Какие меры необходимо предпринять для защиты персональных данных в ЦОДе или в своей серверной?
Добрый день всем!
Прошу помощи специалистов-безопасников, либо тех, кто как я проходит это самостоятельно.
Я девелопер и технический директор проекта, ни разу не безопасник, просто так все повернулось.
Ситуация следующая. Есть проект, который работает с ПД, собственно представляет собой ИСПДн, по классификации УЗ-2 или УЗ-1 (собственно, в попытках более точно определить классификацию я провожу время сейчас).
1. Что необходимо предпринять для реализации всех необходимых мер с точки зрения законодательства РФ? С чего начать?
2. Поможет ли перевод всех серверов проекта из собственной серверной в ЦОД (с сертификацией ФСТЭКа) с арендой стойки? Что нужно для организации защиты ПД в собственной серверной?
3. Какое железо нужно и можно использовать? Нужно ли сертифицировать шлюзы?
Скажу сразу, что собственного безопасника у нас сейчас нет. На попытки отдать это дело на аутсорс мы получили достаточно космический счет на услуги, степень необходимости которых для проекта в существующей стадии мы не можем определить.
Прошу помощи сообщества.
p.s. И если у вас есть коммерческие (желательно комплексные) предложения (от себя лично, например) велкам тоже.
бесплатный совет:
прочтите 152-ФЗ, 1119 постановление правительства, 21 приказ ФСТЭК. Если к ИСПДн предполагается предоставлять доступ извне - то по-хорошему стоит посмотреть на 378 приказ ФСБ. Первое, что придется сделать - написать или найти готовые политику, всякие регламенты и т.д. Далее список ПДн и ( а может и до того) - регистрация в РКН. Классификация ИСПДн.
"Сертификация ЦОД в ФСТЭК" - звучит грозно. Для защиты ИСПДн у себя надо выполнить указанные выше приказы. Железо можно использовать любое - но средства защиты дешевле для нервов использовать атестованные. Атестация шлюза - в зависимости от того, как какое средство защиты Вы планируете его представлять.
Не ошибаетесь. Реалии таковы, что вопросы по ИБ надо решать сейчас, в стадии пилотного проекта а безопасник где-то в стадии дальнейшего финансирования.
Sanes: да, это логично, но с точки зрения дальнейшего инвестирования в проект, нам проще сейчас проработать как раз весь комплекс мер, даже за отдельные деньги, нормально выставиться перед инвесторами, а потом нанять безопасника.
Защита ПДн с точки зрения закона и проверяющих это больше про бумагу, чем про технику.
Как выше сказали вам надо прочитать: 152-ФЗ, 1119-ПП, 21 приказ ФСТЭК.
Про УЗ-1 или УЗ-2 вы погорячились это точно, так как для этого вы должны определить для себя актуальными угрозы закладок в прикладном/системном ПО, а добровольно такое никто не делает, так как это приводит к лишним проблемам в ходе построения системы защиты.
Все определяют для себя 3-й тип актуальных угроз, что в итоге дает для 99% ИСПДн 3-ий или 4-ый УЗ. (УЗ-2 выйдет у вас только в случае если вы обрабатываете специальную категорию больше 100 тысяч субъектов, что маловероятно).
PS Могу сделать СЗПДн под ключ после уточнения всех подробностей вашей системы. (контакты в профиле)