ProHoster > بلوق > إدارة > IaaS 152-FZ: إذن، أنت بحاجة إلى الأمان

IaaS 152-FZ: إذن، أنت بحاجة إلى الأمان

IaaS 152-FZ: إذن، أنت بحاجة إلى الأمان

بغض النظر عن مدى قيامك بفرز الخرافات والأساطير التي تحيط بالامتثال لـ 152-FZ، يظل هناك دائمًا شيء ما وراء الكواليس. نريد اليوم مناقشة بعض الفروق الدقيقة التي لا تكون واضحة دائمًا والتي قد تواجهها الشركات الكبيرة والمؤسسات الصغيرة جدًا:

  • التفاصيل الدقيقة لتصنيف PD إلى فئات - عندما يقوم متجر صغير عبر الإنترنت بجمع البيانات المتعلقة بفئة خاصة دون معرفة ذلك؛

  • حيث يمكنك تخزين نسخ احتياطية من PD المجمعة وتنفيذ العمليات عليها؛

  • ما هو الفرق بين الشهادة واستنتاج الامتثال، وما هي المستندات التي يجب أن تطلبها من المزود، وأشياء من هذا القبيل.

وأخيرا، سوف نشارككم تجربتنا الخاصة في اجتياز الشهادة. يذهب!

الخبير في مقال اليوم سيكون أليكسي أفاناسييف، IS متخصص لموفري الخدمات السحابية IT-GRAD و#CloudMTS (جزء من مجموعة MTS).

الدقيقة من التصنيف

غالبًا ما نواجه رغبة العميل في تحديد مستوى الأمان المطلوب لـ ISPD بسرعة، دون الحاجة إلى تدقيق IS. تعطي بعض المواد الموجودة على الإنترنت حول هذا الموضوع انطباعًا خاطئًا بأن هذه مهمة بسيطة ومن الصعب جدًا ارتكاب الأخطاء.

لتحديد إدارة المعرفة (KM)، من الضروري فهم البيانات التي سيتم جمعها ومعالجتها بواسطة نظام معلومات العميل. في بعض الأحيان قد يكون من الصعب تحديد متطلبات الحماية وفئة البيانات الشخصية التي تديرها الشركة بشكل لا لبس فيه. يمكن تقييم نفس أنواع البيانات الشخصية وتصنيفها بطرق مختلفة تمامًا. ولذلك في بعض الحالات قد يختلف رأي المنشأة عن رأي مراقب الحسابات أو حتى المفتش. دعونا نلقي نظرة على بعض الأمثلة.

موقف السيارات. قد يبدو وكأنه نوع تقليدي إلى حد ما من الأعمال. تعمل العديد من أساطيل المركبات منذ عقود، ويقوم أصحابها بتوظيف رواد الأعمال الأفراد والأفراد. كقاعدة عامة، تندرج بيانات الموظف ضمن متطلبات UZ-4. ومع ذلك، للعمل مع السائقين، من الضروري ليس فقط جمع البيانات الشخصية، ولكن أيضًا إجراء المراقبة الطبية على أراضي أسطول المركبات قبل الذهاب إلى التحول، والمعلومات التي تم جمعها في العملية تندرج على الفور في فئة البيانات الطبية - وهذه بيانات شخصية من فئة خاصة. بالإضافة إلى ذلك، قد يطلب الأسطول شهادات، والتي سيتم بعد ذلك الاحتفاظ بها في ملف السائق. مسح هذه الشهادة في شكل إلكتروني - البيانات الصحية والبيانات الشخصية لفئة خاصة. وهذا يعني أن UZ-4 لم يعد كافيًا، بل مطلوب UZ-3 على الأقل.

Интернет-магазин. يبدو أن الأسماء وعناوين البريد الإلكتروني وأرقام الهواتف التي تم جمعها تندرج ضمن الفئة العامة. ومع ذلك، إذا أشار عملاؤك إلى تفضيلاتهم الغذائية، مثل الحلال أو الكوشر، فقد يتم اعتبار هذه المعلومات بيانات تتعلق بالانتماء الديني أو المعتقد. ولذلك، عند فحص أو تنفيذ أنشطة رقابية أخرى، قد يقوم المفتش بتصنيف البيانات التي تجمعها كفئة خاصة من البيانات الشخصية. الآن، إذا قام أحد المتاجر عبر الإنترنت بجمع معلومات حول ما إذا كان المشتري يفضل اللحوم أو الأسماك، فيمكن تصنيف البيانات على أنها بيانات شخصية أخرى. بالمناسبة، ماذا عن النباتيين؟ بعد كل شيء، يمكن أن يعزى ذلك أيضا إلى المعتقدات الفلسفية، التي تنتمي أيضا إلى فئة خاصة. ولكن من ناحية أخرى، قد يكون هذا مجرد موقف الشخص الذي ألغى اللحوم من نظامه الغذائي. للأسف، لا توجد علامة تحدد بشكل لا لبس فيه فئة اضطراب باركنسون في مثل هذه المواقف "الدقيقة".

وكالة إعلانات باستخدام بعض الخدمات السحابية الغربية، تقوم بمعالجة البيانات المتاحة للعامة لعملائها - الأسماء الكاملة وعناوين البريد الإلكتروني وأرقام الهواتف. تتعلق هذه البيانات الشخصية بالطبع بالبيانات الشخصية. السؤال الذي يطرح نفسه: هل من القانوني إجراء مثل هذه المعالجة؟ هل من الممكن حتى نقل مثل هذه البيانات دون إلغاء الشخصية خارج الاتحاد الروسي، على سبيل المثال، لتخزين النسخ الاحتياطية في بعض السحب الأجنبية؟ بالتأكيد تستطيع. يحق للوكالة تخزين هذه البيانات خارج روسيا، ومع ذلك، يجب أن يتم التجميع الأولي، وفقًا لتشريعاتنا، على أراضي الاتحاد الروسي. إذا قمت بنسخ هذه المعلومات احتياطيًا، أو قمت بحساب بعض الإحصائيات بناءً عليها، أو إجراء بحث أو إجراء بعض العمليات الأخرى باستخدامها - كل هذا يمكن القيام به باستخدام الموارد الغربية. النقطة الأساسية من وجهة نظر قانونية هي مكان جمع البيانات الشخصية. ولذلك فمن المهم عدم الخلط بين الجمع الأولي والمعالجة.

كما يتبين من هذه الأمثلة القصيرة، فإن العمل مع البيانات الشخصية ليس دائمًا واضحًا وبسيطًا. لا تحتاج إلى معرفة أنك تعمل معهم فحسب، بل تحتاج أيضًا إلى أن تكون قادرًا على تصنيفهم بشكل صحيح، وفهم كيفية عمل IP من أجل تحديد مستوى الأمان المطلوب بشكل صحيح. في بعض الحالات، قد يُطرح سؤال حول مقدار البيانات الشخصية التي تحتاجها المنظمة فعليًا للعمل. هل من الممكن رفض البيانات الأكثر "خطورة" أو ببساطة غير الضرورية؟ بالإضافة إلى ذلك، توصي الهيئة التنظيمية بإضفاء الطابع الشخصي على البيانات الشخصية حيثما أمكن ذلك. 

كما هو الحال في الأمثلة أعلاه، قد تواجه أحيانًا حقيقة أن سلطات التفتيش تفسر البيانات الشخصية التي تم جمعها بشكل مختلف قليلاً عن تقييمك لها بنفسك.

بالطبع، يمكنك تعيين مدقق أو متخصص في تكامل الأنظمة كمساعد، ولكن هل سيكون "المساعد" مسؤولاً عن القرارات المختارة في حالة التدقيق؟ ومن الجدير بالذكر أن المسؤولية تقع دائمًا على عاتق مالك ISPD – مشغل البيانات الشخصية. ولهذا السبب، عندما تقوم شركة بمثل هذا العمل، من المهم اللجوء إلى لاعبين جادين في السوق لمثل هذه الخدمات، على سبيل المثال، الشركات التي تجري أعمال إصدار الشهادات. تتمتع الشركات المعتمدة بخبرة واسعة في تنفيذ مثل هذا العمل.

خيارات لبناء ISPD

إن بناء ISPD ليس مجرد مسألة فنية، ولكنه أيضًا مسألة قانونية إلى حد كبير. يجب على رئيس قسم المعلومات أو مدير الأمن دائمًا التشاور مع المستشار القانوني. نظرًا لأن الشركة ليس لديها دائمًا متخصص بالملف التعريفي الذي تحتاجه، فمن المفيد البحث عن مستشاري التدقيق. قد لا تكون العديد من النقاط الزلقة واضحة على الإطلاق.

ستسمح لك الاستشارة بتحديد البيانات الشخصية التي تتعامل معها ومستوى الحماية الذي تتطلبه. وبناء على ذلك، سوف تحصل على فكرة عن عنوان IP الذي يجب إنشاؤه أو استكماله بتدابير الأمان والأمن التشغيلي.

في كثير من الأحيان يكون الاختيار بالنسبة للشركة بين خيارين:

  1. قم ببناء نظام المعلومات المطابق على حلول الأجهزة والبرامج الخاصة بك، ربما في غرفة الخادم الخاصة بك.

  2. اتصل بمزود الخدمة السحابية واختر حلاً مرنًا، وهو "غرفة خادم افتراضية" معتمدة بالفعل.

تستخدم معظم أنظمة المعلومات التي تعالج البيانات الشخصية نهجًا تقليديًا، والذي من وجهة نظر الأعمال، لا يمكن وصفه بأنه سهل وناجح. عند اختيار هذا الخيار، من الضروري أن نفهم أن التصميم الفني سيتضمن وصفًا للمعدات، بما في ذلك حلول البرامج والأجهزة والمنصات. وهذا يعني أنه سيتعين عليك مواجهة الصعوبات والقيود التالية:

  • صعوبة القياس

  • فترة تنفيذ طويلة للمشروع: من الضروري اختيار النظام وشرائه وتثبيته وتكوينه ووصفه؛

  • الكثير من الأعمال "الورقية"، على سبيل المثال - تطوير مجموعة كاملة من الوثائق لISPD بأكمله.

بالإضافة إلى ذلك، عادةً ما تفهم الشركة المستوى "الأعلى" فقط من عنوان IP الخاص بها - أي تطبيقات الأعمال التي تستخدمها. وبعبارة أخرى، يتمتع موظفو تكنولوجيا المعلومات بالمهارة في مجالهم المحدد. لا يوجد فهم لكيفية عمل جميع "المستويات الأدنى": حماية البرامج والأجهزة، وأنظمة التخزين، والنسخ الاحتياطي، وبالطبع كيفية تكوين أدوات الحماية وفقًا لجميع المتطلبات، وبناء جزء "الأجهزة" من التكوين. من المهم أن نفهم: هذه طبقة ضخمة من المعرفة تقع خارج نطاق عمل العميل. هذا هو المكان الذي يمكن أن تكون فيه تجربة موفر السحابة الذي يوفر "غرفة خادم افتراضية" معتمدة مفيدة.

وفي المقابل، يتمتع موفرو الخدمات السحابية بعدد من المزايا التي يمكنها، دون مبالغة، تغطية 99% من احتياجات الأعمال في مجال حماية البيانات الشخصية:

  • يتم تحويل التكاليف الرأسمالية إلى تكاليف التشغيل؛

  • ويضمن المزود، من جانبه، توفير المستوى المطلوب من الأمان والتوافر بناءً على حل قياسي مثبت؛

  • ليست هناك حاجة للاحتفاظ بطاقم من المتخصصين الذين سيضمنون تشغيل ISPD على مستوى الأجهزة؛

  • يقدم مقدمو الخدمات حلولاً أكثر مرونة ومرونة؛

  • يمتلك المتخصصون لدى المزود جميع الشهادات اللازمة؛

  • الامتثال ليس أقل مما هو عليه عند بناء البنية الخاصة بك، مع مراعاة متطلبات وتوصيات المنظمين.

لا تزال الأسطورة القديمة القائلة بأنه لا يمكن تخزين البيانات الشخصية في السحابة شائعة للغاية. هذا صحيح جزئيًا فقط: لا يمكن نشر PD حقًا في أول واحد متاح سحاب. مطلوب الامتثال لبعض التدابير الفنية واستخدام بعض الحلول المعتمدة. إذا التزم مقدم الخدمة بجميع المتطلبات القانونية، فسيتم تقليل المخاطر المرتبطة بتسريب البيانات الشخصية. يمتلك العديد من مقدمي الخدمة بنية تحتية منفصلة لمعالجة البيانات الشخصية وفقًا لـ 152-FZ. ومع ذلك، يجب أيضًا التعامل مع اختيار المورد بمعرفة معايير معينة، وسنتطرق إليها بالتأكيد أدناه. 

غالبًا ما يأتي إلينا العملاء ببعض المخاوف بشأن وضع البيانات الشخصية في سحابة الموفر. حسنا، دعونا نناقشها على الفور.

  • قد تتم سرقة البيانات أثناء النقل أو الترحيل

ليست هناك حاجة للخوف من هذا - يقدم المزود للعميل إنشاء قناة نقل بيانات آمنة مبنية على حلول معتمدة وإجراءات مصادقة معززة للمقاولين والموظفين. كل ما تبقى هو اختيار طرق الحماية المناسبة وتنفيذها كجزء من عملك مع العميل.

  • سوف تظهر الأقنعة وتأخذ/تغلق/تقطع الطاقة عن الخادم

إنه أمر مفهوم تمامًا للعملاء الذين يخشون أن تتعطل عملياتهم التجارية بسبب عدم كفاية السيطرة على البنية التحتية. كقاعدة عامة، يفكر هؤلاء العملاء الذين كانت أجهزتهم موجودة مسبقًا في غرف خوادم صغيرة بدلاً من مراكز البيانات المتخصصة في هذا الأمر. في الواقع، مراكز البيانات مجهزة بوسائل حديثة للحماية المادية وحماية المعلومات. يكاد يكون من المستحيل تنفيذ أي عمليات في مركز البيانات هذا دون وجود أسباب وأوراق كافية، وتتطلب مثل هذه الأنشطة الالتزام بعدد من الإجراءات. بالإضافة إلى ذلك، فإن "سحب" الخادم الخاص بك من مركز البيانات قد يؤثر على عملاء المزود الآخرين، وهذا بالتأكيد ليس ضروريًا لأي شخص. بالإضافة إلى ذلك، لن يتمكن أحد من توجيه إصبع الاتهام إلى الخادم الافتراضي "الخاص بك" على وجه التحديد، لذلك إذا أراد شخص ما سرقته أو تنظيم عرض قناع، فسيتعين عليه أولاً التعامل مع الكثير من التأخيرات البيروقراطية. خلال هذا الوقت، من المرجح أن يكون لديك الوقت للانتقال إلى موقع آخر عدة مرات.

  • سوف يقوم المتسللون باختراق السحابة وسرقة البيانات

تمتلئ شبكة الإنترنت والصحافة المطبوعة بالعناوين الرئيسية حول كيفية وقوع سحابة أخرى ضحية لمجرمي الإنترنت، وتسرب الملايين من سجلات البيانات الشخصية عبر الإنترنت. في الغالبية العظمى من الحالات، لم يتم العثور على نقاط الضعف من جانب مقدم الخدمة على الإطلاق، ولكن في أنظمة معلومات الضحايا: كلمات مرور ضعيفة أو حتى افتراضية، و"ثغرات" في محركات مواقع الويب وقواعد البيانات، وإهمال الأعمال المبتذل عند اختيار التدابير الأمنية و تنظيم إجراءات الوصول إلى البيانات. يتم فحص جميع الحلول المعتمدة بحثًا عن نقاط الضعف. كما نقوم أيضًا بإجراء اختبارات "التحكم" وعمليات التدقيق الأمني ​​بشكل منتظم، سواء بشكل مستقل أو من خلال منظمات خارجية. بالنسبة لمزود الخدمة، فهذه مسألة سمعة وعمل بشكل عام.

  • سيقوم مقدم الخدمة/موظفوه بسرقة البيانات الشخصية لتحقيق مكاسب شخصية

هذه لحظة حساسة إلى حد ما. هناك عدد من الشركات في عالم أمن المعلومات "تخيف" عملائها وتصر على أن "الموظفين الداخليين أكثر خطورة من المتسللين الخارجيين". قد يكون هذا صحيحًا في بعض الحالات، لكن لا يمكن بناء الأعمال التجارية دون الثقة. من وقت لآخر، تظهر أخبار مفادها أن موظفي المؤسسة يسربون بيانات العملاء إلى المهاجمين، ويتم تنظيم الأمن الداخلي في بعض الأحيان بشكل أسوأ بكثير من الأمن الخارجي. من المهم أن نفهم هنا أن أي مزود كبير غير مهتم على الإطلاق بالحالات السلبية. يتم تنظيم تصرفات موظفي المزود بشكل جيد، ويتم تقسيم الأدوار ومجالات المسؤولية. يتم تنظيم جميع العمليات التجارية بحيث تكون حالات تسرب البيانات غير محتملة للغاية وتكون ملحوظة دائمًا للخدمات الداخلية، لذلك لا ينبغي للعملاء أن يخافوا من المشاكل من هذا الجانب.

  • أنت تدفع القليل لأنك تدفع مقابل الخدمات باستخدام بيانات عملك.

أسطورة أخرى: العميل الذي يستأجر بنية تحتية آمنة بسعر مريح يدفع ثمنها في الواقع من خلال بياناته - وهذا غالبًا ما يعتقده الخبراء الذين لا يمانعون في قراءة بعض نظريات المؤامرة قبل الذهاب إلى السرير. أولاً، إن إمكانية إجراء أي عمليات على بياناتك غير تلك المحددة في الطلب هي في الأساس صفر. ثانيا، يقدر المزود المناسب العلاقة معك وسمعته - إلى جانبك، لديه العديد من العملاء. السيناريو المعاكس هو الأرجح، حيث يقوم المزود بحماية بيانات عملائه بحماس، والتي تعتمد عليها أعماله.

اختيار مزود السحابة لـ ISPD

اليوم، يقدم السوق العديد من الحلول للشركات التي تعمل في مجال PD. فيما يلي قائمة عامة بالتوصيات لاختيار الخيار المناسب.

  • يجب أن يكون المزود مستعدًا للدخول في اتفاقية رسمية تصف مسؤوليات الأطراف واتفاقيات مستوى الخدمة ومجالات المسؤولية في مفتاح معالجة البيانات الشخصية. في الواقع، بينك وبين المزود، بالإضافة إلى اتفاقية الخدمة، يجب توقيع طلب لمعالجة PD. وعلى أية حال، فإن الأمر يستحق دراستها بعناية. من المهم أن تفهم تقسيم المسؤوليات بينك وبين مقدم الخدمة.

  • يرجى ملاحظة أن الشريحة يجب أن تستوفي المتطلبات، مما يعني أنها يجب أن تحتوي على شهادة تشير إلى مستوى أمان لا يقل عن المستوى الذي يتطلبه عنوان IP الخاص بك. ويحدث أن يقوم مقدمو الخدمة بنشر الصفحة الأولى فقط من الشهادة، والتي لا يتضح منها سوى القليل، أو يشيرون إلى عمليات التدقيق أو إجراءات الامتثال دون نشر الشهادة نفسها ("هل كان هناك صبي؟"). من المفيد أن نطلب ذلك - فهذه وثيقة عامة تشير إلى الجهة التي قامت بالشهادة، وفترة الصلاحية، والموقع السحابي، وما إلى ذلك.

  • يجب أن يقدم الموفر معلومات حول مكان وجود مواقعه (الكائنات المحمية) حتى تتمكن من التحكم في وضع بياناتك. دعنا نذكرك أن المجموعة الأولية للبيانات الشخصية يجب أن تتم على أراضي الاتحاد الروسي، وبالتالي، يُنصح بالاطلاع على عناوين مركز البيانات في العقد/الشهادة.

  • يجب على المزود استخدام أنظمة أمن المعلومات وحماية المعلومات المعتمدة. وبطبيعة الحال، لا يعلن معظم مقدمي الخدمة عن إجراءات الأمان التقنية وبنية الحلول التي يستخدمونها. لكنك، كعميل، لا يسعك إلا أن تعرف ذلك. على سبيل المثال، للاتصال عن بعد بنظام الإدارة (بوابة الإدارة)، من الضروري استخدام التدابير الأمنية. لن يتمكن الموفر من تجاوز هذا المطلب وسيزودك بالحلول المعتمدة (أو سيطلب منك استخدامها). خذ الموارد للاختبار وسوف تفهم على الفور كيف وماذا يعمل. 

  • من المرغوب فيه للغاية أن يقدم مزود السحابة خدمات إضافية في مجال أمن المعلومات. يمكن أن تكون هذه خدمات مختلفة: الحماية ضد هجمات DDoS وWAF، أو خدمة مكافحة الفيروسات أو وضع الحماية، وما إلى ذلك. كل هذا سيسمح لك بالحصول على الحماية كخدمة، وعدم تشتيت انتباهك عن طريق بناء أنظمة الحماية، ولكن العمل على تطبيقات الأعمال.

  • يجب أن يكون المزود مرخصًا من FSTEC وFSB. وكقاعدة عامة، يتم نشر هذه المعلومات مباشرة على الموقع. تأكد من طلب هذه المستندات والتحقق من صحة عناوين تقديم الخدمات واسم الشركة المقدمة وما إلى ذلك. 

دعونا نلخص. سيسمح لك استئجار البنية التحتية بالتخلي عن النفقات الرأسمالية والاحتفاظ فقط بتطبيقات عملك والبيانات نفسها في منطقة مسؤوليتك، ونقل العبء الثقيل المتمثل في اعتماد الأجهزة والبرامج والأجهزة إلى الموفر.

كيف حصلنا على الشهادة

في الآونة الأخيرة، نجحنا في اجتياز إعادة اعتماد البنية التحتية لـ "Secure Cloud FZ-152" للامتثال لمتطلبات العمل مع البيانات الشخصية. تم تنفيذ العمل من قبل المركز الوطني لإصدار الشهادات.

حاليًا، تم اعتماد "FZ-152 Secure Cloud" لاستضافة أنظمة المعلومات المشاركة في معالجة أو تخزين أو نقل البيانات الشخصية (ISPDn) وفقًا لمتطلبات المستوى UZ-3.

يتضمن إجراء الشهادة التحقق من امتثال البنية التحتية لموفر السحابة لمستوى الحماية. يوفر المزود نفسه خدمة IaaS وليس مشغلاً للبيانات الشخصية. تتضمن العملية تقييم كل من التدابير التنظيمية (الوثائق، والأوامر، وما إلى ذلك) والتدابير الفنية (إعداد معدات الحماية، وما إلى ذلك).

لا يمكن أن يسمى تافهة. على الرغم من ظهور GOST على البرامج وطرق إجراء أنشطة إصدار الشهادات في عام 2013، إلا أن البرامج الصارمة للكائنات السحابية لا تزال غير موجودة. تقوم مراكز الاعتماد بتطوير هذه البرامج بناءً على خبراتها الخاصة. مع ظهور تقنيات جديدة، تصبح البرامج أكثر تعقيدًا وحداثة، وبالتالي، يجب أن يكون لدى جهة التصديق خبرة في العمل مع الحلول السحابية وفهم التفاصيل.

في حالتنا، يتكون الكائن المحمي من موقعين.

  • توجد الموارد السحابية (الخوادم، وأنظمة التخزين، والبنية التحتية للشبكة، وأدوات الأمان، وما إلى ذلك) مباشرة في مركز البيانات. وبطبيعة الحال، يرتبط مركز البيانات الافتراضي هذا بالشبكات العامة، وبالتالي يجب استيفاء متطلبات معينة لجدار الحماية، على سبيل المثال، استخدام جدران الحماية المعتمدة.

  • الجزء الثاني من الكائن هو أدوات إدارة السحابة. هذه هي محطات العمل (محطات عمل المسؤول) التي تتم إدارة الجزء المحمي منها.

تتواصل المواقع من خلال قناة VPN مبنية على CIPF.

نظرًا لأن تقنيات المحاكاة الافتراضية تخلق شروطًا مسبقة لظهور التهديدات، فإننا نستخدم أيضًا أدوات حماية معتمدة إضافية.

IaaS 152-FZ: إذن، أنت بحاجة إلى الأمانمخطط الكتلة "من خلال عيون المقيم"

إذا كان العميل يحتاج إلى شهادة ISPD الخاصة به، بعد استئجار IaaS، فلن يتعين عليه سوى تقييم نظام المعلومات أعلى من مستوى مركز البيانات الافتراضي. يتضمن هذا الإجراء فحص البنية التحتية والبرامج المستخدمة فيه. نظرًا لأنه يمكنك الرجوع إلى شهادة الموفر فيما يتعلق بجميع مشكلات البنية التحتية، فكل ما عليك فعله هو العمل مع البرنامج.

IaaS 152-FZ: إذن، أنت بحاجة إلى الأمانالفصل على مستوى التجريد

في الختام، إليك قائمة مرجعية صغيرة للشركات التي تعمل بالفعل مع البيانات الشخصية أو التي تخطط فقط. فكيف تتعامل معها دون أن تحترق؟

  1. لتدقيق وتطوير نماذج التهديدات والمتسللين، قم بدعوة استشاري ذو خبرة من بين مختبرات التصديق الذي سيساعد في تطوير المستندات اللازمة ويوصلك إلى مرحلة الحلول التقنية.

  2. عند اختيار مزود السحابة، انتبه إلى وجود الشهادة. سيكون من الجيد أن تقوم الشركة بنشره علنًا مباشرة على الموقع. يجب أن يكون المزود مرخصًا من FSTEC وFSB، ويجب أن تكون الخدمة التي يقدمها معتمدة.

  3. تأكد من أن لديك اتفاقية رسمية وتعليمات موقعة لمعالجة البيانات الشخصية. "بناءً على ذلك، ستتمكن من إجراء فحص الامتثال وشهادة ISPD. إذا كان هذا العمل في مرحلة المشروع الفني وإنشاء التصميم والوثائق الفنية يبدو مرهقًا بالنسبة لك، فيجب عليك الاتصال بشركات استشارية خارجية من بين مختبرات التصديق.

إذا كانت قضايا معالجة البيانات الشخصية ذات صلة بك، في 18 سبتمبر، يوم الجمعة هذا، سنكون سعداء برؤيتك في الندوة عبر الإنترنت "مميزات بناء السحابات المعتمدة".

المصدر: www.habr.com

إضافة تعليق