Михаил Завьялов
Прошу прощения за уточнение, но фсб и фстэк не имеют отношения к регулированию персональных данных, этим занимается исключительно роскомнадзор и никакие штрафы от фсб и фстэк вам прилететь не могут.
То что контролируют эти ведомства в чем то вытекает и из 152 в т.ч., однако штраф за неисполнение 152 фз вы можете получить только от ркн.
Кроме того пользовательское соглашение вообще никакой роли не играет в соответствии с законодательством. Возможно лучше заменить этот блок, либо добавить информацию о требованиях к веб ресурсам, коих немного - политика обработки пдн организацией расположена на сайте, соглашение об обработке пдн расположено на сайте, и ныне согласие на обработку пдн необходимо давать отдельно нажимая на галочку согласия и ситуация в духе "нажимая отправить вы соглашаетесь на обработку..." в данный момент неверна с точки зрения регулятора.
Также вероятно стоит добавить про проверки ркн, список которых легко найти и понять собираются ли к вам идти) Плановые проверки кстати со времен ковида отменяли, но уже вернули обратно. А вот внеплановые они могли осуществлять в соответствии с регламентом, который в настоящее время отменен. Однако в план могут внести внеочереди, при поступлении заявления от субъектов пдн в ркн с жалобой
В тексте допущены пара неточностей.
1. Такой категории ПДн как "общедоступные ПДн" более не существует, согласно изменениям в том самом 152 фз от 2021 года, остались только сами источники
2. "Под действие закона попадают почти все информационные системы" - не почти все, а все, которые работают с ПДн, разумеется кроме сведений содержащих гостайну, а также Архивный Фонд РФ
3. В случае если рассматривается утечка на уровне приложения, СКЗИ не быть не может, поскольку так или иначе информация передается по незащищенным каналам связи
4. В случае размещения систем вовне, уместнее разумеется уже говорить не о 152 фз а в целом о технической защите конфиденциальной информации
5. Если вы размещаете системы у некоего провайдера, нельзя сказать что это "не его зона ответственности". Разумеется если вы не проверили провайдера, к вам тоже будут вопросы, однако основной гвалт и тяжесть выполнения требований безопасности информации находится там, где размещены ваши системы, поскольку провайдер берет на себя обязательства по охране и безопасности этих данных, в том числе от утечек и других угроз из модели угроз безопасности, он должен обезопасить то, что взял на хранение
6. Честно говоря к аттестату размещенному в ссылке имеются вопросы, поскольку вообще говоря аттестат соответствия требования безопасности информации это ДСП документ, хотя если в документе по ссылке вам забыли написать слово "выписка", это меняет дело. Однако тем не менее размещение в общедоступных источниках документа грифа ДСП несколько странно
7. Требований к дополнительному оборудованию аттестованного сегмента ЦОД таких как камера и электронный замок по факту нет, видеонаблюдение не обязательный модуль, а замок не обязательно электронный
и тд.
В целом не то чтобы сильно значительные пункты, в любом случае благодарю за выбор темы и просвещение масс.
1. 378 приказ фсб это криптография, к теме разговора отношения не имеет и не относится к обработке пдн
2. 17 и 21 приказы фстэк вообще то не про персональные данные а о требованиях к системам, где это все обрабатывается, относительно 152 фз в этих рамках фстэк не может делать ничего
3. под соглашением имелось ввиду согласие на обработку пдн
4. разумеется не согласен, вы ведь перевернули фразу, в которой речь шла о веб ресурсах а не мессенджерах, к тому же, ситуация без проставления галочки, просто текстом с автоматическим согласием неверна с точки зрения регулятора)
5. как я и написал внеплановые проверки могут быть осуществлены в связи с жалобой, а насчет плановых хочу поправить и себя и вас, мораторий на плановые проверки продлен до 2030 г, "ссылка для юристов" - 372 пп рф от 10.03.2023