УслугиГотовые решенияКлиентыО компанииПроектыКонтакты
Магазин готовых решений
Профессиональное юридическое
сопровождение IT-проектов

И вновь о персональных данных... ASAP

Договор на разработку ПО, договор авторского заказа, лицензионный договор, распространение программного обеспечения, нелегальное использование ПО, нарушение авторских прав, доменные споры, регистрация программ для ЭВМ

И вновь о персональных данных... ASAP

Сообщение supervarya » 22 окт 2009, 15:48

Уважаемые коллеги, добрый день! :)

Столкнулась с такой вот задачей :shock: .
Ситуация: моя организация - обладатель исключительного права на ПЭВМ. ПЭВМ - это программа, разработанная для целей гостиничного бизнеса. Мы эту программу продаем, как товар. Клиенты - гостиницы. В частности, в ПЭВМ заводятся персональные данные посетителей гостиниц (паспортные, данные кредиток - как мимимум). Все поступившие ПД хранятся в программе и не удаляются после выезда клиента.
Остановлюсь подробно ха хранении ПД:
- хранятся на выделенном сервере гостиницы, иногда в запираемом помещении
- криптография возможна, но в силу риска снижения функциональности применяется иной способ шифрования (файлы не читаются с помощью стандартных средств)
- доступ к ПД имеет ограниченный перечень сотрудников (спец пароль)
Мучающие меня вопросы (включая, но не ограничиваясь :mrgreen: ):
1. правильно ли я понимаю, что гостиницы являются операторами БД, в контексте ФЗ о ПД?
2. павильно ли я понимаю, что наша ПЭВМ - информационная система (программное средство), обрабатывающая ПД? А если так, то в соответствие чему ( :shock: ) ее надо приводить? Кто проводит оценку соответствия?
3. Кто и как классифицирует нашу ПЭВМ (в смысле п. 6 ПП от 17.11.2007г), если классифицирует?
Как только на горизонте появляются административные правоотношения, я начинаю впадать в кому... :?

Я вижу в своей ситуации 2 стороны одной медали: клиент - он вроде, как оператор ПД со всеми вытекающими отсюда последствиями... а вторя сторона - мы, обладатель исключительного права, который должен свою систему приводить в соответствие не ясно чему и не ясно как (как минимум для того, чтобы ее успешно продавать).... или не должен? :?

Коллеги, наставьте на путь истинный.... :cry:
supervarya
Новичок
 
Сообщений: 25
Зарегистрирован: 29 сен 2009, 17:47

Re: И вновь о персональных данных... ASAP

Сообщение Selivanov » 22 окт 2009, 17:03

Для начала давайте прямо по определениям из ФЗ №152-ФЗ пройдемся.
1)Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных. Поэтому оператор персональных данных- только гостиница Вы операторами не являетесь и привлекать Вас к ответственности не за что.
2) Информационная система персональных данных (ИСПДн)- информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств. Поэтому Ваша программа лишь часть ИСПДн, оператором которой является гостиница. Именно оператор и должен приводить ИСПДн, созданные до февраля 2007 г., в соответствие с требованиями закона об обеспечении конфиденциальности персональных данных. В случае создания ИСПДн после указанной даты она изначально должна соответствовать требованиям ФЗ 152 (см.ст.25).
3) Классифицируют не программу, а ИСПДн с точки зрения категории обрабатываемых в ней персональных данных (п.6 ПП РФ №781). Делает это оператор самостоятельно, а потом отвечает за свои ошибки в принятых мерах по обеспечению требований ФЗ перед надзирающими органами (п.3 ПП РФ №781).
Selivanov
Администратор
 
Сообщений: 608
Зарегистрирован: 17 сен 2009, 23:22
Откуда: Новосибирск

Re: И вновь о персональных данных... ASAP

Сообщение supervarya » 22 окт 2009, 17:15

Виталий, благодарю Вас за, как обычно, четкий ответ!!!! Теперь у меня в голове полный порядок :roll: !!! И все благодаря Вам :P
supervarya
Новичок
 
Сообщений: 25
Зарегистрирован: 29 сен 2009, 17:47

Re: И вновь о персональных данных... ASAP

Сообщение Selivanov » 22 окт 2009, 17:23

В качестве благодарности принимаются любые активные ссылки на сайт и форум :roll:
Selivanov
Администратор
 
Сообщений: 608
Зарегистрирован: 17 сен 2009, 23:22
Откуда: Новосибирск

Re: И вновь о персональных данных... ASAP

Сообщение supervarya » 22 окт 2009, 19:50

Будет сделано!

Виталий, а у меня еще один маленький вопросик по сабж. Читала, читала, гуглила, гуглила. Правильно ли я понимаю, что сертификация у всяческих аккредитованных государством организаций, безусловно, с предшествующим ей аудитом организациями, гарантирующими успешную сертификацию - это дело добровольное?
supervarya
Новичок
 
Сообщений: 25
Зарегистрирован: 29 сен 2009, 17:47

Re: И вновь о персональных данных... ASAP

Сообщение Selivanov » 23 окт 2009, 09:16

Сертификация и аттестация у нас добровольно-принудительная, как всегда.
Вам как разработчику программы, которая используется в ИСПДн, все равно не уйти от решения вопроса об обеспечении конфиденциальности данных, обрабатываемых с ее помощью. На это нужны как минимум лицензии ФСТЭК для защиты конфиденциальной информации (ПП РФ №532 и 504), и вполне возможно потребуются лицензии ФСБ, связанные с криптографическими средствами (ПП №957 от 29.12.2007).
Иначе, гостиницы скоро откажутся от приобретения Вашего софта, который не решает проблем с легальной обработкой персональных данных.
Selivanov
Администратор
 
Сообщений: 608
Зарегистрирован: 17 сен 2009, 23:22
Откуда: Новосибирск

Re: И вновь о персональных данных... ASAP

Сообщение optimizator » 27 окт 2009, 21:34

Вам как разработчику программы, которая используется в ИСПДн, все равно не уйти от решения вопроса об обеспечении конфиденциальности данных, обрабатываемых с ее помощью. На это нужны как минимум лицензии ФСТЭК для защиты конфиденциальной информации (ПП РФ №532 и 504), и вполне возможно потребуются лицензии ФСБ, связанные с криптографическими средствами (ПП №957 от 29.12.2007).
Иначе, гостиницы скоро откажутся от приобретения Вашего софта, который не решает проблем с легальной обработкой персональных данных.


Виталий, Вы все хорошо ранее сказали, но здесь тоже давайте не будем путать услуги по защите информации, сертификацию средств защиты информации и просто разработку некого софта, который может быть ИСПДн. Это все разные вещи.

__________

Мораль такова. Не надо заморачиваться. То, что имеется в виду под защитой ИСПДн, достигается, например, прикручиванием к программе, базе данных с ПДн простейших средств (межсетевой экран, администрирование доступа), внешних по отношению к программе, - сообразно модели угроз. Мы это с Вами обсуждали уже.

Т.е., вовсе не обязательно:
- получать свою лицензию ФСТЭК по защите информации и заниматься такой деятельностью
- проводить сертификацию программы, будто бы она сама является средством защиты информации.

Можно спокойно разрабатывать гостиницам какие-то свои программы, как в этом примере. Когда же речь заходит о желании оператора ПДн защитить свою ИС на основе такой программы - рекомендовать оператору ПДн типовые дешевые решения "используйте совместно с этой нашей программой вот такой сертифицированный экран, администрирование прав доступа и т.п. и еще что-то от известного вендора № 1, 2, 3.... С ней все работает".
optimizator
Старожил
 
Сообщений: 217
Зарегистрирован: 28 сен 2009, 18:16

Re: И вновь о персональных данных... ASAP

Сообщение Selivanov » 28 окт 2009, 17:54

Разработчик, конечно, сам решит, продавать ему ПО без защиты или готовое решение для ИПДН определенного типа.
Мой ответ был продиктован предположением, что на рынке готовое решение будет пользоваться большим спросом.
По мнению же ФСТЭК, чтоб "прикрутить" к ПО сертифицированное средство защиты нужна лицензия на тех. защиту конфиденциальной информации.

Кстати, может быть выложите на форуме свои размышления по поводу приведения ИСПДн в соответствие с законом, которые мы обсуждали в переписке?
Selivanov
Администратор
 
Сообщений: 608
Зарегистрирован: 17 сен 2009, 23:22
Откуда: Новосибирск

Re: И вновь о персональных данных... ASAP

Сообщение optimizator » 28 окт 2009, 23:45

Код: выделить все
По мнению же ФСТЭК, чтоб "прикрутить" к ПО сертифицированное средство защиты нужна лицензия на тех. защиту конфиденциальной информации.


Не думаю. Они (не ФСТЭК, а чаще их лицензиаты) передергивают. Лицензия нужна тем, кто оказывает такие услуги по тех.защите на возмездной основе.

Нужна ли такая лицензия тому обычному рядовому пользователю какой-то программы (начните с самой распространенной в РФ - 1С Предприятие, Бухгалтерия и всяческие Кадры - таких пользователей миллионы), который в Виндузе поставил сам пару сертифицированных программ для защиты в рамках своего же видения своей же модели угроз, - не думаю.

Иначе мы придем к несколько абсурдному, на мой взгляд, выводу, что любая программа, работающая с ПДн, теперь должна поставляться вендором пользователю сразу как законченное программно-аппаратное решение с защитой информации. Вот это преувеличение, полагаю.

Кстати, может быть выложите на форуме свои размышления по поводу приведения ИСПДн в соответствие с законом, которые мы обсуждали в переписке


Подумаю. Я сейчас прорабатываю тоже этот вопрос, как и все. Хотелось бы вначале самому найти больше практических подтверждений своей точке зрения, чтоб за нее не сильно было стыдно. А потом - напишем.
optimizator
Старожил
 
Сообщений: 217
Зарегистрирован: 28 сен 2009, 18:16

Re: И вновь о персональных данных... ASAP

Сообщение optimizator » 29 окт 2009, 00:09

Иначе мы придем к несколько абсурдному, на мой взгляд, выводу, что любая программа, работающая с ПДн, теперь должна поставляться вендором пользователю сразу как законченное программно-аппаратное решение с защитой информации. Вот это преувеличение, полагаю.


Или преувеличение будет состоять в том, что пользователь теперь строго обязан приобретать только готовые сертифицированные решения или непременно нанимать для защиты своей ИСПДн лицензиатов ФСТЭК, а сам ничего сделать себе не сможет.
optimizator
Старожил
 
Сообщений: 217
Зарегистрирован: 28 сен 2009, 18:16

След.

Вернуться в Интеллектуальная собственность и информация

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1

Компания
О компанииКомандаНовостиКонтакты
Услуги
Составление договоровИнтеллектуальная собственностьНалоговые консультацииАбонентское обслуживаниеАрбитражВЭД
Готовые решения
Для разработчиковДистрибьюторамИнтернет-сервисамВеб-студиямСтартапам
Информация
Новости праваПубликацииФорумFAQКарта сайта

© ООО «АйТи-Лекс», 2008–2016
Правовая информация

При цитировании материалов гиперссылка на данный сайт обязательна