http://ispdn.ru Wed, 10 Mar 2010 12:17:57 +0300 60 http://ispdn.ru/news/detail_industry.php?ELEMENT_ID=5834 В Российской газете наконец-то опубликован долгожданный Приказ Федеральной службы по техническому и экспортному контролю &#40;ФСТЭК России&#41; от 5 февраля 2010 г. N 58 г. Москва &quot;Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных&quot;! <p>  </p> <p>     </p> <table border="0" cellspacing="0" cellpadding="4" width="100%"> <tbody> <tr><td style="PADDING-BOTTOM: 0px; PADDING-LEFT: 10px; PADDING-RIGHT: 10px; PADDING-TOP: 5px" valign="top"><span style="PADDING-BOTTOM: 3px; BACKGROUND-COLOR: #f5f5f5; MARGIN: 3px 3px 5px 0px; PADDING-LEFT: 3px; PADDING-RIGHT: 3px; DISPLAY: block; PADDING-TOP: 3px"> <h3 class="HeaderArticle">Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 5 февраля 2010 г. N 58 г. Москва &quot;Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных&quot; </h3> </span> <ul> <li><span class="bodyarticletext"><font size="2" face="Arial">Опубликовано 5 марта 2010 г. </font></span></li> </ul> </td></tr> <tr><td style="PADDING-BOTTOM: 0px; PADDING-LEFT: 10px; PADDING-RIGHT: 10px; PADDING-TOP: 5px" class="bodyArticleText" valign="top"> <p><font size="2" face="Arial"></font></p> <p><b> </b></p> <p><b>Зарегистрирован в Минюсте РФ 19 февраля 2010 г. </b></p> <p><b>Регистрационный N 16456</b></p> <p> </p> <p>В соответствии с пунктом 3 Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденного постановлением Правительства Российской Федерации от 17 ноября 2007 г. N 781 (Собрание законодательства Российской Федерации, 2007, N 48, ст. 6001), <b>приказываю:</b></p> <p> </p> <p>Утвердить прилагаемое Положение о методах и способах защиты информации в информационных системах персональных данных.</p> <p><b> </b></p> <p><b>Директор Федеральной службы по техническому и экспортному контролю </b></p> <p><b>С. Григоров</b></p> <p><u></u></p> <p><u></u></p> <p> </p> <p> </p> <p><u>Приложение</u></p> <p><span style="FONT-SIZE: small"> </span></p> <p><span style="FONT-SIZE: small">Положение о методах и способах защиты информации в информационных системах персональных данных</span></p> <p><b> </b></p> <p><b>I. Общие положения</b></p> <p> </p> <p>1.1. Настоящее Положение разработано в соответствии с Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденным постановлением Правительства Российской Федерации от</p> <p>17 ноября 2007 г. N 781 (Собрание законодательства Российской Федерации, 2007, N 48, ст. 6001), и устанавливает методы и способы защиты информации, применяемые для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных (далее - информационные системы) государственными органами, муниципальными органами, юридическими или физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных (далее - оператор), или лицом, которому на основании договора оператор поручает обработку персональных данных (далее - уполномоченное лицо).</p> <p>В настоящем Положении не рассматриваются вопросы обеспечения безопасности персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну, а также вопросы применения криптографических методов и способов защиты информации.</p> <p> </p> <p>1.2. К методам и способам защиты информации в информационных системах относятся:</p> <p>методы и способы защиты информации, обрабатываемой техническими средствами информационной системы, от несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий (далее - методы и способы защиты информации от несанкционированного доступа);</p> <p>методы и способы защиты речевой информации, а также информации, представленной в виде информативных электрических сигналов, физических полей, от несанкционированного доступа к персональным данным, результатом которого может стать копирование, распространение персональных данных, а также иных несанкционированных действий (далее - методы и способы защиты информации от утечки по техническим каналам).</p> <p> </p> <p>1.3. Для выбора и реализации методов и способов защиты информации в информационной системе оператором или уполномоченным лицом может назначаться структурное подразделение или должностное лицо (работник), ответственные за обеспечение безопасности персональных данных.</p> <p>Для выбора и реализации методов и способов защиты информации в информационной системе может привлекаться организация, имеющая оформленную в установленном порядке лицензию на осуществление деятельности по технической защите конфиденциальной информации.</p> <p> </p> <p>1.4. Выбор и реализация методов и способов защиты информации в информационной системе осуществляются на основе определяемых оператором (уполномоченным лицом) угроз безопасности персональных данных (модели угроз) и в зависимости от класса информационной системы, определенного в соответствии с Порядком проведения классификации информационных систем персональных данных, утвержденным приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. N 55/86/20 (зарегистрирован Минюстом России</p> <p>3 апреля 2008 г., регистрационный N 11462).</p> <p> </p> <p>Модель угроз разрабатывается на основе методических документов, утвержденных в соответствии с пунктом 2 постановления Правительства Российской Федерации от 17 ноября 2007 г. N 781.</p> <p> </p> <p>1.5. Выбранные и реализованные методы и способы защиты информации в информационной системе должны обеспечивать нейтрализацию предполагаемых угроз безопасности персональных данных при их обработке в информационных системах в составе создаваемой оператором (уполномоченным лицом) системы защиты персональных данных.</p> <p><b>  </b></p> <p><b>II. Методы и способы защиты информации от несанкционированного доступа</b></p> <p>  </p> <p>2.1. Методами и способами защиты информации от несанкционированного доступа являются:</p> <p>реализация разрешительной системы допуска пользователей (обслуживающего персонала) к информационным ресурсам, информационной системе и связанным с ее использованием работам, документам;</p> <p>ограничение доступа пользователей в помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации;</p> <p>разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;</p> <p>регистрация действий пользователей и обслуживающего персонала, контроль несанкционированного доступа и действий пользователей, обслуживающего персонала и посторонних лиц;</p> <p>учет и хранение съемных носителей информации и их обращение, исключающее хищение, подмену и уничтожение;</p> <p>резервирование технических средств, дублирование массивов и носителей информации;</p> <p>использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;</p> <p>использование защищенных каналов связи;</p> <p>размещение технических средств, позволяющих осуществлять обработку персональных данных, в пределах охраняемой территории;</p> <p>организация физической защиты помещений и собственно технических средств, позволяющих осуществлять обработку персональных данных;</p> <p>предотвращение внедрения в информационные системы вредоносных программ (программ-вирусов) и программных закладок.</p> <p> </p> <p>2.2. В системе защиты персональных данных информационной системы в зависимости от класса информационной системы и исходя из угроз безопасности персональных данных, структуры информационной системы, наличия межсетевого взаимодействия и режимов обработки персональных данных с использованием соответствующих методов и способов защиты информации от несанкционированного доступа реализуются функции управления доступом, регистрации и учета, обеспечения целостности, анализа защищенности, обеспечения безопасного межсетевого взаимодействия и обнаружения вторжений.</p> <p>Методы и способы защиты информации от несанкционированного доступа, обеспечивающие функции управления доступом, регистрации и учета, обеспечения целостности, анализа защищенности, обеспечения безопасного межсетевого взаимодействия в зависимости от класса информационной системы определяются оператором (уполномоченным лицом) в соответствии с приложением к настоящему Положению.</p> <p> </p> <p>2.3. В информационных системах, имеющих подключение к информационно-телекоммуникационным сетям международного информационного обмена (сетям связи общего пользования), или при функционировании которых предусмотрено использование съемных носителей информации, используются средства антивирусной защиты.</p> <p> </p> <p>2.4. При взаимодействии информационных систем с информационно-телекоммуникационными сетями международного информационного обмена (сетями связи общего пользования) наряду с методами и способами, указанными в пункте 2.1 настоящего Положения, основными методами и способами защиты информации от несанкционированного доступа являются:</p> <p>межсетевое экранирование с целью управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов для скрытия структуры информационной системы;</p> <p>обнаружение вторжений в информационную систему, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности персональных данных;</p> <p>анализ защищенности информационных систем, предполагающий применение специализированных программных средств (сканеров безопасности);</p> <p>защита информации при ее передаче по каналам связи;</p> <p>использование смарт-карт, электронных замков и других носителей информации для надежной идентификации и аутентификации пользователей;</p> <p>использование средств антивирусной защиты;</p> <p>централизованное управление системой защиты персональных данных информационной системы.</p> <p> </p> <p>2.5. Подключение информационных систем, обрабатывающих государственные информационные ресурсы, к информационно-телекоммуникационным сетям международного информационного обмена осуществляется в соответствии с Указом Президента Российской Федерации от 17 марта 2008 г. N 351 &quot;О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена&quot; (Собрание законодательства Российской Федерации, 2008, N 12, ст. 1110; N 43, ст. 4919).</p> <p> </p> <p>2.6. Для обеспечения безопасности персональных данных при подключении информационных систем к информационно-телекоммуникационным сетям международного информационного обмена (сетям связи общего пользования) с целью получения общедоступной информации помимо методов и способов, указанных в пунктах 2.1 и 2.4 настоящего Положения, применяются следующие основные методы и способы защиты информации от несанкционированного доступа:</p> <p>фильтрация входящих (исходящих) сетевых пакетов по правилам, заданным оператором (уполномоченным лицом);</p> <p>периодический анализ безопасности установленных межсетевых экранов на основе имитации внешних атак на информационные системы;</p> <p>активный аудит безопасности информационной системы на предмет обнаружения в режиме реального времени несанкционированной сетевой активности;</p> <p>анализ принимаемой по информационно-телекоммуникационным сетям международного информационного обмена (сетям связи общего пользования) информации, в том числе на наличие компьютерных вирусов.</p> <p>Для реализации указанных методов и способов защиты информации могут применяться межсетевые экраны, системы обнаружения вторжений, средства анализа защищенности, специализированные комплексы защиты и анализа защищенности информации.</p> <p> </p> <p>2.7. Для обеспечения безопасности персональных данных при удаленном доступе к информационной системе через информационно-телекоммуникационную сеть международного информационного обмена (сеть связи общего пользования) помимо методов и способов, указанных в пунктах 2.1 и 2.4 настоящего Положения, применяются следующие основные методы и способы защиты информации от несанкционированного доступа:</p> <p>проверка подлинности отправителя (удаленного пользователя) и целостности передаваемых по информационно-телекоммуникационной сети международного информационного обмена (сети связи общего пользования) данных;</p> <p>управление доступом к защищаемым персональным данным информационной сети;</p> <p>использование атрибутов безопасности.</p> <p> </p> <p>2.8. Для обеспечения безопасности персональных данных при межсетевом взаимодействии отдельных информационных систем через информационно-телекоммуникационную сеть международного информационного обмена (сеть связи общего пользования) помимо методов и способов, указанных в пунктах 2.1 и  2.4 настоящего Положения, применяются следующие основные методы и способы защиты информации от несанкционированного доступа:</p> <p>создание канала связи, обеспечивающего защиту передаваемой информации;</p> <p>осуществление аутентификации взаимодействующих информационных систем и проверка подлинности пользователей и целостности передаваемых данных.</p> <p> </p> <p>2.9. Для обеспечения безопасности персональных данных при межсетевом взаимодействии отдельных информационных систем разных операторов через информационно-телекоммуникационную сеть международного информационного обмена (сеть связи общего пользования) помимо методов и способов, указанных в пунктах 2.1 и 2.4 настоящего Положения, применяются следующие основные методы и способы защиты информации от несанкционированного доступа:</p> <p>создание канала связи, обеспечивающего защиту передаваемой информации;</p> <p>аутентификация взаимодействующих информационных систем и проверка подлинности пользователей и целостности передаваемых данных;</p> <p>обеспечение предотвращения возможности отрицания пользователем факта отправки персональных данных другому пользователю;</p> <p>обеспечение предотвращения возможности отрицания пользователем факта получения персональных данных от другого пользователя.</p> <p> </p> <p>2.10. Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) применения технических средств.</p> <p> </p> <p>2.11. Подключение информационной системы к информационной системе другого класса или к информационно-телекоммуникационной сети международного информационного обмена (сети связи общего пользования) осуществляется с использованием межсетевых экранов.</p> <p> </p> <p>2.12. Программное обеспечение средств защиты информации, применяемых в информационных системах 1 класса, проходит контроль отсутствия недекларированных возможностей.</p> <p>Необходимость проведения контроля отсутствия недекларированных возможностей программного обеспечения средств защиты информации, применяемых в информационных системах 2 и 3 классов, определяется оператором (уполномоченным лицом).</p> <p> </p> <p>2.13. В зависимости от особенностей обработки персональных данных и структуры информационных систем могут разрабатываться и применяться другие методы защиты информации от несанкционированного доступа, обеспечивающие нейтрализацию угроз безопасности персональных данных.</p> <p><b> </b></p> <p><b>III. Методы и способы защиты информации от утечки по техническим каналам</b></p> <p> </p> <p>3.1. Защита речевой информации и информации, представленной в виде информативных электрических сигналов и физических полей, осуществляется в случаях, когда при определении угроз безопасности персональных данных и формировании модели угроз применительно к информационной системе являются актуальными угрозы утечки акустической речевой информации, угрозы утечки видовой информации и угрозы утечки информации по каналам побочных электромагнитных излучений и наводок, определенные на основе методических документов, утвержденных в соответствии с пунктом 2 постановления Правительства Российской Федерации от 17 ноября 2007 г. N 781.</p> <p> </p> <p>3.2. Для исключения утечки персональных данных за счет побочных электромагнитных излучений и наводок в информационных системах 1 класса могут применяться следующие методы и способы защиты информации:</p> <p>использование технических средств в защищенном исполнении;</p> <p>использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;</p> <p>размещение объектов защиты в соответствии с предписанием на эксплуатацию;</p> <p>размещение понижающих трансформаторных подстанций электропитания и контуров заземления технических средств в пределах охраняемой территории;</p> <p>обеспечение развязки цепей электропитания технических средств с помощью защитных фильтров, блокирующих (подавляющих) информативный сигнал;</p> <p>обеспечение электромагнитной развязки между линиями связи и другими цепями вспомогательных технических средств и систем, выходящими за пределы охраняемой территории, и информационными цепями, по которым циркулирует защищаемая информация.</p> <p> </p> <p>3.3. В информационных системах 2 класса для обработки информации используются средства вычислительной техники, удовлетворяющие требованиям национальных стандартов по электромагнитной совместимости, по безопасности и эргономическим требованиям к средствам отображения информации, по санитарным нормам, предъявляемым к видеодисплейным терминалам средств вычислительной техники.</p> <p> </p> <p>3.4. При применении в информационных системах функции голосового ввода персональных данных в информационную систему или функции воспроизведения информации акустическими средствами информационных систем для информационной системы 1 класса реализуются методы и способы защиты акустической (речевой) информации.</p> <p>Методы и способы защиты акустической (речевой) информации заключаются в реализации организационных и технических мер для обеспечения звукоизоляции ограждающих конструкций помещений, в которых расположена информационная система, их систем вентиляции и кондиционирования, не позволяющей вести прослушивание акустической (речевой) информации при голосовом вводе персональных данных в информационной системе или воспроизведении информации акустическими средствами.</p> <p>Величина звукоизоляции определяется оператором исходя из характеристик помещения, его расположения и особенностей обработки персональных данных в информационной системе.</p> <p> </p> <p>3.5. Размещение устройств вывода информации средств вычислительной техники, информационно-вычислительных комплексов, технических средств обработки графической, видео- и буквенно-цифровой информации, входящих в состав информационной системы, в помещениях, в которых они установлены, осуществляется таким образом, чтобы была исключена возможность просмотра посторонними лицами текстовой и графической видовой информации, содержащей персональные данные.</p> <p> </p> <p> </p> <p><u>Приложение к Положению</u></p> <p><span style="FONT-SIZE: small"> </span></p> <p><span style="FONT-SIZE: small">Методы и способы защиты информации от несанкционированного доступа в зависимости от класса информационной системы</span></p> <p> </p> <p>1. Методы и способы защиты информации от несанкционированного доступа для обеспечения безопасности персональных данных в информационных системах 4 класса и целесообразность их применения определяются оператором (уполномоченным лицом).</p> <p> </p> <p>2. Методы и способы защиты информации от несанкционированного доступа, обеспечивающие функции управления доступом, регистрации и учета, обеспечения целостности и безопасного межсетевого взаимодействия для информационных систем 3 класса.</p> <p>2.1. Для информационных систем 3 класса при однопользовательском режиме обработки персональных данных применяются следующие основные методы и способы защиты информации:</p> <p>а) управление доступом:</p> <p>идентификация и проверка подлинности пользователя при входе в систему информационной системы по паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов;</p> <p>б) регистрация и учет:</p> <p>регистрация входа (выхода) пользователя в систему (из системы) либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения информационной системы. В параметрах регистрации указываются дата и время входа (выхода) пользователя в систему (из системы) или загрузки (останова) системы;</p> <p>учет всех защищаемых носителей информации с помощью их маркировки и занесение учетных данных в журнал учета;</p> <p>в) обеспечение целостности:</p> <p>обеспечение целостности программных средств системы защиты персональных данных, обрабатываемой информации, а также неизменность программной среды. При этом целостность программных средств проверяется при загрузке системы по наличию имен (идентификаторов) компонентов системы защиты персональных данных, целостность программной среды обеспечивается отсутствием в информационной системе средств разработки и отладки программ;</p> <p>физическая охрана информационной системы (технических средств и носителей информации), предусматривающая контроль доступа в помещения информационной системы посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения информационной системы и хранилище носителей информации;</p> <p>периодическое тестирование функций системы защиты персональных данных при изменении программной среды и пользователей информационной системы с помощью тест-программ, имитирующих попытки несанкционированного доступа;</p> <p>наличие средств восстановления системы защиты персональных данных, предусматривающих ведение двух копий программных компонентов средств защиты информации, их периодическое обновление и контроль работоспособности.</p> <p> </p> <p>2.2. Для информационных систем</p> <p>3 класса при многопользовательском режиме обработки персональных данных и равных правах доступа к ним пользователей применяются следующие основные методы и способы защиты информации:</p> <p>а) управление доступом:</p> <p>идентификация и проверка подлинности пользователя при входе в систему по идентификатору (коду) и паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов;</p> <p>б) регистрация и учет:</p> <p>регистрация входа (выхода) пользователя в систему (из системы) либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения информационной системы. В параметрах регистрации указываются дата и время входа (выхода) пользователя в систему (из системы) или загрузки (останова) системы, результат попытки входа (успешная или неуспешная);</p> <p>учет всех защищаемых носителей информации с помощью их маркировки и занесение учетных данных в журнал учета;</p> <p>в) обеспечение целостности:</p> <p>обеспечение целостности программных средств системы защиты персональных данных, обрабатываемой информации, а также неизменность программной среды. При этом целостность программных средств проверяется при загрузке системы по наличию имен (идентификаторов) компонентов системы защиты персональных данных, а целостность программной среды обеспечивается отсутствием в информационной системе средств разработки и отладки программ во время обработки и (или) хранения защищаемой информации;</p> <p>физическая охрана информационной системы (устройств и носителей информации), предусматривающая контроль доступа в помещения информационной системы посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения информационной системы и хранилище носителей информации;</p> <p>периодическое тестирование функций системы защиты персональных данных при изменении программной среды и пользователей информационной системы с помощью тест-программ, имитирующих попытки несанкционированного доступа;</p> <p>наличие средств восстановления системы защиты персональных данных, предусматривающих ведение двух копий программных компонентов средств защиты информации, их периодическое обновление и контроль работоспособности.</p> <p> </p> <p>2.3. Для информационных систем</p> <p>3 класса при многопользовательском режиме обработки персональных данных и разных правах доступа к ним пользователей применяются следующие основные методы и способы защиты информации:</p> <p>а) управление доступом:</p> <p>идентификация и проверка подлинности пользователя при входе в систему по паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов;</p> <p>б) регистрация и учет:</p> <p>регистрация входа (выхода) пользователя в систему (из системы) либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения информационной системы. В параметрах регистрации указываются дата и время входа (выхода) пользователя в систему (из системы) или загрузки (останова) системы, результат попытки входа (успешная или неуспешная), идентификатор (код или фамилия) пользователя, предъявленный при попытке доступа;</p> <p>учет всех защищаемых носителей информации с помощью их маркировки и занесение учетных данных в журнал учета с отметкой об их выдаче (приеме);</p> <p>в) обеспечение целостности:</p> <p>обеспечение целостности программных средств системы защиты персональных данных, обрабатываемой информации, а также неизменность программной среды. При этом целостность программных средств проверяется при загрузке системы по контрольным суммам компонентов средств защиты информации, а целостность программной среды обеспечивается использованием трансляторов с языков высокого уровня и отсутствием средств модификации объектного кода программ в процессе обработки и (или) хранения защищаемой информации;</p> <p>физическая охрана информационной системы (устройств и носителей информации), предусматривающая контроль доступа в помещения информационной системы посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения информационной системы и хранилище носителей информации;</p> <p>периодическое тестирование функций системы защиты персональных данных при изменении программной среды и пользователей информационной системы с помощью тест-программ, имитирующих попытки несанкционированного доступа;</p> <p>наличие средств восстановления системы защиты персональных данных, предусматривающих ведение двух копий программных компонент средств защиты информации, их периодическое обновление и контроль работоспособности.</p> <p> </p> <p>2.4. Безопасное межсетевое взаимодействие для информационных систем</p> <p>3 класса при их подключении к сетям международного информационного обмена, а также для распределенных информационных систем 3 класса при их разделении на подсистемы достигается путем применения средств межсетевого экранирования (межсетевых экранов), которые обеспечивают:</p> <p>фильтрацию на сетевом уровне для каждого сетевого пакета независимо (решение о фильтрации принимается на основе сетевых адресов отправителя и получателя или на основе других эквивалентных атрибутов);</p> <p>идентификацию и аутентификацию администратора межсетевого экрана при его локальных запросах на доступ по идентификатору (коду) и паролю условно-постоянного действия;</p> <p>регистрацию входа (выхода) администратора межсетевого экрана в систему (из системы) либо загрузки и инициализации системы и ее программного останова (регистрация выхода из системы не проводится в моменты аппаратурного отключения межсетевого экрана);</p> <p>контроль целостности своей программной и информационной части;</p> <p>фильтрацию пакетов служебных протоколов, служащих для диагностики и управления работой сетевых устройств;</p> <p>восстановление свойств межсетевого экрана после сбоев и отказов оборудования;</p> <p>регламентное тестирование реализации правил фильтрации, процесса идентификации и аутентификации администратора межсетевого экрана, процесса регистрации действий администратора межсетевого экрана, процесса контроля за целостностью программной и информационной части, процедуры восстановления.</p> <p>Межсетевые экраны, которые обеспечивают выполнение указанных выше функций, применяются в распределенных информационных системах 2 и 1 классов при их разделении на отдельные части.</p> <p>При разделении информационной системы при помощи межсетевых экранов на отдельные части системы для указанных частей системы может устанавливаться более низкий класс, чем для информационной системы в целом.</p> <p> </p> <p>3. Методы и способы защиты информации от несанкционированного доступа, обеспечивающие функции управления доступом, регистрации и учета, обеспечения целостности и безопасного межсетевого взаимодействия для информационных систем 2 класса.</p> <p> </p> <p>3.1. Для информационных систем</p> <p>2 класса при однопользовательском режиме обработки персональных данных применяются все методы и способы защиты информации от несанкционированного доступа, соответствующие информационным системам 3 класса при однопользовательском режиме обработки.</p> <p> </p> <p>3.2. Для информационных систем</p> <p>2 класса при многопользовательском режиме обработки персональных данных и равных правах доступа к ним пользователей применяются все методы и способы защиты информации от несанкционированного доступа, соответствующие информационным системам 3 класса при многопользовательском режиме обработки персональных данных и равных правах доступа к ним пользователей.</p> <p> </p> <p>3.3. Для информационных систем</p> <p>2 класса при многопользовательском режиме обработки персональных данных и разных правах доступа к ним пользователей реализуются все методы и способы защиты информации от несанкционированного доступа, соответствующие информационным системам 3 класса при многопользовательском режиме обработки персональных данных и разных правах доступа к ним пользователей.</p> <p> </p> <p>3.4. Безопасное межсетевое взаимодействие для информационных систем</p> <p>2 класса при их подключении к сетям международного информационного обмена достигается путем применения средств межсетевого экранирования, которые обеспечивают:</p> <p>фильтрацию на сетевом уровне независимо для каждого сетевого пакета (решение о фильтрации принимается на основе сетевых адресов отправителя и получателя или на основе других эквивалентных атрибутов);</p> <p>фильтрацию пакетов служебных протоколов, служащих для диагностики и управления работой сетевых устройств;</p> <p>фильтрацию с учетом входного и выходного сетевого интерфейса как средства проверки подлинности сетевых адресов;</p> <p>фильтрацию с учетом любых значимых полей сетевых пакетов;</p> <p>регистрацию и учет фильтруемых пакетов (в параметры регистрации включаются адрес, время и результат фильтрации);</p> <p>идентификацию и аутентификацию администратора межсетевого экрана при его локальных запросах на доступ по идентификатору (коду) и паролю условно-постоянного действия;</p> <p>регистрацию входа (выхода) администратора межсетевого экрана в систему (из системы) либо загрузки и инициализации системы и ее программного останова (регистрация выхода из системы не проводится в моменты аппаратурного отключения межсетевого экрана);</p> <p>регистрацию запуска программ и процессов (заданий, задач);</p> <p>контроль целостности своей программной и информационной части;</p> <p>восстановление свойств межсетевого экрана после сбоев и отказов оборудования;</p> <p>регламентное тестирование реализации правил фильтрации, процесса регистрации, процесса идентификации и аутентификации администратора межсетевого экрана, процесса регистрации действий администратора межсетевого экрана, процесса контроля за целостностью программной и информационной части, процедуры восстановления.</p> <p> </p> <p>4. Методы и способы защиты информации от несанкционированного доступа, обеспечивающие функции управления доступом, регистрации и учета, обеспечения целостности и безопасного межсетевого взаимодействия для информационных систем 1 класса.</p> <p> </p> <p>4.1. Для информационных систем</p> <p>1 класса при однопользовательском режиме обработки персональных данных применяются следующие основные методы и способы защиты информации:</p> <p>а) управление доступом:</p> <p>идентификация и проверка подлинности пользователя при входе в систему по паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов;</p> <p>б) регистрация и учет:</p> <p>регистрация входа (выхода) пользователя в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения информационной системы. В параметрах регистрации указываются дата и время входа (выхода) пользователя в систему (из системы) или загрузки (останова) системы, результат попытки входа (успешная или неуспешная);</p> <p>регистрация выдачи печатных (графических) документов на бумажный носитель. В параметрах регистрации указываются дата и время выдачи (обращения к подсистеме вывода), краткое содержание документа (наименование, вид, код), спецификация устройства выдачи (логическое имя (номер) внешнего устройства);</p> <p>учет всех защищаемых носителей информации с помощью их маркировки и занесение учетных данных в журнал учета;</p> <p>дублирующий учет защищаемых носителей информации;</p> <p>очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти информационной системы и внешних носителей информации;</p> <p>в) обеспечение целостности:</p> <p>обеспечение целостности программных средств системы защиты персональных данных, обрабатываемой информации, а также неизменность программной среды. При этом целостность программных средств проверяется при загрузке системы по наличию имен (идентификаторов) компонентов средств защиты информации, а целостность программной среды обеспечивается отсутствием в информационной системе средств разработки и отладки программ;</p> <p>физическая охрана технических средств информационных систем (устройств и носителей информации), предусматривающая постоянное наличие охраны территории и здания;</p> <p>периодическое тестирование функций системы защиты персональных данных при изменении программной среды и пользователей информационной системы с помощью тест-программ, имитирующих попытки несанкционированного доступа;</p> <p>наличие средств восстановления системы защиты персональных данных, предусматривающих ведение двух копий программных компонентов средств защиты информации, их периодическое обновление и контроль работоспособности.</p> <p> </p> <p>4.2. Для информационных систем</p> <p>1 класса при многопользовательском режиме обработки персональных данных и равных правах доступа к ним пользователей применяются следующие основные методы и способы защиты информации:</p> <p>а) управление доступом:</p> <p>идентификация и проверка подлинности пользователя при входе в систему по идентификатору (коду) и паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов;</p> <p>идентификация технических средств информационных систем и каналов связи, внешних устройств информационных систем по их логическим адресам (номерам);</p> <p>идентификация программ, томов, каталогов, файлов, записей, полей записей по именам;</p> <p>б) регистрация и учет:</p> <p>регистрация входа (выхода) пользователя в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения информационной системы. В параметрах регистрации указываются дата и время входа (выхода) пользователя в систему (из системы) или загрузки (останова) системы, результат попытки входа (успешная или неуспешная), идентификатор (код или фамилия) пользователя, предъявленный при попытке доступа;</p> <p>регистрация выдачи печатных (графических) документов на бумажный носитель. В параметрах регистрации указываются дата и время выдачи (обращения к подсистеме вывода), спецификация устройства выдачи (логическое имя (номер) внешнего устройства), краткое содержание документа (наименование, вид, шифр, код), идентификатор пользователя, запросившего документ;</p> <p>регистрация запуска (завершения) программ и процессов (заданий, задач), предназначенных для обработки персональных данных. В параметрах регистрации указываются дата и время запуска, имя (идентификатор) программы (процесса, задания), идентификатор пользователя, запросившего программу (процесс, задание), результат запуска (успешный, неуспешный);</p> <p>регистрация попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам. В параметрах регистрации указываются дата и время попытки доступа к защищаемому файлу с указанием ее результата (успешная, неуспешная), идентификатор пользователя, спецификация защищаемого файла;</p> <p>регистрация попыток доступа программных средств к дополнительным защищаемым объектам доступа (терминалам, техническим средствам, узлам сети, линиям (каналам) связи, внешним устройствам, программам, томам, каталогам, файлам, записям, полям записей). В параметрах регистрации указываются дата и время попытки доступа к защищаемому объекту с указанием ее результата (успешная, неуспешная), идентификатор пользователя, спецификация защищаемого объекта (логическое имя (номер));</p> <p>учет всех защищаемых носителей информации с помощью их маркировки и занесение учетных данных в журнал учета с отметкой об их выдаче (приеме);</p> <p>дублирующий учет защищаемых носителей информации;</p> <p>очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти информационных систем и внешних носителей информации;</p> <p>в) обеспечение целостности:</p> <p>обеспечение целостности программных средств системы защиты персональных данных, обрабатываемой информации, а также неизменность программной среды. При этом целостность системы защиты персональных данных проверяется при загрузке системы по наличию имен (идентификаторов) ее компонент, а целостность программной среды обеспечивается отсутствием в информационной системе средств разработки и отладки программ;</p> <p>физическая охрана технических средств информационной системы (устройств и носителей информации), предусматривающая постоянное наличие охраны территории и здания;</p> <p>периодическое тестирование функций системы защиты персональных данных при изменении программной среды и пользователей информационной системы с помощью тест-программ, имитирующих попытки несанкционированного доступа;</p> <p>наличие средств восстановления системы защиты персональных данных, предусматривающих ведение двух копий программных компонентов средств защиты информации, их периодическое обновление и контроль работоспособности.</p> <p> </p> <p>4.3. Для информационных систем</p> <p>1 класса при многопользовательском режиме обработки персональных данных и разных правах доступа к ним пользователей применяются следующие основные методы и способы защиты информации:</p> <p>а) управление доступом:</p> <p>идентификация и проверка подлинности пользователя при входе в систему по идентификатору (коду) и паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов;</p> <p>идентификация терминалов, технических средств, узлов сети, каналов связи, внешних устройств по логическим именам;</p> <p>идентификация программ, томов, каталогов, файлов, записей, полей записей по именам;</p> <p>контроль доступа пользователей к защищаемым ресурсам в соответствии с матрицей доступа;</p> <p>б) регистрация и учет:</p> <p>регистрация входа (выхода) пользователей в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения информационной системы. В параметрах регистрации указываются дата и время входа (выхода) пользователя в систему (из системы) или загрузки (останова) системы, результат попытки входа (успешная или неуспешная), идентификатор (код или фамилия) пользователя, предъявленный при попытке доступа, код или пароль, предъявленный при неуспешной попытке;</p> <p>регистрация выдачи печатных (графических) документов на бумажный носитель. В параметрах регистрации указываются дата и время выдачи (обращения к подсистеме вывода), спецификация устройства выдачи (логическое имя (номер) внешнего устройства), краткое содержание документа (наименование, вид, шифр, код), идентификатор пользователя, запросившего документ;</p> <p>регистрация запуска (завершения) программ процессов (заданий, задач), предназначенных для обработки персональных данных. В параметрах регистрации указываются дата и время запуска, имя (идентификатор) программы (процесса, задания), идентификатор пользователя, запросившего программу (процесс, задание), результат запуска (успешный, неуспешный);</p> <p>регистрация попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам. В параметрах регистрации указываются дата и время попытки доступа к защищаемому файлу с указанием ее результата (успешная, неуспешная), идентификатор пользователя, спецификация защищаемого файла;</p> <p>регистрация попыток доступа программных средств к дополнительным защищаемым объектам доступа (терминалам, техническим средствам, узлам сети, линиям (каналам) связи, внешним устройствам, программам, томам, каталогам, файлам, записям, полям записей). В параметрах регистрации указываются дата и время попытки доступа к защищаемому объекту с указанием ее результата (успешная, неуспешная), идентификатор пользователя, спецификация защищаемого объекта (логическое имя (номер));</p> <p>учет всех защищаемых носителей информации с помощью их маркировки и занесение учетных данных в журнал учета с отметкой об их выдаче (приеме);</p> <p>очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти информационной системы и внешних накопителей;</p> <p>в) обеспечение целостности:</p> <p>обеспечение целостности программных средств системы защиты персональных данных, обрабатываемой информации, а также неизменность программной среды. При этом целостность системы защиты персональных данных проверяется при загрузке системы по контрольным суммам компонентов системы защиты, а целостность программной среды обеспечивается использованием трансляторов с языков высокого уровня и отсутствием средств модификации объектного кода программ в процессе обработки и (или) хранения персональных данных;</p> <p>физическая охрана технических средств информационной системы (устройств и носителей информации), предусматривающая контроль доступа в помещения посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения и хранилище носителей информации;</p> <p>периодическое тестирование функций системы защиты персональных данных при изменении программной среды и пользователей информационной системы с помощью тест-программ, имитирующих попытки несанкционированного доступа;</p> <p>наличие средств восстановления системы защиты персональных данных, предусматривающих ведение двух копий программных компонентов средств защиты информации, их периодическое обновление и контроль работоспособности.</p> <p> </p> <p>4.4. Безопасное межсетевое взаимодействие для информационных систем</p> <p>1 класса при их подключении к сетям международного информационного обмена достигается путем применения средств межсетевого экранирования, которые обеспечивают выполнение следующих функций:</p> <p>фильтрацию на сетевом уровне для каждого сетевого пакета независимо (решение о фильтрации принимается на основе сетевых адресов отправителя и получателя или на основе других эквивалентных атрибутов);</p> <p>фильтрацию пакетов служебных протоколов, служащих для диагностики и управления работой сетевых устройств;</p> <p>фильтрацию с учетом входного и выходного сетевого интерфейса как средства проверки подлинности сетевых адресов;</p> <p>фильтрацию с учетом любых значимых полей сетевых пакетов;</p> <p>фильтрацию на транспортном уровне запросов на установление виртуальных соединений с учетом транспортных адресов отправителя и получателя;</p> <p>фильтрацию на прикладном уровне запросов к прикладным сервисам с учетом прикладных адресов отправителя и получателя;</p> <p>фильтрацию с учетом даты и времени;</p> <p>аутентификацию входящих и исходящих запросов методами, устойчивыми к пассивному и (или) активному прослушиванию сети;</p> <p>регистрацию и учет фильтруемых пакетов (в параметры регистрации включаются адрес, время и результат фильтрации);</p> <p>регистрацию и учет запросов на установление виртуальных соединений;</p> <p>локальную сигнализацию попыток нарушения правил фильтрации;</p> <p>идентификацию и аутентификацию администратора межсетевого экрана при его локальных запросах на доступ по идентификатору (коду) и паролю условно-постоянного действия;</p> <p>предотвращение доступа неидентифицированного пользователя или пользователя, подлинность идентификации которого при аутентификации не подтвердилась;</p> <p>идентификацию и аутентификацию администратора межсетевого экрана при его удаленных запросах методами, устойчивыми к пассивному и активному перехвату информации;</p> <p>регистрацию входа (выхода) администратора межсетевого экрана в систему (из системы) либо загрузки и инициализации системы и ее программного останова (регистрация выхода из системы не проводится в моменты аппаратурного отключения межсетевого экрана);</p> <p>регистрацию запуска программ и процессов (заданий, задач);</p> <p>регистрацию действия администратора межсетевого экрана по изменению правил фильтрации;</p> <p>возможность дистанционного управления своими компонентами, в том числе возможность конфигурирования фильтров, проверки взаимной согласованности всех фильтров, анализа регистрационной информации;</p> <p>контроль целостности своей программной и информационной части;</p> <p>контроль целостности программной и информационной части межсетевого экрана по контрольным суммам;</p> <p>восстановление свойств межсетевого экрана после сбоев и отказов оборудования;</p> <p>регламентное тестирование реализации правил фильтрации, процесса регистрации, процесса идентификации и аутентификации запросов, процесса идентификации и аутентификации администратора межсетевого, экрана, процесса регистрации действий администратора межсетевого экрана, процесса контроля за целостностью программной и информационной части, процедуры восстановления.</p> <p> </p> <p>5. Анализ защищенности проводится для распределенных информационных систем и информационных систем, подключенных к сетям международного информационного обмена, путем использования в составе информационной системы программных или программно-аппаратных средств (систем) анализа защищенности.</p> <p>Средства (системы) анализа защищенности должны обеспечивать возможность выявления уязвимостей, связанных с ошибками в конфигурации программного обеспечения информационной системы, которые могут быть использованы нарушителем для реализации атаки на систему.</p> <p> </p> <p>6. Обнаружение вторжений проводится для информационных систем, подключенных к сетям международного информационного обмена, путем использования в составе информационной системы программных или программно-аппаратных средств (систем) обнаружения вторжений.</p> <p> </p> <p>7. Для информационных систем 1 класса применяется программное обеспечение средств защиты информации, соответствующее 4 уровню контроля отсутствия недекларированных возможностей.</p> </td></tr> </tbody> </table> <p>   </p> <p>        </p> <p><em>Источник: </em><a href="http://www.rg.ru/2010/03/05/dannye-dok.html" target="_new" ><em>www.rg.ru</em></a></p> <p>  </p> <p>  </p> Wed, 10 Mar 2010 12:17:57 +0300 http://ispdn.ru/news/detail_industry.php?ELEMENT_ID=5859 15 марта Учебный центр &quot;Эшелон&quot; приглашает на курс повышения квалификации &#40;72 часа&#41; по теме: &quot;Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных&quot;. Курс согласован со ФСТЭК России. <p>  </p> <p>  </p> <p>  </p> <h3 style="margin-top: 0px; margin-right: 0px; margin-bottom: 15px; margin-left: 0px; ">Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных. Курс согласован со <font color="#ff0000">ФСТЭК России</font>.  <p>   </p> </h3> <p></p> <div class="catalog-element"> <table border="0" cellspacing="0" cellpadding="2" width="100%"> <tbody> <tr><td valign="top" width="100%"> <p>   </p> <p>  <br /> <strong>С 15 по 26 марта Учебный центр &quot;Эшелон&quot; приглашает на курс повышения квалификации (72 часа) по теме: &quot;Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных&quot;. Курс согласован со ФСТЭК России.  <br /> </strong> <br /> <b>  </b></p> <p><b>Программа: </b> </p> <p>  </p> <p>Раздел 1. Введение. Структура, задача и основные функции системы защиты персональных данных. <br /> </p> <blockquote></blockquote> <ul> <li>Основные понятия, термины и определения в области информационной безопасности. </li> <li>Управление информационной безопасностью в организации. </li> <li>Структура внутренней нормативной документации. </li> <li>Классификация угроз информационной безопасности. </li> <li>Классификация каналов утечки информации. </li> <li>Основные понятия, термины и определения в области защиты персональных данных. </li> <li>Актуальность проблемы защиты персональных данных. </li> </ul> <blockquote> <ul></ul> </blockquote> <p> </p> <p>Раздел 2. Нормативно-правовое обеспечение защиты персональных данных в Российской Федерации. <br /> </p> <blockquote></blockquote> <ul></ul> <ul> <li>Федеральный закон Российской Федерации N 152-ФЗ О персональных данных. </li> <li>Структура, задачи и основные функции федеральных регулирующих органов, отвечающих за организацию защиты персональных данных в РФ. </li> <li>Требования руководящих документов ФСТЭК и ФСБ по защите персональных данных. </li> <li> Лицензирование операторов персональных данных. </li> </ul> <blockquote> <ul></ul> </blockquote> <p> </p> <p>Раздел 3. Основы обеспечения безопасности персональных данных при их обработке в информационных системах. <br /> </p> <blockquote></blockquote> <ul></ul> <ul> <li>Понятие информационной системы персональных данных (ИСПДн). Классификация ИСПДн. Порядок составления акта классификации. <ul></ul> </li> <li>Базовая модель угроз безопасности персональных данных при обработке в ИСПДн. </li> <li>Методика определения актуальных угроз безопасности персональных данных в ИСПДн. </li> <li>Разработка частной модели угроз безопасности персональных данных в конкретных ИСПДн с учётом их назначения, условий и особенностей функционирования. </li> <li>Мероприятия по техническому обеспечению безопасности персональных данных при их обработке в ИСПДн различных классов. </li> <li>Средства защиты информации, применяемые при защите персональных данных. </li> <li>Процесс сертификации средств защиты информации. </li> <li>Техническая защита персональных данных. </li> </ul> <blockquote> <ul></ul> </blockquote> <p> </p> <p>Раздел 4. Порядок создания и эксплуатации ИСПДн <br /> </p> <blockquote></blockquote> <ul></ul> <ul> <li>Разработка и внедрение информационных систем персональных данных. </li> <li>Требования по аттестации ИСПДн. </li> <li>Внутренняя нормативная документация по работе с персональными данными. </li> </ul> <blockquote> <ul></ul> </blockquote> <p> <br /> <br /> <br /> <b>Условия обучения: </b> Участникам представляются раздаточные материалы, обеспечивается питание в течение дня (обед, кофе-брейки). </p> <p>По окончании обучения слушателям выдается сертификат. <br /> <br /> <b>Стоимость: </b> 34 000 рублей <br /> </p> </td></tr> </tbody> </table> </div> <p><em>   </em></p> <p><em>  </em></p> <p><em>Подробнее о курсе: </em><a href="http://uc-echelon.ru/courses/2010/5221" ><em>http://uc-echelon.ru/courses/2010/5221</em></a></p> <p>  </p> <p><em>Рсписание курсов в Учебном центре &quot;Эшелон&quot;: </em><a href="http://uc-echelon.ru/schedule.php" ><em>http://uc-echelon.ru/schedule.php</em></a></p> <p> </p> <p> </p> Wed, 10 Mar 2010 12:17:57 +0300 http://ispdn.ru/news/detail_industry.php?ELEMENT_ID=5848 В Чувашии всенародно осудили несовершеннолетнюю студентку, которая позарилась на парольные персональные данные молодого человека из Москвы! <p>   </p> <p>    </p> <h3>В Чувашии посадили студентку, ранее сидевшую в Интернете под чужим паролем</h3> <p> </p> <p>Студентка получила персональные данные - логин и пароль - жителя Москвы и сидела по ним во &laquo;всемирной паутине&raquo;.  </p> <p>   </p> <p>  </p> <p>Свою вину жительница чувашской столицы признала. </p> <p>На момент совершения преступления студентка была еще несовершеннолетней, также она возместила ущерб потерпевшему. Это и учел Новочебоксарский городской суд, который признал девушку виновной в совершении указанных преступлений. </p> <p>Ей назначено наказание в виде 6 месяцев исправительных работ с удержанием 10 % заработка в доход государства условно с испытательным сроком на 6 месяцев, сообщили в пресс-службе прокуратуры Чувашии. </p> <p>  </p> <p>  </p> <p><em>Источник: </em><a href="http://kazan.kp.ru/online/news/626817/" target="_new" ><em>kazan.kp.ru</em></a></p> <p></p> Wed, 10 Mar 2010 12:17:57 +0300 http://ispdn.ru/news/detail_industry.php?ELEMENT_ID=5851 Russian hackers have written a more sophisticated version of the infamous BlackEnergy Trojan associated with the 2008 cyberattacks against Georgia that now targets Russian and Ukrainian online banking customers. <p>  </p> <p>  </p> <h3>Говорят, что российские хакеры опустошают банковские счета</h3> <p>  </p> <p>Российские хакеры разработали усовершенствованную версию троянского вируса BlackEnergy и атакуют с его помощью банки России и Украины, сообщает в пятницу Infox.ru со ссылкой на специализированное компьютерное издание Dark Reading. Этот вирус предположительно <span id="more-10795"></span>использовался летом 2008 года во время российско-грузинского военного конфликта при кибератаках на грузинские государственные интернет-сайты, отмечает издание.</p> <p> </p> <p>Усовершенствованная версия получила название BlackEnergy 2. Как рассказал эксперт SecureWorks Джо Стюарт, у программы двойная задача: вирус крадет персональные данные с банковского счета, а параллельно с этим начинает DDoS-атаку на вычислительную систему банка (как правило, во время подобной атаки создаются условия, при которых обычные пользователи не могут получить доступ к банковской системе либо доступ сильно затруднен). &laquo;Они (хакеры) могут опустошать банковские счета, пока сам банк борется с последствиями DDoS-атаки&raquo;, &mdash; заметил компьютерный эксперт.</p> <p> </p> <p>BlackEnergy 2 активно использует надстройки. В частности, существуют три надстройки для совершения DDoS-атак, одна — для рассылки спама, еще две — собственно для кражи банковской информации.</p> <p> </p> <p>BlackEnergy 2 — новая техника атак. Как подчеркивает Стюарт, вирус бродит по России и Украине, хотя ранее хакеры старались не грабить соотечественников. «Правила изменились. Раньше действовал принцип, в соответствии с которым хакеры не атакуют банки своей страны», — сказал Стюарт. Кроме того, до настоящего времени хакеры, использовавшие троянские вирусы, в основном заражали компьютеры клиентов банка, к примеру через почтовую рассылку. Еще одна надстройка BlackEnergy 2 разрушает жесткий диск пользователя. «И тогда вообще нет никакой возможности подключиться к банку», — заметил эксперт, добавив, что пока ни одного такого экстремального случая зарегистрировано не было.</p> <p> </p> <p>Пока что самым распространенным троянским вирусом считается Zeus, однако BlackEnergy 2 гораздо более совершенное изобретение, поскольку позволяет красть банковские данные, одновременно выполняя атаку на систему.</p> <p> </p> <p>  </p> <p><em>Пероисточник: </em><a href="http://www.darkreading.com/security/vulnerabilities/showArticle.jhtml?articleID=223101487" target="_new"><em>www.darkreading.com</em></a></p> <p> </p> Wed, 10 Mar 2010 12:17:57 +0300 http://ispdn.ru/news/detail_industry.php?ELEMENT_ID=5844 Российское подразделение BSI удостоверило качество русского перевода стандарта по менеджменту персональными данными BS 10012:2009 <p>    </p> <p> </p> <h3>Российское подразделение Британского Института Стандартов удостоверило качество русского перевода стандарта по управлению персональными данными BS 10012:2009, выполненного компанией GlobalTrust</h3> <p class="smallLink">  </p> <p class="smallLink"> </p> BS 10012 стал первым в мире стандартом на систему управления персональными данными (СУПД). Он определяет требования к СУПД, являющейся основой, кроме всего прочего, для обеспечения и поддержания соответствия Акту о Защите (Персональных) Данных (Data Protection Act 1998). Он может использоваться организациями любых размеров, сферы деятельности и формы собственности для создания системы управления (менеджмента), включаяющей в себя процедуры в таких областях как обучение и повышение осведомленности, оценка риска, совместное использование данных, сохранение и уничтожение данных, раскрытие данных третьим сторонам. <p> </p> <p>Русская редакция BS 10012 может служить основой для построения и аудита СУПД, удовлетворяющих, в том числе, требованиям ФЗ-152 &laquo;О персональных данных&raquo;, соответствующих подзаконных и нормативных актов. </p> <p> </p> <p>По словам Александра Астахова, генерального директора GlobalTrust и главного редактора русского перевода: «Представленная нами совместно с Британским Институтом Стандартов русская редакция нового британского стандарта в области управления персональными данными BS 10012:2009 распространяет передовой опыт построения систем менеджмента теперь и на сферу персональных данных. Стоит организации взять этот стандарт на вооружение наряду с родственными стандартами в области управления, включая ISO 9001, ISO 27001, ISO 20000, BS 25999, BS 25777 и др., как вопросы управления качеством, соответствием, безопасностью, рисками, информационными технологиями, непрерывностью бизнеса и ИКТ, персональными данными, различными юридическими аспектами и т.п. начинают решаться намного проще и эффективнее». </p> <p> </p> <p>«Мы полагаем, что появление на российском рынке русскоязычного перевода британского стандарта BS 10012:2009 даст российским организациям долгожданный эффективный инструмент по реализации законодательных требований в области защиты персональных данных. Стандарт легко интегрируется с основными стандартами в области систем менеджмента, его внедрение будет особенно «безболезненным» для организаций, уже внедривших системы управления качеством, системы управления информационной безопасностью и системы управления IT Сервисами», - подчеркнул Директор по продажам и маркетингу BSI MS CIS Роман Приходько. </p> <p> </p> <p>Новый стандарт BS 10012:2009 RU, входит в состав русскоязычного сборника стандартов в области управления информационной безопасностью KIT 20 RU, который включает в себя также такие стандарты, как ISO 27001:2005 RU, ISO 27002:2005 RU, BS 7799-3:2006 RU и ISO 27005:2008 RU. Эти публикации можно приобрести в интернет магазине shop.globaltrust.ru. </p> <p>  </p> <p>  </p> <p><em>Источник: </em><a href="http://globaltrust.ru/arhiv-novostei/rossiiskoe-podrazdelenie-britanskogo-instituta-standartov-udostoverilo-autentichnost-russkogo-perevoda-standarta-po-upravleniyu-personalnymi-dannymi-bs-10012-2009-vypolnennogo-kompaniei-globaltrust" ><em>globaltrust.ru</em></a> </p> <p> </p> <p> </p> <p><a accesskey="1" href="http://globaltrust.ru" alt="Globaltrust.ru"><img src="http://globaltrust.ru/i/logo.png" width="158" height="75" /><font color="#0054a6"> </font></a></p> Wed, 10 Mar 2010 12:17:57 +0300 http://ispdn.ru/news/detail_industry.php?ELEMENT_ID=5846 Вышел тематический номер журнала «Персональные данные», посвященный проблемам организации работы с пассажирскими персональными данными на транспорте! <p>  </p> <p>  </p> <h3>Персональные данные в системе транспортной безопасности: остановка на полустанке</h3> <p></p> <p></p> <p>   </p> <p> </p> <p>Вышел в свет очередной номер электронного информационно-аналитического журнала &laquo;Персональные данные&raquo;, посвященный проблемам организации работы с персональными данными в транспортном комплексе. Как оказалось, говорить об обеспечении полной конфиденциальности персональных данных пассажиров, которыми мы все являемся, пока рано. <br />  </p> <p>Почему крупные авиа- и железнодорожные компании не хотят говорить о защите информации в своих системах? Необходимо ли предпринимать какие-то действия, чтобы защита персональных данных пассажиров осуществлялась не только на словах, но и на деле? Или многие, узнав о переносе срока, до которого все информационные системы должны быть приведены в соответствие с законом, и вовсе надеются, что проверки регуляторов их не коснутся, поэтому можно продолжать работать по-старому? Что думают об этим крупнейшие транспортные компании такие как ОАО «РЖД», ОАО «АЭРОФЛОТ- Российские авиалинии», ОАО «Авиационная компания &bdquo;Атлант-Союз&rdquo;», ОАО «Авиакомпания „ТРАНСАЭРО”», ОАО «Авиакомпания „ЮТэйр”»? Читайте материал об этом в традиционной рубрике «Операторы персональных данных».  <br />  </p> <p>Можно ли говорить об информационной безопасности государства, если российские авиакомпании хранят персональные данные пассажиров за рубежом? Об этом рассказывает председатель комитета по электронным билетам Национальной ассоциации участников электронной торговли (НАУЭТ) А.А. Полозов-Яблонский. <br />  </p> <p>Кроме того, в рубрике «Международная практика» на вопросы редакции в эксклюзивном интервью отвечает Генеральный инспектор по защите персональных данных Польши Михал Сежицки. « В 2011 году в Польше будут проходить выборы, в ходе которых Центральное статистическое управление намерено создать большую базу данных, содержащих персональные данные жителей страны. Данный факт, по мнению многих, в том числе и по мнению Бюро Генерального инспектора по защите данных, противоречит Конституции Польши, а также создает огромный соблазн для кражи такой базы киберпреступниками». <br />     </p> <p>   </p> <p><em>Источник:   </em><a href="http://www.privacy-journal.ru/" target="_new" ><em>Информационно-аналитический журнал &quot;Персональные данные&quot;</em></a> </p> <p>  </p> <p> </p> Wed, 10 Mar 2010 12:17:57 +0300 http://ispdn.ru/news/detail_industry.php?ELEMENT_ID=5842 В самом сердце наследницы Киевской Руси прошел узко-славянский митинг в защиту ограничений на русские лингвистические персональные данные.<br /> <p> </p> <p> </p> <p>Стало известно, что на улицах Киева появились узко-славянские националисты, которые собираются провести митинг в интересах абсолютизации украинского языка в качестве самого единственно всегосударственного.</p> <p>  </p> <p>Как передает &quot;Эхо Москвы&quot; со ссылкой на РИА &quot;Новости&quot;, на площади Независимости установлены палатки, в которых собирают подписи под обращением к Виктору Януковичу с грозным требованием монополизировать украинский язык в качестве единственно государственного, люто исключающего мнения разных большинств и автономных меньшинств. </p> <p>  </p> <p>Организаторы утверждают, что акция в защиту украинского языка, якобы, носит общереспубликанский одобрительный характер. </p> <p> </p> <p>Инициатором митинга &quot;дружбы&quot; является некая исконно славянская тетя Айрен <strong>Фарион</strong>, которая прославилась тем, что в детских садах фарисейски рассказывала маленьким крошкам какие имена являются правильными для украинцев, а какие &ndash; неправильными, а тем, чьи имена ей не нравились, злобно рекомендовала немедленно &quot;уезжать в Московию&quot;. </p> <p>  </p> <p> </p> <p><em> Источник: </em><a href="http://www.fontanka.ru/2010/03/07/034/" target="_new" ><em>www.fontanka.ru</em></a> <br /> </p> Wed, 10 Mar 2010 12:17:57 +0300 http://ispdn.ru/news/detail_industry.php?ELEMENT_ID=5714 Законодательство в области защиты персональных данных - теперь на видео! <p> </p> <p> </p> <p></p> <a href="http://sltv.ru/comments/clip-401/" target="_new" ><img title="Посмотри на видео все о законодательстве в области защиты персональных данных" alt="Посмотри на видео все о законодательстве в области защиты персональных данных" src="http://sltv.ru/pics/maintheme/1/auto_pics_401.jpg" /></a> <a title="Посмотри на видео все о законодательстве в области защиты персональных данных" href="http://sltv.ru/comments/clip-401/" target="_new"></a> <p><a href="http://sltv.ru/comments/clip-401/" target="_new"></a></p> <p> </p> <p> </p> <h3><a href="http://sltv.ru/comments/clip-401/" target="_new" >Законодательство в области защиты персональных данных на видео</a></h3> <p> </p> <p>  </p> <p>IT-Среда: &quot;Защита персональных данных &mdash; одна из важнейших задач в системе обеспечения информационной безопасности в организации любого масштаба и любой организационно-правовой формы. Нарушение режима конфиденциальности имеющихся в организации данных клиентов, сотрудников, обслуживаемых граждан является серьезным инцидентом информационной безопасности, создающим многочисленные риски — финансовые, коммерческие, имиджевые&quot;.</p> <p> </p> <p>  </p> <p>  </p> <p>Cкачать видео <font color="#ff0000">бесплатно</font>: <a href="http://sltv.ru/upload/videocontent/IT-SREDA/IT-SREDA_PERS.DANNIE/IT-SREDA_PERS.DANNIE_1Mb.flv" target="_new" >IT-SREDA_PERS.DANNIE_1Mb.flv (246.58 МБ)</a>. </p> <p> </p> <p> </p> <p> </p> Wed, 10 Mar 2010 12:17:57 +0300 http://ispdn.ru/news/detail_industry.php?ELEMENT_ID=5658 Сразу после праздника <font color="#ff0000">8 марта</font> Учебный центр &quot;Эшелон&quot; приглашает всех на семинар &quot;Защита персональных данных в организации&quot;! <h3 style="MARGIN: 0px 0px 15px"> </h3> <h3 style="MARGIN: 0px 0px 15px">ПД-01-02 Защита персональных данных в организации </h3> <p style="MARGIN: 0px 0px 15px"> </p> <p style="MARGIN: 0px 0px 15px"></p> <div class="catalog-element"> <table border="0" cellspacing="0" cellpadding="2" width="100%"> <tbody> <tr><td valign="top" width="100%"> <p>   <br /> <b>Шифр : </b> ПД-01-02 <br />   <br /> <b>Длительность курса: </b> 2 рабочих дня <br />   <br /> <b>Место проведения: </b> г.Москва, ул.Электрозаводская, д.24, <a href="http://uc-echelon.ru/contacts/index.php" >Учебный центр &laquo;Эшелон&raquo;</a>   <br />   <br /> <b>Цель курса: </b> познакомить слушателей с процессом организации защиты персональных данных в организации <br />   <br />   <br /> <b>Аудитория: </b> руководители и специалисты по информационной безопасности, руководители ИТ-подразделений. <br />   <br />   <br /> <b>Требования к предварительной подготовке: </b> отсутствуют <br />   <br />   <br /> <b>Результат обучения: </b> Понимание организации защиты персональных данных в организации. <br />   <br />   <br /> <b>Программа: </b>  <br />  </p> <p>Раздел 1. Федеральное законодательство в области защиты персональных данных <br /> </p> <blockquote> <ul> <li>Основные понятия. </li> <li>Область применения закона. </li> <li>Процессы обработки персональных данных. </li> <li>Обязанности оператора персональных данных . </li> <li>Контроль и надзор за обработкой персональных данных. </li> <li>Уведомления об обработке персональных данных в уполномоченный орган по защите прав субъектов персональных данных. </li> <li>Ответственность за нарушение требований по обращению с персональными данными. </li> <li>Требования ФСТЭК и ФСБ. </li> </ul> </blockquote> <p> </p> <p>Раздел 2. Обработка персональных данных в организации <br /> </p> <blockquote> <ul> <li>Структура внутренней нормативной документации организации по защите персональных данных. </li> <li>Получение согласия субъектов на обработку персональных данных. </li> <li>Обработка персональных данных без использования средств автоматизации. </li> <li>Возможности аутсорсинга. </li> </ul> </blockquote> <p> </p> <p>Раздел 3. Защита персональных данных, обрабатываемых в информационных системах <br /> </p> <blockquote> <ul> <li>Классификация информационных систем персональных данных. </li> <li>Модель угроз персональным данным. Типовая модель угроз. Перечень источников угроз. </li> <li>Методика актуализации угроз. </li> <li>Обеспечение безопасности персональных данных в ИСПДн. </li> <li>Существующие сертифицированные средства защиты информации, использующиеся для защиты персональных данных. </li> <li>Типовые решения, предлагаемые интеграторами. </li> </ul> </blockquote> <p> </p> <p>Раздел 4. Лицензирование деятельности по технической защите конфиденциальной информации <br /> </p> <blockquote> <ul> <li>Лицензия на техническую защиту информации. Требования. </li> <li>Проверка сведений о лицензиате и лицензионный контроль. </li> <li>Пути минимизации расходов на получение лицензии. </li> </ul> </blockquote>  <br />   <br /> <b>Условия обучения: </b> Участникам представляются раздаточные материалы, обеспечивается питание в течение дня (обед, кофе-брейки). По окончании обучения слушателям выдается сертификат. <br />   <br /> <b>Стоимость: </b> 13 500 рублей <br />  </td></tr> </tbody> </table> </div> <div class="catalog-element"> </div> <div class="catalog-element">  </div> <div class="catalog-element"><em>Подробности: </em><a href="http://www.uc-echelon.ru/schedule.php" ><em>uc-echelon.ru</em></a></div> <div class="catalog-element"></div> Wed, 10 Mar 2010 12:17:57 +0300 http://ispdn.ru/news/detail_industry.php?ELEMENT_ID=5651 На сайте Инфофорума опубликованы материалы Пленарного заседания &quot;Вопросы совершенствования и применения законодательства о персональных данных&quot;<br /> <p><img src="http://www.infoforum.ru/img/logo_left.gif" /></p> <p> </p> <p>На сайте Инфофорума опубликованы материалы <a href="http://www.infoforum.ru/news/?p=643&amp;n=899" target="_new" >Пленарного заседания &quot;Вопросы совершенствования и применения законодательства о персональных данных&quot;</a>.  </p> <table cellpadding="3" width="100%"> <tbody> <tr><td class="text"> <h3 align="center"> </h3> <h3 align="center">ИНФОФОРУМ-12: Вопросы совершенствования и применения законодательства о персональных данных</h3> <br /> <br /> </td></tr> <tr><td class="textDetail" valign="top"> <p><strong>Проблемы реализации Федерального закона &laquo;О персональных данных&raquo;  в банковской сфере</strong> <br /> <strong>К.Т. Сумманен, </strong>член  Комитета по банковским информационным технологиям Ассоциации региональных банков России <br /> <a href="http://www.infoforum.ru/pr_12/1_Summanen.ppt" target="_new" ><font size="2">Cкачать презентацию</font></a></p> <p> </p> <p><strong>1.01.2010. Что дальше?</strong> <br /> <strong>И.Г. Алехина, </strong>президент НП «Национальная страховая гильдия» <br /> <a href="http://www.infoforum.ru/pr_12/2_Aljohina..ppt" target="_new" ><font size="2">Cкачать презентацию</font></a></p> <p><strong> </strong></p> <p><strong>Вопросы защиты персональных данных в кредитно-финансовой сфере</strong> <br /> <strong>А.М. Сычев, </strong>начальник управления информационной безопасности Департамента безопасности ОАО &quot;Россельхозбанк&quot; <br /> <a href="http://www.infoforum.ru/pr_12/3_Sychev.ppt" target="_new" ><font size="2">Cкачать презентацию</font></a></p> <p><strong> </strong></p> <p><strong>Гарантированная защита персональных данных от инсайдерских угроз</strong> <br /> <strong>В.М. Буряков</strong>, директор по системным решениям Sun Microsystems в регионе СНГ <br /> <a href="http://www.infoforum.ru/pr_12/4_Burjakov.ppt" target="_new" ><font size="2">Cкачать презентацию</font></a></p> <p> </p> <p><strong>Автоматизированные системы персональных данных и способы их защиты на примере Магнитогорска</strong> <br /> <strong>Л.А. Кошарнов</strong>, Администрация г. Магнитогорска <br /> <a href="http://www.infoforum.ru/pr_12/5_Kosharnov.pptx" target="_new" ><font size="2">Cкачать презентацию</font></a></p> <p> </p> <p><strong>Оптимизация затрат оператора персональных данных при построении системы защиты персональных данных</strong> <br /> <strong>А.П. Сухин,</strong> генеральный директор ЗАО &quot;Лаборатория СКАТ&quot; <br /> <a href="http://www.infoforum.ru/pr_12/6_Sukhin.ppt" target="_new" ><font size="2">Cкачать презентацию</font></a></p> <p><strong> </strong></p> <p><strong>Требования Закона о персональных данных: разумная реализация</strong> <br /> <strong>Н.А. Александровская</strong>, заместитель генерального директора ООО «Функциональная безопасность бизнеса» <br /> <a href="http://www.infoforum.ru/pr_12/7_Alexandrovskaja.ppt" target="_new" ><font size="2">Cкачать презентацию</font></a></p> <p> </p> <p><strong>152-ФЗ: формальное соответствие - подход большинства</strong> <br /> <strong>Е.В. Чугунов,</strong> эксперт направления информационной безопасности КРОК Инкорпорэйтед <br /> <a href="http://www.infoforum.ru/pr_12/8_Chugunov.ppt" target="_new" ><font size="2">Cкачать презентацию</font></a></p> <p> </p> <p><strong>Практический опыт LETA IT-company в подготовке специалистов по защите персональных данных</strong> <br /> <strong>Н.И. Конопкин</strong>, заместитель директора департамента LETA внедрения и консалтинга IT-company <br /> <a href="http://www.infoforum.ru/pr_12/9_Leta.ppt" target="_new" ><font size="2">Cкачать презентацию</font></a></p> <p> </p> <p><strong>Особенности защиты персональных данных в организациях малого и среднего бизнеса</strong> <br /> <strong>А.С. Марков,</strong> генеральный директор <a href="http://www.npo-echelon.ru" target="_new" >ЗАО &quot;НПО &quot;Эшелон&quot;</a> <br /> <a href="http://www.infoforum.ru/pr_12/10_Markov.ppt" target="_new" ><font size="2">Cкачать презентацию</font></a></p> <p><strong> </strong></p> <p><strong>Защита персональных данных в организациях малого и среднего бизнеса. </strong><strong>Практический опыт</strong> <br /> <strong>С.В. Вихорев,</strong> заместитель генерального директора по развитию ОАО &quot;Элвис-Плюс&quot; <br /> <a href="http://www.infoforum.ru/pr_12/11_Vikhorev.ppt" target="_new" ><font size="2">Cкачать презентацию</font></a></p> <br /> </td></tr> </tbody> </table> <p> </p> <p> </p> <p><a href="http://www.infoforum.ru/news/?p=643&amp;n=899" target="_new" ><img border="0" src="http://www.infoforum.ru/img/banner-550x90.gif" /></a></p> <p>  </p> <p>  </p> Wed, 10 Mar 2010 12:17:57 +0300 http://ispdn.ru/news/detail_industry.php?ELEMENT_ID=5649 На блоге менеджера по развитию бизнеса компании Cisco Systems опубликованы презентационные материалы авторского аналитического курса по методикам моделирования угроз информационной безопасности. Wed, 10 Mar 2010 12:17:57 +0300 http://ispdn.ru/news/detail_industry.php?ELEMENT_ID=5645 Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций &#40;Роскомнадзор&#41; переходит к жестким мерам реагирования в отношении операторов, не направивших уведомление об обработке персональных данных <p> </p> <div id="headercontainer"> <div id="header">  </div> <div><img id="headerSlogan" border="0" alt="Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций" src="http://pd.rsoc.ru/i/head.gif" width="625" height="12" /> <br /> <img id="headerTitle" border="0" alt="Портал персональных данных Уполномоченного органа по защите персональных данных" src="http://pd.rsoc.ru/i/headtitle2.gif" width="628" height="43" /> <div style="MARGIN-TOP: 0px; FONT-FAMILY: Times New Roman; MARGIN-BOTTOM: 16px; COLOR: #790627; FONT-SIZE: 13pt; PADDING-TOP: 0px">Уполномоченного органа по защите прав субъектов персональных данных</div> </div> </div> <table border="0" width="100%"> <tbody> <tr><td style="PADDING-TOP: 20px" width="100%"> <p></p> <h3>Роскомнадзор переходит к мерам реагирования в отношении операторов, не направивших уведомление об обработке персональных данных</h3> <div> <p></p> <p> </p> <p> </p> <p>Количество кредитных организаций, зарегистрированных в реестре операторов персональных данных, не превышает 30% от их общей численности и составляет сегодня около 300. Об этом сообщил заместитель руководителя Роскомнадзора Роман Шередин, выступая 17 февраля на Второй межбанковской конференции &laquo;Информационная безопасность банков&raquo;.</p> <p> </p> <p>По его словам, «существующее положение является недопустимым» и «связано с выжидательной позицией большинства указанных организаций и мнением, что факт отсутствия в реестре операторов исключает возможность проведения в отношении их деятельности проверок в области персональных данных».</p> <p> </p> <p>Роман Шередин заявил, Роскомнадзор «планирует отойти от сложившейся практики информационно-разъяснительной, фактически «пригласительной», работы к принятию соответствующих мер реагирования в части привлечения операторов к административной ответственности за непредставление уведомлений об обработке персональных данных, а также информации об изменении сведений, содержащихся в уведомлении».</p> <p> </p> <p>Роман Шередин сообщил также, что в 2009 году Роскомнадзор провел 34 проверки в отношении кредитных организаций, по итогам которых нарушения требований законодательства в области персональных данных были выявлены в 63% случаев. Государственными инспекторами выдано 65 предписаний, что составляет 12% от общего числа выданных предписаний, в 8 случаях материалы проверок были направлены в органы прокуратуры.</p> <p> </p> <p>См.: <a href="http://pd.rsoc.ru/press-service/subject4/news387.htm" target="_new" >Текст доклада Заместителя руководителя Роскомнадзора Романа Шередина</a></p> <p></p> </div> <p> </p> <p> </p> <p><em>Источник: </em><a href="http://pd.rsoc.ru/press-service/subject1/news389.htm" target="_new" ><em>pd.rsoc.ru</em></a> </p> </td></tr> </tbody> </table> <p>  </p> <p> </p> <p><img src="http://pd.rsoc.ru/images/news//Sheredin.jpg" /></p> Wed, 10 Mar 2010 12:17:57 +0300 http://ispdn.ru/news/detail_industry.php?ELEMENT_ID=5642 К вопросу о врачебной тайне: условия разглашения и ответственность за нарушения <p>  </p> <p>  </p> <h3>Врачебная тайна: условия разглашения и ответственность за нарушения</h3> <p>  </p> <p>  </p> <p>Врачебная тайна &mdash; многогранное этическое и юридическое понятие. Понятие врачебной тайны и условия ее разглашения закреплены в Основах законодательства Российской Федерации об охране здоровья граждан (далее — Основы).</p> <p> </p> <p>Статья 61 Основ гласит, что врачебную тайну составляет информация о факте обращения за медицинской помощью, состоянии здоровья гражданина, диагнозе его заболевания и иные сведения, полученные при его обследовании и лечении.</p> <p> </p> <p>Основы предусматривают, что разглашение врачебной тайны может происходить как с согласия пациента, так и без такового. С согласия гражданина или его законного представителя допускается передача сведений, составляющих врачебную тайну, другим гражданам, в т.ч. должностным лицам, в интересах обследования и лечения пациента, для проведения научных исследований, публикации в научной литературе, использования этих сведений в учебном процессе и в иных целях. В этом случае следует помнить о следующем:</p> <p>1. Факт согласия пациента или его законного представителя следует оформить письменно во избежание недопонимания и для обеспечения правовой безопасности медицинской организации, заверив это подписью пациента.</p> <p>2. Необходимо четко помнить о том, кто может являться законным представителем. Законные представители появляются только у недееспособных или не обладающих полной дееспособностью граждан. Ими могут быть родители, усыновители, опекуны, попечители или иные лица, которым это право предоставлено законом. Перед тем, как выполнять волю законного представителя пациента, следует убедиться в полномочиях данного человека.</p> <p> </p> <p>Разглашение врачебной тайны без согласия пациента или его законного представителя допускается в следующих случаях:</p> <p>1) в целях обследования и лечения гражданина, не способного из-за своего состояния выразить свою волю;</p> <p>2) при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений;</p> <p>3) по запросу органов дознания и следствия, прокурора и суда в связи с проведением расследования или судебным разбирательством;</p> <p>4) в случае оказания помощи несовершеннолетнему в возрасте до 15 лет (для больных наркоманией — до 16 лет) и для информирования его родителей или законных представителей;</p> <p>5) при наличии оснований, позволяющих полагать, что вред здоровью гражданина причинен в результате противоправных действий;</p> <p>6) в целях проведения военно-врачебной экспертизы в порядке, установленном положением о военно-врачебной экспертизе.</p> <p> </p> <p>Конфиденциальность сведений, составляющих врачебную тайну, закреплена и в Семейном кодексе Российской Федерации: &laquo;результаты обследования лица, вступающего в брак, составляют медицинскую тайну и могут быть сообщены лицу, с которым оно намерено заключить брак, только с согласия лица, прошедшего обследование&raquo; (п. 2 ст. 15).</p> <p> </p> <p>Правовые нормы о сохранении врачебной тайны детализированы в Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — закон).</p> <p> </p> <p>Закон гласит, что его целью является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.</p> <p> </p> <p>Закон выделяет специальные категории персональных данных, к которым относит, в числе прочего, сведения о состоянии здоровья гражданина.</p> <p> </p> <p>Обработка специальных категорий персональных данных допускается только в случаях, определенных законом, в их числе названы следующие:</p> <p>1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;</p> <p>2) персональные данные являются общедоступными;</p> <p>3) персональные данные относятся к состоянию здоровья субъекта персональных данных и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц, и получение согласия субъекта персональных данных невозможно;</p> <p>4) обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну.</p> <p> </p> <p>Согласно ст. 9 закона обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных, а в случае обработки общедоступных персональных данных обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на оператора, т.е. на того, кто осуществляет обработку персональных данных.</p> <p> </p> <p>Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:</p> <p>1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;</p> <p>2) наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;</p> <p>3) цель обработки персональных данных;</p> <p>4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;</p> <p>5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;</p> <p>6) срок, в течение которого действует согласие, а также порядок его отзыва.</p> <p> </p> <p>В соответствии со ст. 19 закона оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.</p> <p> </p> <p>Необходимо определиться с кругом лиц, которые обязаны хранить врачебную тайну.</p> <p> </p> <p>Во-первых, носителем, а соответственно, и хранителем врачебной тайны является любой врач по определению, ибо согласно ст. 60 Основ лица, окончившие высшие медицинские образовательные учреждения Российской Федерации, при получении диплома врача дают клятву врача. При этом врачи клянутся «хранить врачебную тайну».</p> <p> </p> <p>Однако закон не ограничивает перечень хранителей врачебной тайны только врачами, возлагая обязанность по хранению сведений, составляющих врачебную тайну, также на лиц, которым они стали известны при обучении, исполнении профессиональных, служебных и иных обязанностей (ст. 61 Основ). Таким образом, потенциальным хранителем тайны пациента является любое лицо, которое в той или иной мере получило сведения о пациенте.</p> <p> </p> <p>Следует помнить также, что помимо работников медицинского учреждения, в которое обратился пациент, хранителями врачебной тайны могут стать также и иные лица, допущенные к сведениям, содержащим врачебную тайну в силу своих служебных обязанностей. Это могут быть работники государственных органов (органов здравоохранения, правоохранительных органов), страховых медицинских организаций. Они также, как и медицинские работники, с учетом причиненного гражданину ущерба несут ответственность за разглашение врачебной тайны, установленную законом.</p> <p> </p> <p>Закон устанавливает уголовную, административную, дисциплинарную и гражданско-правовую ответственность за разглашение врачебной тайны.</p> <p> </p> <p>Начнем с рассмотрения уголовной ответственности.</p> <p> </p> <p>До 1 января 1997 г. на территории России действовал Уголовный кодекс РСФСР, в который в декабре 1994 г. была введена статья 128.1., предусматривающая уголовную ответственность за разглашение сведений, составляющих врачебную тайну. Она предусматривала уголовную ответственность вплоть до лишения свободы сроком до 2 лет.</p> <p> </p> <p>Однако, принимая новый Уголовный кодекс, законодатель объединил данное преступление с иными противоправными действиями, в результате чего предусмотрел уголовную ответственность за разглашение врачебной тайны в статье 137 «Нарушение неприкосновенности частной жизни». Так, согласно части 1 указанной статьи противоправными действиями являются «незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации». В нашем случае чаще всего будет применяться часть 2, которая предусматривает уголовную ответственность за «те же деяния, совершенные лицом с использованием своего служебного положения» и предусматривает следующие санкции: штраф в размере от 100 тыс. до 300 тыс. руб., или в размере заработной платы, или иного дохода осужденного за период от 1 года до 2 лет, либо лишение права занимать определенные должности или заниматься определенной деятельностью на срок от 2 до 5 лет, либо арест на срок от 4 до 6 месяцев, либо лишение свободы на срок от 1 года до 4 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 5 лет.</p> <p> </p> <p>Таким образом, предусматривая наказание в виде лишения права занимать определенные должности или заниматься определенной деятельностью, законодатель говорит о профессиональной непригодности работника, разгласившего личную информацию, а в нашем случае — врачебную тайну пациента.</p> <p> </p> <p>Более мягкой формой ответственности является административная ответственность, которая предусмотрена статьей 13.14. Кодекса РФ об административных нарушениях «Разглашение информации с ограниченным доступом».</p> <p> </p> <p>Законодатель и здесь приравнивает ответственность за разглашение врачебной тайны к разглашению закрытой информации вообще. Разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа на граждан в размере от 500 до 1 тыс. рублей, на должностных лиц — от 4 тыс. до 5 тыс. рублей.</p> <p> </p> <p>Существует также дисциплинарная ответственность медицинских работников за допущенные ими нарушения, в т.ч. и в части разглашения врачебной тайны.</p> <p> </p> <p>Она предусмотрена Трудовым кодексом РФ (ст. 192) и предусматривает 3 вида взыскания, налагаемых на работников за совершение дисциплинарного проступка, т.е. неисполнение или ненадлежащее исполнение по вине работника возложенных на него трудовых обязанностей: замечание, выговор и увольнение по соответствующим основаниям.</p> <p> </p> <p>Однако привлечение к любому из вышеописанных видов ответственности не освобождает виновного от обязанности возместить пострадавшему причиненный вред.</p> <p> </p> <p>Речь идет о гражданско-правовой ответственности.</p> <p> </p> <p>В гражданском законодательстве понятие врачебной тайны включается в понятие личной тайны.</p> <p> </p> <p>Согласно ст. 150 Гражданского кодекса РФ жизнь и здоровье, достоинство личности, неприкосновенность частной жизни, личная и семейная тайна, иные личные неимущественные права и другие нематериальные блага, принадлежащие гражданину от рождения или в силу закона, неотчуждаемы и непередаваемы иным способом.</p> <p> </p> <p>Согласно ст. 151 Гражданского кодекса РФ, если гражданину причинен моральный вред (физические или нравственные страдания) действиями, нарушающими его личные неимущественные права либо посягающими на принадлежащие гражданину другие нематериальные блага, суд может возложить на нарушителя обязанность денежной компенсации указанного вреда.</p> <p> </p> <p>В данном случае следует помнить, что согласно ст. 1068 Гражданского кодекса РФ юридическое лицо возмещает вред, причиненный его работником при исполнении трудовых (служебных, должностных) обязанностей, т.е. денежную компенсацию пациенту будет выплачивать не лично причинитель вреда, а организация, в которой он работает.</p> <p> </p> <p>Таким образом, ответственность за нарушение врачебной тайны несет как непосредственно лицо, допустившее подобное нарушение (дисциплинарная, административная или уголовная ответственность), так и само медицинское учреждение (гражданско-правовая ответственность).</p> <p> </p> <p>Учитывая вышеизложенное, необходимо подчеркнуть, что руководители медицинских учреждений должны помнить о необходимости сохранения врачебной тайны и об основаниях, дающих законное право на ее разглашение, а также доводить эту информацию до сведения всех подчиненных им сотрудников, от врачей-специалистов до регистраторов, т.к. сохранение врачебной тайны является правовой обязанностью и моральным долгом каждого работника медицинского учреждения. </p> <p></p> <p align="right"><strong>Э.И. Мухитова, </strong></p> <p align="right"><strong>правовой консультант</strong></p> <p align="right"><strong></strong></p> <p align="left"><em> </em></p> <p align="left"><em>Источник: <a href="http://mfvt.ru/vrachebnaya-tajna-usloviya-razglasheniya-i-otvetstvennost-za-narusheniya/" target="_new" >mfvt.ru</a></em></p> <p align="right"> </p> <p align="left">  </p> Wed, 10 Mar 2010 12:17:57 +0300 http://ispdn.ru/news/detail_industry.php?ELEMENT_ID=5647 Говорят, судебных приставов допустят до персональных данных! Wed, 10 Mar 2010 12:17:57 +0300 http://ispdn.ru/news/detail_industry.php?ELEMENT_ID=5578 Наконец найден супер-программист, который крутил для автомобилистов захватывающие порноролики на видеощитах Садового Кольца. Теперь доказано, что не юный гений использовал для этого кибернетические ресурсы Чеченской Республики. <p>    </p> <p>  </p> <h3 class="mb02">Порнохакер, разместивший интимные персональных данные на видеоэкранах старушки Москвы, аутентифицирован!</h3> <p> </p> <p> </p> <p>Сотрудники Управления &laquo;К&raquo; МВД России (борьба с преступлениями в IT-сфере) задержали хакера, разместившего месяц назад на <a href="http://www.ispdn.ru/news/detail_industry.php?ELEMENT_ID=5289">уличных видеоэкранах Москвы материалы порнографического характера</a>, сообщила официальный представитель Управления Ирина Зубарева.</p> <p> </p> <p>С ее слов, несмотря на то, что злоумышленник искусно удалял следы в Интернете, компьютерным сыщикам Управления &laquo;К&raquo; удалось обнаружить его реальный  mac-адрес в Новороссийске и задержать на месте с видео уликами.</p> <p> </p> <p>Как стало известно, виновник порноторжества - 40-летний нетрудоустроенный россиянин с высшим техническим образованием (ВУЗ пока не оглашается), ранее уже судимый за подделку документов, неоднократно взламывал компьютеры пользователей сети из любопытства. </p> <p></p> <p> </p> <p>Используя вредоносную программу, киберхулиган взломал компьютер организации, находящейся на территории Чечни, и через него проник на сервер, отвечающий за работу светодиодного экрана в Москве, - рассказала Ирина. </p> <p>Затем, по ее словам, хакер подменил на плейлисте видеоролик на видео несколько непристойного содержания.</p> <p> </p> <p>На допросе задержанный раскололся и признался, что использовал компьютерные ресурсы информационной инфраструктуры Чеченской Республики, будучи уверенным - сотрудники милиции, по крайней мере из управления &quot;К&quot;, никогда туда не поедут! </p> <p class="mb12">     <br />       </p> <p><em><font size="1">www. interfax.ru</font></em></p> <p><em><font size="1"> </font></em></p> <p><em><font size="1"> </font></em></p> <p><em><font size="1"></font></em></p> <p><em> </em></p> <p><em> </em></p> Wed, 10 Mar 2010 12:17:57 +0300 http://ispdn.ru/news/detail_industry.php?ELEMENT_ID=5585 Во вторник стартует просветительская кампания о проведении Всероссийской переписи населения 2010 года, которая пройдет с 14 по 25 октября! <p>   </p> <p>  </p> <h3>Россиян просветят, затем перепишут </h3> <p> </p> <div class="photo photosmall aligned"><a title="Специалисты заверяют, что персональные данные в ходе переписи будут надежно защищены." href="http://gdb.rferl.org/88B85429-9643-45B5-AE61-230A8FDA621F_mw800_mh600.jpg" rel="ibox" ><img border="0" alt="" src="http://gdb.rferl.org/88B85429-9643-45B5-AE61-230A8FDA621F_mw270_s.jpg" /></a> <p class="photo_caption"><font size="2"> </font></p> <p class="photo_caption"><font size="2">Специалисты заверяют, что персональные данные в ходе переписи будут надежно защищены.</font></p> </div> <div class="date"><font size="1">16.02.2010 11:56</font> </div> <div class="author"><a href="/author/18.html" ><font size="1"><em>Марьяна Торочешникова</em></font></a></div> <div class="zoomMe"> <p><strong>  </strong></p> <p><strong> </strong> </p> <p><strong>Во вторник стартует просветительская кампания о проведении Всероссийской переписи населения 2010 года, которая пройдет с 14 по 25 октября. Специалисты называют результаты переписей населения отражением общества. Последний раз подобное исследование проводилось восемь лет назад. </strong></p>   <br /> <p>Перепись 2010 года могла и не состояться. Во всяком случае, вопрос о ее переносе на 2013 год в связи с экономическим кризисом обсуждался всерьез. Это обстоятельство породило множество дискуссий. Одни говорили, что власти намеренно отодвигают даты проведения переписи из опасений, что реформы последних лет не могли не отразиться на состоянии общества, а результаты всероссийской переписи населения со всей очевидностью покажут, что страна находится на пороге демографической и социальной катастрофы. Другие настаивали: глупо тратить деньги на перепись сейчас, когда они могут пригодиться для чего-нибудь более полезного.</p>   <br /> <p>Однако специалисты &#8213; социологи, демографы &#8213; убеждены: современное государство нуждается в регулярном проведении переписей населения, без которых не удастся эффективно управлять страной.</p>   <br /> <p>&#8213; Переписи абсолютно необходимы, без них современное управление просто невозможно, &#8213; говорит директор Аналитического центра Юрия Левады <strong>Лев Гудков</strong>. &#8213; Другое дело &#8213; качество проводимой переписи. Если говорить о последней, то оно было не очень высоким. Специалисты находят там массу ошибок, пропусков и прочего. Современный мир не может обходиться без такого рода информации. Другое дело, что обрабатываются данные переписи очень долго, есть масса затруднений в их получении, что, конечно, мешает их использовать. Но само по себе значение переписи чрезвычайно велико. Это зеркало состояния общества, без которого оно просто не может ни развиваться, ни осознавать себя.</p>   <br /> <p>Сегодня персональной информацией о гражданах располагают многие ведомства. Однако именно перепись населения по-прежнему остается наиболее эффективным способом изучения общества и его потребностей, считает заместитель директора Института этнологии и антропологии Российской академии наук <strong>Владимир Зорин:</strong></p>   <br /> <p>- Переписные данные гораздо шире любой базы данных, &#8213; говорит эксперт. &#8213; Вопросы очень глубокие, они требуют личной встречи. Лишь в виде исключения - если кто-то не смог пройти перепись из-за длительной командировки, отъезда, нетрудоспособности, недееспособности &#8213; будут учтены только общеизвестные данные, то есть возраст и пол. А вообще любая перепись позволяет выяснить общую картину состояния населения, его благополучия.</p>   <br /> <p>Опросный лист для проведения всероссийской переписи населения уже утвержден. Помимо сведений о семейном положении, образовании и владении языками, национальности и гражданстве, а также об источниках доходов, переписчики предложат ответить на вопросы о жилище (дате строительства дома, стройматериалах, из которых он сделан, условиях проживания). У иностранцев, находящихся в России, поинтересуются целью их приезда и длительностью проживания в стране. Перепись обезличена, и найти какие-то данные в привязке к конкретным лицам будет невозможно, уверяют организаторы переписи населения. А все полученные сведения будут обработаны исключительно для формирования официальной статистической информации, заверяет Владимир Зорин.</p>   <br /> <p>Впрочем, если по каким-то причинам утечка персональных данных, полученных в ходе переписи населения, произойдет (например, в налоговые органы), пострадавший может не только привлечь к ответственности виновника, но и добиться компенсации, говорит заведующий кафедрой предпринимательского права Высшей школы экономики<strong> Оксана Олейник:</strong></p>   <br /> <p>- Обязанность не разглашать персональную информацию, полученную в ходе проведения переписи населения, будет предусмотрена договорами, заключенными с переписчиками. Предполагается, что к проведению переписи населения Росстат привлечет 600 тысяч добровольцев. Каждый, кто согласится помочь в проведении переписи, получит 5,5 тысячи рублей. Вознаграждение может оказаться и выше, если переписчик перевыполнит норму по анкетированию населения.</p> <p>    </p> <p>    </p> <p><em><font size="2">Источник: </font></em><a href="http://www.svobodanews.ru/content/article/1959219.html" target="_new" ><em><font size="2">www.svobodanews.ru</font></em></a> </p> <p></p> </div> Wed, 10 Mar 2010 12:17:57 +0300 http://ispdn.ru/news/detail_industry.php?ELEMENT_ID=5583 Прокуратура Петербурга вынесла представления &quot;МегаФону&quot; и МТС за отказ предоставить УФССП данные об абонентах. <p>   </p> <p>  </p> <h3>Прокуратура Петербурга вынесла представления &quot;МегаФону&quot; и МТС за отказ предоставить УФССП данные об абонентах.</h3> <p>  </p> <table class="newsBody" cellspacing="0" cellpadding="0"> <tbody> <tr><td> <p>Прокуратура Санкт-Петербурга вынесла представления в адрес руководителей Северо-Западного филиала ОАО &quot;МегаФон&quot; и филиала ОАО &quot;Мобильные ТелеСистемы&quot; в Петербурге в связи с выявленными нарушениями законодательства об исполнительном производстве. Об этом информирует пресс-служба городского управления Федеральной службы судебных приставов (УФССП) со ссылкой на надзорное ведомство.</p> <p>    <br /> <br /> Как сообщалось ранее, в конце 2009г. УФССП обратилось к прокурору Петербурга Сергею Зайцеву с просьбой разобраться в законности действий операторов мобильной связи. В частности, телекоммуникационные компании отказались предоставить судебным приставам персональные данные об абонентах, являющихся должниками по исполнительным производствам. По данным УФССП, федеральные законы &quot;О судебных приставах&quot; и &quot;Об исполнительном производстве&quot; наделяют приставов правом обращать взыскание на имущественные права должников, в том числе на денежные средства на счетах мобильной связи. <br />  </p> <p>      </p> <p>  </p> </td></tr> </tbody> </table> <em><font size="2">Источник:  </font></em><a href="http://spb.rbc.ru/freenews/20100216102035.shtml" target="_new" ><em><font size="2">spb.rbc.ru</font></em></a>  Wed, 10 Mar 2010 12:17:57 +0300 http://ispdn.ru/news/detail_industry.php?ELEMENT_ID=5553 10 февраля на сайте ФСТЭК России обновлен полный комплект документов по безопасности персональных данных, содержание которых утверждено 15 февраля 2008 г. <p></p> <p></p> <p>   </p> <p>   </p> <p>10 февраля 2010 г. на сайте ФСТЭК России обновлен полный комплект документов по безопасности персональных данных, содержание которых утверждено 15 февраля 2008 г.: </p> <p>   </p> <p> <table id="table17" border="1" cellspacing="0" bordercolor="#c0c0c0" bordercolorlight="#c0c0c0" bordercolordark="#808080" cellpadding="0" width="95%"> <tbody> <tr><td width="100%"> <p class="ano">-<a class="rig" href="http://www.fstec.ru/_spravs/recomend.doc" target="_new" >&quot;Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (документ MS Word)&quot;</a></p> </td></tr> <tr><td width="100%"> <p class="ano">-<a class="rig" href="http://www.fstec.ru/_spravs/meropriaytiay.doc" target="_new" >&quot;Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных (документ MS Word) &quot;</a></p> </td></tr> <tr><td width="100%"> <p class="ano">-<a class="rig" href="http://www.fstec.ru/_spravs/metodika.doc" target="_new" >&quot;Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (документ MS Word)&quot;</a></p> </td></tr> <tr><td width="100%"> <p class="ano">-<a class="rig" href="http://www.fstec.ru/_spravs/model.rar" target="_new" >&quot;Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных(выписка) (архив RAR)&quot;</a></p> </td></tr> </tbody> </table> </p> <p class="ano">   </p> <p class="ano">  </p> <p class="ano">Источник: <a href="http://www.fstec.ru" target="_new" >www.fstec.ru</a></p> <p class="ano">    </p> <p class="ano"> <table border="0" cellspacing="0" cellpadding="0" width="100%"> <tbody> <tr><td height="1" width="10%"> <p align="right"><img alt="Федеральная служба по техническому и экспортному контролю (ФСТЭК России) " src="http://www.fstec.ru/_pic/ger2.gif" width="46" height="51" /></p> </td><td height="1" width="20%"> <p class="head">Федеральная служба по техническому и экспортному контролю</p> </td></tr> </tbody> </table> </p> Wed, 10 Mar 2010 12:17:57 +0300 http://ispdn.ru/news/detail_industry.php?ELEMENT_ID=5560 В Республике Марий Эл раскрытие удивительных и волнующих персональных данных учителки может обойтись в 500 рублей. А в Москве? Прецеденты/ <table> <tbody> <tr><td> <h3>За разглашение персональных данных в Марий Эл наказали сотрудницу техникума</h3> </td><td style="PADDING-RIGHT: 50px" align="right"></td></tr> <tr><td style="PADDING-LEFT: 5px; PADDING-TOP: 7px" class="buttonheading" colspan="2" align="left"><font size="1">11 февраля 2010</font> | </td></tr> </tbody> <tbody> <tr><td style="PADDING-RIGHT: 50px" valign="top"> <p> </p> <p>Прокуратура Новоторъяльского района (Марий Эл) при рассмотрении обращения выявила нарушения законодательства о персональных данных со стороны должностных лиц Оршанского индустриального техникума. </p> <div> </div> <div>Как рассказали в пресс-службе прокуратуры Марий Эл, при рассмотрении в суде гражданского дела о трудовом споре между заявительницей и ПК СХА &laquo;Имени Ленина&raquo; представитель сельхозкооператива представил персональные данные на заявительницу, полученные им в Оршанском индустриальном техникуме. В них содержалась информация о ее должности, отработанном времени и начисленной заработной плате. Документы подписали заместитель по учебно-производственной работе и главный бухгалтер техникума. Колхоз получил их на основании запроса, причем согласия женщины никто не спрашивал. <br />  </div> <div>По результатам проверки в отношении заместителя директора Оршанского индустриального техникума Надежды Разинской прокуратура района возбудила дело об административном правонарушении. Она оштрафована на 500 рублей.</div> </td></tr> </tbody> </table> <p> </p> <p> Источник: <a href="http://news.vmariel.ru/4160--za-razglashenie-personalnyx-dannyx-v-marij-yel-nakazali-sotrudnicu-texnikuma.html" target="_new">news.vmariel.ru</a></p> <p></p> Wed, 10 Mar 2010 12:17:57 +0300 http://ispdn.ru/news/detail_industry.php?ELEMENT_ID=5556 Итоги голосования в Брюсселе показали, что еще не все парламентарии Евросоюза готовы безоговорочно передавать в США данные ЕС о кредитных картах и банковских счетах. Эти простые персональные данные нужны США исключительно для благих целей, например, для борьбы с европейскими террористами. <p> </p> <p> </p> <h3>Европарламент отклонил антитеррористический проект по обмену персональными данными между ЕС и США.</h3> <p> </p> <p> </p> <table cellspacing="0" cellpadding="0"> <tbody> <tr><td> <p></p> <p align="justify"><font color="#0000ff">11.02.2010, Брюссель 17:56:29</font> Парламентарии Евросоюза отклонили предложенный США проект об обмене персональными данными своих граждан. По итогам голосования по проекту 378 европарламентариев высказались &quot;против&quot;, 196 голосов были &quot;за&quot;, и 31 депутат воздержался. Председатель Европарламента Ежи Бузек заявил, что необходимо принять больше мер по обеспечению безопасности гражданских прав. Кроме того, права человека не должны быть ущемлены во благо безопасности. </p> <p align="justify"> </p> <p align="justify">Таким образом, теперь ЕС будет вынужден пересмотреть договор с США, передает Associated Press. Речь идет о соглашении между США и ЕС об обмене личными сведениями своих граждан, в частности - данными о кредитных картах и банковских счетах, которые могли бы помочь в борьбе с терроризмом через отслеживание подозрительных финансовых переводов. Переговоры по данному вопросу начались еще в феврале 2007г., и данное соглашение ранее успел утвердить Совет министров ЕС. Однако для вступления в силу требовалось согласие Европарламента, который сегодня заблокировал это соглашение.</p> </td></tr> </tbody> </table> <p>   </p> <p> </p> <p> <em>Источник: </em><a href="http://www.rbc.ru/rbcfreenews/20100211175629.shtml" target="_new"><em>www.rbc.ru</em></a></p> <p>  </p> <p><img src="http://pics.top.rbc.ru/top_pics/rbc_logo_top.gif" /></p> Wed, 10 Mar 2010 12:17:57 +0300