152 фз о персональных данных

[Alan2006]

В общем ситуация такая: средних размеров торговая контора. С частниками не торгуем. А вот личные данные сотрудников хранятся.
Думаю для упрощения в отдельной комнате, куда под роспись пускать буду, сделать мини-локалку, не соединённую с общей сеткой (чтобы находилась в охраняемом периоде и не париться с межсетевым экраном).
А теперь вопросы:
1. нормально ли такое решение?

2. На каком-то семинаре мне рассказывали что устанавливать ПО нужно с сертифицированного дистрибутива (диск с голограммкой фстэк + к нему на бумажном носителе сертификат соответствия).
Где брать такие дистрибутивы?
1с и пара других программ для персонефицированного учёта не проходили сертификацию фстэк. как быть с ними?

3. Не хочу покупать отдельный сервер для 1с-ной БД. А в рабочей группе, думаю, расшаренная папка на одном компе будет приравнена к нарушению безопасности. А 1с нужна как минимум с 2-х компов.

4. В требованиях стоит контроль доступа к данным. Для чего предлагают заюзать eToken и DeviceLock. Этого достаточно или нужно что-то ещё?

5. Нужна ли в таком случае централизованная авторизация?

6. Зашумление и прочие с-ва аппаратной защиты нужны?

7. Какие бумажки нужно оформить и куда отправить?

Заранее спасибо.

[megademon66]

Могу посоветовать хорошую книжку: "Обеспечение защиты персональных данных. Методическое пособие" ISBN 978-5-9677-1279-1.

Вкратце - главное не технический аспект, т.к. для хранения типовой информации о сотрудниках небольшого предприятия сертифицировать ничего не надо, а грамотное составление бумажек

[Челленджер]

Цитата: Сообщение от Alan2006 Думаю для упрощения в отдельной комнате, куда под роспись пускать буду, сделать мини-локалку, не соединённую с общей сеткой (чтобы находилась в охраняемом периоде и не париться с межсетевым экраном). А теперь вопросы: 1. нормально ли такое решение?

Абсолютно нормально. В данном случае у Вас получается т.н. ИСПДн класса К3. Потому что работники одной организации и персональные данные только идентифицирующие.

Цитата: 2. На каком-то семинаре мне рассказывали что устанавливать ПО нужно с сертифицированного дистрибутива (диск с голограммкой фстэк + к нему на бумажном носителе сертификат соответствия). Где брать такие дистрибутивы?

В той же психиатрической больнице, где лечился и не долечился докладчик на том семинаре. У него как-то причудливо перемешались требования постановления Правительства РФ № 504 (о лицензировании деятельности по технической защите конфиденциальной информации) и т.н. "четырехкнижия" ФСТЭК, половина которого в настоящий момент отменена совсем. Для лицензии ФСТЭК надо иметь все дистрибутивы на основании договора с их правообладателем. Для защиты персональных данных, в соответствии с Приказом ФСТЭК № 58, надо иметь сертифицированные ФСТЭК средства защиты. Например, электронный замок или что-то другое.

Цитата: 1с и пара других программ для персонефицированного учёта не проходили сертификацию фстэк. как быть с ними?

Аналогично. Никаких "сертификатов ФСТЭК" на используемое основное ПО Вам в такой ситуации не нужно.

Цитата: 3. Не хочу покупать отдельный сервер для 1с-ной БД. А в рабочей группе, думаю, расшаренная папка на одном компе будет приравнена к нарушению безопасности. А 1с нужна как минимум с 2-х компов.

Не хотите - не покупайте. В Вашем случае у Вас будет распределенная ИСПДн класса К3. Если нет подключения к сетям общего пользования и международного информационного обмена, но есть сертифицированныен средства защиты, то никакого нарушения безопасности тут нет.

Цитата: 4. В требованиях стоит контроль доступа к данным. Для чего предлагают заюзать eToken и DeviceLock. Этого достаточно или нужно что-то ещё?

Вот бы встретиться с тем, кто предлагает! Я бы его не бил, я бы ему только в глаза посмотрел... халявщику! Потому что eToken сам по себе ничего не защищает. Это всего-навсего девайс, используемый различными средствами защиты информации. Что же касается Device Lock - здесь вроде как запрещена коммерческая реклама. Значит, и коммерческая антиреклама тоже. Скажу только одно - на Вашем месте лучше бы я эти деньги на церковь пожертвовал, надежнее будет. Так что лучше проконсультируйтесь с кем-то, не столь ангажированным на одну фирму.

Цитата: 5. Нужна ли в таком случае централизованная авторизация?

По приказу 58 - абсолютно не нужна.

Цитата: 6. Зашумление и прочие с-ва аппаратной защиты нужны?

Тоже не нужны. Это потребуется, если у Вас вылезет ИСПДн класса К1. В остальных случаях живите спокойно.

Цитата: 7. Какие бумажки нужно оформить и куда отправить?

Как минимум и совершенно однозначно - уведомление в Роскомнадзор. Как писать уведомление - подробно пояснено на их сайте. Далее или получать лицензию ФСТЭК, для чего собирать все бумаги в соответствии с Постановлением № 504, или заключать договор с компанией, имеющей такую лицензию. В крайнем случае надеяться, что ФСТЭК Вас какое-то время не заметит
Еще очень важно, чтобы у Вас на фирме не было "диких" персональных данных, поступивших неизвестно как. Сюда входят, например, данные посетителей, представителей контрагентов и поч. Все такие данные должны быть сообщены Вам в письменном виде.