Комментарии 10
А что считается «конфиденциальной информацией»? Если те же паспорта не считаются ими, то что считается? Пример можете привести?
Не указана необходимость регистрации в Котлонадзоре как оператора по обработке ПДн.
Про лицензии очень расплывчато написали.
Если персональные данные (ПДн) передаются хостеру (VDS) в открытом виде и хостер занимается их защитой. то нужна лицензия ФСТЭК России на техническую защиту конфиденциальной информации.
Если хостер шифрует ПДн клиента (например для хранения в защищенных контейнерах) и это является частью предоставляемых услуг, то нужна лицензия ФСБ России по криптографии (ПП 313).
Если у хостера нет ПДн в открытом виде, а хранятся только зашифрованные контейнеры (причем их шифровал сам клиент) то лицензии (ФСТЭК/ФСБ) не нужны.
Итого — у хостера в общем случае должна быть лицензия ФСТЭК России на ТЗКИ и желательно ФСБ России по криптографии
Про лицензии очень расплывчато написали.
Если персональные данные (ПДн) передаются хостеру (VDS) в открытом виде и хостер занимается их защитой. то нужна лицензия ФСТЭК России на техническую защиту конфиденциальной информации.
Если хостер шифрует ПДн клиента (например для хранения в защищенных контейнерах) и это является частью предоставляемых услуг, то нужна лицензия ФСБ России по криптографии (ПП 313).
Если у хостера нет ПДн в открытом виде, а хранятся только зашифрованные контейнеры (причем их шифровал сам клиент) то лицензии (ФСТЭК/ФСБ) не нужны.
Итого — у хостера в общем случае должна быть лицензия ФСТЭК России на ТЗКИ и желательно ФСБ России по криптографии
Добрый день!
По первому пункту, указано, пожалуйста, обратите внимание на раздел «Вероятнее всего Вы зададитесь вопросом: «А кто регулируют известный всем пункт: «Согласен на обработку персональных данных»?»
По ФСТЭК ТЗКИ и СЗКИ, указано конкретно, что лицензия должна быть, если Ваша деятельность подпадает под соответствующее регулирование. Конкретика именно в отношении хостера — не цель статьи.
Если говорить о том, что у каждого хостера должна быть лицензия ФСТЭК и ФСБ — это противоречит реальности. Даже интересно, как Вы находили бы полубесплатные хостинги при наличии такой лицензии? Затраты на ее получение очень большие.
Лицензия должна применяться по назначению, а не быть просто для галочки.
По первому пункту, указано, пожалуйста, обратите внимание на раздел «Вероятнее всего Вы зададитесь вопросом: «А кто регулируют известный всем пункт: «Согласен на обработку персональных данных»?»
По ФСТЭК ТЗКИ и СЗКИ, указано конкретно, что лицензия должна быть, если Ваша деятельность подпадает под соответствующее регулирование. Конкретика именно в отношении хостера — не цель статьи.
Если говорить о том, что у каждого хостера должна быть лицензия ФСТЭК и ФСБ — это противоречит реальности. Даже интересно, как Вы находили бы полубесплатные хостинги при наличии такой лицензии? Затраты на ее получение очень большие.
Лицензия должна применяться по назначению, а не быть просто для галочки.
С максимальным раскрытием темы, думаю, Вы погорячились). Освещая выбор партнера, было бы не плохо написать про «Поручение на обработку ПДн». Да и совместное моделирование угроз с хостинг-провайдером у Вас как-то мимо прошло. Это вытекает из требований 152ФЗ, не спускаясь в подзаконные акты.
Ну мы постарались, в любом случае)
Смежных тем — масса, при том же лицензировании ФСТЭК все вроде так расписано в мануале, а при реальной работе куча нюансов вызывает.
Указанные Вами темы постараемся в будущем осветить, спасибо за комментарий!
Смежных тем — масса, при том же лицензировании ФСТЭК все вроде так расписано в мануале, а при реальной работе куча нюансов вызывает.
Указанные Вами темы постараемся в будущем осветить, спасибо за комментарий!
Уже много раз обсуждалось.
Не нужны сертифицированные средства для выполнения 21 приказа ФСТЭК, таких требований там нет.
ФСТЭК комерсов не проверяет нет полномочий да и людей, Роскомназдор смотрит только «бумагу».
Не нужны сертифицированные средства для выполнения 21 приказа ФСТЭК, таких требований там нет.
ФСТЭК комерсов не проверяет нет полномочий да и людей, Роскомназдор смотрит только «бумагу».
Уважаемый Spewow, статья не призывает получать или не получать лицензию ФСТЭК, не комментирует наличие кадров у ФСТЭК. То, что Роскомнадзор проверяет «бумагу» так же может в любой момент измениться и долгосрочно нужно делать ставку на соблюдение закона, а не надежду, что «и так прокатит».
Наличие лицензии ФСТЭК при прочих равных является как минимум плюсом при выборе контрагента.
А если Вы сами обладаете такой лицензией и планируете передать хранение данных, которые подпадают под регуляцию ФСТЭК, контрагент в любом случае обязан ее иметь.
Наличие лицензии ФСТЭК при прочих равных является как минимум плюсом при выборе контрагента.
А если Вы сами обладаете такой лицензией и планируете передать хранение данных, которые подпадают под регуляцию ФСТЭК, контрагент в любом случае обязан ее иметь.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Закон «О персональных данных» и практика его применения в российской действительности. Часть 2