Автор: Михаил | 83850 | 15.12.2017 09:16 |
Добрый день, форумчане!
Устроился в новую компанию ИБэшником. А тут такая ситуация: все данные клиентов (база 1С) хранятся на сервере другой организации по договору оказания услуг. Обе организации по факту принадлежат одним и тем же учредителям, но для ухода от уплаты налогов работа происходит именно по такой схеме. Возникли следующие вопросы: 1. Нужно ли использовать сертифицированный VPN для передачи ПДн из одной организации в другую на сервер? Очень прошу: дайте ссылку на нормативку, где это сказано. 2. Обязательно привлекать стороннюю организацию (лицензиата ФСБ) для создания ОКЗИ? Где в нормативных документах сказано об этом? Заранее благодарен |
Автор: Михаил | 83851 | 15.12.2017 09:18 |
В каких случаях можно создавать ОКЗ самим? В каких нужно только привлекать стороннюю организацию-лицензиата?
|
Автор: Михаил | 83947 | 19.12.2017 08:49 |
Форум умер?
|
Автор: Кирк | 83949 | 19.12.2017 10:48 |
Михаил! Вы задали маленький вопрос большого дела (создание системы защиты персональных данных). :-)
Нужно ли вам использовать сертифицированный VPN (как и других средств защиты) зависит от вас самих. Точнее от решения юрлица по какой форме оценке соответствия вы будете оценивать их соответствие требованиям ИБ. Рекомендую почитать нормативку, начиная с № 152-ФЗ от 27.07.2006г по персональным данным, постановление правительства 1119 от 01.11.12 требования к защите персональных данных, приказ ФСТЭК №21 от 18.02.2013, приказ ФСБ №378 от 10.07.2014г. Там все найдете и постепенно сами все осознаете. Тут на форуме кучу раз обсуждались все грани создания систем защиты ПДн. |
Автор: oko | 83964 | 19.12.2017 19:06 |
*в сторону* в свете <но для ухода от уплаты налогов работа происходит именно по такой схеме> вопросы по ИБ/ЗИ вызывают приступ гомерического хохота...
to Михаил Вам никто не отвечал до тов. Кирка по причине, указанной тов. Кирком :) На деле, все, что говорит наше законодательство - такой обмен данными (как в вашем случае) необходимо защищать. От чего? От актуальных угроз. Какими средствами? Какими посчитаете нужными (если речь только о ПДн, разумеется). Сиречь, можете через ЧМУ обосновать отсутствие необходимости в смене имеющегося VPN на сертифицированные ФСБ СКЗИ. Можете обосновать необходимость. Можете вместо СКЗИ ФСБ внедрить "кодирование" в составе сертифицированных ФСТЭК СЗИ. Можете... но, скорее всего, придется делать по п. 1, поскольку организация вряд ли будет тратиться на сертиф. СЗИ/СКЗИ - судя по всему, где ФНС, там же будут и ФСТЭК, и ФСБ, и проч. органы... |
Просмотров темы: 3832