152-ФЗ «О персональных данных» и подручный VPN
3944
14
dpitk
veteran
Есть кто в теме?
Возникла нужда соединить 2 сети, для обмена файлОм. Первое, что лезет в голову ipsec.
Но в этом файлЕ есть перс. данные физ.лиц. (тупо сканы договоров физиков с ООО)
Возникает вопрос, подпадает ли сея затея под этот самый ФЗ, и если да - то что делать, а если нет - то почему?
зы. Гугл не помог.
Возникла нужда соединить 2 сети, для обмена файлОм. Первое, что лезет в голову ipsec.
Но в этом файлЕ есть перс. данные физ.лиц. (тупо сканы договоров физиков с ООО)
Возникает вопрос, подпадает ли сея затея под этот самый ФЗ, и если да - то что делать, а если нет - то почему?
зы. Гугл не помог.
Вроде 152ФЗ такое не регламентирует. Просто оба конца (откуда и куда ходят документы) должны быть аккредитованы для работы с перс.данными (получено согласие физиков на это, произведено обучение сотрудников, назначены ответственные).
Насчет VPN с шифрованием необходимо скромно умолчать (если не спросят явно), иначе придется прикручивать шифрование ГОСТ, ключи сотрудникам, и прочие плюшки.
Насчет VPN с шифрованием необходимо скромно умолчать (если не спросят явно), иначе придется прикручивать шифрование ГОСТ, ключи сотрудникам, и прочие плюшки.
Просто оба конца (откуда и куда ходят документы) должны быть аккредитованы для работы с перс.данными (получено согласие физиков на это,Тоесть достаточно каракули в договоре, мол даю добро на обработку, хранение, и итп? где об этом можно почитать, на что ссылаться?
Или "аккредитованы" - это нечто большее?
Насчет VPN с шифрованием необходимо скромно умолчать (если не спросят явно), иначе придется прикручивать шифрование ГОСТ, ключи сотрудникам, и прочие плюшки.Умолчать, увы, не вариант. Сильный геморой? Есть где ман по такому квесту?
Тоесть достаточно каракули в договоре, мол даю добро на обработку, хранение, и итп? где об этом можно почитать, на что ссылаться?Ну, все по-взрослому - инструктаж сотрудников, назначение ответственных, проверки, спецхранилище, итд.
Или "аккредитованы" - это нечто большее?
Умолчать, увы, не вариант. Сильный геморой? Есть где ман по такому квесту?Геморрой для хорошего админа не сильный, но подробности наверное стоит поискать на forum.nag.ru, там более профильно, чем сдесь.
Геморрой для хорошего админа не сильный, но подробности наверное стоит поискать на forum.nag.ru, там более профильно, чем сдесь.С технической точки зрения геморроя не вижу вообще, а вот с точки зрения законодательства....
зы. на наге уже трусь, думал кто из местных законсультирует расширенно.
Умолчать, увы, не вариант.Госконтора ? Если нет, то вчем не вариант ?
Кроме всего прочего, еще надо знать под какой класс защиты строить.
Местами
Вот по поводу внутреннего обращения этих самых данных както всем п.5, ибо тут не нагнут, по ряду причин.
А вот со связью 2х филиалов - нуна разобраться...
Верно ли я понимаю, что полные паспортные, и более ничего - это К3?
И верно ли, что т.к. обработка ведется в рамках действия договора, то и морочиться нет смысла?
Вот по поводу внутреннего обращения этих самых данных както всем п.5, ибо тут не нагнут, по ряду причин.
А вот со связью 2х филиалов - нуна разобраться...
Верно ли я понимаю, что полные паспортные, и более ничего - это К3?
И верно ли, что т.к. обработка ведется в рамках действия договора, то и морочиться нет смысла?
Сейчас читают
БЕСЕДКА (часть 65)
221062
1002
Политика и биология. (часть 2)
122005
475
Ситуация в России. (часть 17)
234295
1000
А вот со связью 2х филиалов - нуна разобраться...Если туннели программные, то шифрование только ГОСТ. Если туннели аппаратные, то железки должны быть сертифицированны по соответствующиму классу защиты. Класс защиты определяется из совокупного числа обрабатываемых персон и критичность утечки инфы для физлица.
Верно ли я понимаю, что полные паспортные, и более ничего - это К3?Все зависет от их числа, если меньша 100, помоему, то и к К4 можно подвести ,)
И верно ли, что т.к. обработка ведется в рамках действия договора, то и морочиться нет смысла?Неверно, вы данные должны защитить от утечки по внешним каналам связи + для обработки оборудование и софт на котором ведется обработка, должно быть соответственно сертефицированно. Ну это если совсем букве закона следовать.
А вообще, если есть бюджет, лучше провести по этой теме аудит, денех будет конечно кошмарных стоить, но зато вам все по полочкам разложат и проект предложат. Ценник гдето от 150 к.р.
Аудиторов с интеграторами, в этом вопросе, в лес.
Насколько понимаю, К3 и К4 друг от друга не далеко.
Так что даже обеспечив выделенную машину, отдельную линию связи, и храня/передавая не больше 99 персон за раз(к4 обеспечив) - либо софт, либо железка должны быть в почете у роскомнадзора, и откосить не выйдет.
Вот дешевле выйдет, похоже, бегунка с флешкой в трусах засылать раз в неделю =(
Насколько понимаю, К3 и К4 друг от друга не далеко.
Так что даже обеспечив выделенную машину, отдельную линию связи, и храня/передавая не больше 99 персон за раз(к4 обеспечив) - либо софт, либо железка должны быть в почете у роскомнадзора, и откосить не выйдет.
Вот дешевле выйдет, похоже, бегунка с флешкой в трусах засылать раз в неделю =(
Трусы должны быть сертифицированные!
Кстати, интересно: бегунок потому что "никто не будет знать", или потому что это автоматически становится правомочным?
Я не в теме, любопытно.
Кстати, интересно: бегунок потому что "никто не будет знать", или потому что это автоматически становится правомочным?
Я не в теме, любопытно.
Насколько я вник в премудрости дурости данного фз, и всего, что он потянул за собой - правомочным.
Хотя что проще, ахнуть трубой по голове бегунка, или вскрыть тотже mschap2...
Может кто поправит, если в теме. Я только вникаю, но уже хочется орать благим матом.
Хотя что проще, ахнуть трубой по голове бегунка, или вскрыть тотже mschap2...
Может кто поправит, если в теме. Я только вникаю, но уже хочется орать благим матом.
Аудиторов с интеграторами, в этом вопросе, в лес.Личная неприязнь или жаба ? .)
либо софт, либо железка должны быть в почете у роскомнадзора, и откосить не выйдет.А еще у ФСТЭК, ФСБ и т.д. Причем сертификаты должны быть на конкретную версию/ревизию железа и софта, если понадобится обновить систему, то придется повторно проходить процедуру сертификации или ждать когда такой сертификат появится у вендора. Короче к а р а у л.
Хотя что проще, ахнуть трубой по голове бегунка, или вскрыть тотже mschap2...Какой mschap2, только ГОСТ!!! .) И данные на флэхе тоже должны быть пошифрованны открытым ключем, а закрытый имецца только в месте сбора под семью печатями. Ну и еще должны быть регламентирующие доки на действия бегунка. В технической реализации выйдет проще, но бумаг писать придеца на порядок больше.
У нас суровость известно чем компенсируется. Да и за нарушения в случае с К3 - К4 штрафы копеечные, проще забить до поры до времени, а там глядиш, уже и позабудется ради чего все затевалось.
ТОП 5
1
3
4