Rsa97: Никаких классов (типа K1) уже нет с давно. даже по вашей ссылке написано НЕ АКТУАЛЬНО В СВЯЗИ С ВЫХОДОМ: Постановления Правительства РФ от 01.11.2012 г. №1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"
iliyaisd: Если по закону, то помимо штрафа, то с 1 сентября вашему сервису грозит внесение в "Реестр нарушителей прав субъектов ПДн" и блокировка доступа к сайту провайдерами.
qmax: агенты анализируют текст, файлы, голос на этапе ввода в скайп. (Инфофотч вроде даже заявлял распознавание видео)
Для ознакомления:
www.anti-malware.ru/reviews/DozorJet_5
www.anti-malware.ru/reviews/securit_zgate_3_0
приказ N 55/86/20 отменен, так что классов ИСПДн больше нет.
Сейчас надо изучать Постановление правительства №1119 (уровни защищености ПДн) и приказ ФСТЭК №21.
И не забудьте в договоре с транспортной компанией(партнерами) указать, что после передачи им ПДн клиентов для осуществления доставки, они обязаны принимать все необходимые по закону меры для обеспечения их безопасности.
Пишите в договор-оферты общий раздел про согласие и сделайте отдельную политику в отношении обработки персональных данных(с которой тоже пользователь должен быть ознакомлен) где опишите подробнее:
• какие данные пользователя вы обрабатываете (перечень ПДн)
• с какой целью вы данные обрабатываете (выполнение условий договора, доставка, смс-оповещение? и т.д.)
• кому передаете (транспортным компаниям)
• сколько данные вы храните
• добавьте раздел, что вы принимает все необходимые меры для защиты персональных данных от неправомерного доступа, изменения, раскрытия или уничтожения
• и т.д.
Примеров таких политик в сети много. Формальных требований к её содержанию ней, главное чтобы она была у вас опубликована, и чтобы в случае вопроса пользователя, а как мои данные оказались у транспортной компании вы могли сказать что он вы он согласился с передачей приняв оферту и политику.
Роскомнадзор сейчас устроил новый вид проверок не выходя из офиса. Зашли на сайт, видят данные собирают, а политики нет. Получите предписание по невыполнению статье 18.1 152-фз.
По хорошему защита ПДн состоит из 2- частей "бумажная защита" и техническая.
Технику у нас проверяет ФСТЭК и к негосударственным конторам он без указания прокуратуры не ходит. Так что если сильно не накосячите, в целях экономии можно не тратиться на требуемую по закону техзащиту, но стоит хотя бы понимать, что в принципе от вас могут захотеть регуляторы.
А вот документы проверяет Роскомнадзор и их лучше действительно держать наготове. Пока штрафы небольшие (10к рублей), но на рассмотрении проект с максимальными штрафами в 500к. Вот тогда и начнется бум проверок.
Нужен будет аудит и консультации специалистов обращайтесь ко мне)
@Next необходимости в общем-то нет, я бы это использовал для удобства написания модели угроз, чтобы рассматривать угрозы для дампа отдельно.
На границе поставить сертифицированный межсетевой экран (от него все равно никуда не деться).
Описать, что основная БД находится у вас в офисе в пределах контролируемой зоны.
За пределы этой зоны ПДн в открытом виде не выходят.
Для контейнера рассмотреть стандартный набор Конфиденциальность, Целостность, Доступность:
- Конфиденциальность обеспечили шифрованием.
- Доступность дампа вам не критична и не несет вреда субъектам(оценку вреда субъектам вы по Постановлению 1119 должны сделать)
- Целостность дампа вы опять же проверяете криптографией.
Защита от регуляторов порой это не столько техника, как творческое написание документов.