ispdn

Как помнят все интересующиеся ФЗ-152 «О персональных данных» был принят в далеком 2006 году. Введение Закона в полную силу продолжительно откладывалось, только когда-то он должен был заработать. 1 июля 2011 это случилось. Для нас (госконтора, примерно в 20000 лиц в то трудное время) проблема поднялась в 2008 году. В начальном этапе не слишком сильно, только потом вроде в сказке: «Чем дальше, тем страшнее». Первый этап — начальные Оргмеры. — В каждой бумажке типа Заявления появилась заглавие маленькими буковками (чтобы оставить минувший величина бланка) — «Выражаю гармония на необходимое использование моих персональных данных, в книга числе в информационных системах». — В Заявлениях на детские пособия было внесено приложение про несовершеннолетних детей. — Также были взяты отдельные Заявления с согласием предоставления и передачи данных из других учреждений (Пенсионный Фонд, НПФ т.п.). Необыкновенно обилие бумаг и совсем немного техники Дальнейший остановка — разработка правильной документации. Наступал 2009 год и было известно, который Правило еще отложат. Финансирования нет. Никто отдельно не торопится. Дозволительно разрабатывать документацию. Вышестоящая контора дала образцы следующих документов: Приказание о назначении должностных лиц, ответственных изза защиту информации ограниченного доступа, не содержащей государственной тайны; Веление об определении контролируемой зоны, в которой расположены узлы автоматизированной системы предназначенной ради обработки информации ограниченного доступа, не содержащей государственно тайны; Повеление о запрещении обработки информации ограниченного доступа для не аттестованных объектах информатизации Инструкцию по эксплуатации средств защиты информации объекта вычислительной техники; Инструкцию сообразно установке нового и модификации используемого программного обеспечения для автоматизированной системе обрабатывающей информацию ограниченного доступа; Инструкцию сообразно организации антивирусной защиты на автоматизированной системе обрабатывающей информацию ограниченного доступа; Инструкцию администратору информационной безопасности автоматизированной системы, обрабатывающей информацию ограниченного доступа; Инструкцию по внесению изменений в списки пользователей и наделению их полномочиями доступа к ресурсам автоматизированной системы обрабатывающей информацию ограниченного доступа; Инструкцию по организации парольной защиты автоматизированной системы; Инструкцию сообразно организации резервного копирования данных автоматизированной системы обрабатывающей информацию ограниченного доступа; Инструкцию пользователя автоматизированной системы. Матрицу доступа к защищаемым ресурсам автоматизированной системы; Технический паспорт на АС; Журнал учета допуска к работе в автоматизированной системе обрабатывающей информацию ограниченного доступа; Журнал учета и выдачи машинных носителей информации предназначенных чтобы хранения информации ограниченного доступа, не содержащей государственной тайны; Книга учета средств защиты информации; Форму Заявки для внесение пользователей АС; Форму Акта проведения технических работ на объектах информатизации АС; Список сведений конфиденциального характера; Список защищаемых информационных ресурсов; Описание технологического процесса обработки информации в выделенной локальной вычислительной козни; Схему коммутации выделенной локально вычислительной силок; Список лиц, допущенных к самостоятельной работе в АС. Третий остановка — закупка технических средств защиты информации. Правильнее говорить, сколько закупала головная контора, мы после токмо забирали. В результате получились: — Далласы для рабочие станции — Випнет координатор ради защищенного доступа сообразно IP-MPLS каналу к вышестоящей конторе. — Глушилки — Проведена сертификация Windows Server (здесь подобное обсуждается) Четвертый остановка — умственно-физические работы. Защищаемая автоматизированная система должна непременно защищена и физически. Тут очень удачно подвернулся переезд отдела, работающего с персональными данными на видоизмененный этаж. Данный отдел оказался в ограниченном помещении, уединенно из кабинетов отобрали под серверную. В результате с этажа для маршрутизатор выходят два кабеля (главный и резервный). Компьютера форматнули, установили чистую обновленную винду, офис, антивирь, рабочую прогу. В октябре 2009 приехали ребята с Питера. Установили Далласы, глушилки, настроили випнет, сделали всегда замеры, откорректировали документацию. Пятый этап — завершение. В конце октября 2009 собралась внутренняя поручение сообразно защите персональных данных. Были назначены ответственные лица, которые должны были после неделю подготовить документы и обманывать работы сообразно защите персональных данных (те самые, который перечислены со второго этапа). Изза неделю ответственные всетаки сделали. И совет с радостью приняла защищенную систему в эксплуатацию. Оживленно был получен свидетельство для три года, для чем постоянно и кончилось. Конечно, который для самом деле кончилось еще не все. К примеру защищенная порядок является единым программно-техническим комплексом. Мышь не поменяешь. Зато однажды в год дозволено вызвать аттестатора чтобы проверки соблюдения всех показателей защиты. А аттестатор имеет право изменять имеющиеся документы. Беспричинно который мышь поменять реально. Ну и современная понятие электронного межведомственного взаимодействия. Мнение хорошая. Вот лишь, не предусмотренная предыдущей концепцией защиты персональных данных. Так что когда реализуем — будем делать аттестацию снова. Согласие изменениям, внесённым законом № 363-ФЗ через 27 декабря 2009 возраст, операторы персональных данных должны привести приманка системы обработки персональных данных, запущенные предварительно 1 января 2010 возраст, в согласие с законом предварительно 1 января 2011 года. Федеральным законом через 23 декабря 2010 года № 359-ФЗ «О внесении изменения в статью 25 федерального закона „О персональных данных“» срок приведения информационных систем персональных данных, созданных предварительно 1 января 2011 возраст, в согласие с требованиями закона № 152-ФЗ – не позднее 1 июля 2011 года. Последние изменения были внесены федеральным законом № 261-ФЗ после 25.07.2011. Этим законом была уточнена царство действия Федерального закона «О персональных данных», используемые в нём основные понятия, принципы и условия обработки персональных данных. Существенно переработаны действующие законодательные нормы, касающиеся трансграничной передачи персональных данных, мер сообразно обеспечению безопасности персональных данных при их обработке, прав и обязанностей оператора, взаимоотношений оператора и субъекта персональных данных. Вступил в силу федеральный вера О персональных данных 152-ФЗ