Проверяют по ФЗ 152. Буду вести блог, если вам интересно.

УПП 1.3.14 (потихоньку кусками поднимаю до 19), 8.2.14, SQL.

Пока спросили пример лога системы - сделал за сутки, 150 тыщ строк, но строк про доступ к персональным данным не нашёл. А ведь где-то видел пример с логированием доступа к ПДн. Есть у кого-нибудь правильный пример?

кто все эти люди?

вроде сначала должны выяснить класс ИС. по 3 классу вроде тупо организационных мер достаточно, не?

Кому руководство не отстегнуло?

(2) На третий класс мы не пролазим по числу сотрудников.
(3) Можешь сам узнать сроки плановых проверок на genproc.ru

вроде есть некий 8.2.z, в котором можно лог чтения данных запилить

(4) Xtnn cfqn venysq/

Сайт мутный.

этот - genproc.ru

(5) не надо, с начала года в ЗиУП,
а в УПП с марта логируется доступ к персональным данным в журнал и есть удаление перс.данных по требованию уволившихся

т.е. в логе видно к каким данным обращались отчеты и документы

(0) так вроде спецзакладка в настройке учета есть

(5) Да, хотели купить. Сейчас, думаю, быстро оплатят заявку.
(8) Да я и про саму прокуратуру хорошего сказать не смогу. Но - другого пока нет.
(9) С какого релиза это логируется, не помнишь?
(10) В нашём релизе пока этого нет.

(9) что-то я не пойму, как типовая 1ска отловит чтение ПД через табло...

(12)+ и отлогирует

(12) 8.2 это очень давно умеет,
если её конечно правильно настроить, что в нашем случае делает специальная обработка

К клиенту приходило два салажонка, умничали, расспрашивали, законом пугали.. Втыкали, что надо для банальной бухгалтерии ларька-переростка из двух бухов обязательно скуль впердолить и на все, что можно пятидесятизначные пароли поставить.. Наплодили институты недоумков, которые теперь обратно в деревню, к сохе не хотят, а теперь законы придумывают, чтобы работающие предприниматели кормили этих клоунов.

бгыыыы блох....

все требования 152го решаются административными методами.. функионала типовой 8ки достаточно для 2го класса...
если вдруг, по какой то неведомой причине, нужен 1ый - ну тогда нужно приблуду покупать...

а так - меньше всего надо париться 1Снику.. ибо ВСЕ претензии будут только в адрес организации доступа к информации на предприятии в целом

лишнее доказательство того что 1Сники ИТС не читают, и всякие там книжонки которые вендор выпускает так же не листают...

Тоже тема интересует. Ту просто все и вся начинают этот закон предъявлять. Так ладно 8.2z купил, так еще и випнетов всяких суют.

(17) угу
даже статьи на buh.ru осилить не могут

(14) а разве в типовой нет? в ЗУП когда он под 8.2 уже давно есть

(20) даже в БСП сделали подсистему по защите персональных данных...

(20) в текущем релизе УПП - есть,
на 01.01.2011 - не было, все тащили код из ЗиУП

Знатоки, а если я по вебу работаю в 1С нужно чего покупать? Имеется ввиду всякие защитники на клиентские машины?

Хандон на монитор

(23) обязательно... давай реквизиты выставлю счет на 50 000 р.
без этого никак...

(24) Весело, конечно, Роман. А если же серьезно?

(21) в БСП не так давно вроде

(0) Операторов ПД регистрировали? Трудовые договора дополняли? Положение о защите ПД имеется?
(26) А если серьезно то никто ничего не знает.

(27) угу.. с последнего обновления

Кстати! Дополнительных хлопот в админстве, производительности, программировании с этим 8.2.z не появляется?

Спросили, в том числе, "как делаются архивы ?"
Выбирали из вариантов "А зачем? И так хорошо и надёжно, мы верим одинэсу!" и "Архивируем и забываем пароли. Прижмёт - восстановим, а пока - и безопасно, и не хлопотно". Но нашли строку в постановлении про 2 копии.

(30) у вас по требованиям 1ый класс безопасности?
есил нет то нафуя вам этот Z нужен ?

У нас второй класс или категория. В общем, там где без болезней и более тыщи человек.

(32) тогда можно и без 8.2.z

(0) у вас гос контора? ФСТЭК сейчас лишен прав по собственной иницативе проверять "коммерсантов" - его может привлечт РКН и все (ст. 19, пункты 8, 9 152 ФЗ). Вы уточнили кто наделил их такими полномочиями?
(32) если все эти "больее тыщи человек" сотрудники одной организации - 99%, что у вас К3. Смотри внимательно определение "Хнпд" здесь: http://ispdn.ru/law/530/
(30) про архив спросили поскольку вы обязаны, в случае модификации\уничтожения ПДн по причине НСД, незамедлительно восстановить их из архива (п. 11 постановления правительства 781 от 17.11.2008)

и вообще - держите в курсе - тема очень интересна и актуальна

(34) Частная. Проверять, есть ли у них предписание, не буду - не мой уровень. Достаточно и того, что аудиторов разозлили :)
Посмотрел, "от 1000 до 10000" - наш случай, поэтому К2.
Я тут нашёл в постановлении про «наличие средств восстановления системы защиты персональных данных, предусматривающих ведение двух копий программных компонент средств защиты информации, их периодическое обновление и контроль работоспособности»
Буквально понимая, я должен иметь 2 копии БД или одноэса?

(35)[двух копий программных компонент средств защиты информации]
платформа + cf

(35) бекапы должен делать.. бекапы.. скулем или выгрузкой или акронисом - похер как...

еще раз: ВСЕ требования по 152фз лично к 1С не имеют никакого отношения и могут быть выполненны вообще без залазанья в конфигуратор и ваяния каких либо нашлепок..
ну максимум - пароли пользователям поставить..

+(37) мало того.. вас взгреют на целых (сколько там штраф, 5000 р)? огромное количество рублей например за то что у вас  у кадровика лежит какойнить вордовский документик с анкетками... и пофиг на 1С...

(35) 1)
Вот у вас, если все субъекты относятся к одной конкретной орагнизации, вот это:
"3 - в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных ИЛИ персональные данные субъектов персональных данных в пределах конкретной организации."
В результате, у вас может быть или 3-й, или 1-й класс. Естественно, если у вас обрабатываются ПДн клиентов и их больше 1000, то м.б. и 2-й класс
2) Если вы используете платформу в качестве СЗИ, то должно быть две копии платформы. Архив БД сюда не относится.

(38) угу,
про файлики, старые замороженные системы и открытое хранение бэкапов от сиквела часто забывают

Сделал 2 справки - о порядке создания-хранения-уничтожения архивов и перечень лицензионного ПО. Просили по всему софту, когда кратенько пробежались по САПРам - сказали "нет, нам только общее".

Вообще не покидает ощущение, что проверятели не понимают, какой х-нёй они занимаются.
Для простоты написали "все данные на сервере БД архивируются на сервер БД, мы верим в его надёжность".

(41) вроде ФЗ 152 вступает в силу с 1-го января. Вас не  разводят?

(42) ага, 2011 года ;)

(42) Не разводят. Внеплановая проверка. Всё правильно.