Какое определение дает закон термину “провайдер хостинга”

Комплекс услуг, решений и средств защиты для обеспечения информационной безопасности ваших корпоративных систем, созданных с использованием инфраструктуры Selectel.

8. Реализация защиты персональных данных

8.1. Деятельность Организации по обработке персональных данных в информационных системах неразрывно связана с защитой Организацией конфиденциальности полученной информации. Все работники Организации обязаны обеспечивать конфиденциальность персональных данных, а также об иных сведениях, установленных Организацией, если это не противоречит действующему законодательству РФ.

8.2. Безопасность персональных данных при их обработке в информационных системах Организации обеспечивается с помощью системы защиты информации.Обеспечение безопасности обрабатываемых персональных данных осуществляется Организацией в рамках единой комплексной системы организационно-технических и правовых мероприятий по защите информации, составляющей коммерческую тайну, с учетом требований Законодательства о персональных данных, принятых в соответствии с ним нормативных правовых актов.

8.3. Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защищенным техническими средства защиты информации.

8.4. При обработке персональных данных в информационных системах Организации обеспечиваются:

  • проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передача их лицам, не имеющим права доступа к такой информации;
  • своевременное обнаружение фактов несанкционированного доступа к персональным данным;
  • недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
  • возможность незамедлительного восстановления персональных данных, модифицированных и уничтоженных вследствие несанкционированного доступа к ним;
  • постоянный контроль уровня защищенности персональных данных.
  • назначение должностных лиц, ответственных за организацию обработки и защиты персональных данных;
  • ограничение состава лиц, имеющих доступ к персональным данным;
  • ознакомление субъектов с требованиями федерального законодательства и нормативных документов Организации по обработке и защите персональных данных;
  • производится ознакомление сотрудников Организации, осуществляющих обработку персональных данных, c требованиями законодательства РФ о персональных данных, локальными актами по вопросам обработки персональных данных.

Какие услуги предоставляет облачный провайдер

Облачный провайдер, как правило, предоставляет расширенный список сервисов с учетом потребностей клиентов. Зрелый и опытный поставщик, имея за плечами большое количество реализованных проектов, учитывает мельчайшие потребности клиентов и предлагает сервисы, актуальные для рынка. Наиболее востребованными видами услуг являются:

Виртуальная инфраструктура IaaS

Гибкое решение для создания собственного парка виртуальных серверов (виртуального дата-центра)

ИТ-аутсорсинг (ITaaS)

Широкий спектр услуг начиная от аренды времени специалистов, заканчивая аутсорсингом управления ИТ

Хранилище резервных копий в облаке (Veem Cloud Connect)

Гибкое решение для резервного копирования в облако провайдера

Резервное копирование и восстановление данных (Backup and Recovery)

Решение для резервирования критичных данных в вычислительное облако поставщика с целью обеспечения их целостности и сохранности

Услуга «PCI DSS Compliant Hosting»

Сертифицированный облачный PCI DSS хостинг и администрирование в соответствии с требованиями стандарта PCI DSS

Услуга «Аренда 1С»

Возможность подключаться через интернет и удаленно работать из любого места со своей программой 1С, не думая о ее технической поддержке и сопровождении

Услуга «Облако ФЗ-152»

Выполнение требований по защите персональных данных в рамках модели IaaS для аренды инфраструктуры с полным набором необходимых сертифицированных средств защиты информации

Услуга «Шифрование данных в облаке»

Обеспечивает защиту данных в облаке от доступа любых неавторизованных лиц, будь то сотрудник облачного провайдера или любая третья сторона

Услуга «Защита от DDoS»

Защита от DDoS на базе системы контроля и анализа трафика, использующей технологию Deep Packet Inspection

Услуга «Доступ к API»

Возможность автоматизировать любые операции по управлению виртуальными серверами в облаке IaaS

Сервисы IaaS, SaaS, услуги резервного копирования и восстановления данных являются основными, тогда как перечень иных услуг чаще относят к дополнительным: аудио- и видеосвязь, очистка почты от спама и вирусов, облачное файловое хранилище и другое.

Комментарий к Закону о блогерах

Федеральным законом от 05.05.2014 № 97-ФЗ “О внесении изменений в Федеральный закон “Об информации, информационных технологиях и о защите информации” и отдельные законодательные акты Российской Федерации по вопросам упорядочения обмена информацией с использованием информационно-телекоммуникационных сетей”, установлено следующее:

  • с 1 августа 2014 года вводится ответственность блогеров за размещение информации в интернете;

  • блогером считается владелец интернет-сайта или страницы интернет-сайта, на которых размещается общедоступная информация и доступ к которым в течение суток составляет более трех тысяч пользователей;

  • с 01.08.2014 блогеры обязаны:

    • соблюдать требования законодательства РФ, регулирующие порядок распространения массовой информации;

    • проверять достоверность размещаемой общедоступной информации до ее размещения и незамедлительно удалять размещенную недостоверную информацию;

    • не допускать использование сайта или страницы сайта в сети в целях совершения уголовно наказуемых деяний, для разглашения сведений, составляющих государственную или иную специально охраняемую законом тайну, для распространения материалов, содержащих публичные призывы к осуществлению террористической деятельности или публично оправдывающих терроризм, других экстремистских материалов, а также материалов, пропагандирующих порнографию, культ насилия и жестокости, и материалов, содержащих нецензурную брань, если сайт в течение суток посещает более 3 000 пользователей;

    • не допускать распространение информации о частной жизни гражданина с нарушением гражданского законодательства, а также соблюдать честь, достоинство и деловую репутацию граждан и организаций.

    • размещать свою и инициалы, а также электронный адрес для направления .

  • В законе отмечается, что блогер имеет право свободно искать, получать, передавать и распространять информацию любым законным способом, а также излагать в своем блоге свои личные суждения и оценки с указанием своего имени или псевдонима. Допускается также распространение в своем блоге рекламы на возмездной основе в соответствии с гражданским законодательством и законом о рекламе.

  • Роскомнадзор ведет реестр блогов, доступ к которым в течение суток составляет более трех тысяч пользователей. С этой целью данное ведомство организует мониторинг Интернет-сайтов и вправе запрашивать у организаторов распространения информации в Интернете, блогеров и иных лиц информацию, необходимую для ведения такого реестра. В частности Роскомнадзор имеет право определить провайдера хостинга или иное обеспечивающее размещение сайта лицо и направить такому лицу уведомление о необходимости предоставления данных, позволяющих идентифицировать блогера.

  • Законом также установлено, что организатор распространения информации в Интернете обязан в установленном Правительством РФ порядке уведомлять Роскомнадзор о начале осуществления деятельности по обеспечению функционирования информационных систем или компьютерных программ, которые предназначены или используются для приема, передачи, доставки или обработки электронных сообщений пользователей сети Интернет. Такие лица обязаны хранить на территории РФ информацию о фактах приема, передачи, доставки или обработки голосовой информации, письменного текста, изображений, звуков или иных электронных сообщений пользователей Интернета и информацию об этих пользователях в течение шести месяцев с момента окончания осуществления таких действий, а также предоставлять указанную информацию государственным органам, осуществляющим оперативно-разыскную деятельность или обеспечение безопасности РФ, в случаях, установленных федеральными законами.

  • За неисполнение обязанностей организатором распространения информации в Интернете, а также за непредставление сведений или представление заведомо недостоверных сведений в Роскомнадзор предусмотрены максимальные штрафы в сотни тысяч рублей.

При неисполнении этих обязанностей доступ к информационному ресурсу может быть ограничен. Кроме того, это повлечет за собой административную ответственность в виде штрафа.

Статья написана и размещена 18 ноября 2014 года. Дополнена –

ВНИМАНИЕ!

Копирование статьи без указания прямой ссылки запрещено. Внесение изменений в статью возможно только с разрешения автора.

Кому доверить свою защиту?

В России работают порядка 10 облачных провайдеров, ориентированных на оказание услуг крупному бизнесу, и несчётное количество компаний, которые размещают в своих облаках инфраструктуру и сервисы для SMB и физических лиц. Естественно, первая категория предлагает более дорогие, кастомизированные услуги и строит платформы на базе надёжных решений, так как любые утечки и другие инциденты информационной безопасности могут привести к финансовым и репутационным рискам. Подобные компании детально прописывают правила работы в строгом SLA и могут подтвердить высокую степень защищённости рядом документов. Это и уже упомянутый сертификат соответствия облачной платформы требованиям ФЗ 152, и сертификат ISO/IEC 27001 — международного стандарта по информационной безопасности, и сертификат PCI DSS

Немаловажно также наличие полного комплекта сертификатов уровня Tier III от Uptime Institute (включает Tier III — Gold Certification of Operational Sustainability). Это говорит о грамотно выстроенных процессах эксплуатации дата-центра

К слову, сертификация по стандарту PCI DSS хоть и регламентирует в первую очередь работу с платёжными картами и переводами, но также свидетельствует о высоком уровне защиты. Этот документ подтверждает не только наличие необходимых средств информационной безопасности, но и формализует организационные моменты — требования к сотрудникам, к их действиям в случае инцидентов. Отдельно он регламентирует требования к регулярности проведения «проверочных» мероприятий — различных тестов на проникновение, которые уважающий себя облачный провайдер устраивает один-два раза в год. Всё это помогает в том числе снизить влияние человеческого фактора, но уже на стороне поставщика облачных услуг и его команды.

Провайдер хостинга и персональные данные, обрабатываемые клиентом

Обращаясь выборочно к понятию «обработка персональных данных», закрепленному в ст. 3 ФЗ от 27.07.2006 N 152-ФЗ “О персональных данных” можно увидеть, что оно включает в себя любые совершаемые с ними действия, в том числе хранение, передачу, блокирование, удаление, уничтожение персональных данных.

Если рассмотреть применение понятия на хостинг-услуги, то обработка персональных данных на вычислительном пространстве клиента  может производиться силами “хостера” без участия клиента при отсутствии закрепления отдельных функций договором, например, хранение бэкапов, восстановление поврежденного программного обеспечения (баз данных) и т.п..

Исходя их предыдущего абзаца, в случае составления договора между провайдером хостинга и клиентом по шаблону из интернета или специалистом, не разбирающимся в вопросах правомерности обработки персональных данных в телеком сфере, провайдер хостинга может быть признан виновным в совершении правонарушения, связанного с их незаконной обработкой и/или может быть обязан возместить убытки и оплатить моральную компенсацию лицами, чьи персональные данные обрабатывались с нарушением законодательства, из-за фактической вины клиента.

В некоторых случаях провайдеры хостинга, считая эту деятельность подлежащей лицензированию в сфере связи и не имея соответствующей лицензии, не указывают в предмете договора саму услугу связанную с предоставлением вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к сети “Интернет”, тем самым полностью разделяя с клиентом возможные незаконные действия с персональными данными, не говоря уже о возможности признания сделки притворной (ст. 170 ГК РФ).  

В связи с тем, что ежегодно растет количество выявленных административных правонарушений и успешных дел, в результате которых субъекты персональных данных защитили свои персональные данные от незаконной обработки, провайдеру хостинга рекомендуется максимально разграничить ответственность и функции по договору с клиентом, надлежаще оформить предмет договора на хостинг. Причем, одновременно договор может быть составлен так, что бы исключить подпадание провайдера хостинга под лицензирование в сфере связи.

Стоит отметить, что однозначно вопросы законности/незаконности обработки персональных данных в каждом конкретном случае может разрешить только суд.

Если провайдер хостинга для собственной безопасности в качестве превентивной меры решит самостоятельно выдавать предупреждения клиентам или ограничивать их коммерческую деятельность в связи с вероятным нарушением законодательства в сфере персональных данных, клиент может взыскать с провайдера хостинга причинённый ущерб, т.к. предъявит суду законные основания такой обработки, о чем провайдер не мог и не может знать. С другой стороны, проводить превентивную работу с клиентами относительно возможных нарушений в сфере персональных данных необходимо, т.к. с 01 сентября 2015 года из-за клиента ip адрес хостинг-провайдера может попасть в Реестр нарушителей прав субъектов персональных данных, что, в зависимости от технологии хостинг-услуг, может отразиться на других клиентах. Учитывая тот факт, что ip адреса будут включаться и исключаться из «черного списка» по решению суда в котором «хостер» в общем случае не является стороной по делу, вернуть к работоспособности ip адрес брошенного сайта будет затруднительно.

Как специалист, имеющий правовой опыт в сфере информационных технологий и связи предлагаю обращаться ко мне за консультациями, составлением (экспертизой) документов хостинг-провайдера, сопровождением претензионной работы с проблемными клиентами.

Страница 1 из 31

Обязанности провайдера. На что обратить внимание клиенту?

Предлагая услугу хостинга ПДн, облачный поставщик несет огромную ответственность перед клиентами, обеспечивая как организационные, так и технические меры по защите данных. Заключая договор с поставщиком услуги, следует внимательно ознакомиться со всеми предусмотренными в нем пунктами

Особое внимание уделите вопросу разграничения прав доступа сотрудниками провайдера к данным, размещаемым в облаке

Также помните, что SLA никто не отменял. Хостинг ПДн, как и любая другая услуга, предоставляемая в контексте оговоренных условий, должна сопровождаться соглашением об уровне оказываемых услуг. Поскольку целостность и доступность данных является достаточно важным аспектом, необходимо обсудить детали и выяснить, какую ответственность будет нести поставщик в случае невыполнения тех или иных условий.

А что если данные и вовсе будут потеряны? Задайте этот вопрос хостинг-провайдеру. Столь тонкий момент не должен оставаться без внимания, ведь отсутствие временного доступа к данным и потеря самих данных — совершенно разные вещи. Сегодня многие поставщики предлагают возможность страхования облачных рисков, что дает несомненную гарантию выплаты страховки в результате наступления страхового случая. Такая услуга становится все более и более популярной в силу желания клиентов иметь определенные гарантии. Как правило, стоит страховка недорого и может быть включена в абонентскую плату.

Чем облачный провайдер отличается от хостинг-провайдера (как найти отличия)

# Отличия в технологиях

И облачный, и хостинг-провайдер сегодня не обходятся без использования технологий виртуализации. Однако виртуализация виртуализации рознь. Состоявшийся и зрелый облачный провайдер использует широкий спектр виртуальных вычислительных ресурсов, включая виртуальные серверы, виртуальные СХД, виртуальные сети. Хостинг-провайдер, наоборот, предлагает лимитированный по функциональным возможностям сервис и ограничивается виртуализацией на уровне сервера.

# Отличия в способах управления услугами

В случае с облачным поставщиком ситуация в корне другая: клиенту предоставляется возможность гибкого управления собственной виртуальной инфраструктурой через портал самообслуживания, например vCloud Director. Средствами этой консоли можно создавать, удалять, конфигурировать виртуальные машины, регулировать предоставляемые мощности, назначая их соответствующим ВМ (CPU, RAM, HDD), конфигурировать сетевые параметры, создавать шаблоны, работать с каталогом и т. д.

Чтобы развернуть необходимые сервисы, заказчик создает vApp путем добавления из публичного каталога или создания с нуля виртуальной машины.

Напомним, что vApp – это контейнер, в котором размещаются виртуальные машины. vApp позволяет объединять их по назначению (например, почтовый сервер, бухгалтерия и т. д.) и управлять группой ВМ.

Для существующих виртуальных машин заказчик может вольным образом изменять характеристики: количество виртуальных CPU, объем памяти, увеличивать объем существующего диска, добавлять новые диски, подключать ВМ к той или иной сети, создавать snapshots, управлять питанием ВМ и другое.

# Отличия в способах учета услуг

Способ учета услуг, или биллинг, – ключевой момент, далеко отделяющий хостинг-провайдера от поставщика облачных услуг. Хостинг-провайдер чаще использует устаревший метод учета услуг, что требует обязательного человеческого участия и делает этот процесс негибким.

Облачный провайдер использует иной способ учета услуг и применяет в своей работе модуль биллинга – основного компонента, который обеспечивает работу бизнеса, автоматизируя следующие функции:

  • открытие и закрытие пробного периода,
  • прием платежей,
  • ежемесячное выставление закрывающих документов.

Без автоматизации этих задач было бы сложно поддерживать даже несколько десятков пользователей, не говоря уже о тысячах и миллионах клиентов, что является обычной для облачного провайдера цифрой. Кроме того, автоматизированный биллинг минимизирует расходы на поддержку пользователей и демонстрирует зрелость облачного поставщика.

Что такое персональные данные?

Персональные данные – это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное и имущественное положение, образование, профессия. То есть практически любая информация, которую пользователь указывает на сайте при регистрации или заполнении формы, попадает под действие ФЗ № 152.

Помимо информации, которую пользователь сам указывает на сайте, Роскомнадзор стал относить к персональным данным также данные о поведении пользователя на сайте, cookie, сведения о его геопозиции и IP-адрес. Результатом таких изменений стала нашумевшая в ноябре 2016 года блокировка в России рекрутингового сервиса LinkedIn.

То есть, если на вашем сайте в форме обратной связи есть поле «Имя» или «Представьтесь», то вместе с автоматически передаваемыми cookie и другими метаданными, это будет являться персональными данными, а вы – оператором персональных данных.

Хотите вы этого или нет, но если на вашем сайте накапливаются, хранятся или каким-то образом используются в работе персональные данные, то, с точки зрения закона, вы признаетесь оператором персональных данных и обязаны обрабатывать их в соответствии с ФЗ № 152 «О персональных данных».

Зачем нужен хостинг

Каждый веб-мастер знает, что сайт состоит из набора определенных файлов. Пока сайт находится в стадии разработки, все файлы могут храниться на локальном диске компьютера. Но для того чтобы сайт начал функционировать, на него могли заходить посетители, необходимо разместить все подготовленные файлы на хостинге. Другими словами, хостинг можно назвать «землей для дома», которая обеспечивает то, чтобы в ваш «дом», то есть на сайт, смогли заходить люди из сети интернет.

Хороший хостинг способен обеспечить корректную работу сайта. Также служит своеобразным хранилищем для всех файлов. Поэтому тем, кто хочет создать профессиональный сайт, в первую очередь, стоит задуматься о выборе хостинг-провайдера. Если интернет-ресурс будет крупным, то лучше воспользоваться платным хостингом. Помимо предоставления домена второго или первого уровня, платный вариант позволяет загружать файлы большого объема и без всяких ограничений. К тому же, платный хостинг вызывает доверие, чего не скажешь о бесплатном.

Подводя итоги, можно сказать, что основной задачей хостинга служит размещение сайта клиента на сервере. В обязанности хостера входит обеспечение взаимосвязи сайта и доменного имени, чтобы при введении в адресную строку электронного адреса, посетитель попал именно на сайт, адрес которого был прописан.

Хостинг-провайдеров довольно много. Перед выбором нужно ознакомиться с условиями и, прежде всего, подумать именно о качестве, ведь от этого зависит работоспособность сайта.

Следующие:

  • Сейчас мы не можем представить свою жизнь без интернета, смартфонов, ноутбуков, планшетов и прочих новых изобретений. Также нам кажется невозможной…

    “>На какой системе хранения информации следует остановить свой выбор

  • Как выбрать VPN и какие преимущества дает его использование?
    VPN – виртуальная сеть, работающая по верх глобальной и в которой все данные передаются в зашифрованном…

    “>Как выбрать VPN сервис

  • Компьютерные технологии постоянно совершенствуются, и если раньше пользователю приходилось самостоятельно предпринимать большое количество действий, чтобы…

    “> Высоконагруженные проекты: использование облачных технологий

  • В настоящее время на рынке представлено немалое количество хостингов. Поговорим о VPS, его достоинсвах и недостатках.
    Существует несколько видов…

    “>5 преимуществ VPS перед другими видами хостинга

  • В определенный момент в любой компании встает вопрос, где хранить всю свою информацию. На данный момент существуют различные варианты для этих…

    “>Уступает ли выделенный сервер облачному VPS?

Предыдущие:

  • Сервер HPE DL80 выбирает довольно большое количество владельцев компаний. Эта техника имеет прекрасные технические и эксплуатационные…

    “>Сервер HPE DL80 – для успешного развития вашего бизнеса

  • В стандартном случае хостингом называется размещение сайта на сервере. На этом сервере должно быть установлено программное обеспечение, операционная система, есть панель…

    “>Из чего состоит дешевый хостинг сайтов?

  • Хостинг всегда требует подробного сравнения. Нельзя содержать собственный сайт «где-нибудь», следует оценивать каждую деталь, чтобы обеспечить…

    “>Хостинг, VPS, VDS и выделенный сервер: в чем отличия и преимущества

  • Во все времена работала поговорка: подальше убери, поближе найдешь. В век автоматизации и открытого доступа к информации она особенно актуальна….

    “>Серверы DELL PowerEdge – надежно сохрани данные

  • Новый блейд-сервер Dell PowerEdge M820 предлагает большую экономию для предприятий, которая заключается в снижении затрат на лицензирование…

    “>Новый высокопроизводительный блейд-сервер PowerEdge M820 от Dell

  • Назад

  • Вперёд

Более «тесное» знакомство

Предварительно подобрав несколько компаний и узнав их технические возможности, осталось проверить юридические аспекты и сделать окончательный выбор хостинга для дальнейшего сотрудничества. Для этого используется следующая информация:

  • Наличие официальной регистрации. ЧП (ИП), ООО, ПК, ФОП и так далее. Уже это частично застрахует от многочисленных неожиданностей.
  • Реальный офис. Если реквизиты ограничиваются лишь email адресом, компания либо создана недавно, либо не планирует работать долго, а при нынешней конкуренции одно может стать следствием другого. Хотя и бывают редкие исключения. Также хорошо, когда есть городской номер.
  • Способы приема оплаты. Большим плюсом тут будет работа компании с пайпэл или вебмани – для фирм-однодневок эти платежные системы практически недоступны. Взаимодействие с платежными терминалами также свидетельствует о состоятельности хостера.
  • Период существования домена. Когда он используется менее года, риски сотрудничества с такими провайдерами сильно возрастают.
  • Предлагаемые тарифы. Не ведитесь на низкую стоимость – заявленные услуги там редко соответствуют действительности, а владельцами ресурса в большинстве случаев оказываются обычные школьники. Лучше ограничиться чем то средним.
  • Оформление сайта. Когда его уровень низок и присутствуют ошибки – комментарии излишни.
  • Репутация. Сейчас трудно судить о компаниях по отзывам – большинство из них нельзя воспринимать серьезно.

На что обратить внимание при выборе провайдера, предлагающего услуги «по ФЗ-152»

Выбор провайдера – задача не из простых, поскольку это должна быть проверенная, надежная и ответственная компания. Потенциальный исполнитель (назовем его так) должен честно ответить на вопрос, какой максимальный уровень защищенности он обеспечивает в облаке, с указанием типа нейтрализуемых актуальных угроз. Причем сказанное лучше увидеть – попросите поставщика продемонстрировать подтверждение соответствия декларируемому уровню защищенности. Например, запросите документ, подтверждающий внешний аудит независимым исполнителем. В идеале это может быть аттестат, хотя аттестация облака – довольно сложная задача.

Кроме того, провайдер должен иметь модель угроз для защищенного сегмента облака и в случае необходимости ознакомить с ней клиента, включая описание мер и способов нейтрализации актуальных угроз. В договоре с провайдером должны быть учтены моменты, предусмотренные частью 3 статьи 6 закона «О персональных данных», включая сведения о типе актуальных угроз и уровнях защищенности.

Чья шевелюра прочнее: морфология волос

Волосы для современного человека являются не более чем элементом визуальной самоидентификации, частью имиджа и образа. Несмотря на это, данные роговые образования кожи имеют несколько важных биологических функций: защита, терморегуляция, осязание и т.д. Насколько же прочные наши волосы? Как оказалось, они в разы прочнее волос слона или жирафа.
Сегодня мы с вами познакомимся с исследованием, в котором ученые из Калифорнийского университета (США) решили проверить, как коррелирует толщина волоса и его прочность у разных видов животных, включая человека. Чьи волосы оказались самыми прочными, какими механическими свойствами обладают волосы разных видов и как данное исследование может помочь в разработке новых типов материалов? Об этом мы узнаем из доклада ученых. Поехали.

Как это реализуется на практике?

Строится многоступенчатая архитектура, которая включает в себя периметровые средства для мониторинга и контроля доступа к платформе, средства для её защиты и разграничения виртуальных сегментов заказчиков, а также антивирусы для всех компонентов платформы. Поверх этого внедряются системы, необходимые для информационной безопасности приложения, которое используется для хранения и обработки данных

Но самое важное — все применяемые средства должны быть сертифицированы ФСТЭК или ФСБ. Наличие аттестата у облачной платформы говорит о том, что она соответствует требованиям регулятора в части систем хранения персональных данных до третьего уровня включительно

DevOps/Linux-инженер

«КРОК», Москва, от 100 000 до 250 000 ₽

tproger.ru

Вакансии на tproger.ru

Кстати, нас часто спрашивают, где хранить и обрабатывать данные первого и второго уровня защищённости, например базу с медицинскими данными более 100 тыс. граждан Российской Федерации. Ответ простой — необходимо мигрировать систему на выделенное оборудование в ЦОД. Дело в том, что сейчас ни один из гипервизоров, используемых в составе облачных платформ популярных российских провайдеров, не сертифицирован и формально не может использоваться для размещения персональных данных первого и второго класса. До тех пор, пока ситуация не изменится, мы рекомендуем реализовывать информационные системы с персональными данными 1 и 2 уровня защищённости на выделенном оборудовании в надёжном дата-центре.

Осторожно – «слова-маячки»!

При поиске облачного провайдера обращайте внимание на «слова-маячки». Если на веб-странице компании присутствуют термины: класс защищенности ПДн, типовая, специальная ИСПДН, лицензия на работу с персональными данными, аттестация и сертификация облака на соответствие требованиям ФСБ – стоит насторожиться, поскольку такие слова в современном лексиконе уже не используют

К тому же аттестации по требованиям ФСБ нет и никогда не было.

Дополнительно стоит обратить внимание на то, как обеспечивается резервное копирование и восстановление с точки зрения катастрофоустойчивости и территориальной распределенности. Поставщик должен быть готов предоставить сертифицированный крипто-шлюз как дополнительную или основную услугу при организации работы

В результате установленных отношений с провайдером клиент получает на руки договор, в котором прописан уровень защищенности и определены меры по обеспечению безопасности. Это говорит о том, что обязанности оператора по технической защите ПДн выполнены и этого достаточно для подтверждения требований законодательства

При этом важно понимать, что сразу заключать договор с провайдером вовсе необязательно. Любой адекватный поставщик всегда готов предложить возможность протестировать облачный IaaS-сервис, чтобы понять, подходит ли предлагаемый сервис для решения задач клиента

Рейтинг
( Пока оценок нет )
Понравилась статья? Поделиться с друзьями:
Добавить комментарий