Как стать автором
Обновить

Персональные данные в облаках: декларация соответствия или аттестат

Время на прочтение 9 мин
Количество просмотров 4.1K
Всего голосов 15: ↑12 и ↓3 +9
Комментарии 6

Комментарии 6

Не совсем понимаю суть аттестации ИС до размещения в ней ИСПД/ГИС клиента, в чем суть? Ведь после размещения на новую систему нужно новую модель угроз, тот же тех паспорт, а соответсвенно и протокол с заключением и аттестатом где будут прописанны как и чем закрываются угрозы и т.д.
Клиент сегодня работает с Облаком и размещает на виртуальных мощностях прикладное ПО своей ИС и получает ряд решений как сервис. По сути получает виртуальную серверную в Облаке. Конечно, часть ИС клиентов нуждается в соответствии регуляторным требованиям (ГИС/ПДн), но при этом оказывать влияние на инфраструктуру Облака (включая инфраструктурные СЗИ) клиент не может. Выхода тут два: строить частное Облако (что дорого и не имеет эластичности), использовать публичное Облако, инфраструктура которого уже имеет аттестацию или оценку соответствия. Такой подход позволяет клиенту не опускаться на уровень железа, иметь высокую эластичность ресурсов, а при необходимости аттестации своей ИС ссылаться на аттестованную инфраструктуру Облака. Последнее упрощает клиенту процедуру прохождения аттестации.
Видимо я не смогу нормально спать, пока не напишу коммент размером со статью к этому опусу. Развидеть же не получится…



Важно: Выбор сервиса для размещения своей ИСПДн и отслеживание валидности предоставленных бумаг — зона ответственности клиента, поскольку, где бы он ни размещал информационные системы, он остается оператором ПДн и несет ответственность за их защиту.


Да что вы говорите. Давайте посмотрим статью 6 закона «О персональных данных»:

3. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее — поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона.

5. В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.


Во-первых, вы во всей статье как-то умалчиваете, что когда оператор ПДн размещает ПДн своих клиентов в облаке он по сути передает их другому лицу — владельцу облака. И в большинстве случаев он должен брать с субъектов ПДн на это согласие. Во-вторых, вы так пишете как будто оператор ПДн при законной передаче персданных третьим лицам должен бегать по этим третьим лицам и проверять все ли в порядке у них с защищенностью. А третьи лица могут расслабиться. Нет, закон говорит, что третьи лица тоже должны принимать меры и они тоже несут ответственность, правда не перед субъектом ПДн, а перед операторм ПДн.

Эти два типа документов можно рассмотреть на примере требований к изоляции ИСПДн от публичных сред, других ИС в облаке и интернета.


Можно пример требования именно изоляции? Вот смотрю сейчас 21 приказ ФСТЭК, управление информационными потоками — вижу, защищенный удаленный доступ — вижу, защиту периметра — вижу. А изоляция это какое конкретно требование?

В своих технических требованиях регулятор оперирует набором ОС, «железа», подключением к интернету (сетям общего пользования) и другими. В свою очередь, провайдер может оперировать уровнями платформы, контейнерами или отдельными сервисами (базы данных, бэкапы и пр)


Если вы про документы ФСТЭК, есть там и сервисы, и платформы, и БД и бэкапы и много еще чего. Есть конечно кое-где пробелы, но не такие как вы пытаетесь преподнести.

В аттестате фиксируется точное соответствие тому или иному уровню защищенности (УЗ) и классу защиты (К) с учетом всех требований ГОСТ, а ОЭ может лишь обозначать данное соответствие.


Эээ, а при оценке эффективности оператор ПДн разве не должен также определить УЗ, разработать модель угроз и исходя из актуальных угроз и своего УЗ выбрать перечень мер для реализации? Вы же сами дальше пишете, что ОЭ от аттестации отличается тем, что не нужно привлекать лицензиата и что финальные документы могут делаться в свободной форме. Это так, но это не означает, что сами мероприятия по защите ПДн как-то отличаются от того, собираетесь ли вы в итоге проводить аттестацию или ОЭ! Да и на соответствие требованиям какому загадочному ГОСТ? Требования по защите информации установлены в методических документах ФСТЭК.

Если сервисы провайдера аттестованы, разграничение зон ответственности можно, как правило, провести более четко


Я уже выше написал — разграничение зон ответственности уже четко установлено законом.

Аттестат соответствует определениям и категориям, которые использует регулятор. В отличие от оценки эффективности, где определения могут быть даны в более расплывчатых формулировках и не всегда полностью отражать требования регуляции


Это как? Возьмем определение «персональные данные» из 152-ФЗ и дадим свое «расплывчатое»? Что это за бред и как это понимать? То что отчетные документы по ОЭ могут делаться в свободной форме это значит, что нет четких требований к их оформлению и содержанию, как например к документу «Программа и методики аттестационных испытаний», требования к которому установлены ГОСТ РО 0043-004-2013 «Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний». А не то, что можно вертеть на одном месте термины и определения из законодательства.

Если клиент планирует размещать в облаке ГИС. Оценка эффективности здесь не подойдет — при прохождении процедуры аттестации самой информационной системы сослаться на ОЭ будет проблематично.


Да как бы не «проблематично», а «невозможно». Пункт 17.6 приказа ФСТЭК №17:

В случае если информационная система создается на базе информационно-телекоммуникационной инфраструктуры центра обработки данных уполномоченного лица, такая инфраструктура центра обработки данных должна быть аттестована на соответствие настоящим Требованиям.


В первую очередь, необходимо понимать, что оценка эффективности не является документом по ГОСТу


Оценка эффективности принятых мер это не документ, а процесс. Документом по итогам этого процесса может быть заключение, отчет и т. д. Да, может я тут уже и докапываюсь, но не могут специалисты так коряво писать, извините.

Такую оценку владелец ИС вправе выполнить самостоятельно, не привлекая никого со стороны. Только от него зависит объем требований и набор проверяемых подсистем, а также сценарий проверки.


Нет, не верно, набор требований зависит от установленного УЗ и актуальных угроз безопасности. Здесь по требованиям конечно может быть некая дельта вариативности, но не такая большая как хотелось бы.

Говоря грубо — любая компания может выбрать набор критериев безопасности и провести внутреннюю оценку своих систем на предмет соответствия этим критериям.


Выбор защитных мер как бы регламентирован, а не собирается по желанию левой пятки. Вам плюсики в таблицах с мерами в приложениях к приказам ФСТЭК ни о чем не говорят?

Будет ли ее результат иметь юридическую силу в глазах регулятора? Едва ли.


Ну если будет делаться так, как вы написали, то конечно это филькина грамота. Только, то, что оператор может сделать ОЭ как попало, это не значит, что он должен так делать. Ничто не мешает провести ОЭ и сделать отчетные документы приближенно к аттестации и даже лучше. Какие тогда у регулятора могут быть основания для нивелирования юридической силы такой ОЭ?

Иными словами, провайдер может где-то использовать сертифицированные средства защиты, где-то обойтись «творческим подходом» и ссылкой на организационные меры защиты, а где-то признать невозможность использования сертифицированных средств защиты в связи с экономической неэффективностью.


До 2017 года было так для всех УЗ. Сейчас же в 12 пункте приказа ФСТЭК №21 есть такой текст:

Для обеспечения 1 и 2 уровней защищенности персональных данных, а также для обеспечения 3 уровня защищенности персональных данных в информационных системах, для которых к актуальным отнесены угрозы 2-го типа, применяются сертифицированные средства защиты информации, программное обеспечение которых прошло проверку не ниже чем по 4 уровню контроля отсутствия недекларированных возможностей.


Очевидно, что такая лаборатория не захочет рисковать своей репутацией в глазах регулятора выдавая сомнительные ОЭ.


Во-первых, нет такого понятия как «аттестующая лаборатория», это вы придумали какую-то химеру из аттестующего органа и испытательной лаборатории. Во-вторых, полно лицензиатов, которые проводят «аттестацию по фотографии» и плевать хотели на свою репутацию.

В отличие от аттестата, в ОЭ может быть не указан срок, в течение которого документ легитимен. Скорее, это подтверждение того, что на момент проведения все могло соответствовать описанным возможностям.


Да впрочем как и с аттестатом соответствия. Технически ничто не мешает владельцу аттестованной системы после получения заветной бумажки снести средства защиты информации и добавить новые технологии, порождающие новые, не учтенные ранее, угрозы безопасности информации.

Наличие у провайдера аттестата гарантирует некую неизменность условий функционирования системы, оказывающих влияние на информационную безопасность, в течение всего периода его действия.


Ничего это не гарантирует.

Так, например, облачные сервисы, имеющие аттестаты УЗ-1 и К1, проходят контрольные мероприятия ежегодно согласно требованиям регулятора.


Говорю по собственному опыту — из сотен аттестованных объектов только единицы за все годы обратились за услугой периодического контроля.

Ответственность несут, как мы уже писали выше, лаборатория, выдавшая аттестат, и сам провайдер.


Аттестующий орган несет ответственность за качество проведенных аттестационных испытаний. Если провайдер после получения аттестата что-то в своей инфраструктуре нахимичит, что понизит защищенность, то тут уже ответственность только провайдера.

Облачный провайдер, как правило, является лицензиатом ФСТЭК и ФСБ.


Кроме РТК не знаю таких, хотя работали со многими. Зачем им получать дорогостоящие лицензии, если они не собираются оказывать услуги в сфере информационной безопасности? Так что с «как правило» это вы загнули.

Если сервисное решение все еще вызывает сомнения, имеет смысл через официальные ресурсы регулятора убедиться в подлинности аттестата.


О, вот это интересно! ФСТЭК завел публичный реестр аттестованных объектов??? А ссылочкой не поделитесь?

Требовать у провайдера внутренние документы (такие как регламенты, протоколы испытаний) вряд ли стоит. Многие из них, например, методики аттестационных испытаний, являются конфиденциальными и не могут быть предоставлены вам как клиенту.


Впрочем как и сам аттестат, в лучшем случае вам покажут скан обложки и первую страницу.
Рады, что Вы прочитали и подробно прокомментировали наш материал. Отлично, когда сухой материал про ИСПДн, ГИС и регуляцию вызывает такой живой интерес. Понимаю, что Вы хорошо погружены в тему ПДн и регуляции. По Вашим комментариям:

1. Во-первых, вы во всей статье как-то умалчиваете, что когда оператор ПДн размещает ПДн своих клиентов в облаке он по сути передает их другому лицу — владельцу облака. И в большинстве случаев он должен брать с субъектов ПДн на это согласие. Во-вторых, вы так пишете как будто оператор ПДн при законной передаче персданных третьим лицам должен бегать по этим третьим лицам и проверять все ли в порядке у них с защищенностью. А третьи лица могут расслабиться. Нет, закон говорит, что третьи лица тоже должны принимать меры и они тоже несут ответственность, правда не перед субъектом ПДн, а перед операторм ПДн.


Где же здесь противоречие? Оператор ПДн несет ответственность перед субъектом ПДн? Несет. В этой связи важно ли оператору ПДн помимо формальной юридической процедуры – оформления поручения на обработку ПДн с провайдером, убедиться в добросовестности этого провайдера? Изучить его репутацию? Ознакомиться с репутацией компании-лицензиата, которая проводила оценку эффективности (или аттестацию)? Думаю, что ответ очевиден. Репутационные риски никто не отменял. При передаче данных на обработку третьему лицу по поручению сам оператор не перестает быть оператором и с него не снимается никакая ответственность. В отличии от GDPR у нас нет в законодательстве разграничений между data processor и data controller. Оба лица будут операторами ПДн, только один из них отвечает перед самими субъектами ПДн, а второй по договору перед первым.

2. Можно пример требования именно изоляции? Вот смотрю сейчас 21 приказ ФСТЭК, управление информационными потоками — вижу, защищенный удаленный доступ — вижу, защиту периметра — вижу. А изоляция это какое конкретно требование?


Предполагаю, что смысл, который вкладывается в понятие «изоляции» вполне ясен, это как раз меры из тех самых разделов 21 приказа, которые Вы приводите. Речь о наборе требований по межсетевому экранированию, регламентации доступа, защите каналов связи, защите информационной системы и т.д.

3. Эээ, а при оценке эффективности оператор ПДн разве не должен также определить УЗ, разработать модель угроз и исходя из актуальных угроз и своего УЗ выбрать перечень мер для реализации? Вы же сами дальше пишете, что ОЭ от аттестации отличается тем, что не нужно привлекать лицензиата и что финальные документы могут делаться в свободной форме. Это так, но это не означает, что сами мероприятия по защите ПДн как-то отличаются от того, собираетесь ли вы в итоге проводить аттестацию или ОЭ! Да и на соответствие требованиям какому загадочному ГОСТ? Требования по защите информации установлены в методических документах ФСТЭК.


Полностью согласен с Вашим рассуждением. Оператор сам вправе выбирать провайдера, у которого есть ОЭ или у которого есть аттестат. При этом наличие Аттестата соответствия все-таки более регламентированная процедура и проводится в соответствии с ГОСТ 0043-003-2012 и ГОСТ 0043-004-2013. В соответствии с этими же ГОСТ есть порядок разрешения споров с привлечением регулятора, в отличии от ОЭ. Таким образом, наличие Аттестата ФСТЭК России является дополнительной гарантией.

4. Я уже выше написал — разграничение зон ответственности уже четко установлено законом.


Установлено, верно, но уровень абстракции достаточно высок. Так, например, при модели IaaS клиент провайдера, размещая свои ИС на инфраструктуре ЦОД, должен применять дополнительные организационно-технические меры по защите своих систем и тут крайне важно понимать, какие требования закрывает провайдер, а какие должен закрывать клиент, чтобы ничего не пропустить. Мы как провайдер по запросу предоставляем такой документ своим клиентам, и он при этом пользуется достаточно высоким спросом.

5. Это как? Возьмем определение «персональные данные» из 152-ФЗ и дадим свое «расплывчатое»? Что это за бред и как это понимать? То, что отчетные документы по ОЭ могут делаться в свободной форме это значит, что нет четких требований к их оформлению и содержанию, как например к документу «Программа и методики аттестационных испытаний», требования к которому установлены ГОСТ РО 0043-004-2013 «Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний». А не то, что можно вертеть на одном месте термины и определения из законодательства


Опять-таки это следствие от необходимости руководствоваться упомянутыми выше ГОСТ – процедура и содержание документов более строго регламентировано.

6. Да как бы не «проблематично», а «невозможно». Пункт 17.6 приказа ФСТЭК №17


Были не точны в формулировке, принимается

7. Оценка эффективности принятых мер это не документ, а процесс. Документом по итогам этого процесса может быть заключение, отчет и т. д. Да, может я тут уже и докапываюсь, но не могут специалисты так коряво писать, извините.


Безусловно, речь об отчётных документах, статья на хабре – это все-таки не жестко регламентированный документ, и там, где нет необходимости не стоит заниматься излишним формализмом. По сути же, думаю, что все понятно.

8,9 Нет, не верно, набор требований зависит от установленного УЗ и актуальных угроз безопасности. Здесь по требованиям конечно может быть некая дельта вариативности, но не такая большая как хотелось бы.
Выбор защитных мер как бы регламентирован, а не собирается по желанию левой пятки. Вам плюсики в таблицах с мерами в приложениях к приказам ФСТЭК ни о чем не говорят?


И снова про добропорядочность исполнителей.

10. До 2017 года было так для всех УЗ. Сейчас же в 12 пункте приказа ФСТЭК №21 есть такой текст…


Верно! Но только если принято решение применения сертифицированных СЗИ.

11. Говорю по собственному опыту — из сотен аттестованных объектов только единицы за все годы обратились за услугой периодического контроля.


Как я понимаю, Вы работает в компании, которая специализируется на услугах в области информационной безопасности. И Вам, вероятно, известно, что периодические контрольные мероприятия компания может выполнять самостоятельно, не привлекая сторонних компаний. Возможно, поэтому Вы видите только подход “получил и забыл”. Вопрос соблюдать правила регуляции или “ездить без билета” – это вопрос репутации компании. Поверьте, но не все “ездят без билета”.

12. Кроме РТК не знаю таких, хотя работали со многими.


Например, облачные провайдеры CloudMTS, ИТ-ГРАД, ДатаЛайн – лицензиаты ФСТЭК и ФСБ. Это можно подчерпнуть из их сайтов. Да, возможно, у небольших компаний нет лицензий. Но это уже выбор клиента: работать или нет с лицензиатами, оценить репутацию Облачного провайдера, где предстоит размещать свою ИСПДн или ГИС. Помимо этого, не ясно как компании без лицензии предоставляют своим клиентам услуги по ИБ, а то что это происходит (факт оказания ИБ-услуг) при модели IaaS, не должен вызывать сомнений.

13. О, вот это интересно! ФСТЭК завел публичный реестр аттестованных объектов??? А ссылочкой не поделитесь?


Да, ссылку не пришлю, реестра нет, речь идет о другом. Клиент может убедиться в легитимности аттестата. На сайте регулятора есть список компаний, которые уполномочены проводить испытания и выдавать аттестат. По аттестату можно понять кто выдал его и т.о. проверить могли его выдать.

14. В лучшем случае вам покажут скан обложки и первую страницу


Это не так. На наш взгляд, сегодня не так все печально. Предполагаю, Вы не будете спорить, что аттестат публичный документ, в отличии, например, от протокола аттестационных испытаний. Очевидно, клиент Облачного провайдера, размещая свою ИСПДн или ГИС, конечно, захочет увидеть аттестат в полном объеме, а не только первую страницу. Да и добропорядочные игроки на рынке не скрывают его, и не показываю из-под полы. Так Облачные провайдеры #CloudMTS и ИТ-ГРАД приводят сканы аттестатов на своих сайтах, вот ссылки cloud.mts.ru/files/%D0%90%D1%82%D1%82%D0%B5%D1%81%D1%82%D0%B0%D1%82_2020-11-30.pdf и www.it-grad.ru/files/licenses/lic-n-09-20.pdf. Предвижу Ваше замечание, что это родственные компании и реклама самих себя. Сразу скажу, что не мы одни такие. Возьмем компанию-конкурента ДатаЛайн. На их сайте аналогично — размещен аттестат www.dtln.ru/files/certificate.pdf. Думаю, что примеров достаточно и замечу, что не только первые страницы во всех приведенных случаях. Возможно, у Вас был только негативный опыт, но сегодня значительное количество игроков публикуют свои аттестаты, не только первые страницы. Да, конечно есть и недобросовестные игроки. Из своего негативного опыта: несколько лет назад мне встречался “фотошоп” аттестата. Это была первая страница. После запроса всего документа компания юлила и не смогла предоставить документ. Называть эту компанию не буду. Замечу, что у них сегодня на сайте можно так же найти скан аттестата.

Конечно, можно продолжить, но Ваш подход сквозит недоверием и минимальным позитивом. Поэтому в заключении остановлюсь на Вашем комментарии:

полно лицензиатов, которые проводят «аттестацию по фотографии» и плевать хотели на свою репутацию


Соглашусь с Вами в одном: далеко не всем компаниям сегодня важна репутация. Возможно, у Вас такой опыт. Но нашим компаниям CloudMTS и ИТ-ГРАД репутация важна, ровно как и коллегам из НАЦ. А если у Вас еще остались сомнения и недоверие, то Вы можете обратиться к нам и взять в тест виртуальные мощности в аттестованном сегменте. Думаю, что при более близком знакомстве у Вас появится больше позитива к аттестованным облачным сервисам.
Спасибо за ответ. Да, по ряду тезисов можно поспорить. Что уж говорить, у нас регулятор часто по одной проблеме выносит противоречащие решения. Но рад, что в ряде случаев приняли замечания.

Я не стал писать об этом в первом комментарии, но прочитав ответ бросается в глаза то, что ответ нормально читается, а по самой статье местами, честное слово, создается впечатление как будто ее нейросеть писала =)

Так Облачные провайдеры #CloudMTS и ИТ-ГРАД приводят сканы аттестатов на своих сайтах, вот ссылки


Я о том и говорил, что показывают либо титульник, либо титульник + 1 страницу, а самое интересное в аттестате дальше — в приложении. Там и список собственно железа, которое было аттестовано с серийными номерами и список аттестованного ПО, и список применяемых сертифицированных СЗИ. Понятно, что это не те сведения, которые стоит вывешивать в открытый доступ, но, надеюсь, вы их предоставляете клиентам по запросу.

А если у Вас еще остались сомнения и недоверие, то Вы можете обратиться к нам и взять в тест виртуальные мощности в аттестованном сегменте. Думаю, что при более близком знакомстве у Вас появится больше позитива к аттестованным облачным сервисам.


Мне это не особо интересно, но может кому-то из клиентов в будущем понадобится. У меня нет предвзятого отношения к аттестованным облакам, есть только личный опыт в сфере аттестации разных систем.

Предполагаю, Вы не будете спорить, что аттестат публичный документ, в отличии, например, от протокола аттестационных испытаний


Протокол конечно не публичный документ, но есть ситуации, когда его нужно показывать. Мы, например, практически не занимались аттестацией коммерческих облаков, но были кейсы когда нам нужно было аттестовать ГИС, переехавшую в такое облако. По 17 приказу ГИС все равно нужно аттестовывать отдельно, но можно использовать результаты аттестации инфраструктуры ЦОД. Так вот, в нашем понимании, ЦОД должен нам предоставить эти результаты и ряд других внутренних ИБ-документов, чтобы мы могли убедиться, что ЦОД аттестован по нужному классу, что физически наша ГИС будет хоститься именно на аттестованном железе, что у применяемых в ЦОД СЗИ не истекли сроки сертификатов (или срок оказываемой техподдержки), что в списках сотрудников ЦОД, физически допущенных к железу нашей ГИС нет уволенных сотрудников и т. д. Но мы часто сталкивались или с затягиванием сроков предоставления документов или с отказом в их предоставлении.
1. Я о том и говорил, что показывают либо титульник, либо титульник + 1 страницу, а самое интересное в аттестате дальше — в приложении. Там и список собственно железа, которое было аттестовано с серийными номерами и список аттестованного ПО, и список применяемых сертифицированных СЗИ. Понятно, что это не те сведения, которые стоит вывешивать в открытый доступ, но, надеюсь, вы их предоставляете клиентам по запросу.


Да, вы правы, в открытый доступ подробное описание не публикуют. Это внутренние документы. Но по первым двум страницам аттестата (публичной части) можно многое прочесть. Это мы и описали в нашем материале. Остальные документы — по запросу и только клиенту.

2. Мне это не особо интересно, но может кому-то из клиентов в будущем понадобится. У меня нет предвзятого отношения к аттестованным облакам, есть только личный опыт в сфере аттестации разных систем.


Отлично, буду рад видеть клиентов :)

3. Протокол конечно не публичный документ, но есть ситуации, когда его нужно показывать. Мы, например, практически не занимались аттестацией коммерческих облаков, но были кейсы когда нам нужно было аттестовать ГИС, переехавшую в такое облако. По 17 приказу ГИС все равно нужно аттестовывать отдельно, но можно использовать результаты аттестации инфраструктуры ЦОД. Так вот, в нашем понимании, ЦОД должен нам предоставить эти результаты и ряд других внутренних ИБ-документов, чтобы мы могли убедиться, что ЦОД аттестован по нужному классу, что физически наша ГИС будет хоститься именно на аттестованном железе, что у применяемых в ЦОД СЗИ не истекли сроки сертификатов (или срок оказываемой техподдержки), что в списках сотрудников ЦОД, физически допущенных к железу нашей ГИС нет уволенных сотрудников и т. д. Но мы часто сталкивались или с затягиванием сроков предоставления документов или с отказом в их предоставлении.


Согласен с Вашим замечанием. При работе с ГИС или ИС, подключенной к ГИС, в Облаке или стороннем ЦОД много сложнее, чем просто разместить ИСПДн клиента. Клиенту при работе с ГИС всегда нужна аттестация его ИС, которая от части базируется на нашем Облачном Сервисе и соответственно аттестате (ссылается на аттестат, на МУ и т.д.). Для такого случая мы предлагаем клиенту два документа “Разделение ответственности...» и “Выписка из Модели Угроз…”. Эти документы публичные для нашего клиента. Документы подписаны со стороны аттестатора, который выполнял аттестацию нашего Облачного сервиса, что позволяет говорить, что мы не сами себе описание придумали.
Полностью поддерживаю Ваши слова: очень важно соблюдение актуального состоянии от документов на ЦОД и Облачный Сервис и до СЗИ и списков сотрудников – важный процесс. Для нас, как для провайдера это еще и вопрос репутации. Тут у многих бывает так, что в чужом глазу соломину видеть, в своём — бревна не замечать. Поэтому мы выбрали простой путь: проводим ежегодный контроль внешней компанией-аттестатором.
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.