Можно ли хранить зашифрованный дамп базы с персональными данными на незащищенном хранилище в интернете?

Т.е. есть дамп базы с персональными данными.
Допустим он зашифрован по ГОСТу сертифицированным ФСБ средством (не суть важно каким).
Будет ли нарушением закона 152-ФЗ хранение его (дампа) в любом облачном хранилище? А утрируя, вообще в открытом доступе?
  • Вопрос задан
  • 2356 просмотров
Решения вопроса 1
Можно, но для защиты от регуляторов надо аккуратно написать документы и передавать в облако уже зашифрованный контейнер, чтобы данные не шли по сети без защиты
Главным документом для вас будет являть Модель угроз и Модель нарушителя, где вы рассматриваете ваш дамп как отдельную ИСПДн.
1. В Модели нарушителя исключаете всякие спецразведки и т.д., и признаёте актуальными нарушителей только класса Н1 (по классификации ФСБ, это внешний нарушитель, действующий без помощи изнутри).
2. При определении актуальных угроз по Постановлению Правительства 1119 принимаете для себя неактуальными угрозы 1-ого и 2-ого типа (угрозы недекларируемых возможностей системном и прикладном ПО).
3. В Модели угроз указываете, что обеспечение для обеспечения конфиденциальности вы используете сертифицированное СКЗИ класса КС1. По мнению наших регуляторов ГОСТ является единственным нерушимым средством обеспечения конфиденциальности, так что передача такого контейнера безопасна.
Ну и заодно выполняете требования приказов ФСТЭК №21 и ФСБ №378.
Надо конечно смотреть внимательнее на вашу систему, на вариант вполне реальный.
Ответ написан
Пригласить эксперта
Ответы на вопрос 2
opium
@opium
Просто люблю качественно работать
нет конечно
Ответ написан
@fdsc
Верно написано, что можно, однако есть один нюанс. У вас должна быть лицензия ФСБ на соответствующие виды деятельности, иначе вы это делаете незаконно (либо договор с лицензиатом ФСБ на шифрование).

Сами шифровать вы не имеете права даже сертифицированными средствами.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы