AXForum  
Вернуться   AXForum > Microsoft Dynamics AX > DAX: Прочие вопросы
All
Забыли пароль?
Зарегистрироваться Правила Справка Пользователи Сообщения за день Поиск Все разделы прочитаны

 
 
Опции темы Поиск в этой теме Опции просмотра
Старый 24.09.2009, 13:12   #1  
kalex is offline
kalex
Участник
 
132 / 20 (1) +++
Регистрация: 18.05.2002
Адрес: Москва
Закон о персональных данных
Господа,
кто-нибудь озадачивался соблюдением постановления правительства РФ № 781 об обеспечении безопасности персональных данных в Аксапте?
Если да, то какие конкретные шаги вы для этого предпринимали?
Старый 24.09.2009, 15:27   #2  
AlGol is offline
AlGol
Участник
 
277 / 93 (4) ++++
Регистрация: 24.12.2001
Адрес: Тверь.
Постановление называется несколько по-другому.
"Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных"

А то я первым делом подумал что законотвоческая инициатива докатилась до Аксапты персонально.
Старый 29.09.2009, 18:24   #3  
kalex is offline
kalex
Участник
 
132 / 20 (1) +++
Регистрация: 18.05.2002
Адрес: Москва
Да, не хотелось слишком длинно писать.
Тем не менее, есть кому что сказать?
Старый 30.09.2009, 00:05   #4  
ppson is offline
ppson
Участник
Аватар для ppson
Ex AND Project
1C
 
2,102 / 114 (8) +++++
Регистрация: 25.06.2002
Адрес: SPb, Msk
а какие пункты постановления вызывают у вас сомнения?
__________________
Старый 12.10.2009, 19:03   #5  
Arahnid is offline
Arahnid
Участник
 
880 / 60 (4) ++++
Регистрация: 09.08.2005
Адрес: Moscow
Хотела задать тот же вопрос.

Пока этим озабочены активно партнеры. Они утверждают, что если мы отказались от подписки на получение права обновления ПО, то все пропало. Но при этом центральный вопрос: Майкрософот на что получит сертификат? На версию программы, программу в целом или еще чего? Катастрофа, если на версию программы.

Более того, не понятна позиция партнеров, которые говорят, что наличие подписки обновления как-то влияет на защиту персональных данных. Ведь подписка - это всего лишь право, а не обязанность.

А что касается конкретных действий, то будем писать внутренние документы или дорабатвыть текущие положения по разграничению прав доступа и функциональным обязанностям.
Старый 12.10.2009, 21:09   #6  
RVS is offline
RVS
Сенбернар
Аватар для RVS
Злыдни
 
696 / 130 (6) +++++
Регистрация: 27.02.2003
Адрес: Королев МО
IMHO
Цитата:
Сообщение от Arahnid Посмотреть сообщение
Хотела задать тот же вопрос.

Пока этим озабочены активно партнеры. Они утверждают, что если мы отказались от подписки на получение права обновления ПО, то все пропало.
Давайте посмотрим:

Цитата:
10. Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор или лицо, которому на основании договора оператор поручает обработку персональных данных (далее - уполномоченное лицо). Существенным условием договора является обязанность уполномоченного лица обеспечить конфиденциальность персональных данных и безопасность персональных данных при их обработке в информационной системе.
Это лицо, вероятно - администратор Axapta


Цитата:
11. При обработке персональных данных в информационной системе должно быть обеспечено:

а) проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;
- Права доступа + RLS + оргмеры

Цитата:
б) своевременное обнаружение фактов несанкционированного доступа к персональным данным;
- Журнал Базы данных

Цитата:
в) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
- м-м-ммм... Правильное (на отдельно стоящем сервере, недоступном простому смертному) размещение базы данных...

Цитата:
г) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- Backup. Журнал Базы данных, в конце концов

Цитата:
д) постоянный контроль за обеспечением уровня защищенности персональных данных.
- оргмеры.

Вроде, все перечисленное есть уже в Ax 2.5... То есть, как бы - получить сертификат... можно

Цитата:
Сообщение от Arahnid Посмотреть сообщение
А что касается конкретных действий, то будем писать внутренние документы или дорабатвыть текущие положения по разграничению прав доступа и функциональным обязанностям.
А это - п. 12 того же Положения. Это никто не отменял, по-любому...
__________________
Best Regards,
Roman

Последний раз редактировалось RVS; 12.10.2009 в 21:37.
Старый 12.10.2009, 21:26   #7  
Arahnid is offline
Arahnid
Участник
 
880 / 60 (4) ++++
Регистрация: 09.08.2005
Адрес: Moscow
Пасибо за подробный комментарий.

Мне одно непонятно в этой ситуации. Позиция парнеров и их слова, что нужна поддержка ПО. Мы покупаем лицензии официально. Зачем нам поддержка, если все выше сказанное есть.
Старый 12.10.2009, 21:34   #8  
RVS is offline
RVS
Сенбернар
Аватар для RVS
Злыдни
 
696 / 130 (6) +++++
Регистрация: 27.02.2003
Адрес: Королев МО
Цитата:
Сообщение от Arahnid Посмотреть сообщение
Пасибо за подробный комментарий.

Мне одно непонятно в этой ситуации. Позиция парнеров и их слова, что нужна поддержка ПО.
Во-первых, что "все есть" - это строго ПМСМ.
Во-вторых - партнеру... деньги нужны (это - точно).

А в-девятых - поддержка - тоже вещь полезная, IMHO.

Вооот...
__________________
Best Regards,
Roman
Старый 13.10.2009, 09:38   #9  
gl00mie is offline
gl00mie
Участник
MCBMSS
Most Valuable Professional
Лучший по профессии 2017
Лучший по профессии 2015
Лучший по профессии 2014
Лучший по профессии AXAWARD 2013
Лучший по профессии 2011
Лучший по профессии 2009
 
3,684 / 5798 (201) ++++++++++
Регистрация: 28.11.2005
Адрес: Москва
Записей в блоге: 3
Цитата:
Сообщение от RVS Посмотреть сообщение
Цитата:
своевременное обнаружение фактов несанкционированного доступа к персональным данным
Журнал Базы данных
Мне, почему-то, казалось, что журнал БД предназначен для аудита создания/изменения/удаления данных, но никак не для аудита доступа к ним (выборки). В качестве меры обнаружения НСД можно разве что рассматривать метод xRecord.aosValidateRead(), появившийся в ядре начиная с 4-ки. Правда, как его использование на таблицах, содержащих персональные данных тех же клиентов, скажется на производительности, вроде никто еще не исследовал.
Старый 13.10.2009, 10:55   #10  
RVS is offline
RVS
Сенбернар
Аватар для RVS
Злыдни
 
696 / 130 (6) +++++
Регистрация: 27.02.2003
Адрес: Королев МО
Цитата:
Сообщение от gl00mie Посмотреть сообщение
журнал БД предназначен для аудита создания/изменения/удаления данных, но никак не для аудита доступа к ним (выборки).
Упс... Да, погорячился...

А если так: тот же RLS, права доступа, все попытки их несанкционированного расширения рассматривать, как попытку доступа к запретным данным (из системы).

Сами данные - физически недоступны пользователю (прав на БД у него нет).

Пойдет?
__________________
Best Regards,
Roman
Старый 07.12.2009, 16:07   #11  
last_hopes is offline
last_hopes
Участник
 
1 / 10 (1) +
Регистрация: 28.11.2009
Закон о персональных данных
Погуглил немного источники этого дела. Похоже все ноги растут еще из Конвенции Совета Европы "О защите физических лиц при автоматизированной обработке персональных данных". Там статья 7 гласит:
"
Для защиты персональных данных, хранящихся в автоматизированных базах данных, принимаются надлежащие меры безопасности, направленные на предотвращение их случайного или несанкционированного уничтожения или случайной потери, а также на предотвращение несанкционированного доступа, их изменения или распространения таких данных.
"
Не похоже?
А по поводу какие формы примет - тут конечно по ребрам можно получить, но неофициально, чтоб ребрам не так обидно было. :
__________________
last_hopes
Старый 07.12.2009, 17:47   #12  
FE is offline
FE
Участник
 
224 / 58 (2) ++++
Регистрация: 28.07.2005
Адрес: Петербург
Вроде бы по слухам планируют перенести на год вступление закона в силу...
Старый 28.01.2010, 14:29   #13  
mazzy is offline
mazzy
Участник
Аватар для mazzy
Лучший по профессии 2015
Лучший по профессии 2014
Лучший по профессии AXAWARD 2013
Лучший по профессии 2011
Лучший по профессии 2009
 
29,472 / 4494 (208) ++++++++++
Регистрация: 29.11.2001
Адрес: Москва
Записей в блоге: 10
перенесли на следующий год
http://www.rg.ru/2009/12/29/dannye-dok.html
__________________
полезное на axForum, github, vk, coub.
Теги
безопасность, персональные данные

 

Похожие темы
Тема Автор Раздел Ответов Посл. сообщение
Невозможно выполнить команду языка определения данных в () iHomer13 DAX: Программирование 8 18.07.2008 10:56
Стандартный импорт данных. Обновление sparur DAX: Функционал 0 24.03.2008 19:07
Распределенная база данных на основе View Владимир Максимов DAX: Программирование 27 04.09.2007 13:21
Введение в Аксапту Роман Кошелев DAX: Прочие вопросы 0 18.12.2001 14:00
Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Быстрый переход

Рейтинг@Mail.ru
Часовой пояс GMT +3, время: 05:05.