Перейти к содержимому. | Перейти к навигации

Персональные инструменты
Вход Регистрация
Вы здесь: Главная ФОРУМ Защита персональных данных Размещение технических средств обработки персональных данных в коммерческом ЦОД.
Protectiva Compliance Manager

Размещение технических средств обработки персональных данных в коммерческом ЦОД.

Операции с документом
Вверх к Защита персональных данных

Размещение технических средств обработки персональных данных в коммерческом ЦОД.

Послано Александр Кузнецов в 3.Июль.2015 09:39

Приветствую, Коллеги.

Правильно ли я понимаю, что в соответствии с приказом ФСТЭК от 18 февраля 2013 г. N 21 п. 8.12 и приказом ФСБ от 10 июля 2014 г. N 378, размещать серверы осуществляющие хранение персональных данных и (опционально) их обработку в общем серверном помещении коммерческого ЦОДа становится невозможно, т.к. в этом ЦОДе и в этом же помещении арендуют стойко-места третьи лица, доступ которых в помещение  санкционирует ЦОД, а не оператор ПД.

Перефразирую иначе, является ли нарушением 152-ФЗ размещение серверов ИСПДн, в арендованном закрытом телекоммуникационном шкафу с отдельной  СКУД для шкафа и видеонаблюдением но в общем серверном зале коммерческого ЦОДа?

И аналогичный вопрос по 382-П.


Заранее спасибо за ответ.


Re: Размещение технических средств обработки персональных данных в коммерческом ЦОД.

Послано Александр Астахов в 7.Июль.2015 09:41

Хороший вопрос. Я бы не стал так жестко трактовать требования по контролю физического доступа, сформулированные в указанных выше документах регуляторов. Эти функции могут передаваться охране бизнес-центра, ЧОП, охране ЦОД и т.п. В соответствующих договорах с этими структурами должна быть закреплена их обязанности по контролю доступа, ответственность, порядок и условия предоставления такого доступа.

Размещение серверного оборудования в общем зале ЦОД создает дополнительные риски, которыми можно управлять теми средствами которые вы перечислили: запираемые шкафы, СКУД, сигнализация, видеонаблюдение, регистрация и авторизация посетителей и т.п. Достаточность конкретного набора мер определяется уровнем риска для ПДн. К сожалению у нас регуляторы понятием риска до сих пор не оперируют, а применяют бинарную схему "разрешено/запрещено", и возникают коллизии вида "и запретить глупо и разрешить невозможно". 

Другими словами, нарушением 152-ФЗ будет являться ни размещение серверов ИСПДн в общем зале ЦОД или еще где-либо, а непринятие оператором ПДн адекватных мер по обеспечению безопасности этих ПДн (конечно, в соответствии с требованиями регуляторов). Решения по конкретному набору мер, способам их реализации, исполнителям, распределению ответственности должны приниматься, исходя из конкретных условий, с учетом существующих рисков, отношения к этим рискам и финансовых возможностей оператора.

Re: Размещение технических средств обработки персональных данных в коммерческом ЦОД.

Послано Александр Кузнецов в 7.Июль.2015 10:48

Александр, спасибо за ответ.

То есть однозначно доступ в помещение должен быть только с санкции оператора ПД? Так сказано в этих приказах "меры должны исключить НСД" и так оно и должно быть, очевидно. Как это будет реализовано это уже третий вопрос. Не представляю как охрана ЦОД может обеспечить такие условия. Не будет же она согласовывать списки доступа в помещение с оператором ПД? Есть вариант отгородить шкаф клеткой как на рисунке.

 

 

Какие ещё меры со стороны охраны ЦОД должны быть предприняты чтобы требования регулятора выполнялись?

Re: Размещение технических средств обработки персональных данных в коммерческом ЦОД.

Послано Александр Астахов в 7.Июль.2015 14:21
Предыдущий Александр Кузнецов писал:

То есть однозначно доступ в помещение должен быть только с санкции оператора ПД? Так сказано в этих приказах "меры должны исключить НСД" и так оно и должно быть, очевидно. Как это будет реализовано это уже третий вопрос. Не представляю как охрана ЦОД может обеспечить такие условия. Не будет же она согласовывать списки доступа в помещение с оператором ПД? Есть вариант отгородить шкаф клеткой как на рисунке. 

 
"Санкционированный доступ" не означает, что на каждое посещение объекта непосредственно требуется какая-то авторизация со стороны оператора. Главное, чтобы доступ осуществлялся в соответствии с установленным порядком - "пропускным режимом", позволяющим обеспечить приемлемый уровень риска. Доступ, осуществляемый с нарушением пропускного режима, является НСД. Полностью исключить НСД невозможно в любом случае, какие бы меры не предпринимались.
 
Отгородить шкаф клеткой и опечатать - на мой взгляд хорошее решение, по надежности сопоставимое с использованием выделенного помещения, при условии реализации прочих защитных мер, о которых вы упоминали выше.

 

Предыдущий Александр Кузнецов писал:

Какие ещё меры со стороны охраны ЦОД должны быть предприняты чтобы требования регулятора выполнялись?

 
Еще может применяться опечатывание помещений, стоек, системных блоков; сопровождение или видеомониторинг посетителей.
 
В помещение ЦОД, помимо сотрудников оператора ПДн, также могут иметь доступ сотрудники третьих лиц, сотрудники ЦОД, сотрудники подрядных организаций и коммунальных служб, аудиторы, сотрудники полиции и МЧС, пожарной инспекции и т.п. Если даже ЦОД находится на территории организации, то все равно при определенных обстоятельствах эти люди будут иметь в его помещения вполне себе санкционированный доступ. Главное, чтобы был установлен и соблюдался пропускной режим.
Быстрый ответ
Адреса автоматически превратятся в ссылки. Основные тэги HTML в порядке
Разработано Ploneboard
Как стать участником |  Что может участник  |  Как работать с порталом  |  Реклама |  Авторские права  |  Контакты  |  Конкурсы  |  RSS  |  Форум
©2003 - 2020 GlobalTrust
Рейтинг@Mail.ru Rambler's Top100 Yandex