Как правильно защитить сервер с TeamWox в учебном учреждении?

Question

[Иван Миронов]

Доброго времени суток!

Хочу в колледже установить на собственном оборудовании систему управления TeamWox. Поскольку там будут использоваться персональные данные сотрудников(ФИО, даты рождения, адреса, телефоны и т.д.), то не подпадает ли данная затея под требования 152-го ФЗ? Нужно как-то по-особенному защищать эту систему или достаточно шлюза на freebsd+kaspersky ES+письменное согласие сотрудников, чьи данные будут туда вноситься?

Answer 1

[Vadim]

не претендую на решения вопроса, но думаю вам стоит ознакомиться вот с этим материалом.

Answer 2

[ansv]

Если будут обрабатываться ПДн — подпадает. Это будет ИСПДн, если по еще действующим документам — то класса скорее всего 3-го.

Чем это чревато…
1. Писанина (всякие документы) — по ФЗ-152, Постановлению Правительства №781.
2. Классификация ИСПДн — по «приказу трех» (ФСТЭК/ФСБ/Минкомсвязи).
3. Нужна будет система защиты. Это модель угроз и требования из Приказа ФСТЭК №58. Плюс ограничение на используемые средства (ниже).
4. Если потребуется еще и криптография (например, данные будут пересылатся через интернет) — еще и по документам ФСБ (выбор средств, разработка документов).

Система защиты строится на средствах «прошедших в установленном порядке процедуру оценки соответствия». На практике — сертифицированных. Касперский сертифицированный есть, с freebsd — печальнее.

Следует еще учитывать, что документы скоро поменяются, а с ними и требования. Но оптимизма мало — подход скорее всего не поменяется…