ProHoster > Blog > administratë > IaaS 152-FZ: pra, keni nevojë për siguri

IaaS 152-FZ: pra, keni nevojë për siguri

IaaS 152-FZ: pra, keni nevojë për siguri

Pavarësisht se sa shumë i zgjidhni mitet dhe legjendat që rrethojnë pajtueshmërinë me 152-FZ, diçka mbetet gjithmonë prapa skenave. Sot duam të diskutojmë disa nuanca jo gjithmonë të dukshme që mund të hasin si kompanitë e mëdha ashtu edhe ndërmarrjet shumë të vogla:

  • hollësitë e klasifikimit të PD në kategori - kur një dyqan i vogël në internet mbledh të dhëna që lidhen me një kategori të veçantë pa e ditur as për të;

  • ku mund të ruani kopje rezervë të PD-së së mbledhur dhe të kryeni operacione mbi to;

  • cili është ndryshimi midis një certifikate dhe një përfundimi të përputhshmërisë, çfarë dokumentesh duhet të kërkoni nga ofruesi dhe gjëra të tilla.

Së fundi, ne do të ndajmë me ju përvojën tonë të kalimit të certifikimit. Shkoni!

Eksperti në artikullin e sotëm do të jetë Alexey Afanasyev, IS specialist për ofruesit e cloud IT-GRAD dhe #CloudMTS (pjesë e grupit MTS).

Hollësitë e klasifikimit

Shpesh hasim dëshirën e një klienti për të përcaktuar shpejt, pa një auditim IS, nivelin e kërkuar të sigurisë për një ISPD. Disa materiale në internet për këtë temë japin përshtypjen e rreme se kjo është një detyrë e thjeshtë dhe është mjaft e vështirë të bësh një gabim.

Për të përcaktuar KM, është e nevojshme të kuptohet se çfarë të dhënash do të mblidhen dhe përpunohen nga IS e klientit. Ndonjëherë mund të jetë e vështirë të përcaktohen pa mëdyshje kërkesat e mbrojtjes dhe kategoria e të dhënave personale që operon një biznes. Të njëjtat lloje të të dhënave personale mund të vlerësohen dhe klasifikohen në mënyra krejtësisht të ndryshme. Prandaj, në disa raste, opinioni i biznesit mund të ndryshojë nga opinioni i auditorit apo edhe i inspektorit. Le të shohim disa shembuj.

parkim makinash. Do të duket si një lloj biznesi mjaft tradicional. Shumë flota automjetesh kanë funksionuar për dekada dhe pronarët e tyre punësojnë sipërmarrës individualë dhe individë. Si rregull, të dhënat e punonjësve bien nën kërkesat e UZ-4. Sidoqoftë, për të punuar me drejtuesit, është e nevojshme jo vetëm të mblidhen të dhëna personale, por edhe të kryhet kontroll mjekësor në territorin e flotës së automjeteve përpara se të shkoni në një turn, dhe informacioni i mbledhur në proces menjëherë bie në kategorinë e të dhëna mjekësore - dhe këto janë të dhëna personale të një kategorie të veçantë. Përveç kësaj, flota mund të kërkojë certifikata, të cilat më pas do të mbahen në dosjen e shoferit. Një skanim i një certifikate të tillë në formë elektronike - të dhëna shëndetësore, të dhëna personale të një kategorie të veçantë. Kjo do të thotë që UZ-4 nuk është më i mjaftueshëm; të paktën UZ-3 kërkohet.

Dyqan online. Duket se emrat, emailet dhe numrat e telefonit të mbledhur përshtaten në kategorinë publike. Megjithatë, nëse klientët tuaj tregojnë preferencat dietike, të tilla si hallall ose kosher, një informacion i tillë mund të konsiderohet të dhëna për përkatësinë fetare ose besimin. Prandaj, kur kontrolloni ose kryeni aktivitete të tjera kontrolli, inspektori mund t'i klasifikojë të dhënat që ju mblidhni si një kategori e veçantë e të dhënave personale. Tani, nëse një dyqan online mbledh informacion nëse blerësi i tij preferon mish apo peshk, të dhënat mund të klasifikohen si të dhëna të tjera personale. Meqë ra fjala, po për vegjetarianët? Në fund të fundit, kjo mund t'i atribuohet edhe besimeve filozofike, të cilat gjithashtu i përkasin një kategorie të veçantë. Por nga ana tjetër, ky mund të jetë thjesht qëndrimi i një personi që ka eliminuar mishin nga dieta e tij. Mjerisht, nuk ka asnjë shenjë që të përcaktojë në mënyrë të qartë kategorinë e PD në situata të tilla “delikate”.

Agjenci reklamash Duke përdorur disa shërbime cloud perëndimore, ai përpunon të dhënat e disponueshme publikisht të klientëve të tij - emrat e plotë, adresat e postës elektronike dhe numrat e telefonit. Këto të dhëna personale, natyrisht, lidhen me të dhënat personale. Lind pyetja: a është e ligjshme të kryhet një përpunim i tillë? A është e mundur që të zhvendosen të dhëna të tilla pa depersonalizim jashtë Federatës Ruse, për shembull, për të ruajtur kopje rezervë në disa re të huaja? Natyrisht ju mund të. Agjencia ka të drejtë t'i ruajë këto të dhëna jashtë Rusisë, megjithatë, mbledhja fillestare, sipas legjislacionit tonë, duhet të kryhet në territorin e Federatës Ruse. Nëse rezervoni një informacion të tillë, llogarisni disa statistika bazuar në të, kryeni kërkime ose kryeni disa operacione të tjera me të - e gjithë kjo mund të bëhet në burimet perëndimore. Pika kryesore nga pikëpamja ligjore është se ku mblidhen të dhënat personale. Prandaj është e rëndësishme të mos ngatërrohet mbledhja fillestare dhe përpunimi.

Siç del nga këta shembuj të shkurtër, puna me të dhënat personale nuk është gjithmonë e drejtpërdrejtë dhe e thjeshtë. Ju duhet jo vetëm të dini se jeni duke punuar me ta, por gjithashtu të jeni në gjendje t'i klasifikoni saktë ato, të kuptoni se si funksionon IP në mënyrë që të përcaktoni saktë nivelin e kërkuar të sigurisë. Në disa raste, mund të lindë pyetja se sa të dhëna personale i nevojiten organizatës për të operuar. A është e mundur të refuzoni të dhënat më "serioze" ose thjesht të panevojshme? Për më tepër, rregullatori rekomandon depersonalizimin e të dhënave personale aty ku është e mundur. 

Ashtu si në shembujt e mësipërm, ndonjëherë mund të hasni në faktin që autoritetet e inspektimit interpretojnë të dhënat personale të mbledhura pak më ndryshe nga sa i vlerësuat ju vetë.

Sigurisht, ju mund të punësoni një auditor ose një integrues sistemi si asistent, por a do të jetë "asistenti" përgjegjës për vendimet e zgjedhura në rast të një auditimi? Vlen të theksohet se përgjegjësia është gjithmonë mbi pronarin e ISPD-së – operatorin e të dhënave personale. Kjo është arsyeja pse, kur një kompani kryen një punë të tillë, është e rëndësishme t'i drejtoheni lojtarëve seriozë në treg për shërbime të tilla, për shembull, kompanitë që kryejnë punë certifikimi. Kompanitë certifikuese kanë përvojë të gjerë në kryerjen e një pune të tillë.

Opsionet për ndërtimin e një ISPD

Ndërtimi i një ISPD nuk është vetëm një çështje teknike, por edhe kryesisht një çështje ligjore. CIO ose drejtori i sigurisë duhet gjithmonë të konsultohet me këshilltarin ligjor. Meqenëse kompania nuk ka gjithmonë një specialist me profilin që ju nevojitet, ia vlen të kërkoni drejt konsulentëve auditues. Shumë pika të rrëshqitshme mund të mos jenë fare të dukshme.

Konsultimi do t'ju lejojë të përcaktoni se me cilat të dhëna personale keni të bëni dhe çfarë niveli mbrojtjeje kërkon. Në përputhje me rrethanat, do të merrni një ide për IP-në që duhet të krijohet ose plotësohet me masa sigurie dhe sigurie operacionale.

Shpesh zgjedhja për një kompani është midis dy opsioneve:

  1. Ndërtoni IS-në përkatëse në zgjidhjet tuaja të harduerit dhe softuerit, mundësisht në dhomën tuaj të serverit.

  2. Kontaktoni një ofrues cloud dhe zgjidhni një zgjidhje elastike, një "dhomë serveri virtual" të certifikuar tashmë.

Shumica e sistemeve të informacionit që përpunojnë të dhënat personale përdorin një qasje tradicionale, e cila, nga pikëpamja e biznesit, vështirë se mund të quhet e lehtë dhe e suksesshme. Kur zgjidhni këtë opsion, është e nevojshme të kuptoni se dizajni teknik do të përfshijë një përshkrim të pajisjeve, duke përfshirë zgjidhjet dhe platformat softuerike dhe harduerike. Kjo do të thotë që ju do të duhet të përballeni me vështirësitë dhe kufizimet e mëposhtme:

  • vështirësi në shkallëzim;

  • periudha e gjatë e zbatimit të projektit: është e nevojshme të zgjidhni, blini, instaloni, konfiguroni dhe përshkruani sistemin;

  • shumë punë "letër", si shembull - zhvillimi i një pakete të plotë dokumentacioni për të gjithë ISPD.

Për më tepër, një biznes, si rregull, kupton vetëm nivelin "më të lartë" të IP-së së tij - aplikacionet e biznesit që përdor. Me fjalë të tjera, stafi i IT-së është i aftë në fushën e tij specifike. Nuk ka kuptim se si funksionojnë të gjitha "nivelet e ulëta": mbrojtja e softuerit dhe harduerit, sistemet e ruajtjes, rezervimi dhe, natyrisht, si të konfiguroni mjetet e mbrojtjes në përputhje me të gjitha kërkesat, të ndërtoni pjesën "hardware" të konfigurimit. Është e rëndësishme të kuptohet: kjo është një shtresë e madhe njohurish që shtrihet jashtë biznesit të klientit. Këtu mund të jetë e dobishme përvoja e një ofruesi cloud që ofron një "dhomë serveri virtual" të certifikuar.

Nga ana tjetër, ofruesit e cloud kanë një sërë avantazhesh që, pa ekzagjerim, mund të mbulojnë 99% të nevojave të biznesit në fushën e mbrojtjes së të dhënave personale:

  • kostot kapitale konvertohen në kosto operative;

  • ofruesi, nga ana e tij, garanton sigurimin e nivelit të kërkuar të sigurisë dhe disponueshmërisë bazuar në një zgjidhje standarde të provuar;

  • nuk ka nevojë të mbahet një staf specialistësh që do të sigurojnë funksionimin e ISPD në nivel harduerësh;

  • ofruesit ofrojnë zgjidhje shumë më fleksibël dhe elastike;

  • specialistët e ofruesit kanë të gjitha certifikatat e nevojshme;

  • pajtueshmëria nuk është më e ulët se kur ndërtoni arkitekturën tuaj, duke marrë parasysh kërkesat dhe rekomandimet e rregullatorëve.

Miti i vjetër se të dhënat personale nuk mund të ruhen në re është ende jashtëzakonisht popullor. Është vetëm pjesërisht e vërtetë: PD vërtet nuk mund të postohet në të parën në dispozicion re. Kërkohet respektimi i masave të caktuara teknike dhe përdorimi i zgjidhjeve të caktuara të certifikuara. Nëse ofruesi përmbush të gjitha kërkesat ligjore, rreziqet që lidhen me rrjedhjen e të dhënave personale minimizohen. Shumë ofrues kanë një infrastrukturë të veçantë për përpunimin e të dhënave personale në përputhje me 152-FZ. Megjithatë, zgjedhja e furnizuesit duhet të trajtohet edhe me njohjen e disa kritereve, të cilat sigurisht do t'i prekim më poshtë. 

Klientët shpesh vijnë tek ne me disa shqetësime në lidhje me vendosjen e të dhënave personale në cloud të ofruesit. Epo, le t'i diskutojmë ato menjëherë.

  • Të dhënat mund të vidhen gjatë transmetimit ose migrimit

Nuk ka nevojë të kesh frikë nga kjo - ofruesi i ofron klientit krijimin e një kanali të sigurt të transmetimit të të dhënave të ndërtuar mbi zgjidhje të certifikuara, masa të zgjeruara të vërtetimit për kontraktorët dhe punonjësit. Mbetet vetëm të zgjidhni metodat e duhura të mbrojtjes dhe t'i zbatoni ato si pjesë e punës suaj me klientin.

  • Shfaq maskat do të vijnë dhe do të heqin/vulosin/ndërprejnë energjinë në server

Është mjaft e kuptueshme për klientët që kanë frikë se proceset e tyre të biznesit do të ndërpriten për shkak të kontrollit të pamjaftueshëm mbi infrastrukturën. Si rregull, ata klientë, pajisja e të cilëve ishte vendosur më parë në dhoma të vogla të serverëve dhe jo në qendra të specializuara të të dhënave, mendojnë për këtë. Në realitet, qendrat e të dhënave janë të pajisura me mjete moderne të mbrojtjes fizike dhe informacionit. Është pothuajse e pamundur të kryhet ndonjë operacion në një qendër të tillë të dhënash pa baza dhe dokumente të mjaftueshme, dhe aktivitete të tilla kërkojnë respektimin e një sërë procedurash. Për më tepër, "tërheqja" e serverit tuaj nga qendra e të dhënave mund të ndikojë tek klientët e tjerë të ofruesit, dhe kjo definitivisht nuk është e nevojshme për askënd. Përveç kësaj, askush nuk do të jetë në gjendje të drejtojë gishtin në mënyrë specifike te serveri "tuaj" virtual, kështu që nëse dikush dëshiron ta vjedhë atë ose të organizojë një shfaqje maskash, së pari do të duhet të përballet me shumë vonesa burokratike. Gjatë kësaj kohe, me shumë mundësi do të keni kohë të migroni në një faqe tjetër disa herë.

  • Hakerët do të hakojnë renë kompjuterike dhe do të vjedhin të dhëna

Interneti dhe shtypi i shkruar janë plot me tituj se si një re tjetër ka rënë viktimë e kriminelëve kibernetikë dhe miliona të dhëna personale kanë rrjedhur në internet. Në shumicën dërrmuese të rasteve, dobësi nuk u gjetën fare nga ana e ofruesit, por në sistemet e informacionit të viktimave: fjalëkalime të dobëta apo edhe të paracaktuara, "vrima" në motorët dhe bazat e të dhënave të faqeve të internetit dhe pakujdesi banale e biznesit kur zgjidhni masat e sigurisë dhe organizimin e procedurave të aksesit të të dhënave. Të gjitha zgjidhjet e certifikuara kontrollohen për dobësi. Ne gjithashtu kryejmë rregullisht penteste "kontrolli" dhe auditime sigurie, si në mënyrë të pavarur ashtu edhe përmes organizatave të jashtme. Për ofruesin, kjo është një çështje e reputacionit dhe biznesit në përgjithësi.

  • Ofruesi/punonjësit e ofruesit do të vjedhin të dhënat personale për përfitime personale

Ky është një moment mjaft i ndjeshëm. Një numër kompanish nga bota e sigurisë së informacionit “trembin” klientët e tyre dhe këmbëngulin se “punonjësit e brendshëm janë më të rrezikshëm se hakerët e jashtëm”. Kjo mund të jetë e vërtetë në disa raste, por një biznes nuk mund të ndërtohet pa besim. Herë pas here, lajmet flasin se punonjësit e vetë një organizate nxjerrin të dhënat e klientëve te sulmuesit dhe siguria e brendshme ndonjëherë organizohet shumë më keq se siguria e jashtme. Është e rëndësishme të kuptohet këtu se çdo ofrues i madh është jashtëzakonisht i painteresuar për rastet negative. Veprimet e punonjësve të ofruesit janë të rregulluara mirë, rolet dhe fushat e përgjegjësisë janë të ndara. Të gjitha proceset e biznesit janë të strukturuara në atë mënyrë që rastet e rrjedhjes së të dhënave janë jashtëzakonisht të pamundura dhe janë gjithmonë të dukshme për shërbimet e brendshme, kështu që klientët nuk duhet të kenë frikë nga problemet nga kjo anë.

  • Ju paguani pak sepse paguani për shërbimet me të dhënat e biznesit tuaj.

Një mit tjetër: një klient që merr me qira infrastrukturë të sigurt me një çmim të rehatshëm, në fakt e paguan atë me të dhënat e tij - kjo mendohet shpesh nga ekspertët që nuk e kanë problem të lexojnë disa teori konspirative përpara se të shkojnë në shtrat. Së pari, mundësia për të kryer ndonjë operacion me të dhënat tuaja të ndryshme nga ato të specifikuara në urdhër është në thelb zero. Së dyti, një ofrues adekuat vlerëson marrëdhënien me ju dhe reputacionin e tij - përveç jush, ai ka shumë më tepër klientë. Skenari i kundërt ka më shumë gjasa, në të cilin ofruesi do të mbrojë me zell të dhënat e klientëve të tij, mbi të cilët mbështetet biznesi i tij.

Zgjedhja e një ofruesi cloud për ISPD

Sot tregu ofron shumë zgjidhje për kompanitë që janë operatorë PD. Më poshtë është një listë e përgjithshme e rekomandimeve për zgjedhjen e duhur.

  • Ofruesi duhet të jetë i gatshëm të lidhë një marrëveshje formale që përshkruan përgjegjësitë e palëve, SLA-të dhe fushat e përgjegjësisë në çelësin e përpunimit të të dhënave personale. Në fakt, midis jush dhe ofruesit, përveç marrëveshjes së shërbimit, duhet të nënshkruhet një urdhër për përpunimin e të dhënave personale. Në çdo rast, ia vlen t'i studioni ato me kujdes. Është e rëndësishme të kuptoni ndarjen e përgjegjësive midis jush dhe ofruesit.

  • Ju lutemi vini re se segmenti duhet të plotësojë kërkesat, që do të thotë se duhet të ketë një certifikatë që tregon një nivel sigurie jo më të ulët se ai i kërkuar nga IP-ja juaj. Ndodh që ofruesit të publikojnë vetëm faqen e parë të certifikatës, nga e cila pak është e qartë, ose t'i referohen auditimeve ose procedurave të pajtueshmërisë pa e publikuar vetë certifikatën (“a kishte djalë?”). Vlen të kërkohet - ky është një dokument publik që tregon se kush e ka kryer certifikimin, periudhën e vlefshmërisë, vendndodhjen e resë kompjuterike, etj.

  • Ofruesi duhet të ofrojë informacion se ku ndodhen faqet e tij (objektet e mbrojtura) në mënyrë që ju të mund të kontrolloni vendosjen e të dhënave tuaja. Ju kujtojmë se mbledhja fillestare e të dhënave personale duhet të kryhet në territorin e Federatës Ruse; në përputhje me rrethanat, këshillohet që të shihni adresat e qendrës së të dhënave në kontratë/certifikatë.

  • Ofruesi duhet të përdorë sisteme të certifikuara të sigurisë dhe mbrojtjes së informacionit. Sigurisht, shumica e ofruesve nuk reklamojnë masat teknike të sigurisë dhe arkitekturën e zgjidhjeve që përdorin. Por ju, si klient, nuk mund të mos dini për të. Për shembull, për t'u lidhur në distancë me një sistem menaxhimi (portali i menaxhimit), është e nevojshme të përdoren masa sigurie. Ofruesi nuk do të jetë në gjendje ta anashkalojë këtë kërkesë dhe do t'ju ofrojë (ose do t'ju kërkojë të përdorni) zgjidhje të certifikuara. Merrni burimet për një test dhe menjëherë do të kuptoni se si dhe çfarë funksionon. 

  • Është shumë e dëshirueshme që ofruesi i cloud të ofrojë shërbime shtesë në fushën e sigurisë së informacionit. Këto mund të jenë shërbime të ndryshme: mbrojtje kundër sulmeve DDoS dhe WAF, shërbim antivirus ose sandbox, etj. E gjithë kjo do t'ju lejojë të merrni mbrojtjen si shërbim, të mos shpërqendroheni nga sistemet e mbrojtjes së ndërtesave, por të punoni në aplikacionet e biznesit.

  • Ofruesi duhet të jetë i licencuar i FSTEC dhe FSB. Si rregull, një informacion i tillë postohet drejtpërdrejt në faqen e internetit. Sigurohuni që t'i kërkoni këto dokumente dhe të kontrolloni nëse adresat për ofrimin e shërbimeve, emri i kompanisë ofruese, etj. janë të sakta. 

Le të përmbledhim. Marrja me qira e infrastrukturës do t'ju lejojë të braktisni CAPEX dhe të ruani vetëm aplikacionet e biznesit tuaj dhe vetë të dhënat në fushën tuaj të përgjegjësisë dhe të transferoni barrën e rëndë të certifikimit të harduerit dhe softuerit dhe harduerit te ofruesi.

Si e kaluam certifikimin

Së fundmi, ne kaluam me sukses ricertifikimin e infrastrukturës së "Secure Cloud FZ-152" për përputhjen me kërkesat për të punuar me të dhënat personale. Puna u krye nga Qendra Kombëtare e Çertifikimit.

Aktualisht, "FZ-152 Secure Cloud" është certifikuar për pritjen e sistemeve të informacionit të përfshirë në përpunimin, ruajtjen ose transmetimin e të dhënave personale (ISPDn) në përputhje me kërkesat e nivelit UZ-3.

Procedura e certifikimit përfshin kontrollin e përputhshmërisë së infrastrukturës së ofruesit të resë kompjuterike me nivelin e mbrojtjes. Vetë ofruesi ofron shërbimin IaaS dhe nuk është operator i të dhënave personale. Procesi përfshin vlerësimin e masave organizative (dokumentacioni, urdhrat, etj.) dhe ato teknike (vendosja e pajisjeve mbrojtëse, etj.).

Nuk mund të quhet e parëndësishme. Përkundër faktit se GOST për programet dhe metodat për kryerjen e aktiviteteve të çertifikimit u shfaq në vitin 2013, programe strikte për objektet cloud ende nuk ekzistojnë. Qendrat e certifikimit i zhvillojnë këto programe bazuar në ekspertizën e tyre. Me ardhjen e teknologjive të reja, programet bëhen më komplekse dhe të modernizuara; në përputhje me rrethanat, certifikuesi duhet të ketë përvojë në punën me zgjidhjet cloud dhe të kuptojë specifikat.

Në rastin tonë, objekti i mbrojtur përbëhet nga dy vendndodhje.

  • Burimet e resë kompjuterike (serverët, sistemet e ruajtjes, infrastruktura e rrjetit, mjetet e sigurisë, etj.) ndodhen direkt në qendrën e të dhënave. Sigurisht, një qendër e tillë virtuale e të dhënave është e lidhur me rrjetet publike, dhe në përputhje me rrethanat, duhet të plotësohen disa kërkesa të murit të zjarrit, për shembull, përdorimi i mureve të zjarrit të certifikuar.

  • Pjesa e dytë e objektit janë mjetet e menaxhimit të cloud. Këto janë stacione pune (stacione pune të administratorit) nga të cilat menaxhohet segmenti i mbrojtur.

Vendndodhjet komunikojnë përmes një kanali VPN të ndërtuar në CIPF.

Meqenëse teknologjitë e virtualizimit krijojnë parakushte për shfaqjen e kërcënimeve, ne përdorim gjithashtu mjete mbrojtëse të certifikuara shtesë.

IaaS 152-FZ: pra, keni nevojë për siguriDiagrami bllok "përmes syve të vlerësuesit"

Nëse klienti kërkon certifikimin e ISPD-së së tij, pas marrjes me qira të IaaS, atij do t'i duhet vetëm të vlerësojë sistemin e informacionit mbi nivelin e qendrës së të dhënave virtuale. Kjo procedurë përfshin kontrollimin e infrastrukturës dhe softuerit të përdorur në të. Meqenëse mund t'i referoheni certifikatës së ofruesit për të gjitha çështjet e infrastrukturës, gjithçka që duhet të bëni është të punoni me softuerin.

IaaS 152-FZ: pra, keni nevojë për siguriNdarja në nivelin e abstraksionit

Si përfundim, këtu është një listë e vogël kontrolli për kompanitë që tashmë po punojnë me të dhënat personale ose thjesht po planifikojnë. Pra, si ta trajtoni atë pa u djegur.

  1. Për të audituar dhe zhvilluar modele të kërcënimeve dhe ndërhyrësve, ftoni një konsulent me përvojë nga radhët e laboratorëve të çertifikimit, i cili do të ndihmojë në zhvillimin e dokumenteve të nevojshme dhe do t'ju sjellë në fazën e zgjidhjeve teknike.

  2. Kur zgjidhni një ofrues cloud, kushtojini vëmendje pranisë së një certifikate. Do të ishte mirë nëse kompania do ta publikonte atë drejtpërdrejt në faqen e internetit. Ofruesi duhet të jetë i licencuar i FSTEC dhe FSB dhe shërbimi që ai ofron duhet të jetë i certifikuar.

  3. Sigurohuni që të keni një marrëveshje formale dhe një udhëzim të nënshkruar për përpunimin e të dhënave personale. Bazuar në këtë, do të mund të kryeni si një kontroll përputhshmërie ashtu edhe certifikimin ISPD.Nëse kjo punë në fazën e projektit teknik dhe krijimi i projektimit dhe dokumentacionit teknik ju duket e rëndë, duhet të kontaktoni kompanitë konsulente të palëve të treta. nga radhët e laboratorëve të certifikimit.

Nëse çështjet e përpunimit të të dhënave personale janë të rëndësishme për ju, më 18 shtator, këtë të premte, do të jemi të lumtur t'ju shohim në webinar "Karakteristikat e ndërtimit të reve të certifikuara".

Burimi: www.habr.com

Shto një koment