Обезличивание ПДн и размещение части ИС в ЦОД - Форум по вопросам информационной безопасности

День добрый.

Имеется ИС, в которой обрабатываются персональные данные. Из-за недостаточности собственных ИТ-ресурсов планируем часть ИС, точнее базу данных с ПДн, разместить у себя, а всё остальное - в арендованном ЦОДе (сервера приложений и т.д.).
В таком случае я должна реализовать требования по защите ПДн на своей стороне.
Просто я так понимаю ЦОД то же должен обеспечить защиту и на своей стороне?

Вы должны заключить с ЦОД договор, обязывающий его обеспечивать защиту и соблюдать конфиденциальность ПДн, обработку которых вы им поручили. Очень желательно определить и указать в Договоре уровень защищенности ПДн.

Не понимаю почему мы поручили им обработку ПДн?
Ведь обрабатываем мы ( наши сотрудники). А в цоде арендуем серверные мощности. Ведь грубо получается что мы владеем этими можностями по договору аренды.

Потому что так считает законодатель (см. ст.6. ч.3. закона "О перс. данных".
Вы заключили договор, ПДн хранятся у них = обрабатываются у них (см. ст. 3 закона, что есть "обработка"). Ваши сотрудники имеют к ним доступ и тоже обрабатывают.

"Мощностями" вы, может, и владеете, а вот железом и носителями, в коих хранятся ПДн, владеет ваш арендодатель.
Закон требует защиты ПДн. Защитить ЦОД вы не можете, стало быть, в договоре обязываете сделать это владельца ЦОД.

Primo, при желании можно и стойко-место в ЦОД защитить своими методами. При большом желании даже на физ.уровне...
Secundo, пора бы давно научиться в схемах "БД у нас - APP у них" применять принцип обезличивания ПДн. Далеко не всегда возможно, конечно, но варианты есть всегда, ага...
Tertio, проще арендовать "аттестованный ЦОД" для размещения и APP, и БД, и СЗИ на стороне арендодателя. Дороже, но проще. И вот тогда как раз-таки все нюансы предусмотреть в договоре обслуживания четко, ясно и однозначно. Потому как в "распределенных" схемах (как у топикстартера) вероятность утечки, количество векторов атак, а также проблем с формированием зон ответственности, - вагон и маленькая тележка...

to oko

А вы попробуйте все это объяснить Роскомнадзору. Для них это все китайская грамота. ПДн хранятся у другого юрлица, а в законе написано "обработка по поручению" и "договор", значит, вынь да положь договор с обязательными пунктами.

to WORM
Дык, я не про юр.сторону дела, а про фактическую. imho, пусть лучше конторы после посещения форума начинают реально защищать базы ИОД - выполнение законов приложится...
К тому же, с наличием договора, где вопросы ответственности расписаны, не спорю - только за. Вопрос лишь в конечной схеме реализации и, соответственно, в конкретике фраз в таком договоре...

Кстати, схему "БД - у нас, а АРР - у них нам предлагали", но если честно я не пойму смысл этой схемы. Мне она кажется бессмысленной. Все равно приложения обращаются к базе данных и выводят уже непосредственно ПДн в программе, в которой работает пользователь и ему все ПДн доступны.
Может я не прав?

to Игорь
Цимес в том, что в такой схеме можно применить метод обезличивания ПДн и частично уйти от их защиты (во всяком случае, на многих уровнях APP, который "у них", а не "у нас"). Например, юзер вводит свой идентификатор-код - APP обращается к БД - БД сличает код с записями и выдает в сторону APP набор "размытых" данных - APP "отображает" их юзеру. Юзер знает, кто он такой и что значат все эти данные, а вот APP (и нарушитель, вскрывший APP) по совокупности данных идентифицировать субъекта ПДн не сможет. Только ломать БД, которая уже "у нас", т.е. с вопросы защиты проще и дешевле (иногда)...
Пример, конечно, условный, хотел показать принцип. Все зависит от конечного техпроцесса, выбранных методов и технологий и вагон еще черт знает чего - смотреть конкретику надо, думать, работать, тогда и оптимальный ответ сформировать получится...