Хотелось бы узнать, что в библиотеках фактически сделано согласно федеральному закону ФЗ-152 "О персональных данных" и как решаются проблемы (технические/юридические) по его исполнению. Ведь фактически все мы -- операторы по обработке персональных данных и с 01/01/2010 за всех могут взяться (конечно, сначала пойдут коммерсанты, но и они когда-нибудь кончатся =)

Да ничего не сделано. И не будет сделано, пока не появятся первые ласточки, которые будут трясти ксивами и выписывать огромные штрафы :).

Убиты практически все персональные данные в ИСПД, чтобы не мучиться с сертификацией и проч. Учетные карточки уложены в сейфы. Можете посмотреть вкратце вот это (pdf, 0.8 Mb)

Иркутская ОГУНБ
ИРБИС64.21Турбо
WebИРБИС-PHP

Большое спасибо, ознакомился с презентацией. Но, тем не менее, вопросы остались. Например такой: как определялся перечень ПД, подлежащих использованию в вашей ИС? В самом законе набор сведений описан крайне расплывчато.

И, если я правильно понял, то в вашем варианте ПД остались исключительно на бумажном носителе и по компьютерным сетям не циркулируют?

мы стремимся к этому :) а перечень ПД для сбора и обработки определяется локальными нормативными актами: положением об обработке ПД пользователей, правилами пользования б-кой, в которых как раз и прописывается почему и для чего берутся именно эти, а не те данные. Например фотография являющаяся биометрией по сути ничем оправдана быть не может и мы ее ликвидировали. А прописка - может, поскольку у нас в регионе есть закон об административной ответственности за порчу книг, по которому мы в праве составлять протокол об административном нарушении и направлять его в суд ПО МЕСТУ ЖИТЕЛЬСТВА. Значит место жительства нам знать можно :) Ну и т. д.

Иркутская ОГУНБ
ИРБИС64.21Турбо
WebИРБИС-PHP

Тут-то и кроется проблема, которая меня волнует. По сути локальные акты -- это хорошо. Но это ещё не выводит набор неких данных о личности на уровень "защиты от наезда органов".

Ведь локальным актом можно внести в разрешённый для себя перечень ПД всё, что угодно, но тогда теряется смысл самого ФЗ -- все данные могут считаться общедоступными и необходимыми (допустим, фото -- различение однофамильцев) с точки зрения локальных актов. Самому себе индульгенцию может выписывать только Папа Римский =)

Т.е., как мне кажется, какие бы мы бумажки не писали, пока на уровне соотв. ведомств не будет принято конкретное решение о том, что, допустим, ФИО и дата рождения -- не охраняемые ПД, а общедоступные, то всегда будем считаться оператором, который должен быть сертифицирован. Со всеми вытекающими из этого проблемами и затратами.

sadman написал(а):
-------------------------------------------------------
> Ведь локальным актом можно внести в разрешённый
> для себя перечень ПД всё, что угодно

Отнюдь... Локальные акты ДОЛЖНЫ опираться на федеральное и местное законодательство И корректироваться в случае их изменения. Они не могут противоречить им. "Вертикаль" у нас строится вполне основательно. Поэтому библиотека ну никак не может требовать с человека группу крови, а поликлиника - может, поскольку есть соответствующий ФЗ.

> Т.е., как мне кажется, какие бы мы бумажки не
> писали, пока на уровне соотв. ведомств не будет
> принято конкретное решение о том, что, допустим,
> ФИО и дата рождения -- не охраняемые ПД, а
> общедоступные, то всегда будем считаться
> оператором, который должен быть сертифицирован. Со
> всеми вытекающими из этого проблемами и затратами.

Не думаю, что такая бумажка когда-либо появится. любая библиотека была, есть и будет оператором ПД. Но сертификация - это просто не реально, поскольку ИСПД это же не только ПО, но ПО в совокупности с ТС, да + персонал. Поэтому лично я вижу только один выход в случае "наезда" (имею в виду выдаче предписания о прекращении обработки ПД до приведения в соответствие) - моментальная обезличка. По сути для электронной книговыдачи и статистического учета совершенно не важны ни ФИО, ни прописка.

Иркутская ОГУНБ
ИРБИС64.21Турбо
WebИРБИС-PHP

Я пишу о другом.

Нет никаких проблем с определением конкретных ПД, необходимых для функционирования ИС в библиотеке. Есть проблема с определением принадлежности конкретного элемента ПД к "охраняемым". Во всяком случае мне такая информация не попадалась. А если невозможно определить из закона, относится ли элемент набора к общедоступным или обезличенным данным, то он, полагаю, будет трактоваться в пользу позиции "органов". А органам всё равно как получать с нас -- штрафами, услугами сертификации или как-то иначе.

К слову -- занимался ли в вашей библиотеке данным вопросом юрист?
У нас, к примеру, задницу прикрыли приложением к трудовому договору, в котором работник головой отвечает за ПД. И всё, никаких более мероприятий. То же самое, что подписывать приказ о ответственности за пожарную безопасность без наличия огнетушителей, но с приваренными к окнам решётками.

...а то, что реально или нереально -- это соображения не для нашей страны. Есть план по отжиманию денег или по посадкам -- будут и дела соответственные безо всяких там экономических сочувствований. В нашем регионе отдел К уже показал себя с этой стороны в полной красе.

Вы совершенно правы относительно потенциально возможного произвола со стороны контролирующих органов в толковании тех аспектов закона, которые четко не разъяснены подзаконными НПА. Вот тут я недавно будировал вопрос об обезличке ПД :) И не участвую в нем. Не вижу никакого смысла в подобных обсуждениях, поскольку это "дышло" не в наших руках и значит "поворачивать" его тоже будем не мы :). И официально никто разъяснений не дает и не даст. За последние уже почти два года неоднократно ходил в соответствующий отдел регионального УГСН, где практически на любой вопрос отвечали "мы ничего не знаем (кроме формы заявления на внесение в реестр), нам обещали учебу", либо начинали разводить обсуждения, как на упомянутом выше форуме. Поэтому даже если появится какой-либо прецендент (акт проверки или даже положим судебное решение), он, увы, останется частным опытом взаимоотношений конкретной организации и конкретного инспектора (я даже не говорю конкретного УГСН). Делиться им можно и нужно, но гарантий - никаких

Относительно юриста. Что вы имеете в виду под "занимался"? Думается, что в отсутвие прецендентов и личного опыта по таковым прецендентам, любой юрист сейчас находится ровно в том же положении, что и любой гражданин нашей необъятной :)

Иркутская ОГУНБ
ИРБИС64.21Турбо
WebИРБИС-PHP



Редактировано 1 раз. Последний раз 22.10.2009 05:15 пользователем Куделя.

Дышло поворачивать мы не будем, конечно, но всегда полезно определиться заранее, куда отскакивать, когда его развернут в нашу сторону ;)

По поводу юриста у меня было соображение совершенно практическое. Чем больше разноуровневых людей вовлечено в процесс, тем выше вероятность принятия "защитного решения". Одно дело, когда я, прочитав пару законов по ссылкам в К+ приму какое-то внутреннее решение, можно сказать даже ТУ. И совершенно другое -- когда в этом будет замешан человек, который, в силу полученного профильного образования и возложенных на него работодателем функций, прошерстит всё и, быть может, заметит то, что могло пройти мимо меня.

К тому же -- где юрист, там и руководитель предприятия. Конечно, с одной стороны, это отягчающее обстоятельство -- умышленный сговор лиц, но с другой это обстоятельство заставит шевелится руководство, чтобы принять хоть какие-то меры.

Кстати, насчёт официальных разъяснений -- это хорошая мысль. Стоит послать письмецо в контору -- пусть на гербовой бумаге ответ дадут ;)

Всем спасибо за актуальную тему.

Куделя написал(а):
-------------------------------------------------------
> Убиты практически все персональные данные в ИСПД,
> чтобы не мучиться с сертификацией и проч.

Хотел бы задать вопрос: как вы считаете, с какой "детализацией" следует "убивать" персональные данные для исполнения 152-ФЗ. Например:
- удалять данные логически;
- удалять данные не только логически, но и физически (чтобы удаляемые данные физически не существовали в файле базы данных);
- и так далее.

я думаю физически. Мало ли. Глянет инспектор текстовым редактором файл документов, а там никакой криптографии, все на ладошке :)
Хотя это все из области теорий, как и было сказано.

TO SADMAN: получите ответ "с гербовой печатью" не затруднитесь его тут опубликовать ? :)

Иркутская ОГУНБ
ИРБИС64.21Турбо
WebИРБИС-PHP



Редактировано 1 раз. Последний раз 23.10.2009 08:30 пользователем Куделя.

Как у соседей дела с "криптографией" :) Маразм крепчает? К счастью, у нас такого бреда пока нет. Изучаем ваш опыт защиты данных.

А в других системах (не ИРБИС) все защищено. MS SQL сертифицирован по ФСТЭК, ГПИБ, Историчка, переходит на WEB-АБИС с модулем защиты персональных данных, шифрованием хранимых данных в СУБД (сертифицированными методами) и защитой каналов передачи персональных данных (использование HTTPS и AES-256 или ГОСТ)



Редактировано 1 раз. Последний раз 27.10.2009 10:56 пользователем isheep.

Ну так если уж на то пошло, то никто не мешает реализовать то же шифрование "сертифицированными" методами в Ирбис. Шифрация каналов - вопрос вообще плевый. Дело ведь не в том, чтобы все это приделать, а получить потом сертификат на систему, что она полностью удовлетворяет этим требованиям. То, что используются сертифицированные методы и шифрованные каналы не дает никакого права системе заявлять о себе, как о надежной, если у нее нет соответствующего сертификата.
Уважаемый isheep, вы можете привести хоть какие-нибудь примеры систем, которые имеют такой сертификат?

ЗЫ. Или я не прав и использование сертифицированных методов автоматически делает систему сертифицированной? Если это так, то я люблю свою страну еще раз.

Закон РФ N 5485-1 от 21 июля 1993 г. («Закон о государственной тайне») определяет средства защиты информации, как «составную часть информационных систем или продуктов». Из этого следует, что, например, Windows содержит средства защиты информации, хотя само не является таковым средством. В соответствии с приведенными законами соответствующие организации (в частности, государственные) обязаны использовать программные и аппаратные средства с сертифицированными средствами защиты информации.

SQL Server является сертифицированным ФСТЭК средством СУБД (в отличии от ISIS, который никогда, я думаю, не пройдет такую сертификацию). Использование такой СУБД необходимо, но, конечно, не достаточно.

Ну так ISIS сейчас используется только в Ирбис32. И то уже были попытки перевести его на Ирбис64. А там уж разработчики могут крутить все, что угодно. И. кстати, мое мнение: им давно уже пора было накрутить там это, поскольку этот закон может серьезно повлиять на рынок при выборе системы автоматизации.

Так я понимаю в Ирбис64 до сих пор не докрутили.. Авторизация по LDAP не реализована, СУБД Ирбис64 не сертифицирована.. Ждем Либкома 2009. Интересно, что там скажут.

Поправите меня. SQL (Structured Query Language) — язык структурированных запросов. Это не БД.
SQL Server - имееться ввиду Microsoft? А это сколько в у.е. (убитых енотах) только за БД. А к ней еще надо собственно СУБД.

Я не знаю как у вас там с сертификатими, но у нас в Украине сертификат дают на конкретную версию ПО. Какую БД оно использует внутри, никого не волнует. Сертифицируют законченный продукт.

Но то что разработчикам возможно надо двигаться в этом направлении, то это вам на месте виднее.
От нас только требуют документы о регистрации ПО как объекта авторского права. Мне их в Крыму обещали что вышлют, но "воз и ныне там".

Konstantinus написал(а):
-------------------------------------------------------
> SQL Server - имееться ввиду Microsoft? А это
> сколько в у.е. (убитых енотах) только за БД. А к
> ней еще надо собственно СУБД.

Да, Microsoft SQL Server. Версия Express абсолютно бесплатна и подходит большинства библиотек (база в библиотеке редко больше 1 Гб бывает, гораздо меньше 4 Гигабайтного ограничения Express. Конечно, прозрачного шифрования можно получить только от Enterprise (178 497.00 руб. за 1 процессорную лицензию). Но можно ведь бесплатную версию использовать! В ней есть шифрование на уровне столбцов.. А мне больше и не надо!

Регистрация ПО как объекта авторского права - это совсем другая песня, не из этой темы.



Редактировано 1 раз. Последний раз 27.10.2009 16:14 пользователем isheep.

Добрый день.

На следующей веб-странице Сведения о Системе сертификации средств защиты информации
по требованиям безопасности информации можно скачать Государственный реестр сертифицированных средств защиты информации (в формате xls).

В реестре есть, например, Microsoft SQL Server 2005 SE.

А на следующей веб-странице - Cвидетельство о регистрации Системы ИРБИС (скан).

Cвидетельство о регистрации Системы ИРБИС - это всего лишь сертификат об авторстком праве и гос регистрации системы, такой есть у любого ПО, а "Государственный реестр сертифицированных средств защиты информации" - это совсем другой список. Посмотрите скан - там ничего нет о "средстве защиты информации". Так что все персональные данные стираем ночью 01.01.2010, кроме Ф.И.О. и даты рождения, см. как в Иркутске сделали..



Редактировано 1 раз. Последний раз 27.10.2009 16:49 пользователем isheep.

isheep написал(а):
-------------------------------------------------------
> Cвидетельство о регистрации Системы ИРБИС - это
> всего лишь сертификат об авторстком праве и гос
> регистрации системы

Да, конечно, это я в ответ на реплику Konstantinus.

Konstantinus написал(а):
-------------------------------------------------------
> От нас только требуют документы о регистрации ПО
> как объекта авторского права.

В России - такой документ. А вот на Украине...

isheep, мне кажется, что список "Государственный реестр сертифицированных средств защиты информации" - тот (Вы упоминали сертификацию ФСТЭК).



Редактировано 1 раз. Последний раз 27.10.2009 17:08 пользователем PRM.

PRM написал(а):
> isheep, мне кажется, что список "Государственный
> реестр сертифицированных средств защиты
> информации" - тот (Вы упоминали сертификацию
> ФСТЭК).

Да, тот самый..

1. недостаточно (и не обязательно) иметь сертификат на СУБД
2. недостататочно (но желательно) иметь сертифкат на ПО реализованное с использованием этой СУБД
3. сертифицируется конкретная ИСПД, т.е. то, что стоит в конкретной организации в конкретной конфигурации

это вытекает из самого определения ИСПД в п.1 Пост. Правительства РФ от 17 ноября 2007 г. N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»

так что наличие сертификата на ПО теоретически конечно упрощает процесс, но не дает иммунитета от проверки и приостановки обработки ПД.

PS: вообще меня, если честно, гораздо больше волнует классическая 1С :)

Иркутская ОГУНБ
ИРБИС64.21Турбо
WebИРБИС-PHP

Максим, ссылка на pdf ( [irabis.irklib.ru] ) не работает, можешь на ilq@mail.ru выслать, пожалуйста?

В любом случае, при изучении распределенных систем (несколько филиалов передают данные несертифицированными алгоритмами шифрования по сети Интернет) для удовлетворения требований вышеупомянутого Закона следует рассматривать весь комплекс ПО и данных плюс большинство каналов утечки. А вот с этим у большинства библиотек проблем больше, чем решений.
Для информации все ли прочитали статью "Защита персональных данных: откладывать больше нельзя" (http://www.interface.ru/home.asp?artId=20822) ?

Все ли видели методички (те, что выдают Вам взамен за заполненный бланк заявки об обработке персональных данных):
- БАЗОВАЯ МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ
- МЕТОДИКА ОПРЕДЕЛЕНИЯ АКТУАЛЬНЫХ УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ
- ОСНОВНЫЕ МЕРОПРИЯТИЯ ПО ОРГАНИЗАЦИИ И ТЕХНИЧЕСКОМУ ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ
- РЕКОМЕНДАЦИИ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ

Кроме этого, посмотрите реальные результаты работы Смоленска (http://admin.smolensk.ru/www.fstec.ru/person.htm) и там же ПО для шифрования.

В России есть реальные примеры, когда за 100 тыс. руб за здание можно сделать полный комплекс услуг по соблюдению этого закона по 2 категории с любым ПО даже с учетом распределенной структуры по городу (2 филиала через Интернет - 200 тыс.р. и т.д)
Для многих вопрос стоит именно в деньгах.
Можете не сомневаться, что даже если на СУБД будет сертификат, то за открытый канал передачи или использование несертифицированных алгоритмов шифрования (а они все "немало платные" для 2-ой распределенной категории) наказание будет тоже значительным, тем более, что там 2 варианта: постараться исправиться в течение 3-х месяцев или стереть данные сразу.

Прочтите журнал "Библиотечный адвокат" №3 за 2009 год. Там шикарно написал Максим Викторович Куделя про проблемы и вопросы не с точки зрения ПО, а с точки зрения технлогических процессов библиотеки. Респект ему большой за это!

Что касается ЦБС, то для многих "накрывается" вопрос создания и работы распределнной БД читателей, поскольку обеспечить отдельно функционирующий комплекс безопасности (сервер+firewall) для малой библиотеки - нереально и нецелесообразно ни с какой из точек зрения. И это не только для ИРБИСа.
В Крыму (кто был на специальном мероприятии по этому вопросу) выступление на эту тему было. Но вызвало оно интерес не у многих (такая особенность восприятия информации в Крыму). На Либкоме, судя по всему, продолжение будет (осталось дождаться программы).
Но повторюсь, там разговор будет идти о ПО шифрования, а не о системе хранения данных.

Саша всех запутал окончательно :)

Я так понял если поднимается шифрованный канал связи (сертифицированный) то по нему могут спокойно бегать TCP/IP запросы ИРБИСа?

И да, и нет. Можно запустить шифрование трафика между отдельными компьютерами, между подсетями, или сетями. В зависимости от этого можно получить разный уровень защищенности. Но при передаче нешифрованного трафика нужно рассматривать больше угроз и решать модель защиты другими методами.
Главное во всей системе: 1. недопустить утечки данных; 2. Если произошла утечка, то точно определить, откуда она ушла и показать на конкретного человека.

Полезные сведения находятся в приложениях к письму Рособразования от 22.10.2009 N 17-187 "Об обеспечении защиты персональных данных"

[www.ed.gov.ru]