Office 365

Операции с документом
Вверх к Общие вопросы ИБ

Office 365

Послано Игорь Павлов в 13.Сентябрь.2017 13:00

Доброго дня.

Вопрос касательно использования Office 365.

Наша американская штаб-квартира подписала глобальный контракт и хочет все подразделения перевести на использование облачных сервисов (Exchange, OneDrive, Office, Skype). Это получается дешевле, чем покупка новых серверов и лицензий.

 

Мы рассматриваем этот вариант очень внимательно, но есть сомнения по ФЗ-242, тем более, что у штаб-квартиры договор с Майкрософт (США). Локальные компании перепродают Оffice 365 в лучшем случае Ирландский.

 

Есть ли варианты использования данного сервиса в наших условиях?

 

Спасибо.

Re: Office 365

Послано Александр Астахов в 13.Сентябрь.2017 16:13

Для обсуждения тем, связанных с персональными данными, у нас на форуме есть специальная ветка:

http://iso27000.ru/forum/1348323107713

242-ФЗ не запрещает использование облачных сервисов для обработки персональных данных. Требуется лишь, чтобы при сборе ПДн они обрабатывались с использованием БД, находящихся на территории РФ. Если это требование выполнено, то никаких противоречий с законом нет.

Другое дело, что использование облачных сервисов порождает специфические проблемы, связанные с обеспечением безопасности данных, подходы к решению которых еще не оформились в российской нормативной базе в виде четко установленных требований ИБ, которым операторы обязаны были бы следовать, а те требования, которые предъявляются к операторам, не всегда легко выполнить при использовании "облака". Операторы ПДн, использующие облачные сервисы, должны соответствующим образом доработать свои модели угроз и на основании их определить дополнительные меры по защите ПДн, размещаемых или обрабатываемых в "облаке".

В качестве источника требований и рекомендаций по защите ПДн в "облаке" для всего международного сообщества используется международный стандарт:

ISO/IEC 27018:2014 Information technology - Security techniques - Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors. First edition, August 2014. (Информационные технологии - Методы обеспечения безопасности - Практическое руководство по защите персонально идентифицируемой информации (ПИИ) в публичных облаках, используемых для обработки ПИИ. Первая редакция, Август 2014).

Re: Office 365

Послано Игорь Павлов в 14.Сентябрь.2017 15:16

Тогда вот пример:

Офис 365. Датацентр в США (есть вариант в Ирландии).

Есть почта Эксчейндж. Сервер в США (в Ирландии).

Есть локальный почтовый клиент Outlook.

Можно ли в этом случае сказать, что данные обрабатываются локально?

Re: Office 365

Послано Александр Астахов в 14.Сентябрь.2017 16:10

Если Outlook загружает почту с сервера в локальную базу по POP3, то очевидно эти данные хранятся локально. Если работа с почтой осуществляется по IMAP или HTTP, тогда данные хранятся на сервере удаленно.

Re: Office 365

Послано Игорь Павлов в 18.Сентябрь.2017 16:04

Вот наткнулся в сети:

http://www.garant.ru/products/ipo/prime/doc/70475710/

 

Получается, что почтовый сервер не является ИСПДН?

Прокомментируйте, пожалуйста

Re: Office 365

Послано Александр Астахов в 18.Сентябрь.2017 17:11

Очень долго читать. Почему почтовый сервер не является ИСПДн, если он обрабатывает ПДн, и причем здесь приказ Федеральной службы картографии?

Разработано Ploneboard
Как стать участником |  Что может участник  |  Как работать с порталом  |  Реклама |  Авторские права  |  Контакты  |  Конкурсы  |  RSS  |  Форум
©2003 - 2017 GlobalTrust
Рейтинг@Mail.ru Rambler's Top100 Yandex