Одними cookie cыт не будешь: как бизнесу соответствовать 152-ФЗ сегодня и хранить данные пользователей без потерь?

Может показаться, что исполнять требования 152-ФЗ должны только большие компании: банки, массовые сервисы и медицинские учреждения. На самом деле под действие закона попадают почти все информационные системы. О том, как обезопасить свой бизнес от утечек и штрафов, рассказываем в тексте.

Закон о персональных данных глубже, чем кажется.
1919

В тексте допущены пара неточностей.
1. Такой категории ПДн как "общедоступные ПДн" более не существует, согласно изменениям в том самом 152 фз от 2021 года, остались только сами источники
2. "Под действие закона попадают почти все информационные системы" - не почти все, а все, которые работают с ПДн, разумеется кроме сведений содержащих гостайну, а также Архивный Фонд РФ
3. В случае если рассматривается утечка на уровне приложения, СКЗИ не быть не может, поскольку так или иначе информация передается по незащищенным каналам связи
4. В случае размещения систем вовне, уместнее разумеется уже говорить не о 152 фз а в целом о технической защите конфиденциальной информации
5. Если вы размещаете системы у некоего провайдера, нельзя сказать что это "не его зона ответственности". Разумеется если вы не проверили провайдера, к вам тоже будут вопросы, однако основной гвалт и тяжесть выполнения требований безопасности информации находится там, где размещены ваши системы, поскольку провайдер берет на себя обязательства по охране и безопасности этих данных, в том числе от утечек и других угроз из модели угроз безопасности, он должен обезопасить то, что взял на хранение
6. Честно говоря к аттестату размещенному в ссылке имеются вопросы, поскольку вообще говоря аттестат соответствия требования безопасности информации это ДСП документ, хотя если в документе по ссылке вам забыли написать слово "выписка", это меняет дело. Однако тем не менее размещение в общедоступных источниках документа грифа ДСП несколько странно
7. Требований к дополнительному оборудованию аттестованного сегмента ЦОД таких как камера и электронный замок по факту нет, видеонаблюдение не обязательный модуль, а замок не обязательно электронный
и тд.

В целом не то чтобы сильно значительные пункты, в любом случае благодарю за выбор темы и просвещение масс.

Ответить