Задать вопрос
@larin_alex

Защита перс. данных в интранет приложении в соответствии с требованиями фз-152?

Здравствуйте!
У нас государственное предприятие (ФГУП), лица, не являющиеся сотрудниками, должны предоставлять свои паспортные данные для получение разового однодневного пропуска.

Раньше процесс выглядел так: если вы приглашаете посетителя, вы запрашиваете его данные по емэйл или записываете по телефону, заполняете и распечатываете форму в excel и относите на подпись безопаснику, после чего она уже пропечатанная относится на проходную, где ПД посетителя сверяют с предъявляемым им паспортом и на этом основании выдают ему пропуск посетителя.

Мы написали небольшое веб-приложение, которое доступно во внутренней сети предприятия и позволяет вводить все данные посетителя (и ФИО и ПД), но не дает их впоследствии просматривать и редактировать, возможность просмотра и исправления введенных паспортных данных доступна только для сотрудников отдела безопасности, разграничение доступа осуществляется на прикладном уровне в коде программы, на основании настроек, хранящихся в базе данных.

В качестве стэка использутся продукты Microsoft - IIS и MSSQL Server, приложение реализовано на фреймворке ASP.NET MVC, в качестве клиентской части выступает браузер.

Сейчас одна сторонняя организация проводит работу по аттестации других систем, обрабатывающих перс.данные, для описываемой системы они предложили вариант с использованием ограниченного числа ПК, т.к. по их словам обработка перс. данных происходит (потенциально) на всех машинах предприятия. То есть они предлагают установить спец.ПО на, грубо говоря, 50 ПК и сделать возможным работу с приложением только с этих машин. Нас такой вариант не очень устраивает, в идеале хотелось бы, чтобы любой пользователь локальной сети предприятия имел возможность ввести все данные посетителя в базу (можно считать, что согласие посетителя для использования его данных имеется).
Для других систем все было проще, там был ограниченный круг пользователей (например, вся бухгалтерия), их просто выносили в отдельную подсеть за файрвол, здесь такое сделать нет возможности, насколько я понимаю, т.к. разграничение доступа происходит не на сетевом уровне, а на прикладном, в логике серверной части приложения.

Мне кажется, подобная ситуация не уникальна, может кто подскажет, какие есть варианты организации защиты перс.данных в соответствии с требованиями закона, интересуют схемы, которые бы устроили контролирующие органы.

Заранее спасибо.

П.С. Забыл уточнить, многие ПК предприятия имеют выход в интернет через наш прокси сервер, вся сеть доменная, аутентификация в приложении тоже доменная. Серверная для безопасного размещения сервера имеется, интересуют только варианты программной или аппаратной защиты данных.
  • Вопрос задан
  • 788 просмотров
Подписаться 2 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 2
Spetros
@Spetros
IT-шник
они предложили вариант с использованием ограниченного числа ПК, т.к. по их словам обработка перс. данных происходит (потенциально) на всех машинах предприятия. То есть они предлагают установить спец.ПО на, грубо говоря, 50 ПК и сделать возможным работу с приложением только с этих машин.

Ограничте файрволом на сервере с веб-приложением число IP адресов только теми адресами, которые у вас в сети реально используются.
Ответ написан
Если хотите вводить ПДн на всех ПК - защищайте все ПК в соответствии с Приказом ФСТЭК №17.
Если не хотите защищать все машины - придумывайте вывести вводимые данные из-под 152-ФЗ : например, вводите только имя/отчество и серию/номер паспорта - без адреса прописки это не будет считаться идентифицирующими данными.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы