LINUX.ORG.RU
ФорумTalks

[бумажки][не нужно]бюрократия


0

2

итак, в соответствии с федеральным законом ФЗ-152 любое учреждение, где применяется электронная обработка персональных данных, как бэ должно подготовить пакет документов, регламентирующих эту самую обработку.

в связи с этим назревает вопросы:

1) какого хрена вообще?

2) где достать этот самый пакет документов, хотя бы образец. наши заказали его сторонней организации, но пакет, видимо, придется допиливать нам (то есть МНЕ)

3) вправе ли поручить работодатель пункт «2» сисадмину, тем более аникейщику?

кто-нибудь, кто проходил через этот бюрократический АДЪ, расскажите пожалуйста, как это было у вас. ато так не хочется этой лабудой заниматься, тем более перед отпуском.

есть так же моменты, что при определенной важности документы - должна хранится бум. копия/либо распечатка

sambo ()

> 1) какого хрена вообще?

как бы закон, ничего не поделаешь

2) где достать этот самый пакет документов, хотя бы образец. наши заказали его сторонней организации, но пакет, видимо, придется допиливать нам (то есть МНЕ)


http://zpdn-day.ru/

в принципе это подходит всем, допиливать надо в соответствии с внутренним документооборотом

3) вправе ли поручить работодатель пункт «2» сисадмину, тем более аникейщику?


да

кто-нибудь, кто проходил через этот бюрократический АДЪ, расскажите пожалуйста, как это было у вас. ато так не хочется этой лабудой заниматься, тем более перед отпуском.


http://ispdn.ru/forum/

JB ★★★★★ ()

1) Россия же!

2) На федеральных сайтах пошукать?

3) А ему вообще пофиг: на кого хочет, на того и спихнет. Не нравится - увольняйся :)

Eddy_Em ☆☆☆☆☆ ()

Кстати, выбор ОС, я так понимаю, теперь только из «белого списка»? Т.е. мастдай, да древние дистрибутивы?

Eddy_Em ☆☆☆☆☆ ()
Ответ на: комментарий от Eddy_Em

Что-то я не понял, закон всё-таки о защите персональных данных - или о расхищении оных?

Smacker ★★★ ()
Ответ на: комментарий от Eddy_Em

сильно сомневаюсь. когда наши сотрудницы постбальзаковского возраста слышат что-то, где есть словосочетания типа «модель угроз», «защита информации», у них начинается жуткий баттхерт.

Andersen ★★ ()

наши заказали его сторонней организации, но пакет, видимо, придется допиливать нам (то есть МНЕ)

это ещё одно доказательство того, что ты работаешь не там, где надо, и не тем, кем надо. А надо работать в той организации, которой заказали «роспил», и тем, кто будет делить распиленные денежки.

spunky ★★ ()
Ответ на: комментарий от Andersen

они не должны этого слышать. Или у вас в ИТ- и sec-отделах сотрудницы постбальзаковского возраста? Вообще это возможно, хотя такие сотрудники - редкость, т.к. обычно они уже все выросли из этих должностей в должности повыше.

spunky ★★ ()
Ответ на: комментарий от LongLiveUbuntu

Еще Альт, какая-то старая Шапка и что-то еще (не помню точно).

Eddy_Em ☆☆☆☆☆ ()
Ответ на: комментарий от MyFreedom

Судя по тому, что в «списке» есть мастдай, о защите никто и не думает. Распил чистой воды.

Eddy_Em ☆☆☆☆☆ ()

На дисках ИТС, которые идут с подпиской 1С 8, по-моему информация. По крайней мере пошаговый конструктор положения о защите персональных данных точно был

MyFreedom ★★★ ()
Ответ на: комментарий от Eddy_Em

>Судя по тому, что в «списке» есть мастдай, о защите никто и не думает

И чем Windows не угодил?

MyFreedom ★★★ ()
Ответ на: комментарий от MyFreedom

Как-то с понятиями «защита» и «безопасность» эта фиговина не дружит :)

// точнее, дружит, если админ - не эникейщик, но юзвери в таком случае взбунтуются...

Eddy_Em ☆☆☆☆☆ ()
Ответ на: комментарий от Eddy_Em

>с понятиями «защита» и «безопасность»

Если я правильно помню, в случае когда требуется сертифицированная ОС, комп не то что к инету не может быть подключен, доступ сотрудников к нему должен быть анально ограничен, кроме нескльких лиц, типа кадровика, начальника. ФСБшники требуют чуть ли не свинцом патчкорд заливать, чтоб при передаче по сети данных их нельзя было перехватить с улицы

MyFreedom ★★★ ()
Ответ на: комментарий от Eddy_Em

>Как-то с понятиями «защита» и «безопасность» эта фиговина не дружит :)

Сертификация сводится к просмотру исходного кода на предмет закладок и технологических отверстий

DNA_Seq ★★☆☆☆ ()
Ответ на: комментарий от Andersen

где есть словосочетания типа «модель угроз», «защита информации», у них начинается жуткий баттхерт.


Не парься так сильно. От тебя требуется создать механизм защиты данных. Типа, для бальзаковских женщин бумажку написать.
- 2 раза стрил вверх
- ентер
- стрил вниз
- ентер
- qwerty
- ентер

И подписать у вышестоящего начальства. Все. От сисадмина больше ничего не требуется.

vada ★★★★★ ()
Ответ на: комментарий от DNA_Seq

Сертификация сводится к просмотру исходного кода на предмет закладок и технологических отверстий


Никто на сертификацию исходный код не предоставляет. Сказки это. Тем более просматривать миллионы строк на предмет закладок никто не будет. Это работа на года.

vada ★★★★★ ()
Ответ на: комментарий от MyFreedom

>оступ сотрудников к нему должен быть анально ограничен

++

чуть ли не свинцом патчкорд заливать

++

Впрочем, есть некоторый нюанс

С плановой проверкой приходит РосКомНадзор. Они не имеют права смотреть ИС предприятия - они только посмотрят бумажки, нет ли там ошибок вида «жи-ши-пиши-с-и» и немного посерьезнее.

Проверка ИС, ЕМНИП, будет в том случае, если на тебя прямой донос придет - дескать Вася Корпорейшн светит моими персональными данными. Тогда, если сильно не повезет, может наведаться ФСТЭК - тогда готов вазелин.

Есть варианты, когда в гости придет ФСБ - тут проще сразу в окно прыгать, выпотрошат все.

И да, не надо забивать на эти документы - нарваться на «приостановление деятельности» вполне реально.

какого хрена вообще?

а ты, ТС, думал можно у людей за просто так отбирать личную информацию и распоряжаться ею в своих целях? Или хранить ее так, что ею воспользуются совершенно левые люди. Вот закажешь ты в сексшопе «Black Governer» какой-нибудь, заведешь там карту постоянного покупателя, а база хоп - и утекла к веселым молодым людям. А в базе твой телефончик - задолбаешься ведь отбиваться.

mikhalich ★★ ()
Ответ на: комментарий от DNA_Seq

Т.е. сертификаторы читали исходники мастдая? Ой да ладно...

Eddy_Em ☆☆☆☆☆ ()
Ответ на: комментарий от vada

>Никто на сертификацию исходный код не предоставляет

а вот, ЕМНИП, в регламентах всегда было указано, что предоставляют. Уже поменяли?

mikhalich ★★ ()
Ответ на: комментарий от mikhalich

< а ты, ТС, думал можно....

я имел в виду-каким боком тут вообще технический специалист?

Andersen ★★ ()
Ответ на: комментарий от Andersen

Этим занимается «офицер безопасности». В вашей конторе есть такой? Если нет, то решением начальства, ЕМНИП, эти обязанности могут быть возложены на имеющийся штат. Обычно за это доплачивают - потому что люди сутками сидят над законами и читаю «истории успеха».

mikhalich ★★ ()
Ответ на: комментарий от Eddy_Em

Ну, мелкомягкие же предоставляли исходники ХП, а вот читали или нет, это только у них выпытываь

Satou ★★★★ ()
Ответ на: комментарий от mikhalich

в регламентах всегда было указано, что предоставляют. Уже поменяли?


Я просто не слышал чтобы кто-то предоставлял. Типа, дело гиблое в код смотреть. И за сертификацию сырцов совсем другие деньги.

vada ★★★★★ ()

Жуткий попадос с этими персональными данными. Теперь, в теории, придётся всю инфраструктуру (включая биллинг итп) переделывать.

На практике лучше для вида поставить демонстрационный комп с мандривой. Особенно смешно то что поддержка мандривы 2008 закончилась. Ну и непонятно можно ли скачать дистр из инета или обязательно нужно купить в магазине(от 150баксов за коробку) чтобы была наклейка.

А ведь там ещё есть разные классы защиты информации...

Я уже вижу в будущем вакансии типа «нужен администратор мандривы». Вот это, тля, будущее.

Ксати, на сколько сложно сертифицировать дистр? Кто этим может заниматься? Можно было бы скинуться и пропихнуть хот

true_admin ★★★★★ ()
Ответ на: комментарий от Andersen

я имел в виду-каким боком тут вообще технический специалист?


Разработать защищенную технологию работ. Кто лучше сисадмина это должен знать.
Начать с физического доступа к серверам, бакапам, печатным копиям...

vada ★★★★★ ()
Ответ на: комментарий от Eddy_Em

Это длится не один день и даже не один месяц(обычно). Это раз

У ФСТЭК\ФСБ есть прорва контор, которые лицензированы и сертифицированы, с квалифицированным персоналом(как минимум несколько человек =)). То есть ресурсы есть. Это два.

Для подобных вещей есть(и вроде как уже давно) соответствующий инструментарий. Это три.

mikhalich ★★ ()
Ответ на: комментарий от true_admin

>Теперь, в теории, придётся всю инфраструктуру (включая биллинг итп) переделывать.

Очень и очень вряд ли. Обычно удается выкрутиться. Классы и Категории кастуются только так, главное в руках держать текст закона.

mikhalich ★★ ()
Ответ на: комментарий от mikhalich

И четыре: в реальности все более прозаично и решается n-й суммой денег, за которую могут любую бумажку нарисовать.

Eddy_Em ☆☆☆☆☆ ()
Ответ на: комментарий от Eddy_Em

Для слабеньких категорий - именно так и не иначе. Для высоких - видимо нет, раз для некоторых классов до сих пор нет ни одной софтины, хотя попытки были неоднократные. Instant fail

mikhalich ★★ ()
Ответ на: комментарий от mikhalich

вроде с грифом СС так - обработка разрешена, но не существует ПО, которое бы прошло сертификацию. Считать можно, но нечем.

mikhalich ★★ ()

какого хрена вообще?

В целом это полезно. В том числе и для самих предприятий. Что-то вроде информационного кашрута :)

кто-нибудь, кто проходил через этот бюрократический АДЪ

Ну это у вас в Эрэфии умудрились превратить это в ад. На самом деле, ничего такого кошмарного в самой идее защиты личных данных нет.

Deleted ()
Ответ на: комментарий от mikhalich

Очень и очень вряд ли

конечно все будут выкручиваться, но по закону вся инфраструктура которая учавствует в обработке персональных данных должна работать на «мандривах».

true_admin ★★★★★ ()
Ответ на: комментарий от Andersen

>я имел в виду-каким боком тут вообще технический специалист?

А как работают с этими самыми данными? 99,9% - на компьютерах. Установить нужное ПО, настроить доступ, разграничить права, сделать защищённую сеть... Казалось бы причём здесь айтишник?

MyFreedom ★★★ ()
Ответ на: комментарий от true_admin

>На практике лучше для вида поставить демонстрационный комп с мандривой. Особенно смешно то что поддержка мандривы 2008 закончилась

Слабо представляю в категории K1 что-то кроме Windows, RHEL и чего-нибудь отечественного. Насколько я знаю после каждого апдейта нужно проводить повторную сертификацию

MyFreedom ★★★ ()

может это так нигде не упоминается сертификация ИСО 9000:20**???

Deleted ()
Ответ на: комментарий от MyFreedom

Насколько я знаю после каждого апдейта нужно проводить повторную сертификацию

Вполне возможно.

Интересно, скоро ли заставят покупать сертифицированное железо? Уже поползновения были...

true_admin ★★★★★ ()
Ответ на: комментарий от true_admin

Мне вот больше интересно:
У меня три сервера на генте+40 машин с убунтой.
В качечстве бд под персональные данные используется mysql дремучей версии и не менее дремучий фронтенд.(третья категория ПД)
Как мне теперь всё это сертифицировать?
Обновляемся раз в неделю....
При этом похоже по закону наличие бумажки о сертификации не снимает с меня ответственности за утечки из-за дырок.

nighthawk ()
Ответ на: комментарий от nighthawk

Как мне теперь всё это сертифицировать?

Так об этом и тред. В нашей стране нельзя быть «чистым» на 100% даже если сильно захотеть.

по закону наличие бумажки о сертификации не снимает с меня ответственности за утечки из-за дырок.

это как суд решит.

true_admin ★★★★★ ()
Ответ на: комментарий от mikhalich

> а вот, ЕМНИП, в регламентах всегда было указано, что предоставляют. Уже поменяли?

Даже если предоставят и его просмотрят, это еще не гарантирует, что закладок нет.

cvs-255 ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.