Погода: −10 °C
27.12−12...−9пасмурно, без осадков
28.12−9...−7пасмурно, небольшой снег
НГС.Форум /Компьютеры Интернет Связь / Доступ в Интернет. Локальные сети /

152-ФЗ «О персональных данных» и подручный VPN

  • Есть кто в теме?
    Возникла нужда соединить 2 сети, для обмена файлОм. Первое, что лезет в голову ipsec.
    Но в этом файлЕ есть перс. данные физ.лиц. (тупо сканы договоров физиков с ООО)
    Возникает вопрос, подпадает ли сея затея под этот самый ФЗ, и если да - то что делать, а если нет - то почему?
    зы. Гугл не помог.

    красноглазик

  • Вроде 152ФЗ такое не регламентирует. Просто оба конца (откуда и куда ходят документы) должны быть аккредитованы для работы с перс.данными (получено согласие физиков на это, произведено обучение сотрудников, назначены ответственные).
    Насчет VPN с шифрованием необходимо скромно умолчать (если не спросят явно), иначе придется прикручивать шифрование ГОСТ, ключи сотрудникам, и прочие плюшки.

  • В ответ на: Просто оба конца (откуда и куда ходят документы) должны быть аккредитованы для работы с перс.данными (получено согласие физиков на это,
    Тоесть достаточно каракули в договоре, мол даю добро на обработку, хранение, и итп? где об этом можно почитать, на что ссылаться?
    Или "аккредитованы" - это нечто большее?

    В ответ на: Насчет VPN с шифрованием необходимо скромно умолчать (если не спросят явно), иначе придется прикручивать шифрование ГОСТ, ключи сотрудникам, и прочие плюшки.
    Умолчать, увы, не вариант. Сильный геморой? Есть где ман по такому квесту?

    красноглазик

  • В ответ на: Тоесть достаточно каракули в договоре, мол даю добро на обработку, хранение, и итп? где об этом можно почитать, на что ссылаться?
    Или "аккредитованы" - это нечто большее?
    Ну, все по-взрослому - инструктаж сотрудников, назначение ответственных, проверки, спецхранилище, итд.


    В ответ на: Умолчать, увы, не вариант. Сильный геморой? Есть где ман по такому квесту?
    Геморрой для хорошего админа не сильный, но подробности наверное стоит поискать на forum.nag.ru, там более профильно, чем сдесь.

  • В ответ на: Геморрой для хорошего админа не сильный, но подробности наверное стоит поискать на forum.nag.ru, там более профильно, чем сдесь.
    С технической точки зрения геморроя не вижу вообще, а вот с точки зрения законодательства.... :хммм:

    зы. на наге уже трусь, думал кто из местных законсультирует расширенно.

    красноглазик

  • В ответ на: Умолчать, увы, не вариант.
    Госконтора ? Если нет, то вчем не вариант ?
    Кроме всего прочего, еще надо знать под какой класс защиты строить.

    Knowledge itself is a power (F.Bacon)

  • Местами :миг:
    Вот по поводу внутреннего обращения этих самых данных както всем п.5, ибо тут не нагнут, по ряду причин.
    А вот со связью 2х филиалов - нуна разобраться...
    Верно ли я понимаю, что полные паспортные, и более ничего - это К3?
    И верно ли, что т.к. обработка ведется в рамках действия договора, то и морочиться нет смысла?

    красноглазик

  • В ответ на: А вот со связью 2х филиалов - нуна разобраться...
    Если туннели программные, то шифрование только ГОСТ. Если туннели аппаратные, то железки должны быть сертифицированны по соответствующиму классу защиты. Класс защиты определяется из совокупного числа обрабатываемых персон и критичность утечки инфы для физлица.

    В ответ на: Верно ли я понимаю, что полные паспортные, и более ничего - это К3?
    Все зависет от их числа, если меньша 100, помоему, то и к К4 можно подвести ,)

    В ответ на: И верно ли, что т.к. обработка ведется в рамках действия договора, то и морочиться нет смысла?
    Неверно, вы данные должны защитить от утечки по внешним каналам связи + для обработки оборудование и софт на котором ведется обработка, должно быть соответственно сертефицированно. Ну это если совсем букве закона следовать.

    А вообще, если есть бюджет, лучше провести по этой теме аудит, денех будет конечно кошмарных стоить, но зато вам все по полочкам разложат и проект предложат. Ценник гдето от 150 к.р.

    Knowledge itself is a power (F.Bacon)

  • Аудиторов с интеграторами, в этом вопросе, в лес.
    Насколько понимаю, К3 и К4 друг от друга не далеко.
    Так что даже обеспечив выделенную машину, отдельную линию связи, и храня/передавая не больше 99 персон за раз(к4 обеспечив) - либо софт, либо железка должны быть в почете у роскомнадзора, и откосить не выйдет.
    Вот дешевле выйдет, похоже, бегунка с флешкой в трусах засылать раз в неделю =(

    красноглазик

  • Трусы должны быть сертифицированные!

    Кстати, интересно: бегунок потому что "никто не будет знать", или потому что это автоматически становится правомочным?
    Я не в теме, любопытно.

  • Насколько я вник в премудрости дурости данного фз, и всего, что он потянул за собой - правомочным.
    Хотя что проще, ахнуть трубой по голове бегунка, или вскрыть тотже mschap2... :dry:
    Может кто поправит, если в теме. Я только вникаю, но уже хочется орать благим матом.

    красноглазик

  • Закон суров, но он закон.

  • Сарказм, надеюсь? =)

    красноглазик

  • В ответ на: Аудиторов с интеграторами, в этом вопросе, в лес.
    Личная неприязнь или жаба ? .)

    В ответ на: либо софт, либо железка должны быть в почете у роскомнадзора, и откосить не выйдет.
    А еще у ФСТЭК, ФСБ и т.д. Причем сертификаты должны быть на конкретную версию/ревизию железа и софта, если понадобится обновить систему, то придется повторно проходить процедуру сертификации или ждать когда такой сертификат появится у вендора. Короче к а р а у л.

    В ответ на: Хотя что проще, ахнуть трубой по голове бегунка, или вскрыть тотже mschap2...
    Какой mschap2, только ГОСТ!!! .) И данные на флэхе тоже должны быть пошифрованны открытым ключем, а закрытый имецца только в месте сбора под семью печатями. Ну и еще должны быть регламентирующие доки на действия бегунка. В технической реализации выйдет проще, но бумаг писать придеца на порядок больше.

    Knowledge itself is a power (F.Bacon)

  • У нас суровость известно чем компенсируется. Да и за нарушения в случае с К3 - К4 штрафы копеечные, проще забить до поры до времени, а там глядиш, уже и позабудется ради чего все затевалось.

    Knowledge itself is a power (F.Bacon)

Записей на странице:

Перейти в форум

Модераторы: