Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

GDPR: Новые правила обработки персональных данных в EU

15/06/2018

Все слышали о General Data Protection Regulation (GDPR) (Regulation (EU) 2016/679), который вступил в силу 25 мая 2018 года. Штрафы большие и придётся соответствовать. Как и любой официальный документ, он написан сухо и может трактоваться по-разному.

Реклама

Партнеры

Лаборатория кибербезопасности







Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1
RSS
[ Закрыто ] Выполнение требований для облачного хранения ПДн
Здравствуйте.
Помогите разобраться с ситуацией.
Разрабатывается сервис в области рекрутинга, который включает в себя обработку (хранение) ПДн.
Сервис размещается в российском ЦОДе одного из провайдеров, на виртуальной машине Linux.
Сервис хранит во внутренней БД данные кандидатов (ФИО, контактные данные, история обучения, история работы и т.д.).
В зависимости от типа угроз может требоваться уровень защиты от 3 до 1. Конечно мы бы хотели реализовать максимальный уровень защиты, но на данный момент ищем бюджетное решение, удовлетворяя минимальные требования со стороны регуляторов (сейчас речь про техническую часть).
Для 3 уровня защиты требуются определенного уровня СВТ, антивирусы и межсетевой экран (сервис работает через интернет). И эти требования вполне реализуемы, если СВТ удовлетворяет требованиям и используются сертифицированные антивирус и МЭ.
Однако большой вопрос по поводу нашего сервиса (ПО). Может ли он является причиной не соответствия требованиям, требуется ли осуществление его проверки (в разных источниках говорится о проверке кода ПО для исключения НСД) и сертификации? Является ли отсутствие сертификации нашего сервиса (ПО) основанием для изменения уровня защиты с 3 до 2 или 1?
Буду рад любым комментариям. Спасибо.
Цитата
Денис Барков пишет:
Однако большой вопрос по поводу нашего сервиса (ПО). Может ли он является причиной не соответствия требованиям, требуется ли осуществление его проверки (в разных источниках говорится о проверке кода ПО для исключения НСД) и сертификации? Является ли отсутствие сертификации нашего сервиса (ПО) основанием для изменения уровня защиты с 3 до 2 или 1?
Никаких обязательных требований к проверке ПО на НДВ нет. Более того, сертификация сервиса на отсутствие НДВ невозможна по причине того, требования к контролю отсутствия НДВ есть только для ПО СЗИ (а не для прикладного ПО).
Т.о., ваш уровень защищенности будет зависеть от типа актуальных угроз, а актуальность угроз вы определяете сами по методике ФСТЭК 2008 года. Методика легко позволяет определить неактуальность угроз наличия НДВ в системном и прикладном ПО и, таким образом, выйти на 3 тип угроз.
AlexG, спасибо за ответ.
Как раз имел ввиду НДВ.
Страницы: 1
Читают тему (гостей: 2, пользователей: 0, из них скрытых: 0)