Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

В России хотят создать мегарегулятора информационной безопасности, взяв пример с США

18/11/2017

В рамках реализации программы «Цифровая экономика» предлагается определить единый госорган, ответственный за требования к средствам информационной безопасности.

Реклама

Партнеры

Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1
Ответить
RSS
Выполнение требований для облачного хранения ПДн
Здравствуйте.
Помогите разобраться с ситуацией.
Разрабатывается сервис в области рекрутинга, который включает в себя обработку (хранение) ПДн.
Сервис размещается в российском ЦОДе одного из провайдеров, на виртуальной машине Linux.
Сервис хранит во внутренней БД данные кандидатов (ФИО, контактные данные, история обучения, история работы и т.д.).
В зависимости от типа угроз может требоваться уровень защиты от 3 до 1. Конечно мы бы хотели реализовать максимальный уровень защиты, но на данный момент ищем бюджетное решение, удовлетворяя минимальные требования со стороны регуляторов (сейчас речь про техническую часть).
Для 3 уровня защиты требуются определенного уровня СВТ, антивирусы и межсетевой экран (сервис работает через интернет). И эти требования вполне реализуемы, если СВТ удовлетворяет требованиям и используются сертифицированные антивирус и МЭ.
Однако большой вопрос по поводу нашего сервиса (ПО). Может ли он является причиной не соответствия требованиям, требуется ли осуществление его проверки (в разных источниках говорится о проверке кода ПО для исключения НСД) и сертификации? Является ли отсутствие сертификации нашего сервиса (ПО) основанием для изменения уровня защиты с 3 до 2 или 1?
Буду рад любым комментариям. Спасибо.
Цитата
Денис Барков пишет:
Однако большой вопрос по поводу нашего сервиса (ПО). Может ли он является причиной не соответствия требованиям, требуется ли осуществление его проверки (в разных источниках говорится о проверке кода ПО для исключения НСД) и сертификации? Является ли отсутствие сертификации нашего сервиса (ПО) основанием для изменения уровня защиты с 3 до 2 или 1?
Никаких обязательных требований к проверке ПО на НДВ нет. Более того, сертификация сервиса на отсутствие НДВ невозможна по причине того, требования к контролю отсутствия НДВ есть только для ПО СЗИ (а не для прикладного ПО).
Т.о., ваш уровень защищенности будет зависеть от типа актуальных угроз, а актуальность угроз вы определяете сами по методике ФСТЭК 2008 года. Методика легко позволяет определить неактуальность угроз наличия НДВ в системном и прикладном ПО и, таким образом, выйти на 3 тип угроз.
AlexG, спасибо за ответ.
Как раз имел ввиду НДВ.
Страницы: 1
Ответить
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку