CryptoNet - исследования в области криптографии, сжатия данных и помехоустойчивого кодирования.
СКБ КриптоНет

НовостиЗащита персональных данных — как быть и что делать?

Многие уже в курсе, что 1 июля окончательно вступили в силу положения закона ФЗ-152 «О персональных данных».

Многие уже в курсе, что 1 июля в Российской Федерации окончательно вступили в силу положения закона ФЗ-152 «О персональных данных». Федеральный закон, регулирующий деятельность по обработке (использованию) персональных данных, претерпел значительные изменения, которые могут сильно подпортить бизнес большинству компаний.

Согласно новым требованиям, компании, в которых на компьютерах обрабатывается или используется персональная информация физического лица, обязаны поддерживать высокую защищенность этих данных, используя сертифицированные средства защиты.

В связи с тем, что на данный момент менее 5% компаний готовы соблюдать эти требования, на рынке появилось множество системных интеграторов и специалистов в области информационной безопасности, готовых помочь компании продолжить работать в штатном режиме за N-ую сумму (от 10 000 рублей до unlim рублей).

В Интернете появились статьи, в которых авторы призывали системных администраторов и IT-менеджеров готовиться к «судному дню».

Ну что же, «судный день» настал, и я хочу поделиться собранной информацией по этой теме. Надеюсь, эта информация поможет многим сэкономить десятки, а то и сотни тысяч рублей.

По описанию до ката напрашивается вопрос: если заранее было известно, что изменения будут, почему компании не подготовились? Все потому, что неоднократно переносились сроки полного вступления в силу всех требований закона и многие думали, что с 1 июля все перенесут на 20, с 20 на 30 и так далее. В результате же ничего переносить не стали и 95% компаний оказались в луже.

Теперь для попадания в реестр операторов персональных данных необходимо привести свои информационные системы в соответствие с новыми требованиями. Могут потребоваться месяцы, чтобы разработать всю документацию, подготовить регламенты и внедрить выбранные средства защиты.

Отсутствие желания платить большие деньги интеграторам и специалистам заставило поискать в сети информацию о том, как самостоятельно добиться соблюдения нормативных требований по обработке персональных данных.

Информации уже достаточно и найти ее не сложно.

Например:
ispdn.ru — открытая площадка для обсуждения вопросов в области защиты персональных данных, проектирования и использования информационных систем персональных данных, на которой присутствует перечень всех сертифицированных решений, краткие отчеты о проверках операторов, обзор судебной практики, оживленный форум и типовые решения по защите информации в ИСПДн.
www.itsec.ru — форум журнала «Информационная безопасность», на который нередко заглядывают представители регулирующих органов.
[ourl=http://anvolkov.blogspot.com/ ]anvolkov.blogspot.com[/ourl] — блог «Безопасность для понимающих и не очень», с альтернативным взглядом на процессы «улучшения» законодательства в области персональных данных.
pd.rsoc.ru — официальный портал персональных данных, на котором есть практически всё от мониторинга изменений законодательства, до обзора судебной практики, только это «всё» ищется через раз, а систематизация раздела «Вопросы операторов персональных данных» привязана исключительно к дате появления вопроса на портале, независимо был ли ответ полуофициальным, просто полезным и совсем бессмысленным, в общем поплутать на этом портале придется не слабо.

Если говорить о каком-то структурированном, пошаговогом алгоритме с четкими рекомендациями, то стоит упомянуть сайт zpdn-day.ru. Информация там, насколько я понимаю, предоставляется бесплатно. На сайте есть инструкции, шаблоны документов, плюс ребята организуют бесплатные вебинары, посвященные проблемам, связанным с ФЗ-152 и ЗПДн.

Более полный список ссылок на ресурсы по теме можно найти тут — habrahabr.ru/blogs/infosecurity/123087/.

Однако понятно, что теория может очень сильно отличаться от практики, поэтому давайте делиться опытом, если у кого-то такой уже имеется. В принципе, интересна будет любая информация.

Ну и список вопросов для обсуждения:

1) Кто-нибудь уже заполнял уведомление об обработке ПДн на сайте Роскомнадзора?
2) Что лучше выбрать — только сертифицированное ПО, 50 на 50 или вообще не покупать софт с сертификатами?
3) Какие средства защиты для локалки с ПДн? Рекомендуем и делимся опытом.
4) Кто-нибудь уже сталкивался с проверками? Если да, то сколько времени дают на устранение неполадок?

Источник: habrahabr.ru 
14.07.11   Написала: aka_Djat

Так же интересно будет почитать:


Реклама

Электроника это просто