@Bogatyrev

Правильно ли выделять сайт компании в ИСПДн?

На сайте компании клиенты могут записаться на прием или же оставить свои данные для обратной связи. Тем самым происходит сбор персональных данных: ФИО, дата рождения, телефон, электронная почта. База этих данных хранится на хостинге. Имеет ли смысл выделение сайта в ИСПДн? Каким образом делать модель угроз и нарушителя?
  • Вопрос задан
  • 1333 просмотра
Решения вопроса 1
@Bogatyrev Автор вопроса
Ответили на форуме по ИБ. Данный ответ мы применили в своей компании на практике.

- Необходимо сделать приписку в форме для ввода ПДн, что-то вроде: мы не осуществляем проверку правильности введённых данных.
- В веб-форме уберать поле фамилия и укоротить поле дата рождения, оставив только год.

По связке имя+телефон+e-mail субъект ПДн не определить. в пределе это будут обезличенные/общедоступные ПДн
Ответ написан
Пригласить эксперта
Ответы на вопрос 1
@feanor7
Системный администратор
Тут надо покреативить.
1. Определить политику в отношении обработки персональных данных (ее вообще на сайте и вешают)
2. Прописать в соглашении (по галочке) о передаче третье стороне
3. Модель нарушителя проста как 3 копейки, а) проход внутрь периметра сети провайдера, у последнего можно запросить их документы по инфобезу, регламенты итп., доки могут не дать, но если аргументируете правильно и вежливо, то могут и пойти навстречу; б) взлом самого сервера с базой
4. ПД вы, как оператор, обязаны защищать от НСД, для этого вы привлекаете либо хостинг, либо делаете это сами, скажем путем установки сертифицированных средств защиты

Моё ИМХО, коллеги, поправьте, если я не прав где-то.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы