Закон о персональных данных

[kalex]

Господа,
кто-нибудь озадачивался соблюдением постановления правительства РФ № 781 об обеспечении безопасности персональных данных в Аксапте?
Если да, то какие конкретные шаги вы для этого предпринимали?

[AlGol]

Постановление называется несколько по-другому.
"Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных"

А то я первым делом подумал что законотвоческая инициатива докатилась до Аксапты персонально.

[kalex]

Да, не хотелось слишком длинно писать.
Тем не менее, есть кому что сказать?

[ppson]

а какие пункты постановления вызывают у вас сомнения?

[Arahnid]

Хотела задать тот же вопрос.

Пока этим озабочены активно партнеры. Они утверждают, что если мы отказались от подписки на получение права обновления ПО, то все пропало. Но при этом центральный вопрос: Майкрософот на что получит сертификат? На версию программы, программу в целом или еще чего? Катастрофа, если на версию программы.

Более того, не понятна позиция партнеров, которые говорят, что наличие подписки обновления как-то влияет на защиту персональных данных. Ведь подписка - это всего лишь право, а не обязанность.

А что касается конкретных действий, то будем писать внутренние документы или дорабатвыть текущие положения по разграничению прав доступа и функциональным обязанностям.

[RVS]

Цитата:

Сообщение от Arahnid

Хотела задать тот же вопрос.

Пока этим озабочены активно партнеры. Они утверждают, что если мы отказались от подписки на получение права обновления ПО, то все пропало.

Давайте посмотрим:

Цитата:

10. Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор или лицо, которому на основании договора оператор поручает обработку персональных данных (далее - уполномоченное лицо). Существенным условием договора является обязанность уполномоченного лица обеспечить конфиденциальность персональных данных и безопасность персональных данных при их обработке в информационной системе.

Это лицо, вероятно - администратор Axapta

Цитата:

11. При обработке персональных данных в информационной системе должно быть обеспечено:

а) проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;

- Права доступа + RLS + оргмеры

Цитата:

б) своевременное обнаружение фактов несанкционированного доступа к персональным данным;

- Журнал Базы данных

Цитата:

в) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;

- м-м-ммм... Правильное (на отдельно стоящем сервере, недоступном простому смертному) размещение базы данных...

Цитата:

г) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- Backup. Журнал Базы данных, в конце концов

Цитата:

д) постоянный контроль за обеспечением уровня защищенности персональных данных.

- оргмеры.

Вроде, все перечисленное есть уже в Ax 2.5... То есть, как бы - получить сертификат... можно

Цитата:

Сообщение от Arahnid

А что касается конкретных действий, то будем писать внутренние документы или дорабатвыть текущие положения по разграничению прав доступа и функциональным обязанностям.

А это - п. 12 того же Положения. Это никто не отменял, по-любому...

[Arahnid]

Пасибо за подробный комментарий.

Мне одно непонятно в этой ситуации. Позиция парнеров и их слова, что нужна поддержка ПО. Мы покупаем лицензии официально. Зачем нам поддержка, если все выше сказанное есть.

[RVS]

Цитата:

Сообщение от Arahnid

Пасибо за подробный комментарий.

Мне одно непонятно в этой ситуации. Позиция парнеров и их слова, что нужна поддержка ПО.

Во-первых, что "все есть" - это строго ПМСМ.
Во-вторых - партнеру... деньги нужны (это - точно).

А в-девятых - поддержка - тоже вещь полезная, IMHO.

Вооот...

[gl00mie]

Цитата:

Сообщение от RVS

Цитата:

своевременное обнаружение фактов несанкционированного доступа к персональным данным

Журнал Базы данных

Мне, почему-то, казалось, что журнал БД предназначен для аудита создания/изменения/удаления данных, но никак не для аудита доступа к ним (выборки). В качестве меры обнаружения НСД можно разве что рассматривать метод xRecord.aosValidateRead(), появившийся в ядре начиная с 4-ки. Правда, как его использование на таблицах, содержащих персональные данных тех же клиентов, скажется на производительности, вроде никто еще не исследовал.

[RVS]

Цитата:

Сообщение от gl00mie

журнал БД предназначен для аудита создания/изменения/удаления данных, но никак не для аудита доступа к ним (выборки).

Упс... Да, погорячился...

А если так: тот же RLS, права доступа, все попытки их несанкционированного расширения рассматривать, как попытку доступа к запретным данным (из системы).

Сами данные - физически недоступны пользователю (прав на БД у него нет).

Пойдет?

[last_hopes]

Погуглил немного источники этого дела. Похоже все ноги растут еще из Конвенции Совета Европы "О защите физических лиц при автоматизированной обработке персональных данных". Там статья 7 гласит:
"
Для защиты персональных данных, хранящихся в автоматизированных базах данных, принимаются надлежащие меры безопасности, направленные на предотвращение их случайного или несанкционированного уничтожения или случайной потери, а также на предотвращение несанкционированного доступа, их изменения или распространения таких данных.
"
Не похоже?
А по поводу какие формы примет - тут конечно по ребрам можно получить, но неофициально, чтоб ребрам не так обидно было. :

[FE]

Вроде бы по слухам планируют перенести на год вступление закона в силу...

[mazzy]

перенесли на следующий год
http://www.rg.ru/2009/12/29/dannye-dok.html