Обмен информацией содержащей персональные данные?

Question

[kirile]

Здравствуйте. Работаю в страховой. Сотрудники дмс взаимодествуют с врачами из поликлиник - обмениваются паспортными данными и медицинскими данными просто по электронной почте. Это, мягко говоря, не очень правильно.

Хотим сделать подключение как нашему ftp-серверу через vpn, там бы выкладывали нужную информацию друг другу. Но интересует вопрос насколько такой способ будет соответствовать 152-ФЗ и Приказу ФСБ об обеспечении мер по безопасности при обработке ПД ? Кто-нибудь разбирался в этой теме?

Comments

[Dimonchik]

по электронке куда надежнее, ясно кто-кому, чем когда сольют ФТП

Answer 1

[SergeyNN]

Вместо построения своими силами сертифицированного VPN и проведения соответствующих организационных мероприятий можно заказать аналогичную услугу у провайдера.
Например, у Ростелекома в Нижнем Новгороде такой сервис на скорости 1 Мбит/с стоит 2000 рублей в месяц. Решение построено на ГОСТовом VPN на сертифицированном ФСБ оборудовании.
1 Мбит/с - это мало, когда качаешь фильм, но этого достаточно для передачи документов и сканов. Есть варианты по скорости больше, спрашивайте провайдеров.
Таким образом, вам не нужно вести документацию по работе с СКЗИ, не нужно отслеживать продление сертификации и прочие вытекающие из грамотного использования СКЗИ.
Рекомендую.

Answer 2

[other_letter]

Тут вопрос, как понимаю, не только в 152-ом. Тут ещё вероятна врачебная тайна, в этой специфике я не разбираюсь.
Вы предлагаете вариант однозначно лучше и правильнее, однако, с точки зрения ФЗ он всё равно не будет соответствовать, ибо не ИС аттестована.
В общем и целом надо так:
1. Выбираете аттестованное решение для поднятия VPN
2. Документируете, описываете
...а далее вопрос уже к ответственному. Согласно что 152ФЗ, что Приказу ФСБ, что Инструкциям ФСТЭК у вас должен быть назначен человек, ответственный за персональные данные. Если что огребать ему и это не шутки.

Comments

[kirile]

Спасибо за ответ. Дело в том, что человеком, который будет получать скорее всего буду я :) Нашел в архивах вот что - prntscr.com/c4r6aw . Видимо, это то, про что вы говорите? Я правильно понимаю?

[efkot]

по VPN да оно
можно еще вот такое посмотреть https://www.infotecs.ru/products/line/

[other_letter]

Давайте тогда с начала, ОК?
1. Назначить должны Приказом и никак иначе.
2. Если назначат - то это очень интересно и бумажно (есть мультгерои, которые считают, что это большой плюс)
3. Ответственность неиллюзорна, лежит в уголовной плоскости
4. Очень важно держать формальную часть в порядке. Проверки в основном именно по ней. Если есть подтверждения, что ты и правда радеешь за дело в меру компетенции - ответственность перекладывается
5. Почитай по требованиям к тебе. ЕМНИП, там какое-то количество часов образования по теме Безопасности. Их надо будет добить курсами, если их нет.

Ну, и готовься. Работы много и в основном она бумажная. Старайся, чтобы характер работы отразили в трудовой.

Теперь по конкретному решению. Континент - лишь один из вариантов. Дорого и топорно. Кажется, старая ISA тоже годится. Наверняка и какой-то KerioVPN и что-то ещё - тоже.

Можешь оставить свой контакт и на первое время, может, накидаю "чёделать"

[kirile]

other_letter: класс, спасибо, буду благодарен. mekirile@gmail.com