Рабочее место кредитного специалиста в автосалоне

Собираемся организовать удаленные рабочие места, соответственно на этих местах будет происходить обработка и передача персональных данных. Вопрос - в свете ужесточения требований по охране ПДн, надо ли как-то регистрировать (декларировать), аттестовывать эти рабочие места в ФСБ или еще где. Боюсь, если напрямую задам вопрос ФСБ, скорее всего получу ответ - конечно надо. У кого есть такие места? И как оно у вас?

[Сообщение изменено пользователем 06.10.2012 21:38]

Если позвоните в ФСБ вас пошлют, пошлют вас в роскомнадзор.
А по сути вы банк? Если банк то приняли ли у себя СТО БР?
А так ничего аттестовывать не надо. Надо защитить эти данные. Передача ПДн например в офис компании будет? по какому каналу?

[Сообщение изменено пользователем 06.10.2012 22:03]

Да, банк. А если я не защищу эти данные. Буду работать без защиты, через почтовый ящик mail.ru. Отправлять-получать данные клиентов и решения кредитного комитета. Всем пофиг, если инцидентов нет?
Из Википедии
Однако ряд положений СТО БР ИББС вступил в конфликт с новой версией закона "О персональных данных":
федеральный закон не даёт возможность операторам ПДн использовать не сертифицированные, но одобренные руководством организации, средства защиты информации (п.7.4.2 СТО БР ИББС-1.0-2010);
Техническая сторона вопроса защиты персональных данных, согласно 19 статье 152-ФЗ, устанавливается Правительством РФ, а не нормами СТО БР ИББС, что так же противоречит основной идеи создания отраслевого стандарта.

В ближайшее время статус СТО БР ИББС будет уточнён подзаконными нормативными актами Правительства, ФСТЭК, ФСБ, а также информационными письмами Банка России.

НУ и...? Какие выводы?

ст.19
2. Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.

3. Контроль и надзор за выполнением требований, установленных Правительством Российской Федерации в соответствии с частью 2 настоящей статьи, осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

Если придет Роскомнадзор то не просто по башке настучит, а еще и штрафы навыписывает.
Канал передачи нужно шифровать, сертифицированными средствами. У нас используется File-Pro от Сигнал-Ком. Она сертифицирована и шифрует по ГОСТу. Стоит не так уж и много - 1200 за лицензию. Использовать майл не стоит. Вы уверены что у них там все защищено? Не вижу проблем настроит место специалиста на свой почтовый сервер.

Про канал мне понятно, техническая сторона вопросов не вызывает. Мне интересна правовая сторона.

Откуда он знает куда придти? Надо регистрировать? Декларировать? А в разрезе защиты ПДн? В ст.19 контроль и надзор за защитой ПДн, как я понимаю, это ФСТЭК и ЦБ. Так? Или не так? Кто разбирался?

Во-первых, вы как банк должны были заявить о себе как оператор по обработке ПДн, или не заявить, но тогда нужно обоснование почему не заявляете. Далее, РКН проводит проверки по графику (http://www.rsoc.ru/docs/plan_proverok_2012.doc)или по жалобам граждан РФ. Регуляторами являются РКН, ФСТЭК, ФСБ. Но с проверками по всем ходит РКН, так что их и бойтесь.
По идее пока не заявите или не нажалуются на вас то ничего не будет, но уж если.... Сейчас готовят поправки в КОАП,Ю где штраф с 10 000 вырастет до 700 000, да и потом могут деятельность приостановить.
Советую почитать вот этот форум http://bankir.ru/dom/forums/143-%D0%98%D0%BD%D1%84...
Особенно темы Проверка роскомнадзора и У них прошла проверка ПДн (Роскомнадзор, ФСБ, ФСТЭК), так же советую почитать блог Алексея Лукацкого http://lukatsky.blogspot.com.

Спасибо!