id: Гость   вход   регистрация
текущее время 20:49 27/01/2022
создать
просмотр
ссылки

Персональные данные и законодательство


Уважаемые коллеги, наболевший у всех штатных специалистов вопрос безопасности ПДн.
С ПДн, обрабатываемыми без средств автоматизации, – сходил на курсы, почитал, погуглил, разобрался (если что – готов помочь).
С защитой ИСПДн всё хуже.
Основной вопрос – с защитой ПДн и применением криптографии.
Вот моё пессимистичное мнение: обязательность применения средств криптографии формально, вроде бы, нигде не прописана, но ч. 1 ст. 19 ФЗ о ПД реализовать без криптографии, по сути, нельзя. Ведь, что бы защититься по-хорошему, надо шифровать данные на сервере, канал между пользователями 1С и сервером, и т. д. и т. п. К тому же, если мы передаём ПДн по каналам связи (между филиалами), мы обязаны придерживаться ПКЗ-2005, а значит – применять только убогие сертифицированные криптографические СЗИ.
А по скольку это – деятельность по защите информации – мы должны получить и лицензию на ЗИ по ФЗ о лицензировании отдельных видов деятельности, либо прибегнуть к помощи дорогих друзей, оказывающих такие услуги, которые с радостью аттестуют каждое рабочее место с 1С-кой, что выльется в сотни тысяч рублей (если не перевалит за лимон). + опять таки, убогое ПО.


Я прошу меня в моём пессимизме разубедить, если это возможно. Подкрепив доводы ссылками на законы и статьи. Это нужно многим! Мы обрабатываем автоматизированно только ПДн сотрудников. Юристы, с которыми консультировался, точного ответа дать не могут. За то ФСТЭК однозначно говорит в пользу лицензии, но я говорил с технарями, они чего-то могут не знать, а что-то могут и сознательно привирать.


Итак, суть вопроса: почему мы, оперируя только ПДн своих сотрудников, не обязаны получать лицензию на ЗИ или обращаться соответствующим компаниям для защиты ПДн при автоматизированной обработке? Почему мы не обязаны использовать только сертифицированные криптографические СЗИ?


Заранее спасибо всем, кто ответит на такой сложный и неоднозначный вопрос.


 
Комментарии
— Гость (18/05/2011 11:30)   <#>
Частично ответ на мой вопрос только что нашёл на форуме Роскомнадзора. Процитирую на всякий случай.
Типичное доказательство необходимости лицензии на ТЗКИ для операторов ПНд выглядит следующим образом ... "Указ 188 => 152 ФЗ => 781 ПП => 128 ФЗ => 504 ПП => Административный регламент ФСТЭК России."
В этой цепочке достаточно показать, что ПДн – это конфиденциальная информация и пользуясь законами логики можно доказать необходимость иметь лицензию по ТЗКИ любому лицу (организации), которое выполняет ФЗ 152.


и возможный ответ:
ключевое слово здесь "деятельность". Деятельность юридического лица с точки зрения ГК – это самостоятельная, осуществляемая на свой риск и направленная на систематическое получение прибыли. А если вы занимаетесь защитой собственной конфиденциальной информации, то это всего лишь выполнение соответствующих организационных и технических мер, которые обязует вас выполнить 152-ФЗ.
Никто не может принудить вас к занятию како-либо деятельностью.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3