AX и 152 ФЗ О защите персональных данных

[oip]

Цитата:

Microsoft получила сертификаты, удостоверяющие соответствие продуктов Microsoft Dynamics требованиям законодательства о персональных данных

Москва, 21 сентября 2010 - Корпорация Microsoft получила сертификаты на программные продукты Microsoft Dynamics, распространяемые в России, на соответствие нормам Федерального закона Российской Федерации №152-ФЗ «О персональных данных». Действия с персональными данными широко используются в решениях, основанных на ERP-и CRM-системах, поэтому корпорация Microsoft в России провела сертификационные испытания систем Microsoft Dynamics на соответствие требованиям руководящих документов.

1 января 2011 г. истекает срок приведения организациями своих информационных систем персональных данных в соответствие с требованиями Федерального закона №152-ФЗ «О персональных данных», регулирующего отношения, связанные с обработкой и хранением персональных данных, в том числе с использованием средств автоматизации. Функция аттестации информационных систем предприятий на соответствие требованиям Федерального закона 152-ФЗ возложена на Федеральную службу по техническому и экспортному контролю (ФСТЭК) и на уполномоченные ею организации. Действия с персональными данными широко используются в решениях, основанных на ERP-и CRM-системах, поэтому корпорация Microsoft в России провела сертификационные испытания систем Microsoft Dynamics на соответствие требованиям руководящих документов ФСТЭК.

Сертификационные испытания с целью проверки на соответствие требованиям руководящего документа «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (Гостехкомиссия России, 1992 г.) были проведены для всех поддерживаемых версий продуктов Microsoft Dynamics: Microsoft Dynamics AX 2009, Microsoft Dynamics AX 4.0, Microsoft Dynamics NAV 5.0 и Microsoft Dynamics CRM 4.0. Все системы успешно прошли испытания, они соответствуют требованиям по 5 классу защищенности и могут использоваться при создании автоматизированных систем до класса защищенности 1Г включительно и для защиты информации в информационных системах персональных данных до 2 класса включительно.

http://www.microsoft.com/ru-ru/news/...d0bad0b0d.aspx

[Ekaterina Loginova]

Спасибо. Здесь говорят, что до 2-го класса защита есть. А как Вы думаете, сведения об инвалидности туда входят? Кажется, сведения о здоровье это класс К1. Также как сведения о религии и национальности, надеюсь, хотя бы их Аксапта не хранит.
И вопрос тогда по интеграции. Если мы делаем какой-то обмен данными Аксапты с другими системами, какие-то условия, наверное, должны быть выполнены для защиты перс данных?

[oip]

Цитата:

Сообщение от Ekaterina Loginova

Спасибо. Здесь говорят, что до 2-го класса защита есть. А как Вы думаете, сведения об инвалидности туда входят? Кажется, сведения о здоровье это класс К1.

Это вам к юристам. С моей точки зрения это 3-й класс, так как инвалидность характеризует не состояние здоровья (нет диагноза), а некий социальный признак для исчисления налогов и прочего взаимодействия с государством. Но если ФСБ, ФСТЭК и прочие страшные органы захотят, они к состоянию здоровья относят все вплоть до вашего личного отношения к президенту (знаменитое "страдает расстройством личности, выраженном в активной жизненной позиции").

Цитата:

Сообщение от Ekaterina Loginova

Также как сведения о религии и национальности, надеюсь, хотя бы их Аксапта не хранит.

Аксапта сама вообще ничего не хранит. Она хранит только то, что вы туда внесете. Внесете религию, будет и религию хранить. В стандартном приложении таких полей нет.

Цитата:

Сообщение от Ekaterina Loginova

И вопрос тогда по интеграции. Если мы делаем какой-то обмен данными Аксапты с другими системами, какие-то условия, наверное, должны быть выполнены для защиты перс данных?

Какие-то, наверное, должны быть, да.

[Ekaterina Loginova]

Цитата:

Сообщение от oip

. С моей точки зрения это 3-й класс, так как инвалидность характеризует не состояние здоровья (нет диагноза), а некий социальный признак для исчисления налогов и прочего взаимодействия с государством. .

Это она используется как социальный признак. А вообще если про человека известно, что он инвалид, то это, все-таки, в первую очередь информация о его здоровье. А второстепенно уже информация для льгот и т.д.

В оригинальном модуле Payroll есть, кстати, поле "этническая принадлежность".

[oip]

Цитата:

Сообщение от Ekaterina Loginova

Это она используется как социальный признак. А вообще если про человека известно, что он инвалид, то это, все-таки, в первую очередь информация о его здоровье. А второстепенно уже информация для льгот и т.д.

У двух юристов всегда есть три разных мнения.

Цитата:

30 августа в 10-00 в Управления Роскомнадзора по Тамбовской области состоялось интернет-интервью с руководителем отдела контроля (надзора) в сфере массовых коммуникаций, защиты персональных данных и надзора в сфере информационных технологий (ОКК) Управления Роскомнадзора по Тамбовской области Олегом Анатольевичем Сивохиным.

Ведущая: Относятся ли данные о группе инвалидности, заключение о результатах профосмотра (годен, годен с какими-либо ограничениями) к сведениям о состоянии здоровья? А следовательно и ИСПДн, обрабатывающие их к первому классу?

Сивохин О.А.: На мой взгляд, сведения об инвалидности, годности к работам и т.п. не могут быть отнесены к данным о состоянии здоровья, поскольку не раскрывают диагноза, который и характеризует состояние здоровья. Причиной инвалидности может быть состояние зрения, слуха, опорно-двигательной системы, последствия заболевания и т.д. Запись "инвалид 2-1 группы" этой информации не дает. Подобные сведения являются сведениями об ограничении трудоспособности, а не о состоянии здоровья.

http://www.garant.ru/action/regional/349941/

Цитата:

В оригинальном модуле Payroll есть, кстати, поле "этническая принадлежность".

Это не национальность.

[Ekaterina Loginova]

Цитата:

Сообщение от oip

У двух юристов всегда есть три разных мнения.

Я на практике с этим сталкивалась пару раз, и помню пример когда в Департаменте Образования г Москвы шла разработка системы для школ и делалась интеграция с порталом Госуслуг, насколько я помню, они относили свою систему к классу К1 именно потому что там было что-то справочно об инвалидности.
В общем, непонятно у кого консультироваться по этому поводу. Особенно меня беспокоит передача данных в другую систему, расположенную на другом сервере в другой стране.

[RVS]

Цитата:

Сообщение от Ekaterina Loginova

Особенно меня беспокоит передача данных в другую систему, расположенную на другом сервере в другой стране.

А что это за "сторонняя система"? Что она делает? И какие данные (из Axapta Payroll & HR) предполагается туда передавать?

Ответьте на эти вопросы - может быть, многие из прочих (про защиту перс. данных, в т.ч.) - снимутся сами собой?