Правильно ли выделять сайт компании в ИСПДн?

Question

[Bogatyrev]

На сайте компании клиенты могут записаться на прием или же оставить свои данные для обратной связи. Тем самым происходит сбор персональных данных: ФИО, дата рождения, телефон, электронная почта. База этих данных хранится на хостинге. Имеет ли смысл выделение сайта в ИСПДн? Каким образом делать модель угроз и нарушителя?

Answer 1

[Bogatyrev]

Ответили на форуме по ИБ. Данный ответ мы применили в своей компании на практике.

- Необходимо сделать приписку в форме для ввода ПДн, что-то вроде: мы не осуществляем проверку правильности введённых данных.
- В веб-форме уберать поле фамилия и укоротить поле дата рождения, оставив только год.

По связке имя+телефон+e-mail субъект ПДн не определить. в пределе это будут обезличенные/общедоступные ПДн

Comments

[Дядька Серёжа]

Их проверяли и это прокатило?

[Bogatyrev]

Дядька Серёжа: не проверяли, но юристы одобрили. + отвечали довольно компетентные люди в области ИБ. Вообще вариант мне нравится. Если у Вас есть другие мысли или дополнения, то давайте обсудим.

Answer 2

[Сергей]

Тут надо покреативить.
1. Определить политику в отношении обработки персональных данных (ее вообще на сайте и вешают)
2. Прописать в соглашении (по галочке) о передаче третье стороне
3. Модель нарушителя проста как 3 копейки, а) проход внутрь периметра сети провайдера, у последнего можно запросить их документы по инфобезу, регламенты итп., доки могут не дать, но если аргументируете правильно и вежливо, то могут и пойти навстречу; б) взлом самого сервера с базой
4. ПД вы, как оператор, обязаны защищать от НСД, для этого вы привлекаете либо хостинг, либо делаете это сами, скажем путем установки сертифицированных средств защиты

Моё ИМХО, коллеги, поправьте, если я не прав где-то.

Comments

[Bogatyrev]

Политика обработки ПДн и галочка с Соглашением на обработку есть, тут все гуд. Вопрос: имеет ли смысл выделение сайта в отдельную ИСПДн?
Из Вашего ответа я понял, что выделять все-таки стоит. Ок. Получается, что в эту ИСПДн входит только ПК нашего web-программиста и сервер хостинга. Вы пишите: "запросить документы по ИБ у провайдера". Такие документы по идее являются информацией ограниченного доступа, их не дадут. Что писать в Моделе угроз не понятно..? А еще есть такой модуль как Jivosite. У него своя форма для заполнения. Т.е. ПДн собираются на одной странице сайта, а хранятся на разных серверах двух разных юр. лиц. Чем дальше в лес, тем больше дров.

[Сергей]

Bogatyrev: Да, именно больше дров.
Простите, не провайдера, а хостинга. Ну вы спросите сначала, это займет минут 15, нет - значит нет. Можно даже задать вопрос хостеру, есть ли у него решения для хранения ПД, может головную боль с себя снимите. Насчет как писать про модель угроз, гугл вам лучший подсказчик, там документ очень длинный получится. Некоторые частные модели угроз описаны на 43 страницах.
Каждое хранилище ПДн нужно защищать.
Я никогда не хранил ничего у хостеров, поэтому тут из меня плохой советчик.

[Bogatyrev]

Сергей: Как писать Модель понимаю. Но впервые столкнулся с ИСПДн "Сайт" и всеми вытекающими... В любом случае спасибо Вам за проявленное внимание! Надеюсь, найдутся на просторах тостера люди, сталкивавшиеся с подобными ситуациями!