Pull to refresh
7
Karma
0
Rating

Приключения персональных данных в России

Я не специалист в области ИБ, хоть и имею за свою долгую жизнь несколько сертификатов о законченных курсах по ИБ)) Поэтому рекомендую всем коллегам: нам нужен ИТ-кругозор и здравый смысл для оценки и выбора решения проблемы. И что еще важно — выбрать подрядчика, который не будет вас разводить на избыточные меры и решения. И доверие… Вот его найти — самое ценное, и какому доктору доверить лечение. И это — самая непростая проблема, поверьте!

Приключения персональных данных в России

Советую прочитать этот материал:
"Персональные данные – 2018: как избежать штрафов"

Обратите внимание на:

Случаи, когда уведомление Роскомнадзора не требуется
При обработке ПДн, если они:

  • относятся к субъектам, которых связывают с оператором трудовые отношения;
  • получены оператором при заключении договора, но не распространяются, не предоставляются третьим лицам без согласия на то их субъекта, то есть используются оператором исключительно для исполнения договора;
  • являются общедоступными ПДн;
  • включают только ФИО субъектов ПДн;
  • нужны для однократного пропуска субъекта ПДн на территорию, на которой находится оператор, или в иных аналогичных целях;
  • включены в федеральные автоматизированные информационные системы ПДн, государственные информационные системы ПДн, созданные в целях защиты безопасности государства и общественного порядка;
  • обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами.

Приключения персональных данных в России

Ого :) Все видят эту ситуацию очень субъективно, под своим углом зрения, так сказать. В том числе и я, и, возможно, остальные присутствующие))
Реально то, что нарушают все повально, но проверяющие приходят в первую очередь к тем, кто вызывает у них интерес по каким-то неведомым или ведомым причинам (думаю, что все догадываются, как обстоят дела с проверками). Проблема в том, что публично никто не рассказывает, как он решал свои проблемы. Думаю, Вы понимаете почему. Поэтому на поверхности только публичные кейсы с крупными компаниями. Но, если у вас есть доступ к подписке консультанта или гаранта, посмотрите судебную практику. И опять оговорюсь, до судов, по моему мнению, доходит меньше 1% случаев.
Мы не планировали облако, оно уже было — Azure, мы искали максимально быстрый и дешевый путь, рассмотрели 3 варианта, выбрали не самый дешевый, искали самый недорогой в горизонте на 3 года с хорошей поддержкой. Моя задача была — помочь хорошему приятелю, а здесь предупредить коллег, в том числе CIO / ДИТов / админов / разработчиков, чтобы не боялись и не паниковали, когда на них навалится подобная проблема. И мне «самолечение» стоило потерянных 3 рабочих дня — это тоже ценный опыт.

Приключения персональных данных в России

Интересный опыт. Можете поделиться, какой провайдер такое вытворяет? Мы сравнили нескольких. Специально их не упоминаю, чтобы не было рекламы. У всех + / — одно и тоже. Но Доктор, конечно имеет значение — это я про подрядчика, который делал ОРД — вот здесь сильно разные предложения.

Приключения персональных данных в России

Идти в отечественное облако — один из вариантов. Главное — не вестись на безумные затраты. В нашем случае вопрос стоя еще жестче — закрываться нафиг или что-то сделать такое чудесное, чтобы пролезть через игольное ушко. И чудо, оказалось, что пролезть можно, а все эти штрафы и последствия, догадайтесь какие, — для слабонервных) Вы же понимаете, что делает бизнес, когда ему угрожают заплатить 18 000 000 руб? Об этом все молчат, потому что понимаете, что обычно делает бизнес?

Приключения персональных данных в России

Сначала нам сватали 2-й уровень с дополнительными аппаратно-программными средствами. Но провайдер дал контакты эксперта, который быстро привел все к разумному знаменателю — УЗ 3 с ОРД и соглашением с провайдером, который стал обработчиком перс.данных, а мы — оператор. ОРД оказалась самой затратной частью.

Приключения персональных данных в России

Мы же тут уважаем точки зрения друг друга, так? :) Я намеренно не стал выкладывать вываливать все материалы, так это большинству не интересно и, поверьте, не надо. Но ОК, в следующей статье «Мифы о защите персональных данных» я обязательно постараюсь более детально раскрыть и те вопросы, которые Вы упоминаете.
Главная цель статьи — предупредить коллег о необоснованных угрозах, понимаете о каких: цифры 800 000 руб — персональной ответственности и 18 000 000 руб + лишение работы CIO сильно сбивают с толку и приводят моих коллег к необдуманным затратам.
И да, мы потратили несколько дней, чтобы во всем этом разобраться, а потом оказалось, нам мне все это сделали бесплатно — я думаю, что это точно не всем очевидно. В техническом плане нам не пришлось НИЧЕГО делать. Только соблюдать ОРД! Вот ОРД может стоить от 45 000 до 300 000 / 500 000 руб — да, так сильно зависит от поставщика! А начиналось все с «необходимости покупки эстеры и випнетов» по мнению тех, кто хочет продать побольше своих сервисов и железок или некоторых дилетантов.

Приключения персональных данных в России

А какой тип угроз Вы рассматриваете?

Приключения персональных данных в России

Облачный провайдер дал контакты подрядчика, который быстро сделал аудит и оценку.

Чек-лист по настройке инфраструктуры для повышения скорости работы 1С  с  MS SQL (особенно важно в облаках)

Давайте попробую ответить еще более доброжелательно, так как Вы же потратили время на чтение и коммент к этой странной статье?:) Как и чем защищать, Вы лучше меня знаете. Но мне показалось, что что-то Вам таки было важно найти, но, вероятно, не нашли в этом опусе?
Вот теперь по возможности доброжелательно :) напишите, пожалуйста, что Вы хотели узнать, что интересует? Что надо решить, стоят задачи?

Чек-лист по настройке инфраструктуры для повышения скорости работы 1С  с  MS SQL (особенно важно в облаках)

Никого не хочу обидеть, но написано «для опытных админов» :)
Здесь на хабре такие решения подробно разбирались. А также + / — такого подхода. Конечно, несколько контуров защиты всегда есть, как и регулярные бэкапы 3-2-1. Рекомендую делать бэкапы на инфраструктурном уровне, в СУБД и на уровне приложения (сама 1С умеет делать, включая регулярную выгрузку конфигурации — особенно ценно для «отката»/rollback, когда неосторожные разработчики что-то натворят или просто тестируют новую версию в продуктиве, но надо подстраховаться). Периодическая выгрузка-загрузка конфигурации также помогает решить еще несколько относительно полезных задач.
Советую прочитать
infostart.ru/public/1119557
www.1cbit.ru/blog/uskorenie-i-optimizatsiya-1s-kak-uskorit-rabotu-1s
а также
habr.com/ru/post/535662

Чек-лист по настройке инфраструктуры для повышения скорости работы 1С  с  MS SQL (особенно важно в облаках)

Еще раз спасибо за идеи, постараюсь сделать в ближайшее время. Смерть выходным :)

Чек-лист по настройке инфраструктуры для повышения скорости работы 1С  с  MS SQL (особенно важно в облаках)

Спасибо за хорошую идею. Постараюсь написать в ближайшее время. У меня собирается материал по использованию Postgres Pro с 1С.
Интересна эта тема?
Сравнение с MS SQL, режимы использования и настройка, использование в режимах выделенной инсталляции (dedicated/хостинг) и PaaS?
+ / -?
Экономика?
Что из этого больше интересует?

Чек-лист по настройке инфраструктуры для повышения скорости работы 1С  с  MS SQL (особенно важно в облаках)

А какие облачка существуют? Публичные, частные, домашние...? Да, этим термином многие «накрывают» целые инфраструктуры, корпоративную виртуализацию с сервисами vCloud Director или аналогичными, а некоторые даже свою «домашнюю» платформу, например, типа NextCloud :)
Что для Вас облако?

Чек-лист по настройке инфраструктуры для повышения скорости работы 1С  с  MS SQL (особенно важно в облаках)

Спасибо за Ваш комментарий. Действительно, тест достаточно упрощенный. Это знают все «1С-ники»: «тест в попугаях, служит для относительной оценки, например, поменял диски или настройки железа сервака и посмотрел, как это повлияло на производительность...».
Да, все так, как Вы пишете Но для упрощенных оценок вполне годится. Для инженерных оценок и сложных решений существуют другие инструменты. Они тоже упомянуты. Видели? Как они Вам? Удобно пользоваться? Легко развернуть и настроить? :)
Профи пишут собственные обработки (если не в курсе, так называются прикладные решения на платформе 1С, которые могут выполняться в большинстве конфигураций 1С, подробней: v8.1c.ru/platforma/obrabotka или здесь v8.1c.ru/platforma/vneshnie-obrabotki). Эти обработки имитируют реальные нагрузки, которые дают результаты тестирования с более высокой степенью достоверности и в контексте конкретной задачи.
Но, к сожалению, 90% «леди 1С» измеряют тестами Гилева все подряд, а потом утверждают, что размер имеет значение :) Мне было важно, чтобы «публика» задумалась и начала обсуждать эти и подобные проблемы, так как в современной ИТ-галактике нет абсолютно правильных решений, и истина рождается именно в таких обсуждениях)

Information

Rating
5,724-th
Registered
Activity