Друпал в чистом виде очень редко используется для хранения персональных данных, поэтому любое изменение в сертифицированной конфигурации приведет к недействителности сертификации, так?

Я бы на вашем месте сначала спросил об этом ФСТЭК или где-то в районе http://pd.rsoc.ru

Не нахожу в 152 законе ни слова про сертификацию (использую Ctrl+F -> "сертиф").

Возможно, речь идет о п. 2 статьи 19

Т.е. нужно смотреть другие документы. Например, Постановление Правительства Российской Федерации от 17 ноября 2007 года № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», в котором говорится, что

Т.е. нужно искать конкретные нормативные акты и методические рекомендации ФСТЭК, которые на сайте почему-то не размещены (http://pd.rsoc.ru/low/ пункт 55). Наверное, все еще не разработаны.

Лично я после прочтения вышеназванных документов убежден, что всеобъемлющее соответствие требованиям любой системы с применением Друпала и абсолютного большинства других неосуществимо в силу объективных причин (т.к. потребуется неподъемная порой проверка всех технических и программных средств).

При некоторых легкодостижимых условиях это даже может поставить крест на различных формах для вопросов и отправки обращений через Интернет в органы власти.

Не секрет, с чем связан интерес?

"Химический Али" wrote:

Лично я после прочтения вышеназванных документов убежден, что всеобъемлющее соответствие требованиям любой системы с применением Друпала и абсолютного большинства других неосуществимо в силу объективных причин (т.к. потребуется неподъемная порой проверка всех технических и программных средств).

Получается, что если при регистрации пользователя на сайте он оставляет свои имя, фамилию, дату рождения и место жительства (не факт, что он укажет свои реальные данные), то нужно сетифицировать такой сайт!

То есть теперь при регистрации на сайте ничего кроме e-mail у пользователя нельзя спрашивать?

Власть решила поиметь интернет-магазины?

Ну, во-первых, есть документы ФСТЭК "для служебного пользования". В этих документах есть про классификацию систем и про сертификацию:

http://www.rsoc.ru/chamber-of-commerce/personal-data/
http://54.rsoc.ru/protection/

В принципе, технически всю информацию можно "обезличить". Например, присваивая ID номер каждому пользователю. А вот уже хранение всех персональных данных вести в специальной сертифицированной системе или вручную.

Vladimir_Z, спрашивать-то можно, в законе указано, что ПД можно собирать в случаях, установленных законом (например, при обращении гражданина с обращением), но вот дальнейшее хранение и обработку нужно проводить с учетом всех требований к информационным системам, включая все придирки к ПО, аппаратной части и регламенту их использования. И это, как понял, не зависит от того, согласен ли субъект ПД с тем, что вы будете его ПД обрабатывать.

Единственный вариант, что мне приходит в голову - закрыть к чертям все веб-формы с участием ПД и написать адрес куда слать письма обычной почтой, т.к. создание и поддержка описанной инфраструктуры дико затратна.

p.s. Закон, похоже, создан чтобы его нарушать.

"Химический Али" wrote:

p.s. Закон, похоже, создан чтобы его нарушать.

на самом деле если данные размещаются публично - как тут в профилях - закон не нарушается..
+ вы же не берете данные паспорта и тд.

Тут еще есть вопрос кто является оператором ПДн. Владелец сайта или хостер? Кроме того, если вы будете выполнять работы по защите конф. информации (к коей ПДн принадлежат), то вам бы нужно получить лицензию на ТЗКИ (было разъяснение ФСТЭК для Минздравсоцразвития). Далее, вам нужно брать согласие на обработку ПДн, которое должно содержать описание целей и методов обработки, обеспечить режим обработки... В общем, геммороя много. Сейчас веду в компании проект по приведению в соответствие с ФЗ-152. Будут вопросы - обращайтесь (наконец-то смогу отплатить за помощь с сайтом уважаемому сообществу