Прочитав закон и кучу комментариев не понял как это относится к интернет провайдерам. Есть вот такой комментарий:
В каких случаях оператор, осуществляющий обработку, обязан уведомить Роскомнадзор?
В соответствии п. 1 ст. 22 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных.
Исключение составляют случаи, предусмотренные п. 2 комментируемой статьи, при обработке персональных данных:
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
тоесть из этого следует что уведомлять связьнадзор не надо,
однако закон должен исполняться
и тут сразу вопросы
1. консультируюсь по поводу защиты данных
Сервера с ПДи стоят в защищенном по периметру месте - выполнено
На сервере стоис система ЗАПД - нет
Соединение с серверами осуществляется по защищенному каналу
Звоню в нетап спрашиваю как с этим говорят OpenSSl все должно быть
хорошо.
Звоню куратору OpenSSL не является криптографическим средством поэтому использоваться не может - надо чтото другое.
ВОПРОС Кто сталкивался с проверками по этому поводу и кто какие мероаприятия проводил? Поделитесь опытом. Заранее Спасибо.
Исполнение закона о защите персональных данных
-
mikkey finn
- Сообщения: 1612
- Зарегистрирован: Пт ноя 10, 2006 15:23
В биллинге - во исполнение закона о связи храняться ФИО , номер паспорта и адрес. Это относиться к персональным данным однозначно!
причем ко второй группе, что значает средства защиты вплоть до средств защиты периметра где нажодятся носители , а также передаяу данных с серверак до клиента - в данном случае админки с использованием сертифицированных по госту, а также проведение следующих мероприятий:
Примерный перечень документов, запрашиваемых Роскомнадзором при проверке оператора персональных данных
1.учредительные документы Оператора;
2.копия уведомления об обработке персональных данных;
3.положение о порядке обработки персональных данных;
4.положение о подразделении, осуществляющем функции по организации защиты персональных данных;
5.должностные регламенты лиц, имеющих доступ к персональным данным;
6.план мероприятий по защите персональных данных;
7.план внутренних проверок состояния защиты персональных данных;
8.приказ о назначении ответственных лиц по работе с персональными данными;
9.типовые формы документов, предполагающие или допускающие содержание персональных данных;
10.журналы, реестры, книги, содержащие персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится Оператор, или в иных аналогичных целях;
11.договоры с субъектами персональных данных;
12.лицензии на виды деятельности, в рамках которых осуществляется обработка персональных данных;
13.выписки из ЕГРЮЛ, содержащие актуальные данные на момент проведения мероприятия по контролю (надзору);
14.приказы об утверждении мест хранения материальных носителей персональных данных;
15.письменное согласие субъектов персональных данных на обработку их персональных данных (типовая форма);
16.распечатки электронных шаблонов полей, содержащие персональные данные;
17.справки о постановке на балансовый учет ПЭВМ, на которых осуществляется обработка персональных данных;
18.заключения экспертизы ФСБ России, ФСТЭК России об оценке соответствия средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке (проверяется только наличие данных документов);
19.приказ о создании комиссии и акты проведения классификации информационных систем персональных данных (проверяется только наличие данных документов);
20.журналы (книги) учета обращений граждан (субъектов персональных данных);
21.акт об уничтожении персональных данных субъекта(ов) персональных данных (в случае достижения цели обработки);
22.иные документы, отражающие исполнение Оператором требований законодательства Российской Федерации в области персональных данных
причем ко второй группе, что значает средства защиты вплоть до средств защиты периметра где нажодятся носители , а также передаяу данных с серверак до клиента - в данном случае админки с использованием сертифицированных по госту, а также проведение следующих мероприятий:
Примерный перечень документов, запрашиваемых Роскомнадзором при проверке оператора персональных данных
1.учредительные документы Оператора;
2.копия уведомления об обработке персональных данных;
3.положение о порядке обработки персональных данных;
4.положение о подразделении, осуществляющем функции по организации защиты персональных данных;
5.должностные регламенты лиц, имеющих доступ к персональным данным;
6.план мероприятий по защите персональных данных;
7.план внутренних проверок состояния защиты персональных данных;
8.приказ о назначении ответственных лиц по работе с персональными данными;
9.типовые формы документов, предполагающие или допускающие содержание персональных данных;
10.журналы, реестры, книги, содержащие персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится Оператор, или в иных аналогичных целях;
11.договоры с субъектами персональных данных;
12.лицензии на виды деятельности, в рамках которых осуществляется обработка персональных данных;
13.выписки из ЕГРЮЛ, содержащие актуальные данные на момент проведения мероприятия по контролю (надзору);
14.приказы об утверждении мест хранения материальных носителей персональных данных;
15.письменное согласие субъектов персональных данных на обработку их персональных данных (типовая форма);
16.распечатки электронных шаблонов полей, содержащие персональные данные;
17.справки о постановке на балансовый учет ПЭВМ, на которых осуществляется обработка персональных данных;
18.заключения экспертизы ФСБ России, ФСТЭК России об оценке соответствия средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке (проверяется только наличие данных документов);
19.приказ о создании комиссии и акты проведения классификации информационных систем персональных данных (проверяется только наличие данных документов);
20.журналы (книги) учета обращений граждан (субъектов персональных данных);
21.акт об уничтожении персональных данных субъекта(ов) персональных данных (в случае достижения цели обработки);
22.иные документы, отражающие исполнение Оператором требований законодательства Российской Федерации в области персональных данных
так вот пункт 18 четко подразумевает наличие заключения о том как шифруются данные при передече от ядра к админке если они не стоят на одном сервере, кстати это верно и для личного кабинета пользователя, если нет сертфиката на https полученного фирмой то все не прокатывает, OpenSSH также не прокатыват если он защищен не по госту