Размещение технических средств обработки персональных данных в коммерческом ЦОД.
Операции с документом
Размещение технических средств обработки персональных данных в коммерческом ЦОД.


Приветствую, Коллеги.
Правильно ли я понимаю, что в соответствии с приказом ФСТЭК от 18 февраля 2013
г. N 21 п. 8.12 и приказом ФСБ от 10 июля 2014 г. N
378, размещать серверы осуществляющие хранение персональных данных и (опционально) их обработку в общем серверном помещении коммерческого ЦОДа становится невозможно, т.к. в этом ЦОДе и в этом же помещении арендуют стойко-места третьи лица, доступ которых в помещение санкционирует ЦОД, а не оператор ПД.
Перефразирую иначе, является ли нарушением 152-ФЗ размещение серверов ИСПДн, в арендованном закрытом телекоммуникационном шкафу с отдельной СКУД для шкафа и видеонаблюдением но в общем серверном зале коммерческого ЦОДа?
И аналогичный вопрос по 382-П.
Заранее спасибо за ответ.
Re: Размещение технических средств обработки персональных данных в коммерческом ЦОД.

Хороший вопрос. Я бы не стал так жестко трактовать требования по контролю физического доступа, сформулированные в указанных выше документах регуляторов. Эти функции могут передаваться охране бизнес-центра, ЧОП, охране ЦОД и т.п. В соответствующих договорах с этими структурами должна быть закреплена их обязанности по контролю доступа, ответственность, порядок и условия предоставления такого доступа.
Размещение серверного оборудования в общем зале ЦОД создает дополнительные риски, которыми можно управлять теми средствами которые вы перечислили: запираемые шкафы, СКУД, сигнализация, видеонаблюдение, регистрация и авторизация посетителей и т.п. Достаточность конкретного набора мер определяется уровнем риска для ПДн. К сожалению у нас регуляторы понятием риска до сих пор не оперируют, а применяют бинарную схему "разрешено/запрещено", и возникают коллизии вида "и запретить глупо и разрешить невозможно".
Другими словами, нарушением 152-ФЗ будет являться ни размещение серверов ИСПДн в общем зале ЦОД или еще где-либо, а непринятие оператором ПДн адекватных мер по обеспечению безопасности этих ПДн (конечно, в соответствии с требованиями регуляторов). Решения по конкретному набору мер, способам их реализации, исполнителям, распределению ответственности должны приниматься, исходя из конкретных условий, с учетом существующих рисков, отношения к этим рискам и финансовых возможностей оператора.
Re: Размещение технических средств обработки персональных данных в коммерческом ЦОД.

Александр, спасибо за ответ.
То есть однозначно доступ в помещение должен быть только с санкции оператора ПД? Так сказано в этих приказах "меры должны исключить НСД" и так оно и должно быть, очевидно. Как это будет реализовано это уже третий вопрос. Не представляю как охрана ЦОД может обеспечить такие условия. Не будет же она согласовывать списки доступа в помещение с оператором ПД? Есть вариант отгородить шкаф клеткой как на рисунке.

Какие ещё меры со стороны охраны ЦОД должны быть предприняты чтобы требования регулятора выполнялись?
Re: Размещение технических средств обработки персональных данных в коммерческом ЦОД.

То есть однозначно доступ в помещение должен быть только с санкции оператора ПД? Так сказано в этих приказах "меры должны исключить НСД" и так оно и должно быть, очевидно. Как это будет реализовано это уже третий вопрос. Не представляю как охрана ЦОД может обеспечить такие условия. Не будет же она согласовывать списки доступа в помещение с оператором ПД? Есть вариант отгородить шкаф клеткой как на рисунке.
Какие ещё меры со стороны охраны ЦОД должны быть предприняты чтобы требования регулятора выполнялись?