NeatkarÄ«gi no tÄ, cik daudz jÅ«s Ŕķirojat mÄ«tus un leÄ£endas, kas apvij atbilstÄ«bu 152-FZ, kaut kas vienmÄr paliek aizkulisÄs. Å odien mÄs vÄlamies apspriest dažas ne vienmÄr acÄ«mredzamas nianses, ar kurÄm var saskarties gan lieli uzÅÄmumi, gan ļoti mazi uzÅÄmumi:
-
PD klasifikÄcijas smalkumus kategorijÄs - kad neliels interneta veikals apkopo datus, kas saistÄ«ti ar Ä«paÅ”u kategoriju, par to nemaz nezinot;
-
kur var glabÄt savÄkto PD dublÄjumkopijas un veikt ar tiem darbÄ«bas;
-
kÄda ir atŔķirÄ«ba starp sertifikÄtu un atbilstÄ«bas slÄdzienu, kÄdi dokumenti ir jÄpieprasa no pakalpojumu sniedzÄja un tamlÄ«dzÄ«gi.
Visbeidzot, mÄs dalÄ«simies ar jums savÄ pieredzÄ par sertifikÄcijas nokÄrtoÅ”anu. Aiziet!
Å odienas raksta eksperts bÅ«s Aleksejs Afanasjevs, IS speciÄlists mÄkoÅpakalpojumu sniedzÄjiem IT-GRAD un #CloudMTS (daļa no MTS grupas).
KlasifikÄcijas smalkumi
MÄs bieži sastopamies ar klienta vÄlmi Ätri, bez IS audita, noteikt nepiecieÅ”amo droŔības lÄ«meni ISPD. Daži materiÄli internetÄ par Å”o tÄmu rada maldÄ«gu priekÅ”statu, ka tas ir vienkÄrÅ”s uzdevums un ir diezgan grÅ«ti kļūdÄ«ties.
Lai noteiktu KM, ir jÄsaprot, kÄdus datus apkopos un apstrÄdÄs klienta IS. DažkÄrt var bÅ«t grÅ«ti viennozÄ«mÄ«gi noteikt aizsardzÄ«bas prasÄ«bas un personas datu kategoriju, ko uzÅÄmums veic. Viena veida personas datus var novÄrtÄt un klasificÄt pilnÄ«gi atŔķirÄ«gi. TÄpÄc dažos gadÄ«jumos uzÅÄmuma viedoklis var atŔķirties no revidenta vai pat inspektora viedokļa. ApskatÄ«sim dažus piemÄrus.
Auto stÄvlaukums. Å Ä·iet, ka tas ir diezgan tradicionÄls uzÅÄmÄjdarbÄ«bas veids. Daudzi autoparki darbojas jau gadu desmitiem, un to Ä«paÅ”nieki algo individuÄlos uzÅÄmÄjus un privÄtpersonas. Parasti uz darbinieku datiem attiecas UZ-4 prasÄ«bas. TaÄu, lai strÄdÄtu ar vadÄ«tÄjiem, ir nepiecieÅ”ams ne tikai vÄkt personas datus, bet arÄ« veikt medicÄ«nisko kontroli autoparka teritorijÄ pirms doÅ”anÄs maiÅÄ, un procesÄ savÄktÄ informÄcija uzreiz ietilpst kategorijÄ medicÄ«niskie dati - un tie ir Ä«paÅ”as kategorijas personas dati. TurklÄt autoparks var pieprasÄ«t sertifikÄtus, kas pÄc tam tiks saglabÄti vadÄ«tÄja failÄ. Å Äda sertifikÄta skenÄÅ”ana elektroniskÄ formÄ - veselÄ«bas dati, Ä«paÅ”as kategorijas personas dati. Tas nozÄ«mÄ, ka UZ-4 vairs nepietiek, ir nepiecieÅ”ams vismaz UZ-3.
Interneta veikals. Å Ä·iet, ka savÄktie vÄrdi, e-pasta adreses un tÄlruÅu numuri iederas publiskajÄ kategorijÄ. TomÄr, ja jÅ«su klienti norÄda uz uztura izvÄli, piemÄram, halal vai kosher, Å”Äda informÄcija var tikt uzskatÄ«ta par reliÄ£iskÄs piederÄ«bas vai pÄrliecÄ«bas datiem. TÄpÄc, pÄrbaudot vai veicot citas kontroles darbÄ«bas, inspektors jÅ«su apkopotos datus var klasificÄt kÄ Ä«paÅ”u personas datu kategoriju. Tagad, ja interneta veikals apkopotu informÄciju par to, vai tÄ pircÄjs dod priekÅ”roku gaļai vai zivÄ«m, datus varÄtu klasificÄt kÄ citus personas datus. Starp citu, kÄ ar veÄ£etÄrieÅ”iem? Galu galÄ to var attiecinÄt arÄ« uz filozofiskiem uzskatiem, kas arÄ« pieder pie Ä«paÅ”as kategorijas. Bet, no otras puses, tÄ vienkÄrÅ”i var bÅ«t tÄda cilvÄka attieksme, kurÅ” ir izslÄdzis gaļu no uztura. DiemžÄl nav nevienas pazÄ«mes, kas viennozÄ«mÄ«gi definÄtu PD kategoriju tik āsmalkÄsā situÄcijÄs.
ReklÄmas aÄ£entÅ«ra Izmantojot kÄdu Rietumu mÄkoÅpakalpojumu, tas apstrÄdÄ savu klientu publiski pieejamos datus - pilnus vÄrdus, e-pasta adreses un tÄlruÅu numurus. Å ie personas dati, protams, attiecas uz personas datiem. Rodas jautÄjums: vai ir likumÄ«gi veikt Å”Ädu apstrÄdi? Vai vispÄr ir iespÄjams pÄrvietot Å”Ädus datus bez depersonalizÄcijas Ärpus Krievijas FederÄcijas, piemÄram, lai saglabÄtu dublÄjumkopijas kÄdos Ärvalstu mÄkoÅos? Protams tu vari. AÄ£entÅ«rai ir tiesÄ«bas Å”os datus glabÄt Ärpus Krievijas, tomÄr sÄkotnÄjÄ vÄkÅ”ana saskaÅÄ ar mÅ«su likumdoÅ”anu jÄveic Krievijas FederÄcijas teritorijÄ. Ja dublÄjat Å”Ädu informÄciju, uz tÄs pamata rÄÄ·inÄt kÄdu statistiku, veicat izpÄti vai veicat ar to kÄdas citas darbÄ«bas ā to visu var izdarÄ«t uz Rietumu resursiem. No juridiskÄ viedokļa galvenais ir personas datu vÄkÅ”anas vieta. TÄpÄc ir svarÄ«gi nejaukt sÄkotnÄjo savÄkÅ”anu un apstrÄdi.
KÄ izriet no Å”iem Ä«sajiem piemÄriem, darbs ar personas datiem ne vienmÄr ir vienkÄrÅ”s un vienkÄrÅ”s. Lai pareizi noteiktu nepiecieÅ”amo droŔības lÄ«meni, jums ir ne tikai jÄzina, ka strÄdÄjat ar viÅiem, bet arÄ« jÄspÄj pareizi tos klasificÄt, saprast, kÄ darbojas IP. AtseviŔķos gadÄ«jumos var rasties jautÄjums, cik daudz personas datu organizÄcijai patiesÄ«bÄ ir nepiecieÅ”ams, lai tÄ darbotos. Vai ir iespÄjams atteikties no ānopietnÄkajiemā vai vienkÄrÅ”i nevajadzÄ«giem datiem? TurklÄt regulators iesaka pÄc iespÄjas depersonalizÄt personas datus.
TÄpat kÄ iepriekÅ” minÄtajos piemÄros, dažkÄrt jÅ«s varat saskarties ar faktu, ka inspekcijas iestÄdes savÄktos personas datus interpretÄ nedaudz savÄdÄk, nekÄ jÅ«s pats tos vÄrtÄjÄt.
Protams, par palÄ«gu var nolÄ«gt revidentu vai sistÄmu integratoru, bet vai audita gadÄ«jumÄ par izvÄlÄtajiem lÄmumiem atbildÄs āasistentsā? Ir vÄrts atzÄ«mÄt, ka atbildÄ«ba vienmÄr ir ISPD Ä«paÅ”niekam ā personas datu operatoram. TÄpÄc, uzÅÄmumam veicot Å”Ädus darbus, ir svarÄ«gi pÄc Å”Ädiem pakalpojumiem vÄrsties pie nopietniem tirgus dalÄ«bniekiem, piemÄram, sertifikÄcijas darbu veicÄjiem. SertifikÄcijas uzÅÄmumiem ir liela pieredze Å”Ädu darbu veikÅ”anÄ.
ISPD izveides iespÄjas
ISPD bÅ«vniecÄ«ba ir ne tikai tehnisks, bet lielÄ mÄrÄ arÄ« juridisks jautÄjums. CIO vai droŔības direktoram vienmÄr jÄkonsultÄjas ar juristu. TÄ kÄ uzÅÄmumÄ ne vienmÄr ir jums nepiecieÅ”amÄ profila speciÄlists, ir vÄrts raudzÄ«ties uz auditoriem-konsultantiem. Daudzi slideni punkti var nebÅ«t acÄ«mredzami.
KonsultÄcija ļaus jums noteikt, ar kÄdiem personas datiem jÅ«s strÄdÄjat un kÄds aizsardzÄ«bas lÄ«menis tiem ir nepiecieÅ”ams. AttiecÄ«gi jÅ«s iegÅ«sit priekÅ”statu par IP, kas ir jÄizveido vai jÄpapildina ar droŔības un darbÄ«bas droŔības pasÄkumiem.
Bieži vien uzÅÄmuma izvÄle ir starp divÄm iespÄjÄm:
-
Izveidojiet atbilstoÅ”o IS, izmantojot savus aparatÅ«ras un programmatÅ«ras risinÄjumus, iespÄjams, savÄ serveru telpÄ.
-
Sazinieties ar mÄkoÅpakalpojumu sniedzÄju un izvÄlieties elastÄ«gu risinÄjumu, jau sertificÄtu āvirtuÄlo serveru telpuā.
LielÄkÄ daļa informÄcijas sistÄmu, kas apstrÄdÄ personas datus, izmanto tradicionÄlu pieeju, ko no biznesa viedokļa diez vai var saukt par vieglu un veiksmÄ«gu. IzvÄloties Å”o iespÄju, ir jÄsaprot, ka tehniskajÄ projektÄ tiks iekļauts aprÄ«kojuma apraksts, tajÄ skaitÄ programmatÅ«ras un aparatÅ«ras risinÄjumi un platformas. Tas nozÄ«mÄ, ka jums bÅ«s jÄsaskaras ar Å”ÄdÄm grÅ«tÄ«bÄm un ierobežojumiem:
-
mÄrogoÅ”anas grÅ«tÄ«bas;
-
ilgs projekta Ä«stenoÅ”anas periods: nepiecieÅ”ams izvÄlÄties, iegÄdÄties, uzstÄdÄ«t, konfigurÄt un aprakstÄ«t sistÄmu;
-
daudz āpapÄ«raā darba, kÄ piemÄrs - pilnÄ«gas dokumentÄcijas paketes izstrÄde visam ISPD.
TurklÄt uzÅÄmums, kÄ likums, saprot tikai sava IP āaugÅ”Äjoā lÄ«meni - izmantotÄs biznesa lietojumprogrammas. Citiem vÄrdiem sakot, IT darbinieki ir kvalificÄti savÄ konkrÄtajÄ jomÄ. Nav izpratnes par to, kÄ darbojas visi āzemÄkie lÄ«meÅiā: programmatÅ«ras un aparatÅ«ras aizsardzÄ«ba, uzglabÄÅ”anas sistÄmas, dublÄÅ”ana un, protams, kÄ konfigurÄt aizsardzÄ«bas rÄ«kus atbilstoÅ”i visÄm prasÄ«bÄm, izveidot konfigurÄcijas āaparatÅ«rasā daļu. Ir svarÄ«gi saprast: tas ir milzÄ«gs zinÄÅ”anu slÄnis, kas atrodas Ärpus klienta biznesa. Å eit var noderÄt mÄkoÅa pakalpojumu sniedzÄja pieredze, kas nodroÅ”ina sertificÄtu āvirtuÄlo serveru telpuā.
SavukÄrt mÄkoÅpakalpojumu sniedzÄjiem ir virkne priekÅ”rocÄ«bu, kas bez pÄrspÄ«lÄjuma var segt 99% biznesa vajadzÄ«bu personas datu aizsardzÄ«bas jomÄ:
-
kapitÄla izmaksas tiek pÄrvÄrstas ekspluatÄcijas izmaksÄs;
-
pakalpojumu sniedzÄjs no savas puses garantÄ vajadzÄ«gÄ droŔības un pieejamÄ«bas lÄ«meÅa nodroÅ”inÄÅ”anu, pamatojoties uz pÄrbaudÄ«tu standarta risinÄjumu;
-
nav jÄuztur speciÄlistu sastÄvs, kas nodroÅ”inÄs ISPD darbÄ«bu aparatÅ«ras lÄ«menÄ«;
-
pakalpojumu sniedzÄji piedÄvÄ daudz elastÄ«gÄkus un elastÄ«gÄkus risinÄjumus;
-
pakalpojumu sniedzÄja speciÄlistiem ir visi nepiecieÅ”amie sertifikÄti;
-
atbilstÄ«ba nav zemÄka kÄ veidojot savu arhitektÅ«ru, Åemot vÄrÄ regulatoru prasÄ«bas un ieteikumus.
Vecais mÄ«ts, ka personas datus nevar glabÄt mÄkonÄ«, joprojÄm ir ÄrkÄrtÄ«gi populÄrs. TÄ ir tikai daļÄji taisnÄ«ba: PD tieÅ”Äm nevar ievietot pirmajÄ pieejamajÄ mÄkonis. NepiecieÅ”ama atbilstÄ«ba noteiktiem tehniskiem pasÄkumiem un noteiktu sertificÄtu risinÄjumu izmantoÅ”ana. Ja pakalpojumu sniedzÄjs ievÄro visas juridiskÄs prasÄ«bas, ar personas datu noplÅ«di saistÄ«tie riski tiek samazinÄti lÄ«dz minimumam. Daudziem pakalpojumu sniedzÄjiem ir atseviŔķa infrastruktÅ«ra personas datu apstrÄdei saskaÅÄ ar 152-FZ. TomÄr arÄ« piegÄdÄtÄja izvÄle ir jÄpieiet, zinot noteiktus kritÄrijus, kurus mÄs noteikti pieskarsim tÄlÄk.
Klienti bieži vÄrÅ”as pie mums ar bažÄm par personas datu izvietoÅ”anu pakalpojumu sniedzÄja mÄkonÄ«. Nu, tÅ«lÄ«t tos apspriedÄ«sim.
-
Dati var tikt nozagti pÄrraides vai migrÄcijas laikÄ
No tÄ nav jÄbaidÄs ā pakalpojumu sniedzÄjs piedÄvÄ klientam uz sertificÄtiem risinÄjumiem balstÄ«ta droÅ”a datu pÄrraides kanÄla izveidi, uzlabotus autentifikÄcijas pasÄkumus darbuzÅÄmÄjiem un darbiniekiem. Atliek tikai izvÄlÄties atbilstoÅ”Äs aizsardzÄ«bas metodes un ieviest tÄs kÄ daļu no darba ar klientu.
-
ParÄdÄ«sies maskas un atÅems / aizzÄ«mogos / atslÄgs strÄvas padevi serverim
Tas ir diezgan saprotami klientiem, kuri baidÄs, ka viÅu biznesa procesi tiks traucÄti nepietiekamas infrastruktÅ«ras kontroles dÄļ. Parasti par to domÄ tie klienti, kuru aparatÅ«ra iepriekÅ” atradÄs mazÄs serveru telpÄs, nevis specializÄtos datu centros. RealitÄtÄ datu centri ir aprÄ«koti ar mÅ«sdienÄ«giem gan fiziskÄs, gan informÄcijas aizsardzÄ«bas lÄ«dzekļiem. Bez pietiekama pamata un dokumentiem Å”ÄdÄ datu centrÄ ir gandrÄ«z neiespÄjami veikt nekÄdas darbÄ«bas, un Å”ÄdÄm darbÄ«bÄm ir jÄievÄro vairÄkas procedÅ«ras. TurklÄt sava servera āizvilkÅ”anaā no datu centra var ietekmÄt citus pakalpojumu sniedzÄja klientus, un tas noteikti nevienam nav nepiecieÅ”ams. TurklÄt neviens nevarÄs norÄdÄ«t ar pirkstu konkrÄti uz ājÅ«suā virtuÄlo serveri, tÄpÄc, ja kÄds vÄlÄsies to nozagt vai iestudÄt masku Å”ovu, vispirms bÅ«s jÄtiek galÄ ar lielu birokrÄtisku kavÄÅ”anos. Å ajÄ laikÄ jums, visticamÄk, bÅ«s laiks vairÄkas reizes migrÄt uz citu vietni.
-
Hakeri uzlauzÄ«s mÄkoni un nozags datus
Internets un drukÄtÄ prese ir pilns ar virsrakstiem par to, kÄ vÄl viens mÄkonis ir kļuvis par kibernoziedznieku upuri, un miljoniem personas datu ierakstu ir noplÅ«duÅ”i tieÅ”saistÄ. LielÄkajÄ daÄ¼Ä gadÄ«jumu ievainojamÄ«bas tika konstatÄtas nevis pakalpojumu sniedzÄja pusÄ, bet gan cietuÅ”o informÄcijas sistÄmÄs: vÄjas vai pat noklusÄjuma paroles, vietÅu dzinÄju un datu bÄzu ācaurumiā un banÄla biznesa neuzmanÄ«ba, izvÄloties droŔības pasÄkumus un datu piekļuves procedÅ«ru organizÄÅ”ana. Visi sertificÄtie risinÄjumi tiek pÄrbaudÄ«ti attiecÄ«bÄ uz ievainojamÄ«bu. MÄs arÄ« regulÄri veicam ākontrolesā pÄrbaudes un droŔības auditus gan neatkarÄ«gi, gan ar ÄrÄju organizÄciju starpniecÄ«bu. Pakalpojumu sniedzÄjam tas ir reputÄcijas un biznesa jautÄjums kopumÄ.
-
Pakalpojumu sniedzÄjs/pakalpojumu sniedzÄja darbinieki nozags personas datus personÄ«ga labuma gÅ«Å”anai
Å is ir diezgan jÅ«tÄ«gs brÄ«dis. VairÄki uzÅÄmumi no informÄcijas droŔības pasaules ābiedÄā savus klientus un uzstÄj, ka āiekÅ”Äjie darbinieki ir bÄ«stamÄki nekÄ ÄrÄjie hakeriā. Dažos gadÄ«jumos tas var bÅ«t taisnÄ«ba, taÄu uzÅÄmumu nevar izveidot bez uzticÄ«bas. Ik pa laikam uzplaiksnÄ« ziÅas, ka paÅ”as organizÄcijas darbinieki uzbrucÄjiem nopludina klientu datus, un iekÅ”ÄjÄ droŔība dažkÄrt tiek organizÄta daudz sliktÄk nekÄ ÄrÄjÄ droŔība. Å eit ir svarÄ«gi saprast, ka jebkurÅ” liels pakalpojumu sniedzÄjs ir ÄrkÄrtÄ«gi neinteresÄts par negatÄ«viem gadÄ«jumiem. ApgÄdÄtÄja darbinieku rÄ«cÄ«ba ir labi reglamentÄta, lomas un atbildÄ«bas jomas ir sadalÄ«tas. Visi biznesa procesi ir strukturÄti tÄ, ka datu noplÅ«des gadÄ«jumi ir ÄrkÄrtÄ«gi maz ticami un vienmÄr ir pamanÄmi iekÅ”Äjiem dienestiem, tÄpÄc klientiem nevajadzÄtu baidÄ«ties no problÄmÄm no Ŕīs puses.
-
JÅ«s maksÄjat maz, jo maksÄjat par pakalpojumiem, izmantojot savus uzÅÄmuma datus.
VÄl viens mÄ«ts: klients, kurÅ” Ä«rÄ droÅ”u infrastruktÅ«ru par izdevÄ«gu cenu, patiesÄ«bÄ par to maksÄ ar saviem datiem ā tÄ bieži domÄ eksperti, kuri neiebilst pirms gulÄtieÅ”anas izlasÄ«t pÄris sazvÄrestÄ«bas teorijas. PirmkÄrt, iespÄja veikt jebkÄdas darbÄ«bas ar jÅ«su datiem, izÅemot pasÅ«tÄ«jumÄ norÄdÄ«tÄs, bÅ«tÄ«bÄ ir nulle. OtrkÄrt, atbilstoÅ”s pakalpojumu sniedzÄjs novÄrtÄ attiecÄ«bas ar jums un savu reputÄciju - bez jums viÅam ir daudz vairÄk klientu. VisticamÄk ir pretÄjais scenÄrijs, kurÄ pakalpojumu sniedzÄjs dedzÄ«gi aizsargÄs savu klientu datus, uz kuriem balstÄs tÄ bizness.
ISPD mÄkoÅa pakalpojumu sniedzÄja izvÄle
MÅ«sdienÄs tirgus piedÄvÄ daudz risinÄjumu uzÅÄmumiem, kas ir PD operatori. ZemÄk ir vispÄrÄ«gs ieteikumu saraksts, kÄ izvÄlÄties pareizo.
-
Pakalpojumu sniedzÄjam ir jÄbÅ«t gatavam slÄgt formÄlu lÄ«gumu, kurÄ ir aprakstÄ«ti puÅ”u pienÄkumi, SLA un atbildÄ«bas jomas personas datu apstrÄdes atslÄgÄ. Faktiski starp jums un pakalpojumu sniedzÄju papildus pakalpojuma lÄ«gumam ir jÄparaksta PD apstrÄdes pasÅ«tÄ«jums. JebkurÄ gadÄ«jumÄ ir vÄrts tos rÅ«pÄ«gi izpÄtÄ«t. Ir svarÄ«gi saprast pienÄkumu sadali starp jums un pakalpojumu sniedzÄju.
-
LÅ«dzu, Åemiet vÄrÄ, ka segmentam ir jÄatbilst prasÄ«bÄm, kas nozÄ«mÄ, ka tam ir jÄbÅ«t sertifikÄtam, kas norÄda droŔības lÄ«meni, kas nav zemÄks par to, ko pieprasa jÅ«su IP. GadÄs, ka pakalpojumu sniedzÄji publicÄ tikai sertifikÄta pirmo lapu, no kuras maz skaidrs, vai atsaucas uz auditiem vai atbilstÄ«bas procedÅ«rÄm, nepublicÄjot paÅ”u sertifikÄtu (āvai bija zÄns?ā). Ir vÄrts to lÅ«gt - tas ir publisks dokuments, kas norÄda sertifikÄcijas veicÄju, derÄ«guma termiÅu, mÄkoÅa atraÅ”anÄs vietu utt.
-
Pakalpojumu sniedzÄjam ir jÄsniedz informÄcija par to, kur atrodas tÄ vietnes (aizsargÄjamie objekti), lai jÅ«s varÄtu kontrolÄt savu datu izvietoÅ”anu. AtgÄdinÄm, ka sÄkotnÄjÄ personas datu vÄkÅ”ana ir jÄveic Krievijas FederÄcijas teritorijÄ, attiecÄ«gi lÄ«gumÄ/sertifikÄtÄ vÄlams redzÄt datu centra adreses.
-
Pakalpojumu sniedzÄjam ir jÄizmanto sertificÄtas informÄcijas droŔības un informÄcijas aizsardzÄ«bas sistÄmas. Protams, lielÄkÄ daļa pakalpojumu sniedzÄju nereklamÄ izmantotos tehniskos droŔības pasÄkumus un risinÄjumu arhitektÅ«ru. Bet jÅ«s kÄ klients nevarat par to nezinÄt. PiemÄram, lai attÄlinÄti pieslÄgtos vadÄ«bas sistÄmai (pÄrvaldÄ«bas portÄlam), nepiecieÅ”ams izmantot droŔības pasÄkumus. Pakalpojumu sniedzÄjs nevarÄs apiet Å”o prasÄ«bu un nodroÅ”inÄs jums (vai pieprasÄ«s izmantot) sertificÄtus risinÄjumus. PaÅemiet resursus pÄrbaudei, un jÅ«s uzreiz sapratÄ«sit, kÄ un kas darbojas.
-
Ä»oti vÄlams, lai mÄkoÅpakalpojumu sniedzÄjs sniegtu papildu pakalpojumus informÄcijas droŔības jomÄ. Tie var bÅ«t dažÄdi pakalpojumi: aizsardzÄ«ba pret DDoS uzbrukumiem un WAF, pretvÄ«rusu pakalpojums vai smilÅ”kaste utt. Tas viss ļaus jums saÅemt aizsardzÄ«bu kÄ pakalpojumu, lai jÅ«s nenovÄrstu uzmanÄ«bu no Äku aizsardzÄ«bas sistÄmÄm, bet gan strÄdÄtu pie biznesa lietojumprogrammÄm.
-
Pakalpojumu sniedzÄjam ir jÄbÅ«t FSTEC un FSB licenciÄtam. Parasti Å”Äda informÄcija tiek ievietota tieÅ”i vietnÄ. Noteikti pieprasiet Å”os dokumentus un pÄrbaudiet, vai pakalpojumu sniegÅ”anas adreses, pakalpojumu sniedzÄja uzÅÄmuma nosaukums utt. ir pareizas.
Apkoposim. InfrastruktÅ«ras noma ļaus jums atteikties no CAPEX un saglabÄt tikai jÅ«su biznesa lietojumprogrammas un paÅ”us datus jÅ«su atbildÄ«bas jomÄ, kÄ arÄ« nodot pakalpojumu sniedzÄjam smago aparatÅ«ras, programmatÅ«ras un aparatÅ«ras sertifikÄcijas nastu.
KÄ mÄs nokÄrtojÄm sertifikÄtu
Pavisam nesen veiksmÄ«gi nokÄrtojÄm āSecure Cloud FZ-152ā infrastruktÅ«ras resertifikÄciju, lai atbilstu prasÄ«bÄm darbam ar personas datiem. Darbus veica NacionÄlais sertifikÄcijas centrs.
Å obrÄ«d āFZ-152 Secure Cloudā ir sertificÄts informÄcijas sistÄmu mitinÄÅ”anai, kas iesaistÄ«tas personas datu apstrÄdÄ, glabÄÅ”anÄ vai pÄrsÅ«tÄ«Å”anÄ (ISPDn) saskaÅÄ ar UZ-3 lÄ«meÅa prasÄ«bÄm.
SertifikÄcijas procedÅ«ra ietver mÄkoÅpakalpojumu sniedzÄja infrastruktÅ«ras atbilstÄ«bas aizsardzÄ«bas lÄ«menim pÄrbaudi. Pakalpojumu sniedzÄjs pats nodroÅ”ina IaaS pakalpojumu un nav personas datu operators. Process ietver gan organizatorisko (dokumentÄcija, rÄ«kojumi utt.), gan tehnisko pasÄkumu (aizsardzÄ«bas lÄ«dzekļu uzstÄdÄ«Å”ana utt.) izvÄrtÄÅ”anu.
To nevar saukt par triviÄlu. Neskatoties uz to, ka GOST par programmÄm un metodÄm sertifikÄcijas darbÄ«bu veikÅ”anai parÄdÄ«jÄs jau 2013. gadÄ, stingras programmas mÄkoÅu objektiem joprojÄm nepastÄv. SertifikÄcijas centri izstrÄdÄ Å”Ä«s programmas, pamatojoties uz savÄm zinÄÅ”anÄm. LÄ«dz ar jauno tehnoloÄ£iju parÄdÄ«Å”anos programmas kļūst sarežģītÄkas un modernizÄtÄkas, attiecÄ«gi sertificÄtÄjam ir jÄbÅ«t pieredzei darbÄ ar mÄkoÅrisinÄjumiem un jÄsaprot specifika.
MÅ«su gadÄ«jumÄ aizsargÄjamais objekts sastÄv no divÄm vietÄm.
-
MÄkoÅu resursi (serveri, uzglabÄÅ”anas sistÄmas, tÄ«kla infrastruktÅ«ra, droŔības rÄ«ki utt.) atrodas tieÅ”i datu centrÄ. Protams, Å”Äds virtuÄlais datu centrs ir savienots ar publiskajiem tÄ«kliem, un attiecÄ«gi ir jÄievÄro noteiktas ugunsmÅ«ra prasÄ«bas, piemÄram, sertificÄtu ugunsmÅ«ru izmantoÅ”ana.
-
OtrÄ objekta daļa ir mÄkoÅu pÄrvaldÄ«bas rÄ«ki. TÄs ir darbstacijas (administratora darbstacijas), no kurÄm tiek pÄrvaldÄ«ts aizsargÄtais segments.
AtraÅ”anÄs vietas sazinÄs, izmantojot VPN kanÄlu, kas izveidots uz CIPF.
TÄ kÄ virtualizÄcijas tehnoloÄ£ijas rada priekÅ”noteikumus draudu raÅ”anÄs brÄ«dim, mÄs izmantojam arÄ« papildu sertificÄtus aizsardzÄ«bas rÄ«kus.
BlokshÄma āar vÄrtÄtÄja acÄ«mā
Ja klients pieprasa sava ISPD sertifikÄciju, pÄc IaaS nomas viÅam bÅ«s tikai jÄnovÄrtÄ informÄcijas sistÄma virs virtuÄlÄ datu centra lÄ«meÅa. Å Ä« procedÅ«ra ietver infrastruktÅ«ras un tajÄ izmantotÄs programmatÅ«ras pÄrbaudi. TÄ kÄ par visÄm infrastruktÅ«ras problÄmÄm varat atsaukties uz pakalpojumu sniedzÄja sertifikÄtu, viss, kas jums jÄdara, ir strÄdÄt ar programmatÅ«ru.
AtdalīŔana abstrakcijas līmenī
NobeigumÄ Å”eit ir neliels kontrolsaraksts uzÅÄmumiem, kuri jau strÄdÄ ar personas datiem vai tikai plÄno. TÄtad, kÄ ar to rÄ«koties bez apdegumiem.
-
Lai auditÄtu un izstrÄdÄtu draudu un iebrucÄju modeļus, pieaiciniet pieredzÄjuÅ”u konsultantu no sertifikÄcijas laboratoriju vidus, kurÅ” palÄ«dzÄs izstrÄdÄt nepiecieÅ”amos dokumentus un nogÄdÄs JÅ«s lÄ«dz tehnisko risinÄjumu stadijai.
-
IzvÄloties mÄkoÅa pakalpojumu sniedzÄju, pievÄrsiet uzmanÄ«bu sertifikÄta klÄtbÅ«tnei. BÅ«tu labi, ja uzÅÄmums to publiski ievietotu tieÅ”i tÄ«mekļa vietnÄ. Pakalpojumu sniedzÄjam ir jÄbÅ«t FSTEC un FSB licences Ä«paÅ”niekam, un viÅa piedÄvÄtajam pakalpojumam ir jÄbÅ«t sertificÄtam.
-
PÄrliecinieties, vai jums ir oficiÄla vienoÅ”anÄs un parakstÄ«ta instrukcija par personas datu apstrÄdi. Pamatojoties uz to, varÄsiet veikt gan atbilstÄ«bas pÄrbaudi, gan ISPD sertifikÄciju.Ja Å”is darbs tehniskÄ projekta stadijÄ un dizaina un tehniskÄs dokumentÄcijas izveide jums Ŕķiet apgrÅ«tinoÅ”s, jums jÄsazinÄs ar treÅ”o puÅ”u konsultÄciju uzÅÄmumiem. no sertifikÄcijas laboratoriju vidus.
Ja Jums ir aktuÄli personas datu apstrÄdes jautÄjumi, 18.septembrÄ«, Å”o piektdien, priecÄsimies JÅ«s redzÄt vebinÄrÄ
Avots: www.habr.com