152-ФЗ «О персональных данных» и подручный VPN
3953
14
Есть кто в теме?
Возникла нужда соединить 2 сети, для обмена файлОм. Первое, что лезет в голову ipsec.
Но в этом файлЕ есть перс. данные физ.лиц. (тупо сканы договоров физиков с ООО)
Возникает вопрос, подпадает ли сея затея под этот самый ФЗ, и если да - то что делать, а если нет - то почему?
зы. Гугл не помог.
dpitk
Вроде 152ФЗ такое не регламентирует. Просто оба конца (откуда и куда ходят документы) должны быть аккредитованы для работы с перс.данными (получено согласие физиков на это, произведено обучение сотрудников, назначены ответственные).
Насчет VPN с шифрованием необходимо скромно умолчать (если не спросят явно), иначе придется прикручивать шифрование ГОСТ, ключи сотрудникам, и прочие плюшки.
[anp/hsw]
Просто оба конца (откуда и куда ходят документы) должны быть аккредитованы для работы с перс.данными (получено согласие физиков на это,
Тоесть достаточно каракули в договоре, мол даю добро на обработку, хранение, и итп? где об этом можно почитать, на что ссылаться?
Или "аккредитованы" - это нечто большее?

Насчет VPN с шифрованием необходимо скромно умолчать (если не спросят явно), иначе придется прикручивать шифрование ГОСТ, ключи сотрудникам, и прочие плюшки.
Умолчать, увы, не вариант. Сильный геморой? Есть где ман по такому квесту?
dpitk
Тоесть достаточно каракули в договоре, мол даю добро на обработку, хранение, и итп? где об этом можно почитать, на что ссылаться?
Или "аккредитованы" - это нечто большее?
Ну, все по-взрослому - инструктаж сотрудников, назначение ответственных, проверки, спецхранилище, итд.


Умолчать, увы, не вариант. Сильный геморой? Есть где ман по такому квесту?
Геморрой для хорошего админа не сильный, но подробности наверное стоит поискать на forum.nag.ru, там более профильно, чем сдесь.
[anp/hsw]
Геморрой для хорошего админа не сильный, но подробности наверное стоит поискать на forum.nag.ru, там более профильно, чем сдесь.
С технической точки зрения геморроя не вижу вообще, а вот с точки зрения законодательства.... :хммм:

зы. на наге уже трусь, думал кто из местных законсультирует расширенно.
dpitk
Умолчать, увы, не вариант.
Госконтора ? Если нет, то вчем не вариант ?
Кроме всего прочего, еще надо знать под какой класс защиты строить.
Mozepiy
Местами :миг:
Вот по поводу внутреннего обращения этих самых данных както всем п.5, ибо тут не нагнут, по ряду причин.
А вот со связью 2х филиалов - нуна разобраться...
Верно ли я понимаю, что полные паспортные, и более ничего - это К3?
И верно ли, что т.к. обработка ведется в рамках действия договора, то и морочиться нет смысла?
dpitk
А вот со связью 2х филиалов - нуна разобраться...
Если туннели программные, то шифрование только ГОСТ. Если туннели аппаратные, то железки должны быть сертифицированны по соответствующиму классу защиты. Класс защиты определяется из совокупного числа обрабатываемых персон и критичность утечки инфы для физлица.

Верно ли я понимаю, что полные паспортные, и более ничего - это К3?
Все зависет от их числа, если меньша 100, помоему, то и к К4 можно подвести ,)

И верно ли, что т.к. обработка ведется в рамках действия договора, то и морочиться нет смысла?
Неверно, вы данные должны защитить от утечки по внешним каналам связи + для обработки оборудование и софт на котором ведется обработка, должно быть соответственно сертефицированно. Ну это если совсем букве закона следовать.

А вообще, если есть бюджет, лучше провести по этой теме аудит, денех будет конечно кошмарных стоить, но зато вам все по полочкам разложат и проект предложат. Ценник гдето от 150 к.р.
Mozepiy
Аудиторов с интеграторами, в этом вопросе, в лес.
Насколько понимаю, К3 и К4 друг от друга не далеко.
Так что даже обеспечив выделенную машину, отдельную линию связи, и храня/передавая не больше 99 персон за раз(к4 обеспечив) - либо софт, либо железка должны быть в почете у роскомнадзора, и откосить не выйдет.
Вот дешевле выйдет, похоже, бегунка с флешкой в трусах засылать раз в неделю =(
dpitk
Трусы должны быть сертифицированные!

Кстати, интересно: бегунок потому что "никто не будет знать", или потому что это автоматически становится правомочным?
Я не в теме, любопытно.
KSergey
Насколько я вник в премудрости дурости данного фз, и всего, что он потянул за собой - правомочным.
Хотя что проще, ахнуть трубой по голове бегунка, или вскрыть тотже mschap2... :dry:
Может кто поправит, если в теме. Я только вникаю, но уже хочется орать благим матом.
dpitk
Закон суров, но он закон.
dpitk
Аудиторов с интеграторами, в этом вопросе, в лес.
Личная неприязнь или жаба ? .)

либо софт, либо железка должны быть в почете у роскомнадзора, и откосить не выйдет.
А еще у ФСТЭК, ФСБ и т.д. Причем сертификаты должны быть на конкретную версию/ревизию железа и софта, если понадобится обновить систему, то придется повторно проходить процедуру сертификации или ждать когда такой сертификат появится у вендора. Короче к а р а у л.

Хотя что проще, ахнуть трубой по голове бегунка, или вскрыть тотже mschap2...
Какой mschap2, только ГОСТ!!! .) И данные на флэхе тоже должны быть пошифрованны открытым ключем, а закрытый имецца только в месте сбора под семью печатями. Ну и еще должны быть регламентирующие доки на действия бегунка. В технической реализации выйдет проще, но бумаг писать придеца на порядок больше.
KSergey
У нас суровость известно чем компенсируется. Да и за нарушения в случае с К3 - К4 штрафы копеечные, проще забить до поры до времени, а там глядиш, уже и позабудется ради чего все затевалось.