Уважаемые! Подскажите, как обеспечить требования закона ФЗ-152 для сервера Ubuntu + Apache + Django + MySQL + самописное ПО на Django?
Есть разработка системы автоматизации документооборота для частной школы, пока ДВП. Персональные данные: ФИО и телефоны учеников и их родителей (общедоступные идентифицирующие данные). Хочется выставить сервер наружу, что бы ученики и родители могли извне смотреть свои данные. По https, сертификат — купим.
Читаю-читаю законы/мнения и понимания нет — что же нужно сделать? Какое ПО установить и надо ли?
habrahabr.ru/qa/32163/ — видел, административные меры (написание внутренних документов и назначение сотрудников) сделаем.
ПП-1119 от 1 ноября 2012 — читал, понял что у нас «Общедоступные ПДн сотрудников оператора или общедоступные ПДн менее чем 100 000 субъектов ПДн, не являющихся сотрудниками оператора», с пониманием уровня угроз — засада…
А теперь вопросы:
— Возможные дыры в системном ПО — это первый тип угроз? или третий? От этого зависит уровень защиты.
— Что за зверь «электронный журнал сообщений» из 2 уровня защиты? это syslog что ли?
— Даже если обеспечивать 4-й, самый низкий, уровень защищенности — какие сертифицированные СЗИ надо использовать для нашего стека технологий и надо ли? встроенные firewall на IPtables — удовлетворяет ли? Наружу будет открыты только 2 порта (https + нестандартный ssh)
— Как составлять (и составлять ли) модель угроз?
— Должен ли хостер, у которого установим выделенный сервер, быть сертифицированным? доступ в серверную и все такое…
— надо ли регистрировать что либо у регуляторов? и каких, если надо?
Заранее спасибо за помощь :)
