Добрый день! Прочитал статью "Проблемы и решения по защите персональных данных в информационных системах персональных данных". Вот цитата:
"Особую привлекательность с точки зрения архитектуры построения систем приобретает технология терминального доступа, при которой вся обработка данных осуществляется на сервере, а рабочие станции используются только для отображения информации и получения данных от пользователя. При правильном использовании подобный подход позволяет снизить класс конечных рабочих станций до третьего и значительно сэкономить на средствах защиты и аттестации по требованиям безопасности. Кроме того, сокращаются затраты на управление информационной инфраструктурой и закупки средств вычислительной техники за счет централизации системы и снижения требований к аппаратным характеристикам компьютеров пользователей"
Как-то смутно описано (с моей точки зрения) предлагаемое решение.
Во-первых, технология терминального доступа значительно "упрощает" защиту ПДн, когда передаваемые ПДн между терминальным сервером и рабочими станциями являются обезличенными. А если учесть, что во многих случаях к технология терминального доступа применяется для предоставления доступа к ресурсам удалённым пользователям, то в данном случае ИСПДн будет распределённой и потребуется аттестация.
Во-вторых, что значит "вся обработка осуществляется на сервере, а на рабочие станции используются только для отображения информации ..."? Согласно ФЗ-152, сбор, уточнение (обновление, изменение), использование, распространение (в том числе передачу), тоже считаются обработкой. Получается ни одна из этих операций не будет выполняться на рабочих станциях? Как-то не верится.
В-третьих, что значит снизить класс конечных рабочих станций посредством технологии терминального доступа? Снизить класс можно двумя способами: уменьшить объём обрабатываемых ПДн и категорию. Категорию можно снизить только, если на терминальном сервере будет осуществляться процедура обезличивания (это в статье не отмечено).
PS. Прошу правильно расценить назначение данных комментариев. Моей целью не было показать, что статья плохая. Хотелось просто внести ясность в содержание статьи.
"Особую привлекательность с точки зрения архитектуры построения систем приобретает технология терминального доступа, при которой вся обработка данных осуществляется на сервере, а рабочие станции используются только для отображения информации и получения данных от пользователя. При правильном использовании подобный подход позволяет снизить класс конечных рабочих станций до третьего и значительно сэкономить на средствах защиты и аттестации по требованиям безопасности. Кроме того, сокращаются затраты на управление информационной инфраструктурой и закупки средств вычислительной техники за счет централизации системы и снижения требований к аппаратным характеристикам компьютеров пользователей"
Как-то смутно описано (с моей точки зрения) предлагаемое решение.
Во-первых, технология терминального доступа значительно "упрощает" защиту ПДн, когда передаваемые ПДн между терминальным сервером и рабочими станциями являются обезличенными. А если учесть, что во многих случаях к технология терминального доступа применяется для предоставления доступа к ресурсам удалённым пользователям, то в данном случае ИСПДн будет распределённой и потребуется аттестация.
Во-вторых, что значит "вся обработка осуществляется на сервере, а на рабочие станции используются только для отображения информации ..."? Согласно ФЗ-152, сбор, уточнение (обновление, изменение), использование, распространение (в том числе передачу), тоже считаются обработкой. Получается ни одна из этих операций не будет выполняться на рабочих станциях? Как-то не верится.
В-третьих, что значит снизить класс конечных рабочих станций посредством технологии терминального доступа? Снизить класс можно двумя способами: уменьшить объём обрабатываемых ПДн и категорию. Категорию можно снизить только, если на терминальном сервере будет осуществляться процедура обезличивания (это в статье не отмечено).
PS. Прошу правильно расценить назначение данных комментариев. Моей целью не было показать, что статья плохая. Хотелось просто внести ясность в содержание статьи.