Контакты
Подписка
МЕНЮ
Контакты
Подписка

Обезличивание ПДн и размещение части ИС в ЦОД - Форум по вопросам информационной безопасности

Обезличивание ПДн и размещение части ИС в ЦОД - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Автор: Игорь | 105594 18.01.2019 14:31
День добрый.

Имеется ИС, в которой обрабатываются персональные данные. Из-за недостаточности собственных ИТ-ресурсов планируем часть ИС, точнее базу данных с ПДн, разместить у себя, а всё остальное - в арендованном ЦОДе (сервера приложений и т.д.).
В таком случае я должна реализовать требования по защите ПДн на своей стороне.
Просто я так понимаю ЦОД то же должен обеспечить защиту и на своей стороне?

Автор: WORM, MK | 105595 18.01.2019 16:44
Вы должны заключить с ЦОД договор, обязывающий его обеспечивать защиту и соблюдать конфиденциальность ПДн, обработку которых вы им поручили. Очень желательно определить и указать в Договоре уровень защищенности ПДн.

Автор: Игорь | 105596 19.01.2019 09:59
Не понимаю почему мы поручили им обработку ПДн?
Ведь обрабатываем мы ( наши сотрудники). А в цоде арендуем серверные мощности. Ведь грубо получается что мы владеем этими можностями по договору аренды.

Автор: WORM, MK | 105598 19.01.2019 17:07
Потому что так считает законодатель (см. ст.6. ч.3. закона "О перс. данных".
Вы заключили договор, ПДн хранятся у них = обрабатываются у них (см. ст. 3 закона, что есть "обработка"). Ваши сотрудники имеют к ним доступ и тоже обрабатывают.

"Мощностями" вы, может, и владеете, а вот железом и носителями, в коих хранятся ПДн, владеет ваш арендодатель.
Закон требует защиты ПДн. Защитить ЦОД вы не можете, стало быть, в договоре обязываете сделать это владельца ЦОД.

Автор: oko | 105599 19.01.2019 17:52
Primo, при желании можно и стойко-место в ЦОД защитить своими методами. При большом желании даже на физ.уровне...
Secundo, пора бы давно научиться в схемах "БД у нас - APP у них" применять принцип обезличивания ПДн. Далеко не всегда возможно, конечно, но варианты есть всегда, ага...
Tertio, проще арендовать "аттестованный ЦОД" для размещения и APP, и БД, и СЗИ на стороне арендодателя. Дороже, но проще. И вот тогда как раз-таки все нюансы предусмотреть в договоре обслуживания четко, ясно и однозначно. Потому как в "распределенных" схемах (как у топикстартера) вероятность утечки, количество векторов атак, а также проблем с формированием зон ответственности, - вагон и маленькая тележка...

Автор: WORM, MK | 105600 19.01.2019 19:34
to oko

А вы попробуйте все это объяснить Роскомнадзору. Для них это все китайская грамота. ПДн хранятся у другого юрлица, а в законе написано "обработка по поручению" и "договор", значит, вынь да положь договор с обязательными пунктами.

Автор: oko | 105609 20.01.2019 23:27
to WORM
Дык, я не про юр.сторону дела, а про фактическую. imho, пусть лучше конторы после посещения форума начинают реально защищать базы ИОД - выполнение законов приложится...
К тому же, с наличием договора, где вопросы ответственности расписаны, не спорю - только за. Вопрос лишь в конечной схеме реализации и, соответственно, в конкретике фраз в таком договоре...
Прошло около недели

Автор: Игорь | 105661 30.01.2019 17:09
Кстати, схему "БД - у нас, а АРР - у них нам предлагали", но если честно я не пойму смысл этой схемы. Мне она кажется бессмысленной. Все равно приложения обращаются к базе данных и выводят уже непосредственно ПДн в программе, в которой работает пользователь и ему все ПДн доступны.
Может я не прав?

Автор: oko | 105663 30.01.2019 21:04
to Игорь
Цимес в том, что в такой схеме можно применить метод обезличивания ПДн и частично уйти от их защиты (во всяком случае, на многих уровнях APP, который "у них", а не "у нас"). Например, юзер вводит свой идентификатор-код - APP обращается к БД - БД сличает код с записями и выдает в сторону APP набор "размытых" данных - APP "отображает" их юзеру. Юзер знает, кто он такой и что значат все эти данные, а вот APP (и нарушитель, вскрывший APP) по совокупности данных идентифицировать субъекта ПДн не сможет. Только ломать БД, которая уже "у нас", т.е. с вопросы защиты проще и дешевле (иногда)...
Пример, конечно, условный, хотел показать принцип. Все зависит от конечного техпроцесса, выбранных методов и технологий и вагон еще черт знает чего - смотреть конкретику надо, думать, работать, тогда и оптимальный ответ сформировать получится...

Просмотров темы: 347

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*