Перейти к содержимому. | Перейти к навигации

Персональные инструменты
Вход Регистрация
Вы здесь: Главная ФОРУМ Защита персональных данных ПДн на портале для сотрудников
Protectiva Compliance Manager    Типовые документы по ИБ


ПДн на портале для сотрудников

Операции с документом
Вверх к Защита персональных данных

ПДн на портале для сотрудников

Послано Игорь Павлов в 2.Май.2017 13:56

 

Добрый день.

 

Мы запускаем портал для работников (на портале установлен сертификат, полученный через официального провайдера и подключение к сайту выполняется по https).

Основная задача портала – автоматизация части задач по взаимодействию с работником. Через портал будут решаться вопросы согласования отпусков, командировок, авансовых отчетов и тп. Также планировалось, что работник при необходимости будет видеть информацию, которая ему может потребоваться – ИИН, СНИСЛ, контактные лица, отвечающие за командировки, кадровые вопросы, сотовую связь.

 

Вопрос в том, как относятся регуляторы к таким ситуациям, когда есть портал, к которому подключается работник (непосредственно работник) и используется https-соединение?

Может быть, имеет смысл убрать из профиля ИНН, СНИСЛ и добавить информацию в согласие на обработку ПДн?

 

Спасибо.

Re: ПДн на портале для сотрудников

Послано Александр Астахов в 2.Май.2017 15:18

Данный портал является ИСПДн. Поэтому как для любой ИСПДн в соответствии с Постановлением Правительства РФ №1119 должен быть определен уровень защищенности ПДн, который требуется обеспечить, и в соответствии с Приказом №21 ФСТЭК России определены и реализованы соответствующие защитные меры.

Если взаимодействие с порталом осуществляется по https-соединению по открытым каналам связи, выходящим за пределы контролируемой зоны (например, удаленный доступ через Интернет), то должна использоваться сертифицированная криптография в соответствии с требованиями ФСБ России.

ИНН и СНИСЛ работник должен предоставлять работодателю на основании ТК РФ. Поэтому, если цели обработки этих данных не отличаются от стандартных в рамках ТК РФ, то согласие от работника на их обработку не требуется.

Re: ПДн на портале для сотрудников

Послано Игорь Павлов в 4.Май.2017 13:43

По согласию была идея, что мы объявляем данные открытыми и указываем это в согласии.

 

Если используется https, то каким образом можно обеспечить защиту ПДн согласно требованиям ФСБ?

 

Как такую защиту обеспечивает сайт gosuslugi?

Re: ПДн на портале для сотрудников

Послано Александр Астахов в 4.Май.2017 23:13
Субъект ПДн имеет право обьявить свои ПДн общедоступными. Закону не противоречит.
 
Сертифицированные ФСБ криптосредства для реализации https существуют, например КриптоПро TLS или Континент TLS VPN Сервер.
 
Но вы уж определитесь. Если у вас ПДн общедоступные, то угрозы их перехвата не существует, значит и нет необходимости использовать сертифицированные криптосредства для шифрования трафика портала.
 

Про gosuslugi вы у них спросите. Они говорят, что у них все сертифицировано и аттестовано. https://www.gosuslugi.ru/help/personal

Разработано Ploneboard
Как стать участником |  Что может участник  |  Как работать с порталом  |  Реклама |  Авторские права  |  Контакты  |  Конкурсы  |  RSS  |  Форум
©2003 - 2017 GlobalTrust
Рейтинг@Mail.ru Rambler's Top100 Yandex