Задать вопрос

Какие меры необходимо предпринять для защиты персональных данных в ЦОДе или в своей серверной?

Добрый день всем!
Прошу помощи специалистов-безопасников, либо тех, кто как я проходит это самостоятельно.
Я девелопер и технический директор проекта, ни разу не безопасник, просто так все повернулось.
Ситуация следующая. Есть проект, который работает с ПД, собственно представляет собой ИСПДн, по классификации УЗ-2 или УЗ-1 (собственно, в попытках более точно определить классификацию я провожу время сейчас).
1. Что необходимо предпринять для реализации всех необходимых мер с точки зрения законодательства РФ? С чего начать?
2. Поможет ли перевод всех серверов проекта из собственной серверной в ЦОД (с сертификацией ФСТЭКа) с арендой стойки? Что нужно для организации защиты ПД в собственной серверной?
3. Какое железо нужно и можно использовать? Нужно ли сертифицировать шлюзы?
Скажу сразу, что собственного безопасника у нас сейчас нет. На попытки отдать это дело на аутсорс мы получили достаточно космический счет на услуги, степень необходимости которых для проекта в существующей стадии мы не можем определить.
Прошу помощи сообщества.
p.s. И если у вас есть коммерческие (желательно комплексные) предложения (от себя лично, например) велкам тоже.
  • Вопрос задан
  • 492 просмотра
Подписаться 2 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 3
MaxDukov
@MaxDukov
впишусь в проект как SRE/DevOps.
бесплатный совет:
прочтите 152-ФЗ, 1119 постановление правительства, 21 приказ ФСТЭК. Если к ИСПДн предполагается предоставлять доступ извне - то по-хорошему стоит посмотреть на 378 приказ ФСБ. Первое, что придется сделать - написать или найти готовые политику, всякие регламенты и т.д. Далее список ПДн и ( а может и до того) - регистрация в РКН. Классификация ИСПДн.
"Сертификация ЦОД в ФСТЭК" - звучит грозно. Для защиты ИСПДн у себя надо выполнить указанные выше приказы. Железо можно использовать любое - но средства защиты дешевле для нервов использовать атестованные. Атестация шлюза - в зависимости от того, как какое средство защиты Вы планируете его представлять.
Ответ написан
Комментировать
Sanes
@Sanes
Если не ошибаюсь, то у вас в штате должен быть гл. инженер. Если так, то безопасника придется брать.
Ответ написан
Защита ПДн с точки зрения закона и проверяющих это больше про бумагу, чем про технику.
Как выше сказали вам надо прочитать: 152-ФЗ, 1119-ПП, 21 приказ ФСТЭК.
Про УЗ-1 или УЗ-2 вы погорячились это точно, так как для этого вы должны определить для себя актуальными угрозы закладок в прикладном/системном ПО, а добровольно такое никто не делает, так как это приводит к лишним проблемам в ходе построения системы защиты.
Все определяют для себя 3-й тип актуальных угроз, что в итоге дает для 99% ИСПДн 3-ий или 4-ый УЗ. (УЗ-2 выйдет у вас только в случае если вы обрабатываете специальную категорию больше 100 тысяч субъектов, что маловероятно).
PS Могу сделать СЗПДн под ключ после уточнения всех подробностей вашей системы. (контакты в профиле)
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы