Здравствуйте, уважаемые.
Не помню, обсуждалась ли эта тема раньше…
“Поскольку под понятие «Персональные данные» попадают такие данные о человеке, как фамилия, имя, отчество, дата и место рождения, адрес, семейное, социальное и имущественное положение, образование, профессия, информация о доходах и многое другое – система защиты персональных данных нужна фактически любой организации. В случае нарушения положений закона № 152-ФЗ о защите персональных данных компания может быть привлечена к судебному разбирательству (вплоть до приостановления действий, аннулирования соответствующих лицензий), а виновные лица – к гражданской, уголовной, административной, дисциплинарной ответственности . Согласно закону № 152-ФЗ, информационные системы персональных данных должны быть приведены в соответствие с требованиями законодательства не позднее 1 января 2010 года.”
источник - http://www.microtest.ru/hardware/information_security/2687/
Сам закон ещё не читал, но думаю там есть требования к ОС… gentoo подходит под эти требования ?
Вроде есть ещё какая-то надстройка… SELinux (англ. Security-Enhanced Linux — Linux с улучшенной безопасностью)
Заранее благодарю!
С уважением…
Закон насколько я понял главным образом направлен на то, чтобы хоть как-то призывать к ответственности лиц, сливающих персональные данные с баз ГИБДД, сотовых операторов, банков, социальных учреждений и прочих.
Чем Вы будете пользоваться, как администратор это Вам решать. Другое дело как Вы построете защиту используемых Вами данных. Например будете ли Вы копить базу сотрудников, уже не работающих в компании, обмениваться или делиться информацией и т.д. и т.п.
Подобная организация просто выполняет аудит. Например проверит используете ли вы антивирусы (если у вас windows) и тому подобные действия. Не думаю что там будут рекомендовать перейти на selinux от единого пароля для всех сервисов такие вещи не спасают.
Alexander Tratsevskiy wrote:
Закон насколько я понял главным образом направлен на то, чтобы хоть как-то призывать к ответственности лиц, сливающих персональные данные с баз ГИБДД, сотовых операторов, банков, социальных учреждений и прочих.
Чем Вы будете пользоваться, как администратор это Вам решать. Другое дело как Вы построете защиту используемых Вами данных. Например будете ли Вы копить базу сотрудников, уже не работающих в компании, обмениваться или делиться информацией и т.д. и т.п.
Подобная организация просто выполняет аудит. Например проверит используете ли вы антивирусы (если у вас windows) и тому подобные действия. Не думаю что там будут рекомендовать перейти на selinux
от единого пароля для всех сервисов такие вещи не спасают.
Частично согласен. Сейчас как раз проводим аттестацию на соответствие 152-ФЗ. Так вот: для соответствия закону автоматизированная система, как и ее компоненты, должна быть аттестована. А значит сервера и рабочие станции, на которых хранятся или обрабатываются ПДн, должны быть защищены с помощью штатных или дополнительных сертифицированных средств. Да и вообще там очень много требований. На данный момент мне неведомы сертифицированные ФСТЭК пакеты. Единственый дистрибутив linux, имеющий сертификат ФСТЭК и ФСБ на отсутствие незадекларированных возможностей - AltLinux. (Это не реклама, у меня у самого стоят сервера на calculate)
Хотя, если у Вас обрабатываются ПДн только сотрудников организации и количество их не превышает 1000 (например - бухгалтерия предприятия с начислением зряплаты и только), то аттестация для такой АС не требуется, достаточно декларирования соответствия системы закону без привлечения организаций-лицензиатов ФСТЭК (т.е. тех, кто проводит аттестацию). И тогда достаточно защитить систему от несанционированного доступа и спокойно использовать calculate.
У себя исключил локальный доступ к серверам, оставил только по ssh. Поменял везде, где нашел слова “gentoo” на “altlinux”, убрал фреймбуфер на всякий случай и приобрел сертифицированный дистрибутив альта. Лажа и детство, конечно. Но, возможно, прокатит. На альт неохота возвращаться. В случае, если проверяющие органы заметят это несоответствие, придется все переводить на альт, а штраф за это не грозит (как сообщили представитель ФСТЭК).
Все дело в том, что в самом законе и руководящих документах столько нестыковок, что сами контролирующие органы пока не знают, чем руководствоваться. Кроме того, сейчас на рассмотрении наших депутатов (или кто у нас законы принимает - не в курсе) поправки к 152-ФЗ, если их примут, то срок отодвинется минимум на год, да и в самом законе будут изменения.
С уважением.
Сложно тут что-либо прокомментировать. Насколько я знаю Linux могут изъять только из-за отсутствия напечатанной лицензии. Могут изъять и Windows ПК хотябы потому, что проверить на месте все компьютеры не всегда возможно. Что есть убытки для фирмы - штраф или вынужденный простой. Слышал я также и о том, что Calculate стоит на некоторых оборонных предприятиях.
P.S. Сегодня все говорили про новый законопроект - в Москве хотят запретить парковку во дворах.
Да - похоже надо писать медведу! А то ВСЕ ОН ВЯКАЕТ С ВВП - нечего кашмарить бизнес - вот вам нате жуйте!
Опять начинается говно (извините) как с отсылкой отчетности для налоговой.
Пара контор оттяпают рынок - и пока. Все остальные пошли в ж,
дайте ссылку на данный закон.
Да сам нашел и чет не понял - привожу
Федеральный закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ О персональных данных
* Опубликовано 29 июля 2006 г.
* Вступает в силу: 8 августа 2006 г.
Принят Государственной Думой 8 июля 2006 года
Одобрен Советом Федерации 14 июля 2006 года
И ГДЕ 2010
В ЧЕМ ТРАБЛ - Мож пустая тема?
Согласно закону № 152-ФЗ, информационные системы персональных данных должны быть приведены в соответствие с требованиями законодательства не позднее 1 января 2010 года.
Какие компании попадают под особое внимание регулирующих органов?
Под особым вниманием со стороны регулирующих органов оказываются:
* Государственные организации или организации со значительной долей государственного участия;
* Организации нефтегазовой отрасли;
* Организации, обрабатывающие данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных убеждений, состояния здоровья;
* Организации, обрабатывающие данные более чем 100 000 субъектов персональных данных;
* Организации, работающие на рынке с высокой и «некорректной» конкуренцией (с использованием административного ресурса).
Решение «Микротест» по защите персональных данных
Защита персональных данных работника в компании – обширный комплекс мероприятий. Специалисты «Микротест» предлагают решение по обеспечению комплексной защиты персональных данных, при котором персональные данные обрабатываются в соответствии с требованиями российского законодательства.
Компания «Микротест» предлагает поэтапный подход к решению задач, по которому защита персональных данных осуществляется от создания комплекта регламентных документов в части обработки персональных данных до разработки и внедрения информационных систем защиты персональных данных.
КРОМЕ КАК РЕКЛАМУ Компания «Микротест» ( чтоб сгорели ) НЕ РАССМАТРИВАЮЮЮЮ!!!
АВТОРУ ПОСТА БОЛЬШОЙ МИНУС (СОРРИ - У НАС НЕ ЛОР)
Извините что повелся на данный топик - не актуально ( просто треп ) предлагаю все удалить
Все взято со ссылки в начале топика