К слову... Кто хотел знать об отношениях конкретных субъектов с конкретным инспектором?

ПЛАН
проведения плановых проверок Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций на 2010 год

...
Государственное учреждение культуры "Вологодская областная универсальная научная библиотека имени И.В. Бабушкина"
Проверка соблюдения обязательных требований: в сфере обработки персональных данных
12.01.2010-08.02.2010
...
Краснодарская краевая универсальная научная библиотека им. А.С. Пушкина
11.01.2010-05.02.2010
...
Областное государственное учреждение культуры "Курская областная научная библиотека имени Н.Н.Асеева"
01.02.2010-26.02.2010
...
Санкт-Петербургское государственное учреждение культуры "Центральная городская публичная библиотека имени В. В. Маяковского"
01.08.2010-30.08.2010
...
Областное государственное учреждение культуры "Курская областная библиотека для детей и юношества"
...
Санкт-Петербургское государственное учреждение культуры "Государственная библиотека для слепых"
...
Государственное учреждение культуры Свердловская областная библиотека для детей и юношества
...
Государственное учреждение культуры Ростовской области "Донская государственная публичная библиотека"
...
Областное государственное учреждение культуры "Томская областная универсальная научная библиотека имени А.С. Пушкина"
...
Государственное учреждение культуры Воронежская областная универсальная научная библиотека им. И.С. Никитина
...
Краснодарская краевая универсальная научная библиотека им. А.С. Пушкина

оу... Цитата из бумажного документа или они на сайте опубликовали?

Иркутская ОГУНБ
ИРБИС64.21Турбо
WebИРБИС-PHP

У меня проходит файлом с шапкой:

"Утвержден приказом Руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 26.08.2009 № 423".

В Консультанте+ не нашёл.

нашел на их сате http://rsoc.ru/plan-and-reports/contolplan/

и кстати в плане проверок ПДн на 2009 год единственная библиотека:

Федеральное государственное учреждение "Российская национальная библиотека" 01.10.2009-30.10.2009

Если бы они еще этим судя по всему имеющимся опытом поделились :)

Иркутская ОГУНБ
ИРБИС64.21Турбо
WebИРБИС-PHP

Ну с ИРБИС32 вообще в этом плане всё плохо :(
Скопировать себе по сети базу читателей RDR может любой.

Да. Если 64-й при очень поверхностной проверке может прикрыться авторизованным доступом к данным, то про 32-ой речь вообще не идет. Читательская база там однозначно должна быть обезличенной. Т.е. по принципу "Инв. №000001 выдан абоненту №000123".

Иркутская ОГУНБ
ИРБИС64.21Турбо
WebИРБИС-PHP

Ребята, по-моему вы заигрались.
Немного работал с "секреткой". Если все делать как надо, то там "полный пе". Никого не волнует из проверяющих "что можно", волнует есть ли "сертификат".

Я тоже работал с секреткой. "Заигрывания" пока не наблюдаю, всё идёт в рамках моделирования.

После анализа законов, подзаконных актов и методических документов у меня возникает впечатление, что суть этой заварушки заключается в достижении известными ведомствами профита по любым следующим направлениям:

* Получить деньги через "дочерние" компании, имеющие право на аттестацию. Компании, зачастую, состоят из "бывших";
* Трудоустроить своих пенсионеров в организации в виде начальников режимно-секретных подразделений. Своеобразное крышевание;
* Иметь рычаг давления на любую организацию. Ведь за три законных дня ничего не сделать, а уничтожение ПД -- фактически прекращение хозяйственной деятельности. На этом тоже можно сделать свои проценты.

Цели защиты ПД законодательными нормами преследуются ровно настолько, насколько необходимо, чтобы дать повод воспользоваться одним из вышеописанных путей "добровольной" отдачи денег. В противном бы случае методички были бы написаны четко, заблаговременно и раздавались бы комплектом, а не частично через интернет, частично с Воронежа за полторы тысячи рублей.

Если исходить из такой логики, то проверяющие всегда могут найти недостаток, даже если выдана индульгенция (способы имеются). Таким образом, как правильно подчеркнул Карауш, основной целью будет найти виноватого. И, поверьте, если не предпринимать никаких действий, то виноватыми будут конечные исполнители. У кого-то из форумчан есть желание ответить за то, что рук-ль организации не отстегнул погонам или агрессивно играл на политической арене, за что на него и был осуществлён "законный наезд"? Понятное дело, что в рамках библиотечных образований таких прецендентов будет мало, если они вообще будут. Но есть ВУЗы, их библиотеки, их бюджеты, их ресурсы. Пример тому есть: ректор перемещается на джипе, сын его в бизнесе, идёт постоянная война за корпуса института с местными властями за право сдачи в аренду и т.п.

...И, если отдел кадров, бухгалтерию прикрыть от проверки достаточно легко (во всяком случае у нас), то библиотека с её принципом финансирования по остаточному принципу, будет прекрасным поводом для зацепки.

Вот такая модель угроз. Параноидальная, конечно. И нелепая. Равно как и 152-ФЗ. Но достойная страны, в которой мы находимся. Что, вобщем-то, доказывают происходящие во всех областях жизни события.

Так вот, из модели угроз следует, что лучше из под удара выйти. Начать бумажную работу. Поставить в известность непосредственное начальство, директорат и пр. и др. Ведь единственным доказательством того, что закон вы нарушили не умышленно, являются бумажки -- доказательства того, что вы приложили все усилия по соблюдению ФЗ. Распоряжение финансами лежит вне вашей, администратора БД, компетенции, посему перед законом конечный исполнитель относительно чист.

Вобщем-то с этой целью и был начат топик -- понять, какие шаги предпринимались, их эффективность и пр.

Новость для продолжения дискуссии:

20-го ноября Госдума приняла в первом чтении (313 депутатов за) один из двух законопроектов Резника. Законопроект посвящен исключению требования об обязательном использовании криптографических средств для защиты персональных данных и продления срока, в течение которого ранее созданные информационные системы персональных данных подлежат приведению в соответствие с Федеральным законом "О персональных данных" (на один год).

[lukatsky.blogspot.com]
[lukatsky.blogspot.com]

Что ЭТО значит - в комментариях к текстам на блогах, там все интересно расписано.

Ко всем: обезличивание данных в АБИС - становится на год неактуальным.
Но, по Гражданскому Кодексу и Закону "О персональных данных" никто не собирается отменять процедуру заключения договоров с читателями и обязательного процесса получения согласия на обработку персональных данных от пользователя.

Думаю, что с нашим подходом к таким послаблениям мы через год получим точно такую же суету ;)

Моё мнение: стоит потратить год достойно (хотя, это же только первое чтение -- столько всего может изменится) и грамотно реконструировать свои информационные системы. В любом случае это полезно -- в связи с 152-ФЗ или без него... Надеюсь, что и разработчики Ирбиса нам чем-нибудь технологически помогут. Интерес-то обоюдный, насколько я понимаю ;)

Может как-то нам составить... рекомендации внутренние что ли... Нарисовать типовые реализации, обсудить и улучшить их. Чтобы не ломать дрова в своём лесу индивидуально. Как такое предложеньице?

Я на Либкоме в полузакрытом режиме выступил с идеями по этому вопросу. Решения есть, но спорные для каждой конкретной библиотеки. Но суть проблемы в том, что пока не было прецендентов. Пока у меня сведения о благоприятных переговорах с проверяющими комиссиями, лишь только потому что те ещё не до конца разобрались сами. Но за 2010 год преценденты будут накоплены.

PS. Мне странно, что по стране в библиотеках суетятся в связи с этим законом не директора и не юристы? Но это вопрос к квалификации и уровню знаний.

Хотелось бы сразу отметить, что право в России не англо-саксонское и прецендент ничего не покажет. В данной ситуации я бы поставил знак равно между словом "прецендент" и "самоуспокоение". Да, я согласен, что 2010-й покажет тенденцию, но она мало, что даст в целом. Сам принцип работы "органов": расслабить и подсекать в нужный момент. И, на мой взгляд, прощают они пока не от того, что не разобрались, а от того, что нет необходимости наказывать. Ведь основное "наказание" для организации по этому закону не столько административная и уголовная ответственность, сколько приостановка хоздеятельности на время разбирательства (которое может тянутся сколь угодно долго именно потому, что невозможно в чём-то разобраться). Вот, к примеру, борьба с нелицензионщиной и экстремизмом. Был в районе случай: написали в местной газетке нечто обличительное. Вскоре посетили "редакцию" (ну, какая редакция в районе -- один компьютер) и немедленно изъяли. Изъяли даже модем. В чём он провинился -- никому непонятно. "Там разберутся"(С).

..Да и куда комиссиям торопиться? Наступит 2010-й и на панике можно будет взять гораздо больше ;)

По поводу того, кому суетиться, а кому нет.

Юрист не несет никакой ответственности в данной ситуации -- работодателем, как правило, на него не возложена обязанность по приведению общей системы документооборота в соответствии с законодательством. Ну, разве что за бумажный и то -- в пределах своего подразделения. Исключения составляют конторы, в штате которых содержится отставной вояка, отвечающий за инф.безопасность. Цивилисты этим не занимаются -- ни одного не видел за анализом подобных вещей.
Руководитель, конечно, будет отвечать. Но ведь ему можно же наказать кого-то или распорядится "привести в одночасье всё в порядок". Вобщем, деньги-то у него сейчас, а ответственность -- потом. Да и не будет её, может. Опять же примеры из жизни: увела чиновница 2 миллиона, а ей штраф -- 100 тыщ. За "нерациональное использование", а не за "хищение в особо крупных".

А в библиотеках... ну, как не вспомнить специалистов-компьютерщиков -- выпускников химбила в крупной местечковой библиотеке ;) У них, думаю, полное согласие с руководителями-библиотекарями в том, что "надо подождать" и "да кому мы нужны".

Решения же есть -- согласен. И решения как раз, в целом, типовые, так как проверяющие не будут вникать в подробности. У них есть алгоритм проверки и занимаются они своей работой не из "любви к искусству". Типовое решение бьёт типовой алгоритм ;)

Прецедент был. Рядом со мной на пленарке сидела женщина, исключительно серьёзно относившаяся к комментариям чиновников по правовым вопросам. Выяснилось, что она представляла Московскую городскую деловую библиотеку. Персональные данные стали основанием для её общения непосредственно с прокуратурой… Но юридическое образование позволило ей грамотно решить все проблемы. Может быть, представители этой библиотеки смогут осветить вопрос…



Редактировано 1 раз. Последний раз 30.11.2009 20:00 пользователем Кирилл Соколинский (СЗТУ).

Darkick написал(а):
-------------------------------------------------------
> Ну с ИРБИС32 вообще в этом плане всё плохо :(
> Скопировать себе по сети базу читателей RDR может
> любой.

А кто запрещает использовать ИРБИС32 через терминальный режим доступа к серверу? (удаленное управление рабочим столом для каждого пользователя)

это ещё сервер терминалов подымать и оплачивать и т.п.? Нет уж. Просто надо постепенно на ИРБИС64 переходить.

А бесплатно решить проблему в любом случае не удастся как бы кто из нас этого не хотел... Даже путем обезличивания ПД.
Похоже, некая сертифицированная ФСТЭК надстройка над ИРБИС (когда таковая появится на горизонте) должна будет приобретаться.

Конечно, предложение использовать терминальный доступ от Microsoft к приложению (АРМ ИРБИС) имеет некоторые призрачные шансы на успех, т.к. здесь можно использовать несколько составляющих системы защиты - доступ клиентов к серверу на основании сертификатов безопасности, а также шифрование трафика между сервером и клиентом. Это из того, что лежит на поверхности. Но в любом случае, последнее слово будет, как уже понятно, за инспектором.

Простой переход на ИРБИС 64 (т.е. покупка) с точки зрения решения задачи по защите ПД системы ровным счетом ничего не даст, разве что вы исключите из сети прямой доступ к файлам БД ИРБИС.

Вопросы приобретения ИРБИС 64 или Microsoft Remote Desktop Services CAL на сервер терминалов по цене практически равнозначны, если покупать последние со скидкой (1500 руб./лиц.).

Приобретение ИРБИС 64 необходимо для того, чтобы эффективно работать с библиотечными технологиями, но на данный момент никак не для закрытия вопроса о защите ПД.

Даже если закрыть глаза и вообразить, что ИРБИС 64 получил сертификат ФСТЭК... :) То тут же перед глазами встают нули в сумме, которую ЭБНИТ должен был бы заплатить за такое решение и те нули в сумме, которую в свою очередь нужно было бы заплатить пользователям ИРБИС 64 для получения этой сертифицированной версии. :( Пока это лишь фантазии на тему, ни более чем...



Редактировано 1 раз. Последний раз 25.04.2010 22:35 пользователем А. Роман.

апнем тему: у кого какие успехи с исполнением ФЗ-152?

Ну есть у нас лицензии ФСТЭК и ФСБ на деятельность по технической защите конфиденциальной информации, распространение, разработку и обслуживание систем криптографических средств и прочее. Имеем право готовить системы и библиотеки к сертификации по требованиям ФЗ-152.. Но вот стоимость подготовки к сертификации - 100 тыс. руб. за одно рабочее место. Это без сервера. А деньги государство выделить забыло - потому и переносят снова этот закон еще на год.



Редактировано 2 раз. Последний раз 08.12.2010 14:55 пользователем isheep.

Нормально! Цена вопроса в разы выше стоимости П.О. и железа вместе взятых! Это по нашему! А оплатит всё это государство, как всегда - из нашего с вами кармана в виде налогов и пр. поборов... Рекомендую из принципа - экономить деньги, работать в 4-м классе.

P.S. А теперь немного о хорошем!

isheep: а можно поподробнее? какие у Вас лицензии? откуда такие бешенные цифры про 100тыс?

100 тыс. рублей - цены реальные, взяты из реальных тендеров, которые объявляли по Москве. Там варьировалась цена от 100 до 160 тыс. руб. за рабочее место. Например, самый дешевый вариант: [tender.mos.ru] - 8 рабочих мест и 5 каналов выхода в интернет за 500 тыс. руб.

Лицензий дома нет, если не забуду, с работы скину названия

isheep написал(а):
-------------------------------------------------------
> 100 тыс. рублей - цены реальные, взяты из реальных
> тендеров, которые объявляли по Москве.

...так и хочется добавить - "и которые готовили реальные пацаны!"

Ой, ну не смешите, пожалуйста!
Слышали мы все о том, ЧТО из себя могут представлять РЕАЛЬНЫЕ тендеры, особенно, когда они организуются и проводятся в Москве!

Не плохо было бы (хотя бы в общих чертах) услышать о ценообразовании "работ"!!! Из чего складываются и на каких расчетах получены суммы в 100-160 тысяч рублей за АРМ?

P.S. Не так оптимистично, как в предыдущем сообщении, но все же!

isheep: не забудье, пожаулуйста



Редактировано 1 раз. Последний раз 14.12.2010 13:38 пользователем Moonsweel.

журнал обращений к БД

Добрый день!
Апну тему: Поделитесь опытом, у кого и как работает ФЗ-152?

А Вы в гости приезжайте на семинары, конференции. Все ведь не опишешь?! Вроде пока все спокойно. Зарегистрировались как обработчики. Что касается хранения, то только деперсонализованные (так проще), а если персональные данные начнете передавать по сетям, то замучаетесь с документами и проверками.
Сходите в Тюменскую областную. Вы же из Тюмени? Там все это работает.