ФЗ-152

Автор: disconnect Дата: 30.10.2009 18:25 Извините пожалуйста, у меня такой вопрос. Соответствуют ли дистрибутивы ASPLinux Федеральному закону о Персональных данных от 27 июля 2006 года N 152-ФЗ и есть ли такая сертификация. Я поясню почему спрашиваю.
На одном из форумов было обсуждение отечественных дистрибутивов. Народ в основном новый в мире линукс, не очень опытный. И зашел разговор об законе, что нету у наших дистрибутивов сертификации соответствия мол и что любой оснастивший например свой бизнес Линуксом и имеющий например отдел кадров с персональным списком сотрудников, рискует при проверках иметь проблемы из-за несоответствия закону. Может кто нибудь пояснить достоверно, так ли это или нет? Может быть конечно это смешно и не важно, но общественное мнение формируется из таких вот форумов и в итоге при непрояснённости может отпугнуть новых потенциальных покупателей.
Re: ФЗ-152 30.10.2009 18:35blH, Не совсем понятно, при чём тут операционная система. Закону должно соответствовать прикладное ПО (для того же отдела кадров, например, 1С Кадры или что там Вы хотите поставить), а никак не ОС.
Покупайте соответствующее закону прикладное ПО -- и ни одна проверка не прикопается.
Re: ФЗ-152 30.10.2009 18:41disconnect Приводят пример ALTLinux который проходил когда-то спецификации ФСТЭК. Посмотрите сами на обсуждение темы, если не трудно... Я сам медик по-образованию. В законах слаб. Но и не хочется чтоб от Линукса люди отворачивались..[forum.ixbt.com]
Re: ФЗ-152 30.10.2009 21:20blH, Всё в кучу свалено.
Во-первых, сертифицирован ФСТЭК далеко не всякий альтлинукс. А только тот, который продаётся за очень хорошие деньги, вместе с сертификатом. И чтобы сертификат оставался действительным, пользователе лежит обязанность не устанавливать на компьютер с сертифицированным альтлинуксом НИКАКОЕ стороннее ПО. 1С, например -- нельзя. Никаких (даже скачанных из официального репозитория фирмы Альтлинукс) программ -- нельзя. Ну и применяется этот сертифицированный дистрибутив, естественно -- только во вполне определенном качестве.
Помедитируйте вот над чем. Этот закон не требует охранять таким образом информацию, являющуюся для предприятия ВНУТРЕННЕЙ, в том числе и информацию о сотрудниках. И ни одно вменяемое предприятие и так не станет выкладывать свою внутреннюю информацию в открытый доступ (интернет). Этот закон требует охранять так информацию о ПОСТОРОННИХ для этого предприятия гражданах (клиентах, поставщиках и тэ пэ), которую предприятие может запросто держать на открытых всему интернету серверах. Если Вы собираете такого рода информацию, например, клиентскую базу с домашними адресами, телефонами, вероисповеданиями, сексуальными предпочтениями -- извольте о себе заявить и использовать для её хранения сертифицированное ПО либо сертифицировать ключ от сейфа, в котором стоит совершенно дырявый с точки зрения безопасности отключенный от интернета компьютер с такой информацией. Если нет -- значит, нет.
Re: ФЗ-152 31.10.2009 14:11smaharbA ОС причем до К3 далее спец меры (допсофт, допоборудование)
Re: ФЗ-152 31.10.2009 23:57Pauli disconnect Пишет:
> имеющий например отдел кадров с персональным
> списком сотрудников, рискует при проверках иметь
> проблемы из-за несоответствия закону.

А там, между прочим, есть список исключений, и именно этот случай, обработки персональных данных в связи с трудовым договором - одно из них. Прочие операторы персональных данных обязаны зарегистрироваться в местном отделении Минкомсвязи, получить соответствующие рекомендации и их выполнить. В рекомендациях будет указано, на соответствие каким именно требованиям должно быть сертифицировано оборудование и ПО, включая ОС, в каждом конкретном случае.
Хотя это еще не значит, что ваш отдел кадров может полностью расслабиться: если персональные данные сотрудников все же куда-либо утекут, начальник отдела кадров и руководитель предприятия будут нести ответственность вне зависимости от того, были ли они обязаны применять определенное ПО. Они были обязаны уберечь ваши данные от утечки. К примеру, нанять грамотного админа.
Re: ФЗ-152 06.11.2009 16:40Eraserus Интересно о каком сертификате идет речь, если закон фактически никак не регламентирует способ охраны этих самых данных... по-крайней мере я так и не увидел внятных и четких требований по этому поводу... только какая то общая классификация, которая к тому же противоречит общепринятой классификации защищаемой информации? может я чего пропустил из новых законов\постановлений?
RSS-материал