Перейти к содержимому. | Перейти к навигации

Персональные инструменты
Вход Регистрация
Вы здесь: Главная ФОРУМ Защита персональных данных 4-й уровень защищенности для ИСПДн
Protectiva Compliance Manager

4-й уровень защищенности для ИСПДн

Операции с документом
Вверх к Защита персональных данных

4-й уровень защищенности для ИСПДн

Послано Татьяна Иванова в 21.Июнь.2019 20:08

Добрый день!

Интересуют ваши мысли, по следующему вопросу: можно ли признать угрозы 3-го типа неактуальными? Например, через пользовательское соглашение, в котором указывается, что пользователь соглашается с тем, что ущерб от НСД к его ПДн не является существенным. И таким образом уйти от необходимости обеспечения 4-го уровня защищенности ИСПДн? Или 4-й уровень мы должны обеспечить, по умолчанию? В любом случае?

P.S. Речь об ИСПДн "Сайт", на котором из персональных данных собирается: e-mail, пароль, IP, cookies. e-mail служит для восстановления пароля и для доступа к личному кабинету. Личный кабинет используется, для добавления части публикаций в закладки. Сайт хостится на стороннем хостинге в РФ, соответственно я не могу выполнить требования об ограничении физического доступа к носителям на которых хранятся ПДн. ВОт ломаю голову, что делать.

Спасибо!

Re: 4-й уровень защищенности для ИСПДн

Послано Александр Астахов в 24.Июнь.2019 13:56

4-й уровень должны обеспечить в любом случае, т.к. 152-ФЗ ст. 19 не предоставляет оператору ПДн свободы выбора. Состав и содержание мер защиты устанавливается правительством и уполномоченными органами, а не оператором по соглашению с субъектом ПДн. Поэтому в независимости от мнения субъекта или оператора, установленные требования вы обязаны выполнить. Этим наше законодательство (в худшую сторону) отличается от западного.

Требование об ограничении физического доступа к носителям ПДн (а без выполнения данного требования любые прочие меры ИБ не имеют смысла) должны реализовывать в данном случае не вы, а хостинг провайдер. А вам надо убедиться, что он эти меры реализует, и предусмотреть в договоре с провайдером данное требование.

Re: 4-й уровень защищенности для ИСПДн

Послано Татьяна Иванова в 27.Июнь.2019 10:53
Предыдущий Александр Астахов писал:

Требование об ограничении физического доступа к носителям ПДн (а без выполнения данного требования любые прочие меры ИБ не имеют смысла) должны реализовывать в данном случае не вы, а хостинг провайдер. А вам надо убедиться, что он эти меры реализует, и предусмотреть в договоре с провайдером данное требование.

Эх.. Только хостеров таких штуки 4 всего, и ценник у них... Может знаете таких которые в типовой договор включают такой пункт?

Re: 4-й уровень защищенности для ИСПДн

Послано Татьяна Иванова в 27.Июнь.2019 11:42

И остается ещё передача по открытому каналу связи между браузером пользователя и хостингом...

Re: 4-й уровень защищенности для ИСПДн

Послано Александр Астахов в 27.Июнь.2019 15:20
Предыдущий Татьяна Иванова писал:
Предыдущий Александр Астахов писал:

Требование об ограничении физического доступа к носителям ПДн (а без выполнения данного требования любые прочие меры ИБ не имеют смысла) должны реализовывать в данном случае не вы, а хостинг провайдер. А вам надо убедиться, что он эти меры реализует, и предусмотреть в договоре с провайдером данное требование.

Эх.. Только хостеров таких штуки 4 всего, и ценник у них... Может знаете таких которые в типовой договор включают такой пункт?

А в чем проблема? Разве есть хостеры, которые не обеспечивают контроль физического доступа к своим серверам? Если бы такие и были, у них бы давно все оборудование растащили.

Re: 4-й уровень защищенности для ИСПДн

Послано Александр Астахов в 27.Июнь.2019 15:23
Предыдущий Татьяна Иванова писал:

И остается ещё передача по открытому каналу связи между браузером пользователя и хостингом...

 

Передавайте по закрытому. Сейчас https везде и у всех почти. Не вижу проблемы.

Re: 4-й уровень защищенности для ИСПДн

Послано Татьяна Иванова в 27.Июнь.2019 15:48

Предыдущий Александр Астахов писал:

Передавайте по закрытому. Сейчас https везде и у всех почти. Не вижу проблемы.

А то что оно не сертифицировано ФСТЭК или ФСБ?

Re: 4-й уровень защищенности для ИСПДн

Послано Татьяна Иванова в 27.Июнь.2019 15:54

Предыдущий Александр Астахов писал:

А в чем проблема? Разве есть хостеры, которые не обеспечивают контроль физического доступа к своим серверам? Если бы такие и были, у них бы давно все оборудование растащили.
Хосетры, конечно, защищают доступ к своему оборудованию :) и мы это интуитивно понимаем :) Проблема в том, что обычно в договоре заключаемом между хостером и заказчиком это никак не прописывается. Договор обычно заключается в форме присоединения, т.е. повлиять на его содержание заказчик не может, либо принимает как есть, либо не пользуется услугами.
Соответственно, хостер защищает свою инфраструктуру, но обязанности такой у него перед заказчиком нет. Те же сотрудники хостера имеющие физически доступ к серверам являются потенциальными нарушителями :)

Re: 4-й уровень защищенности для ИСПДн

Послано Александр Астахов в 27.Июнь.2019 16:31
Предыдущий Татьяна Иванова писал:

Предыдущий Александр Астахов писал:

Передавайте по закрытому. Сейчас https везде и у всех почти. Не вижу проблемы.

А то что оно не сертифицировано ФСТЭК или ФСБ?

 

А где написано, что оно должно быть сертифицировано?

Re: 4-й уровень защищенности для ИСПДн

Послано Александр Астахов в 27.Июнь.2019 16:45
Предыдущий Татьяна Иванова писал:

Предыдущий Александр Астахов писал:

А в чем проблема? Разве есть хостеры, которые не обеспечивают контроль физического доступа к своим серверам? Если бы такие и были, у них бы давно все оборудование растащили.
Хосетры, конечно, защищают доступ к своему оборудованию :) и мы это интуитивно понимаем :) Проблема в том, что обычно в договоре заключаемом между хостером и заказчиком это никак не прописывается. Договор обычно заключается в форме присоединения, т.е. повлиять на его содержание заказчик не может, либо принимает как есть, либо не пользуется услугами.
Соответственно, хостер защищает свою инфраструктуру, но обязанности такой у него перед заказчиком нет. Те же сотрудники хостера имеющие физически доступ к серверам являются потенциальными нарушителями :)

 

Хостеру вы поручаете обработку ПДн, т.к. по закону даже физическое хранение ПДн является обработкой. В договорных отношения с ним это должно быть отражено. Согласно букве закона:
"должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых ПДн"

Re: 4-й уровень защищенности для ИСПДн

Послано Татьяна Иванова в 27.Июнь.2019 18:36
Предыдущий Александр Астахов писал:
Хостеру вы поручаете обработку ПДн, т.к. по закону даже физическое хранение ПДн является обработкой. В договорных отношения с ним это должно быть отражено. Согласно букве закона:
"должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых ПДн"
 
Но ведь не любой хостер согласен заключать такое соглашение об обработке ПДн? В типовые договора они такого не включают. А если и согласится, тогда он должен обеспечить безопасность и конфиденциальность передаваемых ему на обработку ПДн, т.е. должен иметь лицензию ФСТЭК на оказание услуг по технической защите информации. Так? З

Re: 4-й уровень защищенности для ИСПДн

Послано Александр Астахов в 27.Июнь.2019 19:24
Предыдущий Татьяна Иванова писал:
Предыдущий Александр Астахов писал:
Хостеру вы поручаете обработку ПДн, т.к. по закону даже физическое хранение ПДн является обработкой. В договорных отношения с ним это должно быть отражено. Согласно букве закона:
"должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых ПДн"
 
Но ведь не любой хостер согласен заключать такое соглашение об обработке ПДн? В типовые договора они такого не включают. А если и согласится, тогда он должен обеспечить безопасность и конфиденциальность передаваемых ему на обработку ПДн, т.е. должен иметь лицензию ФСТЭК на оказание услуг по технической защите информации. Так? З

 

Лицензия ФСТЭК нужна хостеру, если он будет оказывать какие-либо услуги по ТЗКИ, например, контроль защищенности конфиденциальной информации от несанкционированного доступа или установка, монтаж, испытания, ремонт средств защиты информации и т.п. Для заключения договоров с третьими лицами на оказание подобных услуг нужна лицензия ФСТЭК. Если от хостера требуется только ограничить физический доступ к принадлежащим ему средствам обработки информации, то для этого лицензия не нужна.
 
В вашем случае обработку ПДн скорее всего вы сами осуществляете. Хостер только предоставляет вам в аренду свои виртуальные и физические вычислительные ресурсы. Он обеспечивает только хранение и физическую сохранность ваших баз ПДн. Если он не готов нести ответственность и за это по договору, то получается, что он вообще ни за что не отвечает.

Re: 4-й уровень защищенности для ИСПДн

Послано Татьяна Иванова в 28.Июнь.2019 13:01

Большое спасибо за ответы. Раскладываете по полочкам.

И в теории всё логично, всё понятно, а на практике - не могу найти такой хостинг, если знаете посоветуйте, пожалуйста.

И ещё вопрос, а можно вместо ограничения доступа сотрудников хостера, просто всё шифровать? И нужно ли будет при таком шифровании применять только сертифицированные средства шифрования?

Re: 4-й уровень защищенности для ИСПДн

Послано Александр Астахов в 28.Июнь.2019 14:56

Шифровать можно и нужно, однако СКЗИ, используемые для защиты ПДн, должны быть сертифицированы. Конкретных провайдеров советовать не буду.

От провайдера требуется: "организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения и обеспечение сохранности носителей персональных данных".

Лучше вы укажите провайдеров, которые отказываются от заключения договора или от выполнения данного требования.

 

Re: 4-й уровень защищенности для ИСПДн

Послано Татьяна Иванова в 28.Июнь.2019 17:43
Предыдущий Александр Астахов писал:

Шифровать можно и нужно, однако СКЗИ, используемые для защиты ПДн, должны быть сертифицированы.

А к https это не относится?

Re: 4-й уровень защищенности для ИСПДн

Послано Александр Астахов в 28.Июнь.2019 18:17
Предыдущий Татьяна Иванова писал:
Предыдущий Александр Астахов писал:

Шифровать можно и нужно, однако СКЗИ, используемые для защиты ПДн, должны быть сертифицированы.

А к https это не относится?

 

Вообще то относится, как это не печально.

Re: 4-й уровень защищенности для ИСПДн

Послано Татьяна Иванова в 28.Июнь.2019 18:42

а есть такой https сертифицированный?

Re: 4-й уровень защищенности для ИСПДн

Послано Александр Астахов в 29.Июнь.2019 17:57

конечно есть. нужен сертифицированный криптопровайдер с поддержкой протокола TLS

Re: 4-й уровень защищенности для ИСПДн

Послано Татьяна Иванова в 29.Июнь.2019 22:22

Это что-то вроде КриптоПро? Когда каждый клиент должен поставить себе дополнительное ПО?

Re: 4-й уровень защищенности для ИСПДн

Послано Александр Астахов в 1.Июль.2019 12:58

должен поставить. есть также варианты, когда криптопровайдер автоматически загружается при входе на сайт.

Re: 4-й уровень защищенности для ИСПДн

Послано Татьяна Иванова в 2.Июль.2019 11:24
Предыдущий Александр Астахов писал:

От провайдера требуется: "организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения и обеспечение сохранности носителей персональных данных".

Лучше вы укажите провайдеров, которые отказываются от заключения договора или от выполнения данного требования. 

Ну вот, например, договор оферты у nic.ru, полный текст здесь:
цитирую
"3. ОБЯЗАТЕЛЬСТВА СТОРОН
3.1. Исполнитель обязуется:
3.1.1. Выполнять условия настоящего Договора, приложений и инструкций.
3.1.2. Оказывать услуги в соответствии с условиями настоящего Договора, приложений и инструкций.
3.1.3. Обеспечивать Заказчика консультациями по вопросам, возникающим в связи с исполнением настоящего Договора и приложений.
3.1.4. Своевременно доводить до сведения Заказчика изменения, вносимые в Договор, приложения, инструкции, в порядке, установленном в настоящем Договоре.
3.1.5. Направлять Заказчику счет-фактуру и акт способом, выбранным Заказчиком в соответствии с Приложением 4 к настоящему Договору. Если выбран способ получения посредством почтовой связи, в случае изменения почтового адреса Заказчика, Заказчик обязуется сообщить его Исполнителю посредством внесения в регистрационные данные с использованием пароля. В случае если Заказчик не уведомил Исполнителя о смене почтового адреса, а также во всех иных, произошедших не по вине Исполнителя случаях неполучения Заказчиком документов, направленных Исполнителем в его адрес почтовой связью, ответственность за их неполучение несет Заказчик. Повторное отправление документов в адрес Заказчика осуществляется Исполнителем на платной основе по тарифами на услуги, приведенным в Приложении 2.3.1.6. Уведомлять Заказчика о времени и продолжительности возможных перерывов в предоставлении услуг, связанных с обслуживанием технических средств, путем опубликования информации на веб-сервере Исполнителя в срок не позднее чем за 48 (сорок восемь) часов до момента наступления перерывов. При этом общая продолжительность возможных перерывов не может превышать 15 (пятнадцать) суток в течение одного календарного года, если иное не указано в соответствующих приложениях к Договору.Исполнитель вправе проводить экстренные ремонтные работы по устранению неисправностей, препятствующих пользованию услугами, без предварительного уведомления Заказчика с последующим информированием на веб-сервере Исполнителя, в том числе в разделе «Для клиентов», с указанием срока устранения данных неисправностей."
И это всё.


Re: 4-й уровень защищенности для ИСПДн

Послано Александр Астахов в 4.Июль.2019 14:46

"3.1. Исполнитель обязуется:

3.1.1. Выполнять условия настоящего Договора, приложений и инструкций."

Вот эти условия, приложения и инструкции и надо определить, в том числе предотвращение доступа посторонних лиц в помещения, к оборудованию и носителям информации.

Быстрый ответ
Адреса автоматически превратятся в ссылки. Основные тэги HTML в порядке
Разработано Ploneboard
Как стать участником |  Что может участник  |  Как работать с порталом  |  Реклама |  Авторские права  |  Контакты  |  Конкурсы  |  RSS  |  Форум
©2003 - 2019 GlobalTrust
Рейтинг@Mail.ru Rambler's Top100 Yandex