Защита перс. данных в интранет приложении в соответствии с требованиями фз-152?
Здравствуйте!
У нас государственное предприятие (ФГУП), лица, не являющиеся сотрудниками, должны предоставлять свои паспортные данные для получение разового однодневного пропуска.
Раньше процесс выглядел так: если вы приглашаете посетителя, вы запрашиваете его данные по емэйл или записываете по телефону, заполняете и распечатываете форму в excel и относите на подпись безопаснику, после чего она уже пропечатанная относится на проходную, где ПД посетителя сверяют с предъявляемым им паспортом и на этом основании выдают ему пропуск посетителя.
Мы написали небольшое веб-приложение, которое доступно во внутренней сети предприятия и позволяет вводить все данные посетителя (и ФИО и ПД), но не дает их впоследствии просматривать и редактировать, возможность просмотра и исправления введенных паспортных данных доступна только для сотрудников отдела безопасности, разграничение доступа осуществляется на прикладном уровне в коде программы, на основании настроек, хранящихся в базе данных.
В качестве стэка использутся продукты Microsoft - IIS и MSSQL Server, приложение реализовано на фреймворке ASP.NET MVC, в качестве клиентской части выступает браузер.
Сейчас одна сторонняя организация проводит работу по аттестации других систем, обрабатывающих перс.данные, для описываемой системы они предложили вариант с использованием ограниченного числа ПК, т.к. по их словам обработка перс. данных происходит (потенциально) на всех машинах предприятия. То есть они предлагают установить спец.ПО на, грубо говоря, 50 ПК и сделать возможным работу с приложением только с этих машин. Нас такой вариант не очень устраивает, в идеале хотелось бы, чтобы любой пользователь локальной сети предприятия имел возможность ввести все данные посетителя в базу (можно считать, что согласие посетителя для использования его данных имеется).
Для других систем все было проще, там был ограниченный круг пользователей (например, вся бухгалтерия), их просто выносили в отдельную подсеть за файрвол, здесь такое сделать нет возможности, насколько я понимаю, т.к. разграничение доступа происходит не на сетевом уровне, а на прикладном, в логике серверной части приложения.
Мне кажется, подобная ситуация не уникальна, может кто подскажет, какие есть варианты организации защиты перс.данных в соответствии с требованиями закона, интересуют схемы, которые бы устроили контролирующие органы.
Заранее спасибо.
П.С. Забыл уточнить, многие ПК предприятия имеют выход в интернет через наш прокси сервер, вся сеть доменная, аутентификация в приложении тоже доменная. Серверная для безопасного размещения сервера имеется, интересуют только варианты программной или аппаратной защиты данных.
они предложили вариант с использованием ограниченного числа ПК, т.к. по их словам обработка перс. данных происходит (потенциально) на всех машинах предприятия. То есть они предлагают установить спец.ПО на, грубо говоря, 50 ПК и сделать возможным работу с приложением только с этих машин.
Ограничте файрволом на сервере с веб-приложением число IP адресов только теми адресами, которые у вас в сети реально используются.
Здесь дело в следующем (насколько я понимаю). Наша локальная сеть не считается защищенной с точки зрения проверяющих органов. Именно поэтому для систем типа 1с для бухгалтерии создали отдельную подсеть, в которую поместили все ПК бухгалтерии и сервера 1с - файрволы являются (вроде бы) сертифицированными сзи и решение соответствует тех требованиям фз-152. На уровне файрволов разрешили трафик из защищенной подсети в обычную общую, из обычной общей локалки я в защищенную влезть не смогу, на этом и построена защита.
В описываемом же случае трафик должен бегать из обычной незащищенной сети в сторону сервера и обратно, мне объясняли, что на сетевом уровне мы разграничить доступ не сможем, чтобы это устроило проверяющие органы. То есть сейчас у нас получается, что сервер с приложением и базой данных, содержащей перс.данные, размещены в общей незащищенной сети.
нас интересует только приведение системы к виду, который бы устроил контролирующие органы в случае проверки. Если я не ошибаюсь, для гос.организаций более строгие требования к реализации защиты...
Если хотите вводить ПДн на всех ПК - защищайте все ПК в соответствии с Приказом ФСТЭК №17.
Если не хотите защищать все машины - придумывайте вывести вводимые данные из-под 152-ФЗ : например, вводите только имя/отчество и серию/номер паспорта - без адреса прописки это не будет считаться идентифицирующими данными.
Вы пишете, что серия/номер паспорта не являются перс.данными. А вы можете это подтвердить чем-либо? Меня этот вопрос очень интересует, а однозначной трактовки этого вопроса я не нашел.
Простой
Простой
Простой
