|
| |
|
|
| |
для: ols
(12.11.2008 в 13:33)
| | | >А какая ответственость преследуется?
Сложный вопрос. Здесь все смотрится по конкретному факту. Это может быть и "незаконное предпринимательство" и все, что угодно. Очень много статей под это можно подвести. | |
| |
|
|
| |
|
|
| |
для: Кузнецов М.В.
(12.11.2008 в 00:25)
| | | >Получается так. По закону. Другое дело, что его нередко нарушают.
Тоесть иногие разработчики, неимеющие право на разработку подобных АИС, оперируещих с ПД берутся за подобные проекты?
А какая ответственость преследуется? | |
| |
|
|
| |
|
|
| |
для: ols
(11.11.2008 в 08:29)
| | | >Это получается чтобы вообще заниматься разработкой приложений, оперирующих персональными данными необходиомо иметь вроде сертификата?
По закону так. Только не сертификат, а лицензию, скорее.
>Это получается если проект отдать заказчику, и запустить его, мы все-таки нарушаем права?
Получается так. По закону. Другое дело, что его нередко нарушают. | |
| |
|
|
| |
|
|
| |
для: Кузнецов М.В.
(08.11.2008 в 15:48)
| | | Это получается чтобы вообще заниматься разработкой приложений, оперирующих персональными данными необходиомо иметь вроде сертификата?
Это получается если проект отдать заказчику, и запустить его, мы все-таки нарушаем права? | |
| |
|
|
| |
|
|
| |
для: ols
(07.11.2008 в 18:21)
| | | >Меня волнует вообще такой вопрос - Можно ли хранить персональные данные граждан на >сервере, подключенному к интернуту, учитывая что все стороны имеющие доступ к БД >подписались о неразгл. и доступ защищен системой авторизации, причем используется >несколько уровней защиты?
Думаю, что нет. Во-первых, вся конфиденциальная информация, насколько я в курсе, гоняется по спецсетям, с Интернетом не пересекающимися. К охране конфиденциальных данных Закон предъявляет достаточно жеские требования в части средсв защиты.
В частности ст. 19 Закона о персональных данных гласит:
1. Оператор при обработке персональных данных обязан принимать необходимые
организационные и технические меры, в том числе использовать шифровальные
(криптографические) средства, для защиты персональных данных от неправомерного или
случайного доступа к ним, уничтожения, изменения, блокирования, копирования,
распространения персональных данных, а также от иных неправомерных действий.
2. Правительство Российской Федерации устанавливает требования к обеспечению
безопасности персональных данных при их обработке в информационных системах
персональных данных
А постановление Правительства РФ № 781 от 17.11.2007 г., на которое ссылается п.2 ст. 19 Закона о Персональных данных ("ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ
ОБ ОБЕСПЕЧЕНИИ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ")
говорит на этот счет следующее:
1. Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.
2. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.
3. Методы и способы защиты информации в информационных системах устанавливаются Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.
Достаточность принятых мер по обеспечению безопасности персональных данных при их обработке в информационных системах оценивается при проведении государственного контроля и надзора.
4. Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия.
5. Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) путем применения технических средств.
6. Возможные каналы утечки информации при обработке персональных данных в информационных системах определяются Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.
7. Реализация требований по обеспечению безопасности информации в средствах защиты информации возлагается на их разработчиков.
В отношении разработанных шифровальных (криптографических) средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке в информационных системах, проводятся тематические исследования и контрольные тематические исследования в целях проверки выполнения требований по безопасности информации. При этом под тематическими исследованиями понимаются криптографические, инженерно-криптографические и специальные исследования средств защиты информации и специальные работы с техническими средствами информационных систем, а под контрольными тематическими исследованиями - периодически проводимые тематические исследования.
Конкретные сроки проведения контрольных тематических исследований определяются Федеральной службой безопасности Российской Федерации.
8. Результаты оценки соответствия и (или) тематических исследований средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке в информационных системах, оцениваются в ходе экспертизы, осуществляемой Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.
9. К средствам защиты информации, предназначенным для обеспечения безопасности персональных данных при их обработке в информационных системах, прилагаются правила пользования этими средствами, согласованные с Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.
10. Средства защиты информации, предназначенные для обеспечения безопасности персональных данных при их обработке в информационных системах, подлежат учету с использованием индексов или условных наименований и регистрационных номеров. Перечень индексов, условных наименований и регистрационных номеров определяется Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.
11. Особенности разработки, производства, реализации и эксплуатации шифровальных (криптографических) средств защиты информации и предоставления услуг по шифрованию персональных данных при их обработке в информационных системах устанавливаются Федеральной службой безопасности Российской Федерации.
На основании вышеизложенного, думаю, что Ваших средств защиты конфиденциальной информации недостаточно :) По Закону :) Разрешение ФСБ на такие работы получали? Росконтроль все принял? Вряд ли. | |
| |
|
|
| |
|
|
| |
для: Кузнецов М.В.
(06.11.2008 в 02:19)
| | | >>1. Какие права нарушает наша компания (мы являемся и разработчиками и размещаем БД на сервере нашего провайдера)
>Вы, судя по всему, никакие прав не нарушаете. Вам поручили проект, вы подписались о неразглашении, все нормально. "Судя по всему" - это на случай некоторых ситуаций, которые изредка имеют место быть. (Из Вашего текста не ясна ситуация в конкретике, а она, конкретика, нередко играет первую роль). К примеру: некоторые госпроекты имеют делать право только госинституты или НПО.
Нет, просто мы выиграли тендер, точнее заказчик уже хотел что бы проект разрабатывали мы.
Поэтому тендер был уже заранее определен :)
>>2. Нарушает ли какие-либо права заказчик?
>Зависит от того, кто заказчик. Заказчик гос.организации, заключила с нами договор на разработку АИС. Но вообще проект поручили по требованию администрации города и соответственно мэр подписывался.
Меня волнует вообще такой вопрос - Можно ли хранить персональные данные граждан на сервере, подключенному к интернуту, учитывая что все стороны имеющие доступ к БД подписались о неразгл. и доступ защищен системой авторизации, причем используется несколько уровней защиты? | |
| |
|
|
| |
|
|
| |
для: ols
(05.11.2008 в 18:04)
| | | >1. Какие права нарушает наша компания (мы являемся и разработчиками и размещаем БД на сервере нашего провайдера)
Вы, судя по всему, никакие прав не нарушаете. Вам поручили проект, вы подписались о неразглашении, все нормально. "Судя по всему" - это на случай некоторых ситуаций, которые изредка имеют место быть. (Из Вашего текста не ясна ситуация в конкретике, а она, конкретика, нередко играет первую роль). К примеру: некоторые госпроекты имеют делать право только госинституты или НПО.
>2. Нарушает ли какие-либо права заказчик?
Зависит от того, кто заказчик. | |
| |
|
|
| |
|
|
| | Мы делали проект для гос. учреждения. Данный проект содержит БД граждан РФ города X
1) Данные хранятся в БД на серврере в интернете у нашего хостинг партнера, с которым наша компания заключила договор и внем есть пункт о неразглашении информации в свою очередь с наша компания с заказчиком тоже обязалась неразглашать информацию.
2) Доступ к базе имеет некоторое число частных лиц, но они не являются сотрудниками гос.организации(заказчика), но тоже подписались о неразглашении
3) Доступ к БД возможен только пройдя систему авторизации, и имеется всего ограниченое число учетных записей
У меня возникает следущие вопросы:
1. Какие права нарушает наша компания (мы являемся и разработчиками и размещаем БД на сервере нашего провайдера)
2. Нарушает ли какие-либо права заказчик? | |
| |
|
| |
|
