Автор: Игорь | 105594 | 18.01.2019 14:31 |
День добрый.
Имеется ИС, в которой обрабатываются персональные данные. Из-за недостаточности собственных ИТ-ресурсов планируем часть ИС, точнее базу данных с ПДн, разместить у себя, а всё остальное - в арендованном ЦОДе (сервера приложений и т.д.). В таком случае я должна реализовать требования по защите ПДн на своей стороне. Просто я так понимаю ЦОД то же должен обеспечить защиту и на своей стороне? |
Автор: WORM, MK | 105595 | 18.01.2019 16:44 |
Вы должны заключить с ЦОД договор, обязывающий его обеспечивать защиту и соблюдать конфиденциальность ПДн, обработку которых вы им поручили. Очень желательно определить и указать в Договоре уровень защищенности ПДн.
|
Автор: Игорь | 105596 | 19.01.2019 09:59 |
Не понимаю почему мы поручили им обработку ПДн?
Ведь обрабатываем мы ( наши сотрудники). А в цоде арендуем серверные мощности. Ведь грубо получается что мы владеем этими можностями по договору аренды. |
Автор: WORM, MK | 105598 | 19.01.2019 17:07 |
Потому что так считает законодатель (см. ст.6. ч.3. закона "О перс. данных".
Вы заключили договор, ПДн хранятся у них = обрабатываются у них (см. ст. 3 закона, что есть "обработка"). Ваши сотрудники имеют к ним доступ и тоже обрабатывают. "Мощностями" вы, может, и владеете, а вот железом и носителями, в коих хранятся ПДн, владеет ваш арендодатель. Закон требует защиты ПДн. Защитить ЦОД вы не можете, стало быть, в договоре обязываете сделать это владельца ЦОД. |
Автор: oko | 105599 | 19.01.2019 17:52 |
Primo, при желании можно и стойко-место в ЦОД защитить своими методами. При большом желании даже на физ.уровне...
Secundo, пора бы давно научиться в схемах "БД у нас - APP у них" применять принцип обезличивания ПДн. Далеко не всегда возможно, конечно, но варианты есть всегда, ага... Tertio, проще арендовать "аттестованный ЦОД" для размещения и APP, и БД, и СЗИ на стороне арендодателя. Дороже, но проще. И вот тогда как раз-таки все нюансы предусмотреть в договоре обслуживания четко, ясно и однозначно. Потому как в "распределенных" схемах (как у топикстартера) вероятность утечки, количество векторов атак, а также проблем с формированием зон ответственности, - вагон и маленькая тележка... |
Автор: WORM, MK | 105600 | 19.01.2019 19:34 |
to oko
А вы попробуйте все это объяснить Роскомнадзору. Для них это все китайская грамота. ПДн хранятся у другого юрлица, а в законе написано "обработка по поручению" и "договор", значит, вынь да положь договор с обязательными пунктами. |
Автор: oko | 105609 | 20.01.2019 23:27 |
to WORM
Дык, я не про юр.сторону дела, а про фактическую. imho, пусть лучше конторы после посещения форума начинают реально защищать базы ИОД - выполнение законов приложится... К тому же, с наличием договора, где вопросы ответственности расписаны, не спорю - только за. Вопрос лишь в конечной схеме реализации и, соответственно, в конкретике фраз в таком договоре... |
Автор: Игорь | 105661 | 30.01.2019 17:09 |
Кстати, схему "БД - у нас, а АРР - у них нам предлагали", но если честно я не пойму смысл этой схемы. Мне она кажется бессмысленной. Все равно приложения обращаются к базе данных и выводят уже непосредственно ПДн в программе, в которой работает пользователь и ему все ПДн доступны.
Может я не прав? |
Автор: oko | 105663 | 30.01.2019 21:04 |
to Игорь
Цимес в том, что в такой схеме можно применить метод обезличивания ПДн и частично уйти от их защиты (во всяком случае, на многих уровнях APP, который "у них", а не "у нас"). Например, юзер вводит свой идентификатор-код - APP обращается к БД - БД сличает код с записями и выдает в сторону APP набор "размытых" данных - APP "отображает" их юзеру. Юзер знает, кто он такой и что значат все эти данные, а вот APP (и нарушитель, вскрывший APP) по совокупности данных идентифицировать субъекта ПДн не сможет. Только ломать БД, которая уже "у нас", т.е. с вопросы защиты проще и дешевле (иногда)... Пример, конечно, условный, хотел показать принцип. Все зависит от конечного техпроцесса, выбранных методов и технологий и вагон еще черт знает чего - смотреть конкретику надо, думать, работать, тогда и оптимальный ответ сформировать получится... |
Просмотров темы: 1014