Какие шаги в плане инфобеза необходимо пройти для запуска приложения в App Store и Play Market, если приложение работает с ПДн?

Question

[MkArs]

Добрый день!

Хочу разработать своё первое коммерческое мобильное приложение, но сторона информационной безопасности (ИБ) в этом не помогает) Мне нужен конкретизированный алгоритм действий (конкретные компании, документы, прч.), следуя которому, удастся уладить все вопросы ИБ по законам Российской Федерации (РФ) и выложить приложение.

Алгоритм типа:
1) Отдать исходный код приложения на проверку <компания_нейм_1>/<компания_нейм_2>/<компания_нейм_3>
2) Получить от компании <документ_проверки_нейм_1>,<документ_проверки_нейм_2>,...,<документ_проверки_нейм_N>
3) Найти сервер, удовлетворяющий 152-ФЗ в соответствие с требуемым по шагу 2 необходимым уровнем защищённости (УЗ) персональных данных (ПДн) и получить от него документы, что реально удовлетворяет.
4) Документы, полученные на шагах 2 и 3 подать в <высшая_инстанция_нейм> и получить ответ, что можно выпускать приложение.
5) Арендовать базу данных на сервере с шага 3.
...)
N) Что нужно делать по закону РФ каждый месяц/квартал/год/5 лет, когда приложение уже будет в бою и на какую компанию эти действия (если такие есть) опять же можно свалить?

Answer 1

[Сергей Соловьев]

Алгоритм, вкратце, следующий:
1. Создаешь документ "О персональных данных"/"О политике конфиденциальности". В нем говорится что ты о пользователе собираешь (имя, пол, предпочтения в еде (???)) и ДЛЯ ЧЕГО. Последнее важно, т.к. любая собираемая информация должна использоваться для чего-то существенного, нельзя собирать просто так.
Как создать его - это лучше консультироваться с юристами, т.к. по большей части это бюрократия
2. Подаешь заявление РКН на становление оператором персональных данных - это статья 22 152 ФЗ
Отправлять можно разными способами - https://pd.rkn.gov.ru/operators-registry/notificat... .
Есть варианты:
- Бумажный - распечатываешь, заполняешь и отправляешь в территориальный орган местный
- Электронная почта - заполняешь форму и подписываешь усиленной подписью
- Гос. услуги - то же самое как и 2, но подпись усилиями гос. услуг

Он делается за месяц (срок - 30 дней) и после этого либо возвращают (ошибки или просто нет условий становлением), либо вносят в список.

Что касается самого хранения, то главное, чтобы хранились эти данные на территории России. Простое решение - аренда VPS в России и запуск БД там (хотя слышал и про обходные пути) - РКН может прийти и проверить

Comments

[MkArs]

Сергей Соловьев Благодарю за столь развёрнутый ответ!

То есть, никакие экспертизы по ИБ проводить не надо?

[Сергей Соловьев]

MkArs, про проверку при регистрации не нашел, но есть плановые и внеплановые проверки - https://habr.com/ru/companies/bastion/articles/662752/

[Руслан Малиновский]

MkArs, не факт. У вас коммерческое приложение, что собирает данные пользователей.
Очень кратко:
Нужно ОРД (организационно распорядительная документация) - это всякие протоколы по ответственным за хранение и тд, перечень есть в интернете.
Реально делать все ОРД - не нужно, нужны тоько основные, могу посоветовать ИБ-шника, он будет делать и мне.
Модель угроз и все остальное, это уже вас запросит или не запросит сделать после проверки РКН.
Сергей Соловьев, как правильно заметили да, есть плановые проверки - вот как раз когда придут, будут смотреть на ОРД.

Главное, на мой взгляд, при запуске с ИСПДн - хотя бы первичная документация, что бы было что показать РКН при проверке.

Закрыть вас с первой проверки? Ни кто не закроет, уверяю. Попросить установить какие-нибудь СЗИ и тп - это да. Но все это обходится моделью угроз и внутренними методами защиты информации.

[Руслан Малиновский]

MkArs, И да, ни каких экспертиз не нужно. Ровно до УЗ-1/УЗ-2 вы становитесь, в вашем случае, самый ходовой будет УЗ-3 или если просто моб и почта собирается, то УЗ-4 - чуть ли не самый простой. Все зависит от перспектив будущего проекта.

Answer 2

[Рикардо Санчес]

Это задача для фриланса. Киньте туда. Получите консультацию тех кто это уже делал.
это для начала.
А потом найдите специалиста который будет вести проект, проверять код, лопатить юридические документы.
обычно это разные люди))
Если хотите заработать на этом, то надо будет и платить.
А тут вам бесплатно про то каким концом оперативку вставить можем рассказать)