suguby
@suguby
программист, python, django, mysql, git, hg, linux

Как обеспечить защиту обрабатываемых нами персональных данных на сервере Linux+Apache+MySQL+Django?

Уважаемые! Подскажите, как обеспечить требования закона ФЗ-152 для сервера Ubuntu + Apache + Django + MySQL + самописное ПО на Django?

Есть разработка системы автоматизации документооборота для частной школы, пока ДВП. Персональные данные: ФИО и телефоны учеников и их родителей (общедоступные идентифицирующие данные). Хочется выставить сервер наружу, что бы ученики и родители могли извне смотреть свои данные. По https, сертификат — купим.


Читаю-читаю законы/мнения и понимания нет — что же нужно сделать? Какое ПО установить и надо ли?

habrahabr.ru/qa/32163/ — видел, административные меры (написание внутренних документов и назначение сотрудников) сделаем.

ПП-1119 от 1 ноября 2012 — читал, понял что у нас «Общедоступные ПДн сотрудников оператора или общедоступные ПДн менее чем 100 000 субъектов ПДн, не являющихся сотрудниками оператора», с пониманием уровня угроз — засада…


А теперь вопросы:

— Возможные дыры в системном ПО — это первый тип угроз? или третий? От этого зависит уровень защиты.

— Что за зверь «электронный журнал сообщений» из 2 уровня защиты? это syslog что ли?

— Даже если обеспечивать 4-й, самый низкий, уровень защищенности — какие сертифицированные СЗИ надо использовать для нашего стека технологий и надо ли? встроенные firewall на IPtables — удовлетворяет ли? Наружу будет открыты только 2 порта (https + нестандартный ssh)

— Как составлять (и составлять ли) модель угроз?

— Должен ли хостер, у которого установим выделенный сервер, быть сертифицированным? доступ в серверную и все такое…

— надо ли регистрировать что либо у регуляторов? и каких, если надо?


Заранее спасибо за помощь :)
  • Вопрос задан
  • 6982 просмотра
Решения вопроса 1
@Otkrick
У вас не общедоступные данные, если все ученики и родители не напишут заявление об этом. Все средства защиты должны быть сертифицированы ФСТЭК, в таких средствах есть электронный журнал. Вам в первую очередь нужно выяснить какие у вас ПДн, готовы ли все носители данных заявить об общедоступности. Потом уже легче что-либо подсказать.

В любом случае, вам нужно выслать уведомление о том, что вы являетесь оператором ПДн(в Роскомнадзор).
Ответ написан
Пригласить эксперта
Ответы на вопрос 2
@bondbig
Простой https не годится, нужен с ГОСТовым шифрованием. Например Trusted TLS.
Ответ написан
xrays72
@xrays72
Покупайте выделенный сервер у хостера и ставьте на него эту ОС www.altlinux.ru/products/certified-systems
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы