нас в системе есть. Это реальный случай. Со ФСТЭКом сильно не поспорить.
Да ну? Читаем закон.
Для картотек и других бумажных хранилищ в законе есть соответствующие пункты.
информационная система персональных данных — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;
Для картотек и других бумажных хранилищ в законе есть соответствующие пункты.
Код однозначно указывает на ФИО+ДР+Паспорт так что ничего удивительного :) Обезличенная форма обработки это когда нету прямой связи. А тут есть.
Добавьте в профиль пользователя поле «подробности интимной жизни» — и вы попали.
Скажите плиз, а если используется OpenID, тогда что?
Я думаю, что тогда это не ваши проблемы, у вас же не хранится никакая информация, а только обрабатывается с согласия пользователя.
Ну так 152-й ФЗ именно про обработку персональных данных и говорит.
На самом деле проще всего при регистрации сделать пунктик «Прошу считать мои персональные данные общедоступными.» Или что-то вроде этого. Тогда все автоматически идет под 4-ю категорию.
На самом деле проще всего при регистрации сделать пунктик «Прошу считать мои персональные данные общедоступными.» Или что-то вроде этого. Тогда все автоматически идет под 4-ю категорию.
согласие должно быть письменным
Мы долго спорили на эту тему и в итоге пришли к выводу, что можно так делать. Потому что это в реальной фирме можно попросить сотрудника написать заявление. А в онлайне как так сделать?
При установке ПО вы же ничего не подписываете, но тем не менее, принемаете пользовательское соглашение. Так и при регистрации необходимо в пользовательское соглашение просто включить данный пункт.
Хотя, скажу честно, мнение ФСТЭКа по этому поводу не знаю.
При установке ПО вы же ничего не подписываете, но тем не менее, принемаете пользовательское соглашение. Так и при регистрации необходимо в пользовательское соглашение просто включить данный пункт.
Хотя, скажу честно, мнение ФСТЭКа по этому поводу не знаю.
В нескольких офертах видел такую формулировку.
===
Оформляя Заказ на Сайте, Заказчик дает свое согласие ООО «Ромашка», на обработку различными способами, персональных данных, в том числе сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), распространение, передачу 3-им лицам, обезличивание, блокирование, уничтожение, трансграничную передачу своих персональных данных (ФИО, адрес, email, пол, телефон).
===
Стоит галочка, мол согласен. И по оферте отпускается товар. Оферты пока вроде не запрещены, и ГК вроде пока тоже не отменен.
===
Оформляя Заказ на Сайте, Заказчик дает свое согласие ООО «Ромашка», на обработку различными способами, персональных данных, в том числе сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), распространение, передачу 3-им лицам, обезличивание, блокирование, уничтожение, трансграничную передачу своих персональных данных (ФИО, адрес, email, пол, телефон).
===
Стоит галочка, мол согласен. И по оферте отпускается товар. Оферты пока вроде не запрещены, и ГК вроде пока тоже не отменен.
Я бы послал в ж* такую форму как конечный пользователь если увидел такую надпись. Покупаю я чего нить я в онлайн магазине ввожу фио карточку и тд, а тут бах и такая надпись.
Ну вы зря так резко. Иногда это и чисто с человеческой точки зрения будет справедливо и оправдано.
Возьмем к примеру электросети. Ну узнает кто-то сколько я света нажег, ну и что с того? Как это мне может навредить? Шантажировать меня будут этим? А так как в БД крупных городов более 100 тысяч объектов ПДн, то ИСПДн автоматически попадает под 2-ю категорию. А это весьма серьезные суммы на аттестацию. Я считаю, бред полный.
Возьмем к примеру электросети. Ну узнает кто-то сколько я света нажег, ну и что с того? Как это мне может навредить? Шантажировать меня будут этим? А так как в БД крупных городов более 100 тысяч объектов ПДн, то ИСПДн автоматически попадает под 2-ю категорию. А это весьма серьезные суммы на аттестацию. Я считаю, бред полный.
> Я бы послал в ж* такую форму как конечный пользователь если увидел такую надпись.
Будьте логичны: сначала вы как конечный пользователь должны послать в ж* то государство, в котором такой закон принят.
А то вы, фактически, бъёте по самому последнему звену цепочки — которое и не виновато в принятии такого закона. Кроме того, вы бъёте по звену, которое пытается соблюдать закон.
Или вы пойдёте искать магазин, который закон не соблюдает? Наличка, обналичка, кэш с рук/на руки, никаких банковских карточек, вы меня не видели, я вас не видел, персональных данных не брал??
А то что сейчас — это у вас смещённая агрессия: виноват один, а по башке достаётся другому.
Будьте логичны: сначала вы как конечный пользователь должны послать в ж* то государство, в котором такой закон принят.
А то вы, фактически, бъёте по самому последнему звену цепочки — которое и не виновато в принятии такого закона. Кроме того, вы бъёте по звену, которое пытается соблюдать закон.
Или вы пойдёте искать магазин, который закон не соблюдает? Наличка, обналичка, кэш с рук/на руки, никаких банковских карточек, вы меня не видели, я вас не видел, персональных данных не брал??
А то что сейчас — это у вас смещённая агрессия: виноват один, а по башке достаётся другому.
То есть стотыщмильонов интернет-магазинов, которые отсылают заказы по почте, попали. Причём попали серьёзно, аж в класс 3.
UFO just landed and posted this here
UFO just landed and posted this here
В посте ошибка относительно объемов персональных данных. Пропущено слово «либо», в данном случае оно ключевое, т.е. например: «одновременно обрабатываются персональные данные от 1 000 до 100 000 субъектов персональных данных ЛИБО работающих в отрасли экономики РФ, в органе государственной власти, проживающих в пределах муниципального образования.»
В некоторых случаях это очень сильно влияет на категорию (можно перейти от 2 к 3)
В некоторых случаях это очень сильно влияет на категорию (можно перейти от 2 к 3)
а вот у меня в телефоне есть записная книжка, там имена, фамилии и номера телефонов. По ним можно людей идентифицировать. Это какая категория? Мне сертифицироваться нужно?
Сбор и обработка персональных данных ДЛЯ ЛИЧНЫХ ЦЕЛЕЙ не регламентируются 152-ФЗ:
2. Действие настоящего Федерального закона не распространяется на отношения, возникающие при:
1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;
…
2. Действие настоящего Федерального закона не распространяется на отношения, возникающие при:
1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;
…
Честно говоря из определений оператора и обработки персональных данных четко не ясно кто конкретно за это отвечает. По закону это компания\физ лицо владеющее сайтом (ну так мне кажется), а по факту сбор осуществляет хостер (техплощадка его база его), ну и как бы он и должен получать все эти бумажки я считаю, хостеры толстые, пусть и занимаются ерундой, если ума не хватило вовремя написать письмо президенту.
Ну для этого уже есть http://habrahabr.ru/blogs/infosecurity/107450/
Хостинг по требованиям 152-ФЗ. А отвечаете за сбор информации Вы, а не хостер, на вас будет ответственность.
Отвечает за безопасность персональных данных то юридической лицо, которое определяло цели сбора и обработки — она оператор. Все остальные компании, оказывающие ей возмездные или безвозмездные услуги, тот же хостинг или, например, страхование или курьерская служба и т.д. — не операторы, а обработчики, хотя такого термина напрямую в действующем ФЗ нет (обещают скоро сделать — принять поправки).
РосКомНадзор спрашивает о выполнении всех требований, перечисленных в 152-ФЗ с оператора, а уже его головная боль — предоставить доказательства, что обработка всех данных в фирмах, которым он предоставил персональные данные, производится в соответствии с законом. Крайний всегда тот, кто РЕШИЛ собирать данные.
РосКомНадзор спрашивает о выполнении всех требований, перечисленных в 152-ФЗ с оператора, а уже его головная боль — предоставить доказательства, что обработка всех данных в фирмах, которым он предоставил персональные данные, производится в соответствии с законом. Крайний всегда тот, кто РЕШИЛ собирать данные.
Кстати сам ФСТЭК очень положительно относится к разного рода терминальным сессиям. Можно аттестовать один сервер, на нем держать нужные ПДн. Доступ у ограниченного круга лиц (регламентируется права доступа и тд). В зависимости от класса, возможно придется на клиентские машины ещё навешать Соболя, но это в разы дешевле чем аттестовать каждение место по полной.
Спасибо, что подняли тему на Хабре, но прошу Вас скорректировать разделы «Обязательные требования по защите информационных систем персональных данных» и «Когда аттестация и сертификация обязательна?».
Они базируются на методических документах ФСТЭК, «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» и «Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», отмененных решением ФСТЭК России от 5 марта 2010 г. в связи с утверждением «Положения
о методах и способах защиты информации в информационных системах персональных данных» 5 февраля 2010 г. приказом № 58.
Отмененные документы содержали упомянутые Вами пункты об обязательной аттестации и лицензировании, которые не вполне соответствовали законодательству РФ.
Очень важное требование содержится в п. 5 Постановления Правительства РФ от 17.11.2007 года № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», который устанавливает необходимость использования сертифицированных СЗИ: «Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия».
В то же время, требование обязательной аттестации ИСПДн в настоящее время в документах, регламентирующих защиту ПДн, не содержится, хотя на практике аттестация широко применяется, как завершающий этап мероприятий по защите ПДн.
Они базируются на методических документах ФСТЭК, «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» и «Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», отмененных решением ФСТЭК России от 5 марта 2010 г. в связи с утверждением «Положения
о методах и способах защиты информации в информационных системах персональных данных» 5 февраля 2010 г. приказом № 58.
Отмененные документы содержали упомянутые Вами пункты об обязательной аттестации и лицензировании, которые не вполне соответствовали законодательству РФ.
Очень важное требование содержится в п. 5 Постановления Правительства РФ от 17.11.2007 года № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», который устанавливает необходимость использования сертифицированных СЗИ: «Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия».
В то же время, требование обязательной аттестации ИСПДн в настоящее время в документах, регламентирующих защиту ПДн, не содержится, хотя на практике аттестация широко применяется, как завершающий этап мероприятий по защите ПДн.
Тут двоякая ситуация, документы не отменены, а как сказано в решении: «не применять с 15 марта 2010 г.»
Также у ФСТЭКа есть регламентирующие документы в статусе ДСП (Для служебного пользования) с которыми многие даже не знакомы. Если у Вас есть эти документы буду Вам очень признателен если Вы отправите ссылочку.
Также у ФСТЭКа есть регламентирующие документы в статусе ДСП (Для служебного пользования) с которыми многие даже не знакомы. Если у Вас есть эти документы буду Вам очень признателен если Вы отправите ссылочку.
Это как раз четырехкнижие (Рекомендации, Основные мероприятия, Методика и Базовая модель) и было ДСП до где-то осени 2009. Потом ФСТЭК сделал так называемые «выписки» из документов, исключив детали, касавшиеся ПЭМИН и т.д. и выложил четырехкнижие в открытый доступ. А потом был принят 58 приказ, а 2 первых документа четырехкнижия, как Вы правильно заметили, ФСТЭК решил «не применять». Их, по-моему, и на сайте ФСТЭК сейчас уже нет. Соответственно, как мне кажется (и как сделано основными игроками в этой области), имеет смысл в первую очередь отражать требования Приказа (он, кстати, зарегистрирован в Минюсте, в отличие от старого четырехкнижия, правовой статус которого активно и небезосновательно оспаривался весь 2009 г.) и постановлений правительства.
Я просто не вижу смысла возвращаться на год назад — на тот момент уже было ясно, что нагороженный огород нужно как-то разгребать, и были приняты правильные, хотя и недостаточные меры — снятие грифа ДСП, принятие Приказа и отмена применения Рекомендаций и Основных мероприятий. Конечно, если писать монографию на эту тему, то полезно было бы затронуть историю четырехкнижия и изменения их правового статуса, но в кратком FAQ необходимо, как мне кажется, базироваться на актуальных и должным образом введенных в действие документах.
Я просто не вижу смысла возвращаться на год назад — на тот момент уже было ясно, что нагороженный огород нужно как-то разгребать, и были приняты правильные, хотя и недостаточные меры — снятие грифа ДСП, принятие Приказа и отмена применения Рекомендаций и Основных мероприятий. Конечно, если писать монографию на эту тему, то полезно было бы затронуть историю четырехкнижия и изменения их правового статуса, но в кратком FAQ необходимо, как мне кажется, базироваться на актуальных и должным образом введенных в действие документах.
> год рождения (для женщин)
Дискриминация по полу? А вообще год рождения же выше упомянут.
Дискриминация по полу? А вообще год рождения же выше упомянут.
Сайты знакомств по ходу попали…
Подскажите, какой минимальный набор признаков является персональными данными? И как его обойти?
Например, если не спрашивать на сайте отчество человека, то это не ПД?
Например, если не спрашивать на сайте отчество человека, то это не ПД?
необязательно. Может быть уникальная ФИ, которой в стране/регионе (указанном в профиле) нет больше, соответственно, однозначно идентифицирует. Фамилию лучше не спрашивать :).
если невозможно определить принадлежность персональных данных конкретному субъекту. ПО ФИ нельзя конкретно определить человека
Зависит от того, какие данные указаны. Если ФИ + дата рождения или ФИ + телефон, тогда можно.
Как уже написано ниже в комментариях «На этот вопрос не знают однозначного ответа ни законодатели ни РосКомНадзор.».
может так получится что ФИ + ДР может оказаться несколько, что не позволит идентифицировать конкретного, НО ТАКЖЕ может и одна только ФИО (если такой человек с такими ФИО уникальны) уже позволит узнать конкретного человека
может так получится что ФИ + ДР может оказаться несколько, что не позволит идентифицировать конкретного, НО ТАКЖЕ может и одна только ФИО (если такой человек с такими ФИО уникальны) уже позволит узнать конкретного человека
В законе больше вопросов, чем ответов. Я бы не стал рисковать с фамилией, если регистрировать ИСПД не собираетесь, а БД с ПД хранить на хостинге/сервере в другой стране.
P.S. По адресу по идее тоже можно определить уникально, если И+адрес например?
P.S. По адресу по идее тоже можно определить уникально, если И+адрес например?
Вообще ПДн — это данные, позволяющие идентифицировать личность. По идее, этими данными может быть хоть адрес, хоть рост.
И даже IP-адрес со временем выхода в сеть, в случае, если это белый IP.
Так что попали и многие операторы.
Так что попали и многие операторы.
Хотя недавно суд в Питере сформулировал, что «номер паспорта или свидетельства о рождении является не данными о субъекте, а данными о документе, удостоверяющем этого субъекта, а следовательно не относится к персональным данным».
Но это конечно тоже локальный перегиб, и я полагаю будет еще один (а может и не один) суд высшей инстанции.
Но это конечно тоже локальный перегиб, и я полагаю будет еще один (а может и не один) суд высшей инстанции.
Если например только Фамилия Имя Отчество то данные будут обезличены, по ним не возможно идентифицировать конкретного человека. "обезличивание персональных данных — действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;" 152-ФЗ п.3
На этот вопрос не знают однозначного ответа ни законодатели ни РосКомНадзор. Сколько людей столько мнений. Вас должно интересовать только мнение того регионального отделения РКН, которое может прийти Вас проверять.
Совсем точно по букве закона — как только в базе появился набор уникально идентифицирующий человека (например, очень редкое сочетание имени и фамилии), всю базу необходимо считать ИСПДн. Но это маразм.
Можно попробовать считать только количество таких уникальных записей, снижая этим подсчетом класс например до К3. Но никто не знает как это технически сделать.
На местах при проверках принимается множество самых различных решений.
Вот здесь постоянно публикуются отчеты и разъяснения результатов проверок:
community.livejournal.com/personal_data/
Совсем точно по букве закона — как только в базе появился набор уникально идентифицирующий человека (например, очень редкое сочетание имени и фамилии), всю базу необходимо считать ИСПДн. Но это маразм.
Можно попробовать считать только количество таких уникальных записей, снижая этим подсчетом класс например до К3. Но никто не знает как это технически сделать.
На местах при проверках принимается множество самых различных решений.
Вот здесь постоянно публикуются отчеты и разъяснения результатов проверок:
community.livejournal.com/personal_data/
Ответы на вопросы лучше на форуме ФСТЭКа искать. Там несколько веток по ПДн есть. Да и вообще на этом форуме очень образованные люди частенько пишут.
Представим сайт, где некоторое онлайн-сообщество собирает базу себе подобных — будь то список жителей двора, друзей по детскому саду, сослуживцев. С чисто ностальгическими целями.
Сайт хостится за рубежом, и даже не в домене .ru.
База целиком — только для залогиненных.
Но для полноты базы участники сами вносят данные за других («Вот был у нас еще такой Петр Петрович Иванов»).
Как еще уйти из-под требований ФЗ?
Трактор не предлагать. ;)
Сайт хостится за рубежом, и даже не в домене .ru.
База целиком — только для залогиненных.
Но для полноты базы участники сами вносят данные за других («Вот был у нас еще такой Петр Петрович Иванов»).
Как еще уйти из-под требований ФЗ?
Трактор не предлагать. ;)
Сайт хостится не в РФ — вопросов со стороны регуляторов быть не может.
jazvenko, спасибо за очень интересный и своевременный пост. Информация собрана и доходчиво раскрыта.
мне кажется, интернет-магазины могут спрашивать не ФИО, а «как вас называть» и не «адрес прописки», а «адрес, куда доставить». Это, судя по всему, будет не идентифицирующими данными, поскольку я могу написать «называйте меня Меркиз Карабас» и «Доставьте в 12 часов к супермаркету Ашан на улице ....». По крайней мере — будем смотреть на практику применения, а не на расплывчатую теорию.
Ну и лишний раз власть показывает антинародную сущность под соусом «защиты».
Ну и лишний раз власть показывает антинародную сущность под соусом «защиты».
от смены названий сущность не меняется :).
Власть как обычно, взяли документы других стран, перевели, состыковали абы как и приняли. Это ж все для ЕвроСоюза :). До сих пор есть разногласие в части документах по поводу Автоматической и Автоматизированной системы. Из за неправильного переводя документы другу другу противоречат.
Любопытно, будут ли потом в газетах и на телевидении (в передаче «милицейские хроники») писать в сюжете «вчера на улице… возле магазина Ашан пострадал некий Меркиз Карабас, который получил 4 ножевых ранения от двух неизвестных, получивших несанкционированный доступ к базе онлайн-магазина...»? )))
То есть теперь любое маленькое юр.лицо с бухгалтерской/кадровой базами попадает в класс 3 и обязано пройти аттестацию?
ну тут с кадрами легче можно при оформлении на работу брать с работников бумагу о том что они согласны на обработку своих ПДн
По идее бухгалтерские и кадровые данные, где помимо ФИО есть и адрес, и зарплата, и данные о семье, попадают под 2-й класс.
А если еще медицинские книжки есть с больничными листами и, не дай бог, диагнозами, то уже 1-й.
Опять же можно попросить/заставить каждого сотрудника написать заявление, где бы он говорил, что считает свои данные общедоступными и согласен на их обработку в ИСПДн.
А если еще медицинские книжки есть с больничными листами и, не дай бог, диагнозами, то уже 1-й.
Опять же можно попросить/заставить каждого сотрудника написать заявление, где бы он говорил, что считает свои данные общедоступными и согласен на их обработку в ИСПДн.
а информация в whois? там всё есть обо мне…
UFO just landed and posted this here
Увы, нужно предупредить, что автор ориентировался на «четырёхкнижие ФСТЭК», которое Решением ФСТЭК было частично отменено (осталась «Базовая модель угроз» и «Методика определения актуальных угроз»). Сейчас по техническим требованиям по защите ПДн актуален Приказ ФСТЭК № 58 от какого-то февраля или марта 2010 г.
Что существенно неправда:
— что аттестация требуется для ИСПДн от 2-го класса, или 3-го распределённых;
— что операторы должны получать лицензию на ТЗКИ (сейчас нет однозначного и чёткого ответа от ФСТЭК по этому вопросу, или туманные намёки. что надо, или где-то говорят, что надо, где-то — что нет);
— что обязательно надо применять сертифицированные СЗИ.
— что «Основные мероприятия» действуют;
Чего нет в статье:
— что для банков эти правила не действуют, совершенно официально (см. «Письмо шести» на сайте ЦБ), если банки у себя принимают Стандарт Банка России);
— перечня необходимых организационно-распорядительных документов для организации защиты ПДн (хотя бы перечня, без типовых форм);
— никаких полезных ссылок
— нет перечня нормативно-правовых документов, регламенитрующих обработку и защиту ПДн (ФЗ 152, поправки к нему, Постановление Правительства № 781, Постановление Правительства № 687, «Приказ трёх» № 55, Приказ ФСТЭК № 58, Решение ФСТЭК об отмене двух документов из «четверокнижия», оставшиеся два документа — как минимум).
Что не раскрыто:
— Как относить системы к типовым (а такое понятие используется) и к специальным? Как быть, что все системы реально специальные, как их классифицировать?
— Какая именно уголовная ответственность и за что будет?:-) Были ли прецеденты?
— Вообще, какие известны реальные прецеденты с проблемами по защите ПДн («наезды» Роскомнадзор, плановые проверки ФСТЭК, жалобы субъектов и т.д. и т.п.)?
— Что порядок действий оператора иногда целесообразно делать иным (уведомление делать в последнюю очередь, т.к. так не попадёшь в реестр, а значит, и в план проверок).
В целом, статья вредная, т.к. вводит в заблуждение читателей, а полезная информация в ней — термины и порядок классификации — любой может найти в ФЗ и подзаконных актах.
Что существенно неправда:
— что аттестация требуется для ИСПДн от 2-го класса, или 3-го распределённых;
— что операторы должны получать лицензию на ТЗКИ (сейчас нет однозначного и чёткого ответа от ФСТЭК по этому вопросу, или туманные намёки. что надо, или где-то говорят, что надо, где-то — что нет);
— что обязательно надо применять сертифицированные СЗИ.
— что «Основные мероприятия» действуют;
Чего нет в статье:
— что для банков эти правила не действуют, совершенно официально (см. «Письмо шести» на сайте ЦБ), если банки у себя принимают Стандарт Банка России);
— перечня необходимых организационно-распорядительных документов для организации защиты ПДн (хотя бы перечня, без типовых форм);
— никаких полезных ссылок
— нет перечня нормативно-правовых документов, регламенитрующих обработку и защиту ПДн (ФЗ 152, поправки к нему, Постановление Правительства № 781, Постановление Правительства № 687, «Приказ трёх» № 55, Приказ ФСТЭК № 58, Решение ФСТЭК об отмене двух документов из «четверокнижия», оставшиеся два документа — как минимум).
Что не раскрыто:
— Как относить системы к типовым (а такое понятие используется) и к специальным? Как быть, что все системы реально специальные, как их классифицировать?
— Какая именно уголовная ответственность и за что будет?:-) Были ли прецеденты?
— Вообще, какие известны реальные прецеденты с проблемами по защите ПДн («наезды» Роскомнадзор, плановые проверки ФСТЭК, жалобы субъектов и т.д. и т.п.)?
— Что порядок действий оператора иногда целесообразно делать иным (уведомление делать в последнюю очередь, т.к. так не попадёшь в реестр, а значит, и в план проверок).
В целом, статья вредная, т.к. вводит в заблуждение читателей, а полезная информация в ней — термины и порядок классификации — любой может найти в ФЗ и подзаконных актах.
подскажите куда можно кинуть документы я постараюсь опубликовать, то что у меня есть в том числе и типовые формы
Да бросьте вы, вредная статья. Как показывают коменты, многие даже не слышали про 152-й ФЗ и не знали о данной проблеме. Теперь, хотя бы ознакомлены и введены в курс дела, и если прижмет пойдут штудировать методики и руководящие документы.
Согласен с Вашими замечаниями к материалу, сам указал на некоторые пункты, но правда, полное раскрытие пунктов потянет уже не на краткий FAQ, а, как минимум, на хорошую статью ;)
Вопрос — на чем Вы основываетесь, утверждая, что применение сертифицированных СЗИ не обязательно? Я выше приводил п. 5 пп № 781. Я не в порядке наезда, мне действительно интересно обоснование Вашей позиции ;)
Вопрос — на чем Вы основываетесь, утверждая, что применение сертифицированных СЗИ не обязательно? Я выше приводил п. 5 пп № 781. Я не в порядке наезда, мне действительно интересно обоснование Вашей позиции ;)
Это вопрос трактовки, но в Приказе ФСТЭК № 58 нет слова «обязательно» и применение сертифицированных СЗИ рекомендовано, как один из методов защиты информации, который может применяться, а может не применяться.
Во ФСТЭКовском документе «Основные мероприятия по обеспечению безопасности ПДн, обрабатываемых в ИСПДн» использовать сертифицированные СЗИ обязывают только при первом классе ИСПДн.
В остальных случаях разрешается применять несертифицированные СЗИ. При этом необходимо во-первых обосновать невозможность либо нецелесообразность применения сертифицированных СЗИ, а во-вторых исследовать несертифицированные СЗИ на соответствие стандартам. При этом ни в одном документе не прописан порядок исследования!
Поэтому на практике проще использовать только сертифицированные СЗИ.
В остальных случаях разрешается применять несертифицированные СЗИ. При этом необходимо во-первых обосновать невозможность либо нецелесообразность применения сертифицированных СЗИ, а во-вторых исследовать несертифицированные СЗИ на соответствие стандартам. При этом ни в одном документе не прописан порядок исследования!
Поэтому на практике проще использовать только сертифицированные СЗИ.
Повторюсь, «Основные мероприятия» решением ФСТЭК не применяются с марта 2010 г.
Я (и не только я) исхожу из постановления правительства № 781 от 17.11.2007 года № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», п. 5: «Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия».
Закон №184-ФЗ “О ТЕХНИЧЕСКОМ РЕГУЛИРОВАНИИ”:
Ст. 2: “оценка соответствия – прямое или косвенное определение соблюдения требований, предъявляемых к объекту;
подтверждение соответствия — документальное удостоверение соответствия продукции или иных объектов, процессов проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг требованиям технических регламентов, положениям стандартов, сводов правил или условиям договоров"
Ст. 20. Формы подтверждения соответствия
"…
2. Добровольное подтверждение соответствия осуществляется в форме добровольной сертификации.
3. Обязательное подтверждение соответствия осуществляется в формах:
принятия декларации о соответствии (далее — декларирование соответствия);
обязательной сертификации.
4. Порядок применения форм обязательного подтверждения соответствия устанавливается настоящим Федеральным законом".
Но с Вашим финальным выводом я согласен!
Я (и не только я) исхожу из постановления правительства № 781 от 17.11.2007 года № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», п. 5: «Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия».
Закон №184-ФЗ “О ТЕХНИЧЕСКОМ РЕГУЛИРОВАНИИ”:
Ст. 2: “оценка соответствия – прямое или косвенное определение соблюдения требований, предъявляемых к объекту;
подтверждение соответствия — документальное удостоверение соответствия продукции или иных объектов, процессов проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг требованиям технических регламентов, положениям стандартов, сводов правил или условиям договоров"
Ст. 20. Формы подтверждения соответствия
"…
2. Добровольное подтверждение соответствия осуществляется в форме добровольной сертификации.
3. Обязательное подтверждение соответствия осуществляется в формах:
принятия декларации о соответствии (далее — декларирование соответствия);
обязательной сертификации.
4. Порядок применения форм обязательного подтверждения соответствия устанавливается настоящим Федеральным законом".
Но с Вашим финальным выводом я согласен!
Ответ на многие вопросы:
Общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
Вообще по умолчанию если субъект ПД сам предоставляет эти данные он как минимум согласен + оферта на сайте при регистрации о том что его ПД будут такто и такто использоваться и ни каких проблем.
Общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
Вообще по умолчанию если субъект ПД сам предоставляет эти данные он как минимум согласен + оферта на сайте при регистрации о том что его ПД будут такто и такто использоваться и ни каких проблем.
Не могу пройти мимо: по мнению экспертов ИТ и ФСТЭК, любая система автоматизированной обработки ПДн в электронном виде — специальная. Точка.
Поэтому абзац про типовые ИСПДн можно было не писать.
А в специальных системах модель угроз и меры предотвращения разрабатываются самостоятельно оператором ПДн
И вообще, ждем принятия законопроекта Резника. А то с 2011 года как опять все поменяется…
Поэтому абзац про типовые ИСПДн можно было не писать.
А в специальных системах модель угроз и меры предотвращения разрабатываются самостоятельно оператором ПДн
И вообще, ждем принятия законопроекта Резника. А то с 2011 года как опять все поменяется…
Если сайт хостится заграницей, он попадает под требования этого ФЗ?
UFO just landed and posted this here
Есть такой ГОСТ Р ИСО/МЭК 19794-5-2006. Автоматическая идентификация. Идентификация биометрическая. Форматы обмена биометрическими данными. Часть 5. Данные изображения лица.
На него очень любят ссылаться все, в т.ч. РосКомНадзор. Там определены достаточно жесткие требования к тому, как должна быть сделана фотография, чтобы по ней было теоретически возможно автоматическое распознавание (например, углы поворота по всем осям не должны превышать 5 градусов, горизонтальный размер между центрами глаз — не менее 90 пикселей, динамический диапазон по яркости — не менее 7 бит, и еще много чего).
Фото из паспортов и пропусков в целом попадают под него, а вот аватары — ну может 5-10% — не больше.
Считать ли ИСПДн базу, частично содержащую подобные фото — вопрос, как я говорил выше, на который не знают ответа и законодатели и надзорные органы.:
habrahabr.ru/blogs/infosecurity/107576/#comment_3394916
На него очень любят ссылаться все, в т.ч. РосКомНадзор. Там определены достаточно жесткие требования к тому, как должна быть сделана фотография, чтобы по ней было теоретически возможно автоматическое распознавание (например, углы поворота по всем осям не должны превышать 5 градусов, горизонтальный размер между центрами глаз — не менее 90 пикселей, динамический диапазон по яркости — не менее 7 бит, и еще много чего).
Фото из паспортов и пропусков в целом попадают под него, а вот аватары — ну может 5-10% — не больше.
Считать ли ИСПДн базу, частично содержащую подобные фото — вопрос, как я говорил выше, на который не знают ответа и законодатели и надзорные органы.:
habrahabr.ru/blogs/infosecurity/107576/#comment_3394916
меня волнует бухгалтерия. да и думаю это более распространенный вид сбора информации, который есть в каждой фирме.
что нужно делать им?
получается, нужно просто всем сотрудникам подписать бумажки, что они согласны на обработку информации? Уведомлять органы нужно будет или нет?
А если у этой фирмы есть «дисконтные карточки», которые выдаются посетителям и которые заполняли анкеты — это уже «категория 3» получается? Или тут тоже можно, включить пунктик, как с бухгалтерией и жить спокойной?
что нужно делать им?
получается, нужно просто всем сотрудникам подписать бумажки, что они согласны на обработку информации? Уведомлять органы нужно будет или нет?
А если у этой фирмы есть «дисконтные карточки», которые выдаются посетителям и которые заполняли анкеты — это уже «категория 3» получается? Или тут тоже можно, включить пунктик, как с бухгалтерией и жить спокойной?
Что Вы понимаете под бухгалтерией? Персональные данные собственных сотрудников или клиентов?
Если Ваши клиенты — юр.лица, можете не беспокоиться, сведения вносимые в ЕГРЮЛ и ЕГРИП считаются общедоступными.
Если же Ваши клиенты — физ.лица или если Вы обрабатываете автоматизированно персональные данные сотрудников, то подавать уведомление в РосКомНадзор обязательно. Вне зависимости от того, подпишут Ваши сотрудники бумажки или нет.
Заставить признать свои персональные данные общедоступными ни сотрудников ни клиентов нельзя — т.к. право на сведения о частной жизни являются конституционными и так называемо «неотделимыми». Любой подобный документ будет признан нарушающим Конституцию — об этом открыто заявляет РосКомНадзор.
Действительно ли Вам нужны в дисконтных картах уникально идентифицирующие клиента поля? Возможно достаточно ФИО (которые считаются общедоступными) (без адреса и паспортных данных !)?
Если же Вы действительно идентифицируете клиента, то категория здесь скорее 2-ая (хотя если очень мало прочей информации, то можно попробовать выйти на 3-юю), ну а класс определяется по табличке — в зависимости от того, сколько у Вас клиентов либо как они географически расположены — он может выйти и К3 и К2 и К1.
Если Ваши клиенты — юр.лица, можете не беспокоиться, сведения вносимые в ЕГРЮЛ и ЕГРИП считаются общедоступными.
Если же Ваши клиенты — физ.лица или если Вы обрабатываете автоматизированно персональные данные сотрудников, то подавать уведомление в РосКомНадзор обязательно. Вне зависимости от того, подпишут Ваши сотрудники бумажки или нет.
Заставить признать свои персональные данные общедоступными ни сотрудников ни клиентов нельзя — т.к. право на сведения о частной жизни являются конституционными и так называемо «неотделимыми». Любой подобный документ будет признан нарушающим Конституцию — об этом открыто заявляет РосКомНадзор.
Действительно ли Вам нужны в дисконтных картах уникально идентифицирующие клиента поля? Возможно достаточно ФИО (которые считаются общедоступными) (без адреса и паспортных данных !)?
Если же Вы действительно идентифицируете клиента, то категория здесь скорее 2-ая (хотя если очень мало прочей информации, то можно попробовать выйти на 3-юю), ну а класс определяется по табличке — в зависимости от того, сколько у Вас клиентов либо как они географически расположены — он может выйти и К3 и К2 и К1.
насчет бухгалтерии — это личные данные сотрудников фирмы — кадры.
с ними как быть? не нужно подавать заявку?
а насчет дисконтных карточек — там идет ФИО, телефон (который наверное уже считается не общедоступным?), адрес домашний.
это уже категория 2а и нужно подавать заявку?
с ними как быть? не нужно подавать заявку?
а насчет дисконтных карточек — там идет ФИО, телефон (который наверное уже считается не общедоступным?), адрес домашний.
это уже категория 2а и нужно подавать заявку?
Согласие у сотрудников в письменном виде нужно брать, если есть хотя бы одно из следующего:
а) Вы включаете их персональные данные (ФИО, другие) в общедоступные справочники (например, телефонные или на сайте);
б) Вы передаете их персональные данные третьим лицам, не перечисленным явно в федеральных законах (например, ОМС есть в ФЗ, а вот ДМС — нет, военкоматы и налоговая — есть, а консалтинговых агентств — нет);
в) Вы храните сведения, касающиеся их состояния здоровья или национальности (не путать с гражданством).
Уведомлять РосКомНадзор о базе собственных сотрудников не обязательно (см.ниже в этом же посте, соответственно во вчерашнем сообщении я был немного неправ).
Про клиентов:
ФИО+адрес — уникально идентифицирующая информация — 3-яя категория,
ФИО+адрес+телефон — уже дополнительная информация — 2-ая категория.
Уведомление в РосКомНадзор подавать про такую базу клиентов нужно, если только у Вас нет с ними договорных отношений. (Можно было бы не подавать, если была бы 4-ая — неуникальная идентификация).
По поводу исключений:
2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
…
4) являющихся общедоступными персональными данными;
5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;
…
а) Вы включаете их персональные данные (ФИО, другие) в общедоступные справочники (например, телефонные или на сайте);
б) Вы передаете их персональные данные третьим лицам, не перечисленным явно в федеральных законах (например, ОМС есть в ФЗ, а вот ДМС — нет, военкоматы и налоговая — есть, а консалтинговых агентств — нет);
в) Вы храните сведения, касающиеся их состояния здоровья или национальности (не путать с гражданством).
Уведомлять РосКомНадзор о базе собственных сотрудников не обязательно (см.ниже в этом же посте, соответственно во вчерашнем сообщении я был немного неправ).
Про клиентов:
ФИО+адрес — уникально идентифицирующая информация — 3-яя категория,
ФИО+адрес+телефон — уже дополнительная информация — 2-ая категория.
Уведомление в РосКомНадзор подавать про такую базу клиентов нужно, если только у Вас нет с ними договорных отношений. (Можно было бы не подавать, если была бы 4-ая — неуникальная идентификация).
По поводу исключений:
2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
…
4) являющихся общедоступными персональными данными;
5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;
…
Зачем вы свою статью написали с использованием font color="#000000"? Он по умолчанию и так чёрный.
Может и поздно сюда уже писать, но все же спрошу.
Типичная ситуация, когда после мероприятий приходишь с визитками и вводишь их в систему. Не для личного пользования, а в конечном итоге все партнеры-заказчики доступны многим людям в организации (менеджеры, маркетологи...)
Типичные данные — Фамилия, Имя, Отчество, Организация, Должность,email, Телефон.
Понятное дело, что при передаче визитки или даже при входящем письме (после чего из подписи присланного письма данные вносятся в базу) никаких галочек «согласен с обработкой ПДН» не ставится, ничего не подписывается.
Это перс данные? Можно ли их сделать 4 класса (общедоступные) или сразу 3 класс?
Если после мероприятия мы получаем от, к примеру, IDC список участников (примерно в таком же формате) — это значит мы получили персданные и сразу же «попадаем»? Разумеется, от участников мы не получали никких разрешений на использование этих данных…
Можно ли что-то с этим сделать?
Выпустить внутренние документы — нормально, а вот лицензии ФСТЭК получать ну очень не хочется.
Типичная ситуация, когда после мероприятий приходишь с визитками и вводишь их в систему. Не для личного пользования, а в конечном итоге все партнеры-заказчики доступны многим людям в организации (менеджеры, маркетологи...)
Типичные данные — Фамилия, Имя, Отчество, Организация, Должность,email, Телефон.
Понятное дело, что при передаче визитки или даже при входящем письме (после чего из подписи присланного письма данные вносятся в базу) никаких галочек «согласен с обработкой ПДН» не ставится, ничего не подписывается.
Это перс данные? Можно ли их сделать 4 класса (общедоступные) или сразу 3 класс?
Если после мероприятия мы получаем от, к примеру, IDC список участников (примерно в таком же формате) — это значит мы получили персданные и сразу же «попадаем»? Разумеется, от участников мы не получали никких разрешений на использование этих данных…
Можно ли что-то с этим сделать?
Выпустить внутренние документы — нормально, а вот лицензии ФСТЭК получать ну очень не хочется.
Наши законы пишут очень странные люди…
Персональные — значит относятся к определенному лицу.
Обезличенные — значит не могут быть отнесены к определенному лицу.
Алиса в стране чудес :)
Без парадоксов должно быть хотя бы так:
обезличенные данные и (или) общедоступные персональные данные;
категория 4 — обезличенные и (или) общедоступные персональные данные;Как могут быть данные одновременно и обезличенными и персональными???
Персональные — значит относятся к определенному лицу.
Обезличенные — значит не могут быть отнесены к определенному лицу.
Алиса в стране чудес :)
Без парадоксов должно быть хотя бы так:
обезличенные данные и (или) общедоступные персональные данные;
Sign up to leave a comment.
Персональные данные (Краткий FAQ)