Comments 21
А можно пару слов о том, какие именно технические требования предъявляются и как это все будет контролироваться. Если у меня скажем есть некий сервис, подпадающий под этот закон, то как я смогу доказать, что все требования соблюдены?
И вот про усиленные настройки подсистем ИБ расскажите.
И вот про усиленные настройки подсистем ИБ расскажите.
Очень просто, есть по административной части набор разработанных нами регламентов и документов описывающих вашу деятельность и работу с персональными данными в системе, который вы, при помощи нас заполняете и показываете проверяющим.
По части инфраструктуры у вас с нами договор и если возникают какие то вопросы вы отправляете проверяющих к нам.
Про усиленные настройки, средства защиты точно не в рамках статьи, т.к. там нужны и сертифицированный софт и методы проверки т.д.
По части инфраструктуры у вас с нами договор и если возникают какие то вопросы вы отправляете проверяющих к нам.
Про усиленные настройки, средства защиты точно не в рамках статьи, т.к. там нужны и сертифицированный софт и методы проверки т.д.
Ясно. Я конечно имел ввиду случай, если хостинг не у вас, ну ладно, в целом понятно. Ещё небольшой момент. Получается что любой сервис, позволяющий регистрироваться в системе и хранить там скажем ФИО и номер телефона, должен сопровождаться всей этой бюрократией и сертифицированным софтом для защиты?
Тут все зависит от типа и объема обрабатываемых данных. Допустим какая нибудь форма комментариев на странице с 4 м классом размещенная на сайте. В этом случае это скорее всего 4 класс и достаточно будет внутренней проверки и составления нескольких документов, после чего можно декларировать соответствие 152фз без всяких средств шифрования.
А вот если это какая то система биллинга которая еще и финансовые данные или паспортные хранит, то тут без специального холдинга уже не обойтись.
Вообще на самом деле это не какие то прихоти наших ззаконодателей, а приведение нашего закона к нормам евросоюза, там с этим даже более строго, privacy превыше всего!
А вот если это какая то система биллинга которая еще и финансовые данные или паспортные хранит, то тут без специального холдинга уже не обойтись.
Вообще на самом деле это не какие то прихоти наших ззаконодателей, а приведение нашего закона к нормам евросоюза, там с этим даже более строго, privacy превыше всего!
Ясно.
А можно ли составить пользовательское соглашение, в котором уведомлять пользователя о том, что при регистрации он доверяет нам такие-то данные и хранить мы их будем безопасно, используя технологи A, B и C. Которые обеспечивают надежность, однако не имеют государственного сертификата. Будет ли такой вариант законным?
А можно ли составить пользовательское соглашение, в котором уведомлять пользователя о том, что при регистрации он доверяет нам такие-то данные и хранить мы их будем безопасно, используя технологи A, B и C. Которые обеспечивают надежность, однако не имеют государственного сертификата. Будет ли такой вариант законным?
Соглашение должно быть в любом случае, это прописано в законе, пользователь должен подтвердить, что доверяет вам обработку своих персональных данных.
Но для проверяющих органов этого не достаточно, требуется иметь еще у себя ряд документов и хостинг тоже должен соответствовать определенным требованиям, опять таки в зависимости от класса данных.
Сертификаты никакие не выдаются, просто потому что их не существует, если проводить аудит системы, то могут быть выданы документы о прохождении аттестации и конечно нужна регистрация ИСПДн в Роскомнадзор.
Но для проверяющих органов этого не достаточно, требуется иметь еще у себя ряд документов и хостинг тоже должен соответствовать определенным требованиям, опять таки в зависимости от класса данных.
Сертификаты никакие не выдаются, просто потому что их не существует, если проводить аудит системы, то могут быть выданы документы о прохождении аттестации и конечно нужна регистрация ИСПДн в Роскомнадзор.
Получается что любой «обычный» хостинг + сервис с регистрацией пользователей на территории России теперь незаконен?
Если собираемые персональные данные общедоступные или обезличенные (логин, email, аватар и т.п.) — то нет проблем, можно и дальше работать как обычно и не напрягаться. Предполагаю что многие интернет-ресурсы будут вставлять (если еще это не делают) в оферту, которая акцептуется пользователем при регистрации, условие что пользователь, передавая данные, соглашается с тем, что они являются общедоступными.
А если собираются, например, паспортные данные, то тут уже пользователи вряд ли согласятся со своей стороны объявлять их общедоступными, да и регуляторы сочтут это нарушением. Для хостинга таких данных надо-таки удовлетворять требованиям 152-ФЗ.
А если собираются, например, паспортные данные, то тут уже пользователи вряд ли согласятся со своей стороны объявлять их общедоступными, да и регуляторы сочтут это нарушением. Для хостинга таких данных надо-таки удовлетворять требованиям 152-ФЗ.
UFO just landed and posted this here
Разве?
Принят
Государственной Думой Федерального Собрания Российской Федерации
08 июля 2006 года
Одобрен
Советом Федерации Федерального Собрания Российской Федерации
14 июля 2006 года
Информационные системы персональных данных, созданные до 1 января 2010 года, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2011 года.
Принят
Государственной Думой Федерального Собрания Российской Федерации
08 июля 2006 года
Одобрен
Советом Федерации Федерального Собрания Российской Федерации
14 июля 2006 года
Информационные системы персональных данных, созданные до 1 января 2010 года, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2011 года.
Ну пипец, приехали.
Прависи и блаблабла. Это, конечно, хорошо, но оно до тех пор хорошо, пока не мешает бизнесу работать. Т.е. если моя компания не сможет теперь работать с западными хостинг-компаниями, то что я буду делать? Ведь, на пример, западным компаниям будет довольно фиолетово до какого-нибудь мелкого пользователя с его VPS'ом и жалкими 50-100 баксов в месяц. Ну конечно же, найдется какая-либо «просветленная компания», которая почешется и сделает все как надо, но у нее будет ценник уже раза в 3-4 больше (не буду тыкать пальцем), чем обычно…
Прависи и блаблабла. Это, конечно, хорошо, но оно до тех пор хорошо, пока не мешает бизнесу работать. Т.е. если моя компания не сможет теперь работать с западными хостинг-компаниями, то что я буду делать? Ведь, на пример, западным компаниям будет довольно фиолетово до какого-нибудь мелкого пользователя с его VPS'ом и жалкими 50-100 баксов в месяц. Ну конечно же, найдется какая-либо «просветленная компания», которая почешется и сделает все как надо, но у нее будет ценник уже раза в 3-4 больше (не буду тыкать пальцем), чем обычно…
ну, а по PCI DSS сертифицироваться?
FreeBSD — регуляторы этого не требуют.
По топику — возьмем для примера интернет-магазин, у них минимум 1 ИСПДн, а именно «Заказы». Заказы могут приниматься как по телефону, так и по интернету — уже 2 ИСПДн. Конечно же, во многих магазинах есть CRM, это уже 3 ИСПДн. «Кадры» считать не будем пока. Все эти ИСПДн обычно имеют классификатор К3.
Чтобы разместить эти 3 ИСПДн у Вас необходимо заплатить:
60 000р. – 1 выделенный сервер на 1 год
75 000р. – за комплекс технических мероприятий на 3 ИСПДн.
30 000р. – за шаблоны документов (стоит отметить, что все документы можно найти в интернете, если хорошо поискать) и консультацию.
3 000р. – помощь заполнение Уведомления об обработке персональных данных
В годовой перспективе за все услуги придется отдать 168 000 рублей. Сумма не маленькая, особенно для интернет-магазина или небольшого сервиса, но она ниже, чем у интеграторов ИБ (в несколько раз, а то и в десятки!).
И все же, хотелось бы более низких цен на ваши услуги.
В целом, двигаетесь в правильном направлении.
По топику — возьмем для примера интернет-магазин, у них минимум 1 ИСПДн, а именно «Заказы». Заказы могут приниматься как по телефону, так и по интернету — уже 2 ИСПДн. Конечно же, во многих магазинах есть CRM, это уже 3 ИСПДн. «Кадры» считать не будем пока. Все эти ИСПДн обычно имеют классификатор К3.
Чтобы разместить эти 3 ИСПДн у Вас необходимо заплатить:
60 000р. – 1 выделенный сервер на 1 год
75 000р. – за комплекс технических мероприятий на 3 ИСПДн.
30 000р. – за шаблоны документов (стоит отметить, что все документы можно найти в интернете, если хорошо поискать) и консультацию.
3 000р. – помощь заполнение Уведомления об обработке персональных данных
В годовой перспективе за все услуги придется отдать 168 000 рублей. Сумма не маленькая, особенно для интернет-магазина или небольшого сервиса, но она ниже, чем у интеграторов ИБ (в несколько раз, а то и в десятки!).
И все же, хотелось бы более низких цен на ваши услуги.
В целом, двигаетесь в правильном направлении.
Да, и хотелось бы отметить, что основные проверки будет осуществлять Роскомнадзор, а он проверяет лишь документы, технической же частью занимаются ФСТЭК/ФСБ (проверяют они операторов заметно реже, нежели первый регулятор).
Не все так сурово, на самом деле. Если это интернет-магазин, где в нескольких технологических подсистемах обрабатываются персональные данные, то с точки зрения организации защиты этого сервера с ИСПДн, нет разницы, сколько разных подсистем там работает. Если они в совокупности не выходят за 2 класс.
Так что их можно рассматривать как одну ИСПДн и считать соответственно.
Так что их можно рассматривать как одну ИСПДн и считать соответственно.
зашёл на сайт
«Аттестацию могут проводить организации, имеющие соответствующую лицензию Гостехкомиссии РФ»
вы по документам какого года работаете? Гостехкомиссии уже шесть лет как не существует!
«Аттестацию могут проводить организации, имеющие соответствующую лицензию Гостехкомиссии РФ»
вы по документам какого года работаете? Гостехкомиссии уже шесть лет как не существует!
Ребята, поправьте верстку текста на странице parking.ru/outsource/fz152/
Sign up to leave a comment.
Хостинг по требованиям 152-ФЗ