ФЗ-152. Требования к сайту?

Добрый день.
Скоро открытия проекта с открытой регистрацией, где пользователи могут оставлять свои персональные данные.
Вот очень не хотелось бы попасть под наказание по ФЗ152.
Помимо того что хостится будет на территории РФ что я должен предпринять?
Где-то успел прочитать, что требуется сертификация ПО и оборудования в ФСБ.
В общем, достаточно ли находится на территории РФ?
ПС будет минимум: дата рождения, имя, электронная почта.
  • Вопрос задан
  • 1155 просмотров
Решения вопроса 1
MaxDukov
@MaxDukov
впишусь в проект как SRE/DevOps.
берите пример с РЖД - заставьте пользователя ставить согласие с признанием ПДн общедоступными.
плюс если у Вас только имя ( не ФИО) - то я бы попробовал это дело вообще обозвать обезличенными ПДн, по набору имя + д.р.+ почта человека не идентифицировать.
Ответ написан
Комментировать
Пригласить эксперта
Ответы на вопрос 3
@LavTeam Автор вопроса
To Макс @MaxDukov
Данный пункт уже исключен из правил.
В мае был, сейчас нет.
Ответ написан
@other_letter
О... Ну, давайте я Вам без деталей скажу - анриал. Документации и инструкций сейчас, конечно, вполне хватает. Но в целом всё построено как будто для высасывания бабла: нужно N сертифицированных специалистов, нужно обращаться только в конторы из списка, куча ПО и оборудования, куча проверок и так далее.

Потому если бы я затеивал нечто такое я бы декларировал нацеленность на не граждан РФ и размещался бы где-то вне юрисдикции. А то... Придёт проверка по жалобе (от Иванова И.И., в этом случае предупреждать не нужно), увидит, что у тебя несертифицированная защита от протечки воды в туалете и остановит нафиг все сервера.
Ответ написан
@TheWolf
ИБшник
Тут все просто:
1. Самый ваш главный враг - это роскомнадзор. ФСТЭК и ФСБ к вам не придет, можете не переживать. РКН публикует свой план проверок, и поверьте, в него не так просто попасть.

Есть 2 варианта развития событий: 1. Вы попадаете в план проверок. 2. Внеплановая проверка по факту инцидента (утечка ПДн, жалоба субъекта ПДн ...). При этом, РКН может прийти на проверку после 3 лет существования компании, если конечно не произошел какой-либо инцидент.

2. РКН не лезет в техническую часть, т.е. как именно что то настроено, какие средства и почему используются. Они в первую очередь проверяют режимные документы (Политику оператора, инструкции ответственных, заполенные журналы и т.д.) и смотрят наличие Модели угроз и технического проекта.

3. Действительно можно сделать ПДн общедоступными, с согласия субъекта, но это не позволит вам НЕ защищать ПДн, как минимум целостность и доступность необходимо будет обеспечить.

Резюмируя, вам необходимо:
1. Подать уведомление в РКН, что вы являетесь оператором.
2. Разработать комплект режимной документации в соответствии с требованиями нормативки.
3. Написать документы по технической защите. Тут надо понимать, что слово "сертификация" и "аттестация" для вас являются лишними. На эту тему можно не переживать и спокойно работать с чистой совестью.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы