Здравствуйте, уважаемые.
Не помню, обсуждалась ли эта тема раньше…
“Поскольку под понятие «Персональные данные» попадают такие данные о человеке, как фамилия, имя, отчество, дата и место рождения, адрес, семейное, социальное и имущественное положение, образование, профессия, информация о доходах и многое другое – система защиты персональных данных нужна фактически любой организации. В случае нарушения положений закона № 152-ФЗ о защите персональных данных компания может быть привлечена к судебному разбирательству (вплоть до приостановления действий, аннулирования соответствующих лицензий), а виновные лица – к гражданской, уголовной, административной, дисциплинарной ответственности . Согласно закону № 152-ФЗ, информационные системы персональных данных должны быть приведены в соответствие с требованиями законодательства не позднее 1 января 2010 года.”
источник - http://www.microtest.ru/hardware/information_security/2687/
Сам закон ещё не читал, но думаю там есть требования к ОС… gentoo подходит под эти требования ?
Вроде есть ещё какая-то надстройка… SELinux (англ. Security-Enhanced Linux — Linux с улучшенной безопасностью)
Заранее благодарю!
С уважением…
Закон насколько я понял главным образом направлен на то, чтобы хоть как-то призывать к ответственности лиц, сливающих персональные данные с баз ГИБДД, сотовых операторов, банков, социальных учреждений и прочих.
Чем Вы будете пользоваться, как администратор это Вам решать. Другое дело как Вы построете защиту используемых Вами данных. Например будете ли Вы копить базу сотрудников, уже не работающих в компании, обмениваться или делиться информацией и т.д. и т.п.
Подобная организация просто выполняет аудит. Например проверит используете ли вы антивирусы (если у вас windows) и тому подобные действия. Не думаю что там будут рекомендовать перейти на selinux 
от единого пароля для всех сервисов такие вещи не спасают.
Alexander Tratsevskiy wrote:
Закон насколько я понял главным образом направлен на то, чтобы хоть как-то призывать к ответственности лиц, сливающих персональные данные с баз ГИБДД, сотовых операторов, банков, социальных учреждений и прочих.
Чем Вы будете пользоваться, как администратор это Вам решать. Другое дело как Вы построете защиту используемых Вами данных. Например будете ли Вы копить базу сотрудников, уже не работающих в компании, обмениваться или делиться информацией и т.д. и т.п.
Подобная организация просто выполняет аудит. Например проверит используете ли вы антивирусы (если у вас windows) и тому подобные действия. Не думаю что там будут рекомендовать перейти на selinux
Частично согласен. Сейчас как раз проводим аттестацию на соответствие 152-ФЗ. Так вот: для соответствия закону автоматизированная система, как и ее компоненты, должна быть аттестована. А значит сервера и рабочие станции, на которых хранятся или обрабатываются ПДн, должны быть защищены с помощью штатных или дополнительных сертифицированных средств. Да и вообще там очень много требований. На данный момент мне неведомы сертифицированные ФСТЭК пакеты. Единственый дистрибутив linux, имеющий сертификат ФСТЭК и ФСБ на отсутствие незадекларированных возможностей - AltLinux. (Это не реклама, у меня у самого стоят сервера на calculate)
Хотя, если у Вас обрабатываются ПДн только сотрудников организации и количество их не превышает 1000 (например - бухгалтерия предприятия с начислением зряплаты и только), то аттестация для такой АС не требуется, достаточно декларирования соответствия системы закону без привлечения организаций-лицензиатов ФСТЭК (т.е. тех, кто проводит аттестацию). И тогда достаточно защитить систему от несанционированного доступа и спокойно использовать calculate.
У себя исключил локальный доступ к серверам, оставил только по ssh. Поменял везде, где нашел слова “gentoo” на “altlinux”, убрал фреймбуфер на всякий случай и приобрел сертифицированный дистрибутив альта. Лажа и детство, конечно. Но, возможно, прокатит. На альт неохота возвращаться. В случае, если проверяющие органы заметят это несоответствие, придется все переводить на альт, а штраф за это не грозит (как сообщили представитель ФСТЭК).
Все дело в том, что в самом законе и руководящих документах столько нестыковок, что сами контролирующие органы пока не знают, чем руководствоваться. Кроме того, сейчас на рассмотрении наших депутатов (или кто у нас законы принимает - не в курсе) поправки к 152-ФЗ, если их примут, то срок отодвинется минимум на год, да и в самом законе будут изменения.
С уважением.
Сложно тут что-либо прокомментировать. Насколько я знаю Linux могут изъять только из-за отсутствия напечатанной лицензии. Могут изъять и Windows ПК хотябы потому, что проверить на месте все компьютеры не всегда возможно. Что есть убытки для фирмы - штраф или вынужденный простой. Слышал я также и о том, что Calculate стоит на некоторых оборонных предприятиях.
P.S. Сегодня все говорили про новый законопроект - в Москве хотят запретить парковку во дворах.
Да - похоже надо писать медведу! А то ВСЕ ОН ВЯКАЕТ С ВВП - нечего кашмарить бизнес - вот вам нате жуйте!
Опять начинается говно (извините) как с отсылкой отчетности для налоговой.
Пара контор оттяпают рынок - и пока. Все остальные пошли в ж,
дайте ссылку на данный закон.
Да сам нашел и чет не понял - привожу
Федеральный закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ О персональных данных
* Опубликовано 29 июля 2006 г.
* Вступает в силу: 8 августа 2006 г.
Принят Государственной Думой 8 июля 2006 года
Одобрен Советом Федерации 14 июля 2006 года
И ГДЕ 2010
В ЧЕМ ТРАБЛ - Мож пустая тема?
Согласно закону № 152-ФЗ, информационные системы персональных данных должны быть приведены в соответствие с требованиями законодательства не позднее 1 января 2010 года.
Какие компании попадают под особое внимание регулирующих органов?
Под особым вниманием со стороны регулирующих органов оказываются:
* Государственные организации или организации со значительной долей государственного участия;
* Организации нефтегазовой отрасли;
* Организации, обрабатывающие данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных убеждений, состояния здоровья;
* Организации, обрабатывающие данные более чем 100 000 субъектов персональных данных;
* Организации, работающие на рынке с высокой и «некорректной» конкуренцией (с использованием административного ресурса).
Решение «Микротест» по защите персональных данных
Защита персональных данных работника в компании – обширный комплекс мероприятий. Специалисты «Микротест» предлагают решение по обеспечению комплексной защиты персональных данных, при котором персональные данные обрабатываются в соответствии с требованиями российского законодательства.
Компания «Микротест» предлагает поэтапный подход к решению задач, по которому защита персональных данных осуществляется от создания комплекта регламентных документов в части обработки персональных данных до разработки и внедрения информационных систем защиты персональных данных.
КРОМЕ КАК РЕКЛАМУ Компания «Микротест» ( чтоб сгорели ) НЕ РАССМАТРИВАЮЮЮЮ!!!
АВТОРУ ПОСТА БОЛЬШОЙ МИНУС (СОРРИ - У НАС НЕ ЛОР)
Извините что повелся на данный топик - не актуально ( просто треп ) предлагаю все удалить
Все взято со ссылки в начале топика