Обязательно ли выполнять все меры защиты ПДн, указанные в части 2 статьи 19 152-ФЗ?
Как-то всегда было принято, что нужно покрыть все пункты закона о персональных данных в части их защиты, но недавно в законе появилась новая мера защиты (пункт 3.1 части 2 статьи 19 152-ФЗ), а именно:
Обеспечение безопасности персональных данных достигается, в частности:
3.1) применением для уничтожения персональных данных прошедших в установленном порядке процедуру оценки соответствия средств защиты информации, в составе которых реализована функция уничтожения информации;
Есть у кого-нибудь мысли:
1. Для каких операторов это обязательно?
2. Имеются ли сертифицированные шредеры или иные уничтожители бумаг?)))
3. Значит ли это, что разработчикам программного обеспечения, которое обрабатывает персональные данные в своих базах данных, необходимо организовать интеграцию со средствами защиты информации, прошедшими в установленном порядке процедуру оценки соответствия, или проводить такую процедуру со своим программным обеспечением?
Насколько я помню все законы надо выполнять в части защиты ПД.
1. Для всех операторов. Если у вас есть форма на сайте где человек оставляет свою почту, вы уже оператор по обработке данных и должны брать согласие на их обработку.
2. Имеются. Гуглите по теме Шредеры 4-го уровня (и выше) секретности. Максимальный 7-ой. Это те, которые крамсают бумагу в конфити, которое не склеить. В некоторых госслужбах есть шредеры которые жесткие диски с компьютера перемалывают.
3. Не подскажу, но помоему такое ПО должно будет иметь сертификацию ФСТЭК, но это не точно. И помоему такое рабочее место должно быть специально оборудовано.
Насколько я помню все законы надо выполнять в части защиты ПД
Конечно, только требования для всех разные в зависимости от многих факторов. Просто новую меру из 19 статьи закона невозможно выполнить на все 100%, а сформулирована она очень конкретно.
1. Для всех операторов. Если у вас есть форма на сайте где человек оставляет свою почту, вы уже оператор по обработке данных и должны брать согласие на их обработку.
Вопрос бы для кого обязательно применение для уничтожения персональных данных прошедших в установленном порядке процедуру оценки соответствия средств защиты информации, в составе которых реализована функция уничтожения информации
2. Имеются. Гуглите по теме Шредеры 4-го уровня (и выше) секретности.
Только это обычный международный стандарт. Формулировка законодательства "прошедший в установленном порядке процедуру оценки соответствия средств защиты информации" означает, что средство имеет сертификат ФСТЭК или аттестат соответствия требованиям на конкретном защищаемом объекте
3. Не подскажу, но помоему такое ПО должно будет иметь сертификацию ФСТЭК, но это не точно. И помоему такое рабочее место должно быть специально оборудовано.
Вот это меня и беспокоит в нововведении закона и приводит к мысли, что это же невозможно...
kira_clover, По последнему пункту все возможно, но стоит времени и сил.
Ничего не мешает разработчику подать заявку во ФСТЭК и разработать программу по всем требованиям. Того же Астралинукса есть куча версий, одна из них ФСТЭКовская, тоже самое с Касперским и т.д.
По оборудованию рабочего места тоже самое, я думаю оно по аналогии с корректной организацией рабочего места главбуха или того кто работает с ЭЦП.
Насколько я помню одно время были требования, что рабочее место, где используется ЭП нужно было делать так, что его нельзя было вынести или подменить, для этого системный блок или ноутбук должны были быть пристегнуты к стене/полу/невыносной вещи при помощи специального замка.
Возможно вы видели, что в ноутбуках и системниках есть специальный разъем под такой замок.
Sergey IT, в масштабах всех операторов и информационных систем персональных данных РФ это всё равно нереально
Получить сертификат ФСТЭК не так уж просто, даже компании, специализирующиеся на разработке средств защиты информации, не успевают получить сертификат на новые версии как надо уже ещё новее делать
А это станет ещё сложнее и дольше, когда ресурсов ФСТЭКа будет не хватать на всех кандидатов
Аттестация не сложная штука, но тоже требует много усилий, времени и денег. Тут ещё и ресурсы компаний, которые имеют лицензию на аттестацию нужны. Да и аттестация сейчас под контролем ФСТЭКа, опять же их ресурсы нужны
Если в Вас заинтересованы настолько, что готовы рыться в помойке в поисках плохо уничтоженных ПДН, понятное дело, отсутствие подобного оборудования не самое узкое место.
SymphoGraph, конечно, для уничтожения такой информации нужно что-то надежное. Но есть ведь много надежных средств, которые не имеют никаких сертификатов. А закон будто намекает, что можно использовать только сертифицированные
Проконсультируйтесь у платного юриста сейчас, чем потом платить тому же юристу намного больше, за защиту вас в суде. Любое мнение или совет отсюда - не факт что верный будет и доверять ему - прямой путь к проблемам (в юр плане)
Разумеется отличный совет, просто хотелось узнать мнение коллег))) К тому же в части персональных данных даже юридические ответы нуждаются в подкреплении официальными информационными письмами регуляторов или судебными делами, чтоб знать наверняка
(я параллельно написала обращение регуляторам с просьбой разъяснить этот момент, но одной веры, что они ответят однозначно, недостаточно)
