ProHoster > Блог > басқарма > IaaS 152-FZ: сондықтан сізге қауіпсіздік қажет

IaaS 152-FZ: сондықтан сізге қауіпсіздік қажет

IaaS 152-FZ: сондықтан сізге қауіпсіздік қажет

152-ФЗ сәйкестігі туралы аңыздар мен аңыздарды қаншалықты сұрыптасаңыз да, әрқашан сахна артында бір нәрсе қалады. Бүгін біз ірі компаниялар да, өте шағын кәсіпорындар да кездесуі мүмкін әрқашан айқын емес нюанстарды талқылағымыз келеді:

  • санаттарға PD жіктелуінің нәзіктіктері - шағын интернет-дүкен арнайы санатқа қатысты деректерді тіпті ол туралы білмей жинаған кезде;

  • жиналған PD резервтік көшірмелерін сақтауға және олармен операцияларды орындауға болатын жерде;

  • сертификат пен сәйкестік қорытындысының айырмашылығы неде, провайдерден қандай құжаттарды сұрау керек және т.б.

Соңында біз сіздермен сертификаттаудан өту тәжірибесімен бөлісеміз. Бар!

Бүгінгі мақалада сарапшы болады Алексей Афанасьев, IT-GRAD және #CloudMTS бұлтты провайдерлеріне арналған IS маманы (МТС тобының бөлігі).

Классификацияның қыр-сырлары

Біз клиенттің АЖ аудитінсіз ISPD үшін қажетті қауіпсіздік деңгейін жылдам анықтауға деген ұмтылысын жиі кездестіреміз. Осы тақырып бойынша Интернеттегі кейбір материалдар бұл қарапайым тапсырма және қателесу өте қиын деген жалған әсер қалдырады.

KM анықтау үшін клиенттің АЖ қандай деректерді жинайтынын және өңдейтінін түсіну қажет. Кейде бизнес жұмыс істейтін жеке деректердің қорғау талаптары мен санатын бір мәнді түрде анықтау қиын болуы мүмкін. Дербес деректердің бірдей түрлерін мүлдем басқа тәсілдермен бағалауға және жіктеуге болады. Сондықтан кейбір жағдайларда бизнестің пікірі аудитордың немесе тіпті инспектордың пікірінен өзгеше болуы мүмкін. Бірнеше мысалды қарастырайық.

Автотұрақ. Бұл бизнестің дәстүрлі түрі сияқты көрінеді. Көптеген автокөлік парктері ондаған жылдар бойы жұмыс істейді, олардың иелері жеке кәсіпкерлер мен жеке тұлғаларды жұмысқа алады. Әдетте, қызметкерлер туралы деректер UZ-4 талаптарына сәйкес келеді. Дегенмен, жүргізушілермен жұмыс істеу үшін жеке мәліметтерді жинап қана қоймай, ауысымға шығар алдында көлік паркінің аумағында медициналық бақылауды жүзеге асыру қажет, ал бұл процесте жиналған ақпарат бірден көлік құралының санатына жатады. медициналық деректер - бұл ерекше санаттағы жеке деректер. Сонымен қатар, флот сертификаттарды сұрай алады, олар кейін жүргізушінің файлында сақталады. Мұндай анықтаманы электронды түрде сканерлеу - денсаулық туралы деректер, арнайы санаттағы жеке деректер. Бұл енді UZ-4 жеткіліксіз екенін білдіреді, кем дегенде UZ-3 қажет.

Интернет дүкен. Жиналған есімдер, электрондық пошталар мен телефон нөмірлері жалпыға ортақ санатқа сәйкес келетін сияқты. Дегенмен, тұтынушыларыңыз халал немесе кошер сияқты диеталық артықшылықтарды көрсетсе, мұндай ақпарат дінге қатыстылық немесе сенім деректері ретінде қарастырылуы мүмкін. Сондықтан, тексеру немесе басқа бақылау іс-шараларын жүзеге асыру кезінде инспектор сіз жинаған деректерді жеке деректердің ерекше санаты ретінде жіктеуі мүмкін. Енді, егер интернет-дүкен сатып алушысының ет немесе балықты ұнататыны туралы ақпарат жинаса, деректер басқа жеке деректер ретінде жіктелуі мүмкін. Айтпақшы, вегетарианшылар ше? Өйткені, мұны философиялық сенімдерге де жатқызуға болады, олар да ерекше категорияға жатады. Бірақ екінші жағынан, бұл диетадан етті алып тастаған адамның көзқарасы болуы мүмкін. Өкінішке орай, мұндай «нәзік» жағдайларда ПД санатын бір мәнді түрде анықтайтын белгі жоқ.

Жарнама агенттігі Кейбір батыстық бұлттық қызметті пайдалана отырып, ол өз клиенттерінің жалпыға қолжетімді деректерін өңдейді - толық аты-жөні, электрондық пошта мекенжайлары және телефон нөмірлері. Бұл жеке деректер, әрине, жеке деректерге қатысты. Сұрақ туындайды: мұндай өңдеуді жүзеге асыру заңды ма? Мұндай деректерді Ресей Федерациясынан тысқары жерлерге иеліксіздендірусіз жылжыту мүмкін бе, мысалы, кейбір шетелдік бұлттарда сақтық көшірмелерді сақтау үшін? Әрине болады. Агенттік бұл деректерді Ресейден тыс жерде сақтауға құқылы, бірақ біздің заңнамаға сәйкес бастапқы жинау Ресей Федерациясының аумағында жүзеге асырылуы керек. Егер сіз мұндай ақпараттың сақтық көшірмесін жасасаңыз, оның негізінде кейбір статистиканы есептеңіз, зерттеу жүргізіңіз немесе онымен басқа операцияларды орындаңыз - мұның барлығын Батыс ресурстарында жасауға болады. Заң тұрғысынан маңызды мәселе - бұл жеке деректердің жиналатын жері. Сондықтан бастапқы жинау мен өңдеуді шатастырмау маңызды.

Осы қысқаша мысалдардан көрінетіндей, жеке деректермен жұмыс істеу әрқашан қарапайым және қарапайым бола бермейді. Қауіпсіздіктің қажетті деңгейін дұрыс анықтау үшін сіз олармен жұмыс істеп жатқаныңызды біліп қана қоймай, сонымен қатар оларды дұрыс жіктей білуіңіз керек, IP қалай жұмыс істейтінін түсінуіңіз керек. Кейбір жағдайларда ұйымның нақты жұмыс істеуі үшін қанша жеке деректер қажет деген сұрақ туындауы мүмкін. Ең «байыпты» немесе жай ғана қажет емес деректерден бас тартуға болады ма? Сонымен қатар, реттеуші мүмкіндігінше жеке деректерді иесіздендіруді ұсынады. 

Жоғарыда келтірілген мысалдардағыдай, кейде сіз инспекциялық органдар жиналған жеке деректерді өзіңіз бағалағаныңыздан сәл басқаша түсіндіретініне тап болуыңыз мүмкін.

Әрине, сіз ассистент ретінде аудиторды немесе жүйелік интеграторды жалдай аласыз, бірақ аудит кезінде таңдалған шешімдерге «көмекші» жауапты бола ма? Айта кету керек, жауапкершілік әрқашан ISPD иесі – жеке деректер операторында. Сондықтан компания мұндай жұмыстарды орындаған кезде, мұндай қызметтер нарығында байыпты ойыншыларға, мысалы, сертификаттау жұмыстарын жүргізетін компанияларға жүгіну маңызды. Сертификаттаушы компаниялардың мұндай жұмыстарды жүргізуде үлкен тәжірибесі бар.

ISPD құру опциялары

ISPD құрылысы тек техникалық ғана емес, сонымен қатар негізінен құқықтық мәселе. CIO немесе қауіпсіздік директоры әрқашан заң кеңесшісімен кеңесуі керек. Компанияда әрқашан сізге қажет профилі бар маман бола бермейтіндіктен, аудитор-кеңесшілерге жүгінген жөн. Көптеген тайғақ нүктелер мүлдем анық болмауы мүмкін.

Консультация сізге қандай жеке деректермен айналысып жатқаныңызды және ол қандай қорғау деңгейін қажет ететінін анықтауға мүмкіндік береді. Тиісінше, сіз қауіпсіздік және операциялық қауіпсіздік шараларымен жасалуы немесе толықтырылуы қажет IP туралы түсінік аласыз.

Көбінесе компания үшін таңдау екі нұсқаның арасында болады:

  1. Сәйкес АЖ-ны өзіңіздің аппараттық және бағдарламалық шешімдеріңізде, мүмкін өз сервер бөлмесінде жасаңыз.

  2. Бұлт провайдеріне хабарласып, серпімді шешімді, әлдеқашан сертификатталған «виртуалды сервер бөлмесін» таңдаңыз.

Жеке деректерді өңдейтін ақпараттық жүйелердің көпшілігі дәстүрлі тәсілді пайдаланады, оны бизнес тұрғысынан оңай және сәтті деп атауға болмайды. Бұл опцияны таңдаған кезде техникалық дизайн жабдықтың сипаттамасын, соның ішінде бағдарламалық-аппараттық шешімдер мен платформаларды қамтитынын түсіну керек. Бұл сізге келесі қиындықтар мен шектеулерге тап болу керек дегенді білдіреді:

  • масштабтау қиындығы;

  • жобаны іске асырудың ұзақ кезеңі: жүйені таңдау, сатып алу, орнату, конфигурациялау және сипаттау қажет;

  • көптеген «қағаз» жұмыстары, мысал ретінде - бүкіл ISPD үшін құжаттаманың толық пакетін әзірлеу.

Сонымен қатар, бизнес, әдетте, тек IP-нің «жоғары» деңгейін – ол пайдаланатын іскери қолданбаларды түсінеді. Басқаша айтқанда, IT қызметкерлері өз саласында білікті. Барлық «төменгі деңгейлер» қалай жұмыс істейтіні туралы түсінік жоқ: бағдарламалық және аппараттық құралдарды қорғау, сақтау жүйелері, сақтық көшірме және, әрине, барлық талаптарға сәйкес қорғау құралдарын қалай конфигурациялау, конфигурацияның «аппараттық» бөлігін құру. Түсіну маңызды: бұл клиенттің бизнесінен тыс жатқан білімнің үлкен қабаты. Бұл жерде сертификатталған «виртуалды сервер бөлмесін» ұсынатын бұлттық провайдердің тәжірибесі пайдалы болуы мүмкін.

Өз кезегінде, бұлттық провайдерлердің жеке деректерді қорғау саласындағы бизнес қажеттіліктерінің 99% асыра алатын бірқатар артықшылықтары бар:

  • күрделі шығындар операциялық шығындарға айналады;

  • провайдер өз тарапынан дәлелденген стандартты шешім негізінде қауіпсіздік пен қолжетімділіктің қажетті деңгейін қамтамасыз етуге кепілдік береді;

  • аппараттық деңгейде ISPD жұмысын қамтамасыз ететін мамандар штатын ұстаудың қажеті жоқ;

  • провайдерлер әлдеқайда икемді және серпімді шешімдер ұсынады;

  • провайдердің мамандарында барлық қажетті сертификаттар бар;

  • сәйкестік реттеушілердің талаптары мен ұсыныстарын ескере отырып, өз архитектураңызды құрудан төмен емес.

Жеке деректерді бұлтта сақтау мүмкін емес деген ескі миф әлі күнге дейін өте танымал. Бұл тек ішінара дұрыс: PD шынымен жарияланбайды біріншісінде қол жетімді бұлт. Белгілі бір техникалық шараларды сақтау және белгілі бір сертификатталған шешімдерді қолдану қажет. Егер провайдер барлық заң талаптарын орындаса, жеке деректердің ағып кетуіне байланысты тәуекелдер барынша азайтылады. Көптеген провайдерлерде 152-ФЗ сәйкес жеке деректерді өңдеуге арналған жеке инфрақұрылым бар. Дегенмен, жеткізушіні таңдауға белгілі бір критерийлерді білу арқылы жақындау керек, біз оларға төменде сөзсіз тоқталамыз. 

Клиенттер бізге жеке деректерді провайдердің бұлтында орналастыруға қатысты кейбір мәселелермен жиі келеді. Енді оларды бірден талқылайық.

  • Тасымалдау немесе тасымалдау кезінде деректер ұрлануы мүмкін

Бұдан қорқудың қажеті жоқ - провайдер клиентке сертификатталған шешімдерге негізделген деректерді берудің қауіпсіз арнасын құруды, мердігерлер мен қызметкерлер үшін кеңейтілген аутентификация шараларын ұсынады. Қалған нәрсе - тиісті қорғау әдістерін таңдау және оларды клиентпен жұмысыңыздың бөлігі ретінде жүзеге асыру.

  • Көрсету маскалары келіп, сервердің қуатын алып тастайды/тығыздайды/келеді

Инфрақұрылымды бақылаудың жеткіліксіздігінен бизнес-процестері бұзылады деп қауіптенетін тұтынушылар үшін бұл түсінікті. Әдетте, бұл туралы мамандандырылған деректер орталықтарында емес, бұрын аппараттық құралдары шағын серверлік бөлмелерде орналасқан клиенттер ойлайды. Іс жүзінде деректер орталықтары физикалық және ақпаратты қорғаудың заманауи құралдарымен жабдықталған. Мұндай деректер орталығында жеткілікті негіздер мен құжаттарсыз кез келген операцияны жүзеге асыру мүмкін емес және мұндай әрекеттер бірқатар процедураларды сақтауды талап етеді. Сонымен қатар, серверіңізді деректер орталығынан «тартып алу» провайдердің басқа клиенттеріне әсер етуі мүмкін және бұл ешкімге қажет емес. Бұған қоса, ешкім арнайы «сіздің» виртуалды серверіңізге саусағыңызды көрсете алмайды, сондықтан егер біреу оны ұрлағысы келсе немесе маска шоуын өткізгісі келсе, алдымен бюрократиялық кешігулермен күресуге тура келеді. Осы уақыт ішінде сізде басқа сайтқа бірнеше рет көшуге уақыт болады.

  • Хакерлер бұлтты бұзып, деректерді ұрлайды

Интернет пен баспа басылымы тағы бір бұлттың киберқылмыскерлердің құрбаны болғаны және миллиондаған жеке деректер жазбалары желіде ағып кеткені туралы тақырыптарға толы. Жағдайлардың басым көпшілігінде осалдықтар провайдер тарапынан емес, жәбірленушілердің ақпараттық жүйелерінде табылды: әлсіз немесе тіпті әдепкі парольдер, веб-сайттар қозғалтқыштары мен дерекқорларындағы «саңылаулар» және қауіпсіздік шараларын таңдау кезінде бизнестің бейқамдығы және деректерге қол жеткізу процедураларын ұйымдастыру. Барлық сертификатталған шешімдер осалдықтарға тексеріледі. Біз сондай-ақ тәуелсіз және сыртқы ұйымдар арқылы тұрақты түрде «бақылау» пентесттері мен қауіпсіздік аудиттерін жүргіземіз. Провайдер үшін бұл жалпы бедел мен бизнес мәселесі.

  • Провайдер/провайдердің қызметкерлері жеке пайда үшін жеке деректерді ұрлайды

Бұл өте сезімтал сәт. Ақпараттық қауіпсіздік әлемінің бірқатар компаниялары өз клиенттерін «қорқытады» және «ішкі қызметкерлер сыртқы хакерлерге қарағанда қауіпті» деп талап етеді. Бұл кейбір жағдайларда дұрыс болуы мүмкін, бірақ сенімсіз бизнесті құру мүмкін емес. Кейде ұйымдардың өз қызметкерлерінің тұтынушы деректерін шабуылдаушыларға жіберетіні және ішкі қауіпсіздік кейде сыртқы қауіпсіздікке қарағанда әлдеқайда нашар ұйымдастырылғандығы туралы жаңалықтар жарқырайды. Бұл жерде кез келген ірі провайдер теріс жағдайларға өте қызығушылық танытпайтынын түсіну маңызды. Провайдер қызметкерлерінің іс-әрекеттері жақсы реттелген, рөлдер мен жауапкершілік салалары бөлінген. Барлық бизнес-процестер деректердің ағып кету жағдайлары өте екіталай және ішкі қызметтер үшін әрқашан байқалатындай құрылымдалған, сондықтан клиенттер бұл жағынан проблемалардан қорықпауы керек.

  • Сіз аз төлейсіз, өйткені қызметтерге бизнес деректеріңізбен төлейсіз.

Тағы бір миф: қауіпсіз инфрақұрылымды ыңғайлы бағамен жалға алатын клиент оны өз деректерімен төлейді - бұл көбінесе ұйықтар алдында бірнеше қастандық теориясын оқуға қарсы емес мамандардың ойы. Біріншіден, тапсырыста көрсетілгеннен басқа деректеріңізбен кез келген операцияларды орындау мүмкіндігі нөлге тең. Екіншіден, адекватты провайдер сізбен қарым-қатынасты және оның беделін бағалайды - сізден басқа оның көптеген клиенттері бар. Қарама-қарсы сценарий болуы мүмкін, бұл жағдайда провайдер өз бизнесі негізделген клиенттерінің деректерін құлшыныспен қорғайды.

ISPD үшін бұлттық провайдерді таңдау

Бүгінгі таңда нарық PD операторлары болып табылатын компаниялар үшін көптеген шешімдерді ұсынады. Төменде дұрыс таңдау бойынша ұсыныстардың жалпы тізімі берілген.

  • Провайдер тараптардың жауапкершілігін, SLA және жеке деректерді өңдеу кілтіндегі жауапкершілік салаларын сипаттайтын ресми келісім жасауға дайын болуы керек. Шын мәнінде, сіз және провайдер арасында қызмет көрсету туралы келісімге қосымша, PD өңдеуге тапсырысқа қол қою керек. Қалай болғанда да, оларды мұқият зерттеген жөн. Сіз және провайдер арасындағы жауапкершіліктің бөлінуін түсіну маңызды.

  • Сегмент талаптарға сай болуы керек екенін ескеріңіз, яғни оның IP талап еткеннен төмен емес қауіпсіздік деңгейін көрсететін сертификат болуы керек. Провайдерлер сертификаттың бірінші бетін ғана жариялайды, оның ішінде анық емес немесе сертификаттың өзін жарияламай-ақ тексеруге немесе сәйкестік процедураларына сілтеме жасайды («бала бар ма?»). Мұны сұраған жөн - бұл сертификаттауды кім жүргізгенін, жарамдылық мерзімін, бұлттағы орнын және т.б. көрсететін жалпыға ортақ құжат.

  • Провайдер деректеріңізді орналастыруды басқара алуыңыз үшін оның сайттары (қорғалған нысандар) қай жерде орналасқаны туралы ақпаратты қамтамасыз етуі керек. Еске сала кетейік, жеке деректерді бастапқы жинау Ресей Федерациясының аумағында жүзеге асырылуы керек, сәйкесінше келісім-шартта/сертификатта деректер орталығының мекенжайларын көрген жөн.

  • Провайдер сертификатталған ақпараттық қауіпсіздік және ақпаратты қорғау жүйелерін пайдалануы керек. Әрине, провайдерлердің көпшілігі техникалық қауіпсіздік шараларын және олар қолданатын шешім архитектурасын жарнамаламайды. Бірақ сіз, клиент ретінде, бұл туралы білмеусіз қала алмайсыз. Мысалы, басқару жүйесіне (басқару порталы) қашықтан қосылу үшін қауіпсіздік шараларын қолдану қажет. Провайдер бұл талапты айналып өте алмайды және сізге сертификатталған шешімдерді ұсынады (немесе пайдалануды талап етеді). Сынақ үшін ресурстарды алыңыз және сіз қалай және не істейтінін бірден түсінесіз. 

  • Бұлттық провайдердің ақпараттық қауіпсіздік саласында қосымша қызметтерді ұсынуы өте құптарлық. Бұл әртүрлі қызметтер болуы мүмкін: DDoS шабуылдарынан және WAF-тан қорғау, антивирустық қызмет немесе құмсалғыш және т.б. Мұның бәрі сізге ғимаратты қорғау жүйелерімен алаңдамай, бизнес-қосымшалармен жұмыс істеуге қызмет ретінде қорғауды алуға мүмкіндік береді.

  • Провайдер FSTEC және FSB лицензиясы болуы керек. Әдетте, мұндай ақпарат тікелей веб-сайтта орналастырылады. Бұл құжаттарды міндетті түрде сұрап, қызметтерді көрсету мекенжайларының, жеткізуші компанияның атауының және т.б. дұрыс екенін тексеріңіз. 

Қорытындылайық. Инфрақұрылымды жалға алу сізге CAPEX-тен бас тартуға және тек бизнес-қосымшаларыңызды және сіздің жауапкершілік аймағыңыздағы деректердің өзін сақтауға және провайдерге аппараттық және бағдарламалық және аппараттық құралдарды сертификаттаудың ауыр жүгін беруге мүмкіндік береді.

Аттестациядан қалай өттік

Жақында біз «Secure Cloud FZ-152» инфрақұрылымының жеке деректермен жұмыс істеу талаптарына сәйкестігін қайта сертификаттаудан сәтті өттік. Жұмысты Ұлттық сертификаттау орталығы жүргізді.

Қазіргі уақытта «FZ-152 Secure Cloud» UZ-3 деңгейінің талаптарына сәйкес дербес деректерді өңдеуге, сақтауға немесе беруге (ISPDn) қатысатын ақпараттық жүйелерді орналастыру үшін сертификатталған.

Сертификаттау процедурасы бұлттық провайдер инфрақұрылымының қорғаныс деңгейіне сәйкестігін тексеруді қамтиды. Провайдердің өзі IaaS қызметін ұсынады және жеке деректер операторы болып табылмайды. Процесс ұйымдастырушылық (құжаттау, бұйрықтар және т.б.) және техникалық шараларды (қорғаныс құралдарын орнату және т.б.) бағалауды қамтиды.

Оны тривиальды деп атауға болмайды. Сертификаттау іс-шараларын жүргізудің бағдарламалары мен әдістері бойынша ГОСТ 2013 жылы пайда болғанына қарамастан, бұлтты нысандарға арналған қатаң бағдарламалар әлі де жоқ. Сертификаттау орталықтары бұл бағдарламаларды өз тәжірибесіне сүйене отырып әзірлейді. Жаңа технологиялардың пайда болуымен бағдарламалар күрделене түседі және модернизацияланады, сәйкесінше сертификаттаушы бұлтты шешімдермен жұмыс істеу тәжірибесіне ие болуы және ерекшеліктерді түсінуі керек.

Біздің жағдайда қорғалатын объект екі орыннан тұрады.

  • Бұлтты ресурстар (серверлер, сақтау жүйелері, желілік инфрақұрылым, қауіпсіздік құралдары және т.б.) тікелей деректер орталығында орналасқан. Әрине, мұндай виртуалды деректер орталығы жалпыға ортақ желілерге қосылған және сәйкесінше, брандмауэрдің белгілі бір талаптары орындалуы керек, мысалы, сертификатталған желіаралық қалқандарды пайдалану.

  • Нысанның екінші бөлігі бұлтты басқару құралдары болып табылады. Бұл қорғалған сегмент басқарылатын жұмыс станциялары (әкімшінің жұмыс станциялары).

Орындар CIPF негізінде құрылған VPN арнасы арқылы байланысады.

Виртуализация технологиялары қауіптердің пайда болуына алғышарттар жасайтындықтан, біз қосымша сертификатталған қорғау құралдарын да қолданамыз.

IaaS 152-FZ: сондықтан сізге қауіпсіздік қажет«Бағалаушының көзімен» блок-схемасы

Егер клиент ISPD сертификатын талап етсе, IaaS жалға алғаннан кейін, ол тек виртуалды деректер орталығының деңгейінен жоғары ақпараттық жүйені бағалауы керек. Бұл процедура инфрақұрылымды және онда қолданылатын бағдарламалық құралды тексеруді қамтиды. Барлық инфрақұрылым мәселелері бойынша провайдердің сертификатына жүгінуге болатындықтан, сізге тек бағдарламалық құралмен жұмыс істеу керек.

IaaS 152-FZ: сондықтан сізге қауіпсіздік қажетАбстракция деңгейінде бөлу

Қорытындылай келе, мұнда жеке деректермен жұмыс істеп жатқан немесе жай ғана жоспарлап жүрген компанияларға арналған шағын бақылау тізімі берілген. Сонымен, оны күйдірмей қалай шешуге болады.

  1. Қауіптер мен зиянкестердің үлгілерін тексеру және әзірлеу үшін сертификаттау зертханаларының ішінен қажетті құжаттарды әзірлеуге және сізді техникалық шешімдер кезеңіне жеткізуге көмектесетін тәжірибелі кеңесшіні шақырыңыз.

  2. Бұлттық провайдерді таңдағанда, сертификаттың болуына назар аударыңыз. Компания оны тікелей веб-сайтта ашық түрде жарияласа жақсы болар еді. Провайдер FSTEC және FSB лицензиясы болуы керек және ол ұсынатын қызмет сертификатталған болуы керек.

  3. Жеке деректерді өңдеуге арналған ресми келісім мен қол қойылған нұсқаулық бар екеніне көз жеткізіңіз. Осыған сүйене отырып, сіз сәйкестікті тексеруді де, ISPD сертификаттауын да жүргізе аласыз.Егер бұл жұмыс техникалық жоба кезеңінде және конструкторлық және техникалық құжаттаманы жасау сізге ауыр болып көрінсе, үшінші тарап консалтингтік компанияларына хабарласу керек. сертификаттау зертханаларының ішінен.

Егер сіз үшін жеке деректерді өңдеу мәселелері өзекті болса, 18 қыркүйек, осы жұмада біз сізді вебинарда көруге қуаныштымыз. «Сертификатталған бұлттарды құру ерекшеліктері».

Ақпарат көзі: www.habr.com

пікір қалдыру