Actually, on further review, bass and sax vocals are too loud, so I’m turning up the overall vox volume while pulling them down a smidge to balance it all out. But that’s not important right now.
is that the cool new board that doesn’t need you to do your job? well, maybe it should do the girls’ jobs too since it’s so great and the girls can’t ever do it to your liking.
Как помнят многие интересующиеся ФЗ-152 «О персональных данных» был принят в далеком 2006 году. Введение Закона в полную силу нудно откладывалось, только когда-то он должен был заработать. 1 июля 2011 это случилось.
Для нас (госконтора, примерно в 20000 человек в то время) проблема поднялась в 2008 году.
В начальном этапе не больно крепко, только после как в сказке: «Чем дальше, тем страшнее».
Начальный шаг — начальные Оргмеры.
— В каждой бумажке типа Заявления появилась надпись маленькими буковками (дабы оставить предшествующий величина бланка) — «Выражаю разрешение для необходимое использование моих персональных данных, в том числе в информационных системах».
— В Заявлениях для детские пособия было внесено прибавление про несовершеннолетних детей.
— Также были взяты отдельные Заявления с согласием предоставления и передачи данных из других учреждений (Пенсионный Фонд, НПФ т.п.).
Очень гибель бумаг и весь немного техники
Другой этап — разработка правильной документации.
Наступал 2009 год и было известно, который Начало опять отложат. Финансирования нет. Никто особо не торопится. Дозволительно упражнять документацию. Вышестоящая контора дала образцы следующих документов:
Приказание о назначении должностных лиц, ответственных следовать защиту информации ограниченного доступа, не содержащей государственной тайны;
Ордер об определении контролируемой зоны, в которой расположены узлы автоматизированной системы предназначенной ради обработки информации ограниченного доступа, не содержащей государственно тайны;
Инструкция о запрещении обработки информации ограниченного доступа для не аттестованных объектах информатизации
Инструкцию сообразно эксплуатации средств защиты информации объекта вычислительной техники;
Инструкцию сообразно установке нового и модификации используемого программного обеспечения на автоматизированной системе обрабатывающей информацию ограниченного доступа;
Инструкцию по организации антивирусной защиты на автоматизированной системе обрабатывающей информацию ограниченного доступа;
Инструкцию администратору информационной безопасности автоматизированной системы, обрабатывающей информацию ограниченного доступа;
Инструкцию по внесению изменений в списки пользователей и наделению их полномочиями доступа к ресурсам автоматизированной системы обрабатывающей информацию ограниченного доступа;
Инструкцию по организации парольной защиты автоматизированной системы;
Инструкцию сообразно организации резервного копирования данных автоматизированной системы обрабатывающей информацию ограниченного доступа;
Инструкцию пользователя автоматизированной системы.
Матрицу доступа к защищаемым ресурсам автоматизированной системы;
Технический свидетельство на АС;
Журнал учета допуска к работе в автоматизированной системе обрабатывающей информацию ограниченного доступа;
Журнал учета и выдачи машинных носителей информации предназначенных ради хранения информации ограниченного доступа, не содержащей государственной тайны;
Журнал учета средств защиты информации;
Форму Заявки для внесение пользователей АС;
Форму Акта проведения технических работ для объектах информатизации АС;
Перечень сведений конфиденциального характера;
Список защищаемых информационных ресурсов;
Изображение технологического процесса обработки информации в выделенной локальной вычислительной путы;
Схему коммутации выделенной локально вычислительной силок;
Меню лиц, допущенных к самостоятельной работе в АС.
Третий остановка — закупка технических средств защиты информации.
Правильнее сказать, который закупала головная контора, мы после один забирали. В результате получились:
— Далласы для рабочие станции
— Випнет координатор ради защищенного доступа сообразно IP-MPLS каналу к вышестоящей конторе.
— Глушилки
— Проведена сертификация Windows Server (здесь подобное обсуждается)
Четвертый этап — умственно-физические работы.
Защищаемая автоматизированная система должна непременно защищена и физически. Тут весьма удачно подвернулся переезд отдела, работающего с персональными данными на противоположный этаж. Известный отдел оказался в ограниченном помещении, один из кабинетов отобрали около серверную. В результате с этажа на маршрутизатор выходят два кабеля (главный и резервный). Компьютера форматнули, установили чистую обновленную винду, офис, антивирь, рабочую прогу. В октябре 2009 приехали ребята с Питера. Установили Далласы, глушилки, настроили випнет, сделали все замеры, откорректировали документацию.
Пятый остановка — завершение.
В конце октября 2009 собралась внутренняя совет по защите персональных данных. Были назначены ответственные лица, которые должны были после неделю подготовить документы и провести работы сообразно защите персональных данных (те самые, который перечислены со второго этапа). За неделю ответственные всетаки сделали. И поручение с радостью приняла защищенную систему в эксплуатацию. Проворно был получен свидетельство на три года, для чем всегда и кончилось.
Понятно, что на самом деле кончилось вдобавок не все.
К примеру защищенная порядок является единым программно-техническим комплексом. Мышь не поменяешь. Зато единожды в год позволительно вызвать аттестатора ради проверки соблюдения всех показателей защиты. А аттестатор имеет преимущество изменять имеющиеся документы. Беспричинно сколько мышь поменять реально.
Ну и современная мнение электронного межведомственного взаимодействия. Мнение хорошая. Вот лишь, не предусмотренная предыдущей концепцией защиты персональных данных. Так который когда реализуем — будем делать аттестацию снова.
Соглашение изменениям, внесённым законом № 363-ФЗ через 27 декабря 2009 возраст, операторы персональных данных должны привести свои системы обработки персональных данных, запущенные заранее 1 января 2010 возраст, в согласие с законом прежде 1 января 2011 года. Федеральным законом от 23 декабря 2010 возраст № 359-ФЗ «О внесении изменения в статью 25 федерального закона „О персональных данных“» срок приведения информационных систем персональных данных, созданных прежде 1 января 2011 года, в согласие с требованиями закона № 152-ФЗ – не позднее 1 июля 2011 года. Последние изменения были внесены федеральным законом № 261-ФЗ после 25.07.2011. Этим законом была уточнена мир действия Федерального закона «О персональных данных», используемые в нём основные понятия, принципы и условия обработки персональных данных. Существенно переработаны действующие законодательные нормы, касающиеся трансграничной передачи персональных данных, мер сообразно обеспечению безопасности персональных данных присутствие их обработке, прав и обязанностей оператора, взаимоотношений оператора и субъекта персональных данных.
Not So Fast 
they never are…*shaking head*…they never are
lol.
Actually, on further review, bass and sax vocals are too loud, so I’m turning up the overall vox volume while pulling them down a smidge to balance it all out. But that’s not important right now.
watch those levels…don’t want to feedback.
is that the cool new board that doesn’t need you to do your job? well, maybe it should do the girls’ jobs too since it’s so great and the girls can’t ever do it to your liking.
touchy, touchy.
You’re just jealous of the awesomeness of the board.
Как помнят многие интересующиеся ФЗ-152 «О персональных данных» был принят в далеком 2006 году. Введение Закона в полную силу нудно откладывалось, только когда-то он должен был заработать. 1 июля 2011 это случилось.
Для нас (госконтора, примерно в 20000 человек в то время) проблема поднялась в 2008 году.
В начальном этапе не больно крепко, только после как в сказке: «Чем дальше, тем страшнее».
Начальный шаг — начальные Оргмеры.
— В каждой бумажке типа Заявления появилась надпись маленькими буковками (дабы оставить предшествующий величина бланка) — «Выражаю разрешение для необходимое использование моих персональных данных, в том числе в информационных системах».
— В Заявлениях для детские пособия было внесено прибавление про несовершеннолетних детей.
— Также были взяты отдельные Заявления с согласием предоставления и передачи данных из других учреждений (Пенсионный Фонд, НПФ т.п.).
Очень гибель бумаг и весь немного техники
Другой этап — разработка правильной документации.
Наступал 2009 год и было известно, который Начало опять отложат. Финансирования нет. Никто особо не торопится. Дозволительно упражнять документацию. Вышестоящая контора дала образцы следующих документов:
Приказание о назначении должностных лиц, ответственных следовать защиту информации ограниченного доступа, не содержащей государственной тайны;
Ордер об определении контролируемой зоны, в которой расположены узлы автоматизированной системы предназначенной ради обработки информации ограниченного доступа, не содержащей государственно тайны;
Инструкция о запрещении обработки информации ограниченного доступа для не аттестованных объектах информатизации
Инструкцию сообразно эксплуатации средств защиты информации объекта вычислительной техники;
Инструкцию сообразно установке нового и модификации используемого программного обеспечения на автоматизированной системе обрабатывающей информацию ограниченного доступа;
Инструкцию по организации антивирусной защиты на автоматизированной системе обрабатывающей информацию ограниченного доступа;
Инструкцию администратору информационной безопасности автоматизированной системы, обрабатывающей информацию ограниченного доступа;
Инструкцию по внесению изменений в списки пользователей и наделению их полномочиями доступа к ресурсам автоматизированной системы обрабатывающей информацию ограниченного доступа;
Инструкцию по организации парольной защиты автоматизированной системы;
Инструкцию сообразно организации резервного копирования данных автоматизированной системы обрабатывающей информацию ограниченного доступа;
Инструкцию пользователя автоматизированной системы.
Матрицу доступа к защищаемым ресурсам автоматизированной системы;
Технический свидетельство на АС;
Журнал учета допуска к работе в автоматизированной системе обрабатывающей информацию ограниченного доступа;
Журнал учета и выдачи машинных носителей информации предназначенных ради хранения информации ограниченного доступа, не содержащей государственной тайны;
Журнал учета средств защиты информации;
Форму Заявки для внесение пользователей АС;
Форму Акта проведения технических работ для объектах информатизации АС;
Перечень сведений конфиденциального характера;
Список защищаемых информационных ресурсов;
Изображение технологического процесса обработки информации в выделенной локальной вычислительной путы;
Схему коммутации выделенной локально вычислительной силок;
Меню лиц, допущенных к самостоятельной работе в АС.
Третий остановка — закупка технических средств защиты информации.
Правильнее сказать, который закупала головная контора, мы после один забирали. В результате получились:
— Далласы для рабочие станции
— Випнет координатор ради защищенного доступа сообразно IP-MPLS каналу к вышестоящей конторе.
— Глушилки
— Проведена сертификация Windows Server (здесь подобное обсуждается)
Четвертый этап — умственно-физические работы.
Защищаемая автоматизированная система должна непременно защищена и физически. Тут весьма удачно подвернулся переезд отдела, работающего с персональными данными на противоположный этаж. Известный отдел оказался в ограниченном помещении, один из кабинетов отобрали около серверную. В результате с этажа на маршрутизатор выходят два кабеля (главный и резервный). Компьютера форматнули, установили чистую обновленную винду, офис, антивирь, рабочую прогу. В октябре 2009 приехали ребята с Питера. Установили Далласы, глушилки, настроили випнет, сделали все замеры, откорректировали документацию.
Пятый остановка — завершение.
В конце октября 2009 собралась внутренняя совет по защите персональных данных. Были назначены ответственные лица, которые должны были после неделю подготовить документы и провести работы сообразно защите персональных данных (те самые, который перечислены со второго этапа). За неделю ответственные всетаки сделали. И поручение с радостью приняла защищенную систему в эксплуатацию. Проворно был получен свидетельство на три года, для чем всегда и кончилось.
Понятно, что на самом деле кончилось вдобавок не все.
К примеру защищенная порядок является единым программно-техническим комплексом. Мышь не поменяешь. Зато единожды в год позволительно вызвать аттестатора ради проверки соблюдения всех показателей защиты. А аттестатор имеет преимущество изменять имеющиеся документы. Беспричинно сколько мышь поменять реально.
Ну и современная мнение электронного межведомственного взаимодействия. Мнение хорошая. Вот лишь, не предусмотренная предыдущей концепцией защиты персональных данных. Так который когда реализуем — будем делать аттестацию снова.
Соглашение изменениям, внесённым законом № 363-ФЗ через 27 декабря 2009 возраст, операторы персональных данных должны привести свои системы обработки персональных данных, запущенные заранее 1 января 2010 возраст, в согласие с законом прежде 1 января 2011 года. Федеральным законом от 23 декабря 2010 возраст № 359-ФЗ «О внесении изменения в статью 25 федерального закона „О персональных данных“» срок приведения информационных систем персональных данных, созданных прежде 1 января 2011 года, в согласие с требованиями закона № 152-ФЗ – не позднее 1 июля 2011 года. Последние изменения были внесены федеральным законом № 261-ФЗ после 25.07.2011. Этим законом была уточнена мир действия Федерального закона «О персональных данных», используемые в нём основные понятия, принципы и условия обработки персональных данных. Существенно переработаны действующие законодательные нормы, касающиеся трансграничной передачи персональных данных, мер сообразно обеспечению безопасности персональных данных присутствие их обработке, прав и обязанностей оператора, взаимоотношений оператора и субъекта персональных данных.
Вступил в силу федеральный основание О персональных данных 152-ФЗ
ФЗ-152 «О персональных данных»