4-й уровень защищенности для ИСПДн
Операции с документом
Добрый день!
Интересуют ваши мысли, по следующему вопросу: можно ли признать угрозы 3-го типа неактуальными? Например, через пользовательское соглашение, в котором указывается, что пользователь соглашается с тем, что ущерб от НСД к его ПДн не является существенным. И таким образом уйти от необходимости обеспечения 4-го уровня защищенности ИСПДн? Или 4-й уровень мы должны обеспечить, по умолчанию? В любом случае?
P.S. Речь об ИСПДн "Сайт", на котором из персональных данных собирается: e-mail, пароль, IP, cookies. e-mail служит для восстановления пароля и для доступа к личному кабинету. Личный кабинет используется, для добавления части публикаций в закладки. Сайт хостится на стороннем хостинге в РФ, соответственно я не могу выполнить требования об ограничении физического доступа к носителям на которых хранятся ПДн. ВОт ломаю голову, что делать.
Спасибо!
4-й уровень должны обеспечить в любом случае, т.к. 152-ФЗ ст. 19 не предоставляет оператору ПДн свободы выбора. Состав и содержание мер защиты устанавливается правительством и уполномоченными органами, а не оператором по соглашению с субъектом ПДн. Поэтому в независимости от мнения субъекта или оператора, установленные требования вы обязаны выполнить. Этим наше законодательство (в худшую сторону) отличается от западного.
Требование об ограничении физического доступа к носителям ПДн (а без выполнения данного требования любые прочие меры ИБ не имеют смысла) должны реализовывать в данном случае не вы, а хостинг провайдер. А вам надо убедиться, что он эти меры реализует, и предусмотреть в договоре с провайдером данное требование.
Требование об ограничении физического доступа к носителям ПДн (а без выполнения данного требования любые прочие меры ИБ не имеют смысла) должны реализовывать в данном случае не вы, а хостинг провайдер. А вам надо убедиться, что он эти меры реализует, и предусмотреть в договоре с провайдером данное требование.
Эх.. Только хостеров таких штуки 4 всего, и ценник у них... Может знаете таких которые в типовой договор включают такой пункт?
Предыдущий Александр Астахов писал:А в чем проблема? Разве есть хостеры, которые не обеспечивают контроль физического доступа к своим серверам? Если бы такие и были, у них бы давно все оборудование растащили.Требование об ограничении физического доступа к носителям ПДн (а без выполнения данного требования любые прочие меры ИБ не имеют смысла) должны реализовывать в данном случае не вы, а хостинг провайдер. А вам надо убедиться, что он эти меры реализует, и предусмотреть в договоре с провайдером данное требование.
Эх.. Только хостеров таких штуки 4 всего, и ценник у них... Может знаете таких которые в типовой договор включают такой пункт?
Предыдущий Александр Астахов писал:
А в чем проблема? Разве есть хостеры, которые не обеспечивают контроль физического доступа к своим серверам? Если бы такие и были, у них бы давно все оборудование растащили.
и мы это интуитивно понимаем
Проблема в том, что обычно в договоре заключаемом между хостером и
заказчиком это никак не прописывается. Договор обычно заключается в
форме присоединения, т.е. повлиять на его содержание заказчик не может,
либо принимает как есть, либо не пользуется услугами.Предыдущий Александр Астахов писал:
А в чем проблема? Разве есть хостеры, которые не обеспечивают контроль физического доступа к своим серверам? Если бы такие и были, у них бы давно все оборудование растащили.Хосетры, конечно, защищают доступ к своему оборудованиюСоответственно, хостер защищает свою инфраструктуру, но обязанности такой у него перед заказчиком нет. Те же сотрудники хостера имеющие физически доступ к серверам являются потенциальными нарушителями
Хостеру вы поручаете обработку ПДн, т.к. по закону даже физическое хранение ПДн является обработкой. В договорных отношения с ним это должно быть отражено. Согласно букве закона:"должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых ПДн"
Предыдущий Александр Астахов писал:Хостеру вы поручаете обработку ПДн, т.к. по закону даже физическое хранение ПДн является обработкой. В договорных отношения с ним это должно быть отражено. Согласно букве закона:"должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых ПДн"Но ведь не любой хостер согласен заключать такое соглашение об обработке ПДн? В типовые договора они такого не включают. А если и согласится, тогда он должен обеспечить безопасность и конфиденциальность передаваемых ему на обработку ПДн, т.е. должен иметь лицензию ФСТЭК на оказание услуг по технической защите информации. Так? З
Большое спасибо за ответы. Раскладываете по полочкам.
И в теории всё логично, всё понятно, а на практике - не могу найти такой хостинг, если знаете посоветуйте, пожалуйста.
И ещё вопрос, а можно вместо ограничения доступа сотрудников хостера, просто всё шифровать? И нужно ли будет при таком шифровании применять только сертифицированные средства шифрования?
Шифровать можно и нужно, однако СКЗИ, используемые для защиты ПДн, должны быть сертифицированы. Конкретных провайдеров советовать не буду.
От провайдера требуется: "организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения и обеспечение сохранности носителей персональных данных".
Лучше вы укажите провайдеров, которые отказываются от заключения договора или от выполнения данного требования.
От провайдера требуется: "организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения и обеспечение сохранности носителей персональных данных".
Лучше вы укажите провайдеров, которые отказываются от заключения договора или от выполнения данного требования.
Забыли пароль?
Новый пользователь?
